Tipps und Code-Beispiele zur Absicherung Ihres Internet-Auftritts


Ihr Internet-Auftritt könnte in Gefahr sein – So sichern Sie ihn jetzt problemlos ab!

Ihr Browser hat mehr Power als Sie denken, aber nur, wenn Sie ihm die richtigen Befehle geben.

HTTP-Sicherheits-Header sind Ihre erste Verteidigungslinie gegen eine Vielzahl von Online-Bedrohungen, von Datendiebstahl bis hin zu Cross-Site-Scripting-Angriffen. Leider bleibt dieses unglaubliche Sicherheitspotenzial oft ungenutzt, weil viele Entwickler nicht einmal wissen, dass es existiert!

Wenn Sie auf dieser Seite gelandet sind, haben Sie wahrscheinlich bereits eine Schwachstellenanalyse Ihrer Website durchgeführt. Sie erkennen die Notwendigkeit, jetzt zu handeln, bevor es zu spät ist. Unsere praxisnahen Leitfäden bieten sofort umsetzbare, kostenfreie DIY-Lösungen und Code-Beispielen, die Ihnen dabei helfen, Ihren Web-Auftritt in Minuten abzusichern.

WordPress Absicherung 

Hinter der Idee, den WP-Adminbereich zu verstecken, steht das Prinzip security through obscurity („Sicherheit durch Obskurität/Unklarheit“). Hierbei machen wir es dem Angreifer schwieriger, wo der Eingang zu finden ist.

Den WP-Admin-Bereich zu verstecken und die WordPress-Loginseite vor Brute-Force-Angriffen zu schützen ist eine sinnvolle Ergänzung zur Gesamtsicherheit Ihrer WordPress Installation.

Diese sind praktisch kinderleicht anzuwenden und können Ihnen helfen, Ihre WordPress-Website zu einer Festung zu machen.

WordPress-Login-Seite Absichern

WordPress-Login-Seite Absichern

Sicherheit beginnt an der Eingangstür Ihrer WordPress Website: dem Anmeldeformular. Das Ändern der WordPress-Anmelde-URL ist ein wichtiger erster Schritt zur Absicherung Ihres WordPress-Dashboards.

Anwenden →

WordPress X-Pingback Header

WordPress X-Pingback Header

WordPress nutzt XMLRPC, um Pingbacks und Trackbacks zu erstellen. Das kann Ihre Website ernsthaft gefährden. Testen Sie Ihre WordPress-Website auf diese bekannte Sicherheitslücke und entfernen Sie den X-Pingback-Header.

Anwenden →

cspContent Security (CSP)

Für die meisten Webseitenbetreiber ist es sinnvoll, zunächst eine Whitelist-CSP zu implementieren. Diese reduziert Ihre Angriffsfläche bereits erheblich. Der Schlüssel liegt darin, ein Gleichgewicht zwischen Sicherheit und Funktionalität zu finden. Hier finden Sie Code-Beispiele für einige der üblichen Webseiten Konfigurationen.

XSS Cross-Site ScriptingXSS Cross-Site Scripting

Die Abkürzung XSS (Webseitenübergreifendes Skripting) steht für Cross-Site Scripting und bezeichnet eine der häufigsten Angriffsmethoden im Internet. Durch offene Sicherheitslücken gelingt es Angreifern, Schadcode in eine vermeintlich vertrauenswürdige Umgebung einzubetten. Damit lassen sich Internetseiten verändern, Browser übernehmen oder vertrauliche Informationen wie Passwörter entwenden.

Mit unserem einfach anzuwendenden Code-Beispielen schützen Sie ihre Internet-Präsenz vor reflektiertem oder persistentem Cross-Site Scripting durch Absicherung des Server-Quellcodes.

Die Kombination der neuen COOP und COEP Security-Header ermöglichen es schnell und einfach, Ihre Website vor fremden Ursprungsangriffen zu isolieren (cross-origin isolation):

Cross-Origin-Opener-Policy: same-origin
Cross-Origin-Embedder-Policy: require-corp

Durch diese Einstellungen wird der Prozess der Webseite isoliert und das Laden von Ressourcen aus anderen Quellen nur dann gestattet, wenn diese explizit zustimmen. Dies erhöht die Sicherheit der Webseite erheblich gegenüber solchen Seitenkanalangriffen.

X-XSS-Protection-Header

X-XSS-Protection-Header

Der X-XSS-Protection-Header ist darauf ausgelegt, den in modernen Webbrowsern integrierten Cross-Site Scripting (XSS)-Filter zu aktivieren. Wir zeigen Ihnen, wie Sie diesen korrekt implementieren.

Anwenden →

X-Content-Type-Options

X-Content-Type-Options

Webentwickler, die sich mittels Content Security Policy vor Cross-Site-Scripting-Angriffen schützen wollen, sollten auf jeden Fall den X-Content-Type-Options-Header verwenden.

Anwenden →

XSS Cross-Site ScriptingHTTP-Sicherheitsheader

Ein einfacher Weg, um Ihre Webanwendungen zu härten.

Moderne Webbrowser unterstützen eine Vielzahl von HTTP-Headern, die die Sicherheit von Webanwendungen erhöhen und Schutz gegen Clickjacking, Cross-Site-Scripting und andere gängige Angriffe bieten können.

Das Setzen geeigneter Header in Ihren Webanwendungen und Webserver-Einstellungen ist ein einfacher Weg, um die Widerstandsfähigkeit Ihrer Webanwendung gegen viele gängige Angriffe deutlich zu verbessern, einschließlich Cross-Site-Scripting (XSS) und Clickjacking-Angriffe.

Hier bieten wir leicht anwendbare Code-Beispiele für die wichtigsten HTTP-Sicherheitsheader, die Sie in Ihren Webseiten und Anwendungen setzen sollten.

X-Content-Type-Options

X-Content-Type-Options

Webentwickler, die sich mittels Content Security Policy vor Cross-Site-Scripting-Angriffen schützen wollen, sollten auf jeden Fall den X-Content-Type-Options-Header verwenden.

Anwenden →

HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS) ist ein unkomplizierter und weit verbreiteter Standard zum Schutz vor Man-in-the-Middle-Angriffen. Erfahren Sie, wie Sie diese wichtige Maßnahme zur strengen Transportsicherheit mühelos umsetzen können.

Anwenden →