Der neuste Trend sind HTTP Headers Security sowohl für Joomla und Wordpress als auch für alle anderen Webanwendungen wie Typo3, Drupal, usw.
Mit diesen Einstellungen lässt sich die Webseite vor Hacker-Attacken und auch die Besucher schützen.
Some HTTP headers related to security and privacy are missing or misconfigured.
Testen der aktuellen Einträge: https://securityheaders.com/
Hier finden Sie unser "Standard-Set". Dieses beinhaltet die wichtigsten Header. Bitte dennoch die Konfiguration testen. Auf jedem Server muss es etwas angepasst werden.
# Extra Security Headers by BlueStoneDesig.de
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' 'unsafe-inline'; img-src 'self' https://* data:; child-src 'none'; script-src 'self' 'unsafe-inline'"
Header set X-Content-Security-Policy "default-src 'self'; img-src 'self' https://* data:; script-src 'self' 'unsafe-inline'"
Header set Permissions-Policy "geolocation=self"
Header set X-Frame-Options deny
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header set Referrer-Policy "strict-origin"
Header set Strict-Transport-Security: "max-age=63072000; includeSubDomains; preload"
</IfModule>
<FilesMatch "\.svg$">
<IfModule mod_headers.c>
Header always set Content-Security-Policy "script-src 'none'"
</IfModule>
</FilesMatch>
Achtung!
Die Befehle oben sind sehr allgemein gehalten, passen aber nicht auf alle Webseiten. Also bitte testen!
Insbesondere die Funktion von Captcha's - es besteht sonst die Gefahr das ihr euch oder eure Kunden aus der Webseite aussperrt.
hCaptcha: https://docs.hcaptcha.com/#content-security-policy-settings
Die Einstellungen der Seite haben das Laden einer Ressource auf data:image/jpeg;base64
Die Einstellungen der Seite haben das Laden einer Ressource auf inline blockiert
Mehr erfahren:
10 Header-Einträge die eine Webseite sicherer machen
HTTP Security Header: Verbesserter Schutz für eure Websites
