Security-Header sind HTTP-Response-Header, die den Browser anweisen, verschiedene Sicherheitsmechanismen zu aktivieren. Diese Anleitung zeigt dir, wie du alle wichtigen Security-Header gleichzeitig zu deiner WordPress-Seite hinzufügst.
Alle Header in einem .htaccess-Block
Füge Folgendes zu deiner .htaccess-Datei im WordPress-Stammverzeichnis hinzu:
<IfModule mod_headers.c>
# Clickjacking verhindern
Header always set X-Frame-Options "SAMEORIGIN"
# MIME-Type-Sniffing verhindern
Header always set X-Content-Type-Options "nosniff"
# Referrer-Informationen kontrollieren
Header always set Referrer-Policy "strict-origin-when-cross-origin"
# Browser-Funktionen einschränken
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=()"
# HTTPS erzwingen
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
# XSS-Schutz (Legacy, für ältere Browser)
Header always set X-XSS-Protection "1; mode=block"
</IfModule>Nginx-Konfiguration
Füge diese Zeilen in deinen server-Block ein:
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-XSS-Protection "1; mode=block" always;WordPress functions.php-Methode
function add_security_headers() {
header('X-Frame-Options: SAMEORIGIN');
header('X-Content-Type-Options: nosniff');
header('Referrer-Policy: strict-origin-when-cross-origin');
header('Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()');
header('X-XSS-Protection: 1; mode=block');
}
add_action('send_headers', 'add_security_headers');Alle Header überprüfen
Nachdem du die Header hinzugefügt hast, führe einen neuen InspectWP-Scan durch. Alle Security-Header sollten jetzt im Sicherheitsbereich deines Reports als grün (vorhanden) angezeigt werden.