Das Hinzufügen des HSTS-Headers (HTTP Strict Transport Security) zu deiner WordPress-Seite stellt sicher, dass Browser immer über HTTPS verbinden. Hier sind die gängigsten Methoden zur Implementierung.
Voraussetzungen
Wichtig: Bevor du HSTS aktivierst, stelle sicher, dass deine Seite vollständig über HTTPS funktioniert. Sobald HSTS aktiviert ist, werden Browser die Verbindung über HTTP für die angegebene Dauer verweigern.
Methode 1: Apache (.htaccess)
Füge Folgendes zu deiner .htaccess-Datei im WordPress-Stammverzeichnis hinzu:
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>Methode 2: Nginx
Füge dies zu deiner Nginx-Server-Block-Konfiguration hinzu:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;Methode 3: WordPress functions.php
Füge den Header über PHP in der functions.php deines Themes hinzu:
function add_hsts_header() {
header('Strict-Transport-Security: max-age=31536000; includeSubDomains; preload');
}
add_action('send_headers', 'add_hsts_header');Empfohlene Vorgehensweise
- Starte mit einem kurzen
max-age(z.B. 300 Sekunden = 5 Minuten) zum Testen. - Überprüfe, ob deine Seite korrekt über HTTPS funktioniert.
- Erhöhe auf
max-age=31536000(1 Jahr). - Füge
includeSubDomainshinzu, wenn alle Subdomains HTTPS unterstützen. - Optional
preloadhinzufügen und bei der HSTS-Preload-Liste einreichen.
HSTS-Header überprüfen
Nachdem du den Header hinzugefügt hast, führe einen neuen InspectWP-Scan deiner Seite durch. Der Sicherheitsheader-Bereich sollte nun den Strict-Transport-Security-Header als vorhanden anzeigen.