HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus, der Browser anweist, sich nur über HTTPS mit deiner Website zu verbinden. Sobald ein Browser den HSTS-Header empfängt, wandelt er automatisch alle HTTP-Anfragen für die angegebene Dauer in HTTPS um — selbst wenn der Nutzer http:// in die Adressleiste eingibt.
Warum HSTS wichtig ist
Ohne HSTS ist deine Seite anfällig für:
- SSL-Stripping-Angriffe — Ein Angreifer im selben Netzwerk kann die initiale HTTP-Anfrage abfangen, bevor die Weiterleitung zu HTTPS erfolgt.
- Cookie-Hijacking — Sitzungscookies, die über eine unverschlüsselte Verbindung gesendet werden, können abgefangen werden.
- Downgrade-Angriffe — Der Browser wird gezwungen, ein älteres, weniger sicheres Protokoll zu verwenden.
Wie es funktioniert
Wenn dein Server den folgenden Response-Header sendet:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadMerkt sich der Browser dies für max-age Sekunden (31536000 = 1 Jahr) und wird während dieses Zeitraums niemals eine unsichere Verbindung versuchen.
Wichtige Direktiven
max-age— Wie lange (in Sekunden) der Browser sich merken soll, nur HTTPS zu verwenden.includeSubDomains— Die Regel auch auf alle Subdomains anwenden.preload— Ermöglicht die Aufnahme deiner Domain in Browser-Preload-Listen, sodass HTTPS schon beim allerersten Besuch erzwungen wird.
Was InspectWP prüft
InspectWP analysiert, ob deine WordPress-Seite den Strict-Transport-Security Response-Header sendet. Fehlt dieser, wird es als Sicherheitsproblem markiert. Ein HSTS-Header mit einem langen max-age-Wert und der includeSubDomains-Direktive wird empfohlen.