Voor het verbeteren van je website beveiliging, is het mogelijk om security headers te installeren. Het is echter wel nodig om deze vooraf specifiek voor je website goed te bepalen, om problemen te voorkomen.


Check

Security headers kunnen geïmplementeerd worden via de server, of via je website. Als je een Wordpress security plugin gebruikt, kan het zijn dat ze al voor geïmplementeerd zijn. 


Om te zien welke headers jouw website gebruikt, kun je gebruik maken van https://securityheaders.com/. Deze site doet van buitenaf scannen welke headers je gebruikt, waardoor je in elke situatie de toegepaste headers kunt zien. Een resultaat voor een website zonder specifieke security headers kan er als volgt uit zien: 



Uitleg

De security headers website geeft al een goede uitleg, we hebben extra aanvullingen voor de verschillende headers: 


Strict-Transport-Security (HSTS)

Door het implementeren van deze header geef je aan dat de site niet gebruikt kan worden wanneer het certificaat ongeldig is. Dit voorkomt dat data van mensen gestolen wordt, als een hacker in een lokaal netwerk je website namaakt. Wij raden de gegevens aan die de security headers website aangeeft in de resultaten.


Content-Security-Policy

Voorkomt dat op je website scripts worden ingeladen die niks met je site te maken hebben. Als je website gehackt wordt, en de hacker heeft code geïmplementeerd die wijst naar een ander domein, voorkomt deze regel dat de code uitgevoerd kan worden. 


X-Frame-Options

Voorkomt dat je website op een andere website ingesloten kan worden. Hierdoor kunnen mensen alleen gebruikmaken van functies op je site als ze deze daadwerkelijk via jouw domein bezoeken. Ook hier raden we de gegevens aan die de security headers website aangeeft, tenzij je opzet afwijkt. 


X-Content-Type-Options

Voor elk bestand op je website wordt door de server een content type aangegeven, zodat de browser van de bezoeker weet hoe deze het moet interpreteren. Kwaadwillenden proberen soms om bestanden anders te interpreteren om informatie afhandig te maken. Als je bestand een kwetsbaarheid bevat kan dit werken. Door de aangeraden optie van de security headers website te implementeren, voorkom je dat hackers dit kunnen doen. 


De volgende headers zijn optioneel:


Referrer-Policy

Een referrer vertelt een webserver van welke pagina een gebruiker af komt wanneer deze naar en vanaf je website komt. Als iemand bijvoorbeeld jouw website opzoekt op Google, en de bezoeker drukt op jouw link in Google, dan registreert de server dat de bezoeker van Google af komt. 


Hetzelfde kan gebeuren via jouw website. Als jij een link zet op je website die verwijst naar google.nl, kan de server van Google zien dat de bezoeker vanaf jouw server af komt. Als je gevoelige informatie verwerkt, kan het zijn dat je dit wilt uitzetten. Dit doe je door middel van de volgende regel: 


Referrer-Policy: no-referrer


Deze header zorgt ervoor dat bij geen enkel bezoek een referrer wordt meegenomen. Dit is ook gelijk de meest strenge instelling voor de betreffende header. Als je website afhankelijk is van de informatie en de referrer gebruikt om gedrag van website bezoekers te analyseren, raden wij af om deze header te gebruiken. 


Feature-Policy

Deze optionele sucurity header is zeer uitgebreid. Hiermee kun je limiteren welke functies uitgevoerd kunnen worden door bepaalde bestanden. Omdat de header zeer uitgebreid is, hebben wij hier geen eenduidig advies voor. Wij raden aan om je goed in te lezen in de documentatie voor deze header alvorens je deze opstelt en instelt. 


Toepassen

Security headers zijn op twee manieren toe te passen. Wij bespreken hier de mogelijkheden.


Toepassen via Wordpress

Als je gebruik maakt van een Wordpress security plugin is het mogelijk om de headers via de betreffende plugin in te stellen. Lees alvorens het doorvoeren van de gewenste headers de documentatie van de plugin goed door, of vraag hulp aan de ontwikkelaar van de betreffende plugin.


Het is belangrijk om te weten dat je headers kloppen voordat je ze implementeert in een security plugin. Als je een fout maakt bij het toepassen kan je website namelijk onbereikbaar worden. Wij raden aan om eerst een back-up te maken via ons paneel op admin.savvii.com. Als er iets fout gaat, kan je namelijk snel en gemakkelijk de back-up weer terugzetten.


Toepassen op de server

Om te voorkomen dat de headers worden overschreven bij een update, kan je het beste de headers toe laten voegen op de server. Dit zorgt ervoor dat bij Wordpress wijzigingen de security header instellingen niet verloren gaan.


Wij kunnen de headers voor jouw website toevoegen. Neem hiervoor contact met ons op via support@savvii.com. In het bericht geef je de security headers op die je wilt implementeren, inclusief alle instellingen voor de headers. Geef hierbij ook aan voor welk domein de headers ingesteld moeten worden.