Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Wie man HTTP-Sicherheits-Header in WordPress hinzufügt (Anleitung für Anfänger)

Hinweis der Redaktion: Wir erhalten eine Provision für Partnerlinks auf WPBeginner. Die Provisionen haben keinen Einfluss auf die Meinung oder Bewertung unserer Redakteure. Erfahre mehr über Redaktioneller Prozess.

Möchten Sie HTTP-Sicherheits-Header in WordPress hinzufügen?

HTTP-Sicherheits-Header ermöglichen es Ihnen, Ihrer WordPress-Website eine zusätzliche Sicherheitsebene hinzuzufügen. Sie können dazu beitragen, häufige bösartige Aktivitäten zu blockieren, die die Leistung Ihrer Website beeinträchtigen.

In dieser Anleitung für Einsteiger zeigen wir Ihnen, wie Sie HTTP-Sicherheits-Header in WordPress hinzufügen können.

How to Add HTTP Security Headers in WordPress (Beginner's Guide)

Was sind HTTP-Sicherheits-Header?

HTTP-Sicherheits-Header sind eine Sicherheitsmaßnahme, die es dem Server Ihrer Website ermöglicht, einige gängige Sicherheitsbedrohungen zu verhindern, bevor sie Ihre Website beeinträchtigen können.

Wenn ein Benutzer Ihre WordPress-Website besucht, sendet Ihr Webserver eine HTTP-Header-Antwort an seinen Browser. Diese Antwort informiert den Browser über Fehlercodes, Cache-Kontrolle und andere Zustände.

Die normale Header-Antwort gibt einen Status namens HTTP 200 aus. Danach wird Ihre Website im Browser des Benutzers geladen. Wenn Ihre Website jedoch Schwierigkeiten hat, kann Ihr Webserver einen anderen HTTP-Header senden.

Es kann beispielsweise ein interner Serverfehler 500 oder ein Fehlercode 404 (nicht gefunden) gesendet werden.

HTTP-Sicherheits-Header sind eine Teilmenge dieser Header. Sie werden verwendet, um Websites vor gängigen Bedrohungen wie Click-Jacking, Cross-Site-Scripting, Brute-Force-Angriffen und mehr zu schützen.

Werfen wir einen kurzen Blick auf einige HTTP-Sicherheits-Header und wie sie Ihre WordPress-Website schützen:

  • HTTP Strict Transport Security (HSTS) teilt Webbrowsern mit, dass Ihre Website HTTPS verwendet und nicht über ein unsicheres Protokoll wie HTTP geladen werden sollte.
  • Mit demX-XSS-Schutz können Sie das Laden von Cross-Site-Scripting blockieren.
  • X-Frame-Options verhindert domänenübergreifende Iframes oder Click-Jacking.
  • X-Content-Type-Options X-Content-Type-Options blockiert das Schnüffeln von Mime-Typ-Inhalten.

HTTP-Sicherheits-Header funktionieren am besten, wenn sie auf der Ebene des Webservers, d. h. Ihres WordPress-Hosting-Kontos, festgelegt werden. So können sie frühzeitig während einer typischen HTTP-Anfrage ausgelöst werden und maximalen Nutzen bringen.

Sie funktionieren sogar noch besser, wenn Sie eine Website-Anwendungs-Firewall auf DNS-Ebene wie Sucuri oder Cloudflare verwenden.

Werfen wir also einen Blick darauf, wie man HTTP-Sicherheits-Header in WordPress einfach hinzufügen kann. Hier finden Sie kurze Links zu verschiedenen Methoden, damit Sie die für Sie passende auswählen können:

1. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit Sucuri

Sucuri ist eines der besten WordPress-Sicherheitsplugins auf dem Markt. Wenn Sie den Website-Firewall-Service von Sucuri nutzen, können Sie HTTP-Sicherheits-Header festlegen, ohne Code schreiben zu müssen.

Zunächst müssen Sie sich für ein Sucuri-Konto anmelden. Es handelt sich um einen kostenpflichtigen Service, der eine Website-Firewall auf Serverebene, ein Sicherheits-Plugin, ein CDN und eine Garantie zur Malware-Entfernung beinhaltet.

Während der Anmeldung müssen Sie einfache Fragen beantworten, und die Sucuri-Dokumentation hilft Ihnen bei der Einrichtung der Website Application Firewall auf Ihrer Website.

Nachdem Sie sich angemeldet haben, müssen Sie das kostenlose Sucuri-Plugin installieren und aktivieren. Weitere Einzelheiten finden Sie in unserer Schritt-für-Schritt-Anleitung zur Installation eines WordPress-Plugins.

Nach der Aktivierung müssen Sie zu Sucuri Security “ Firewall (WAF) gehen und Ihren Firewall API Schlüssel eingeben. Sie finden diese Informationen unter Ihrem Konto auf der Sucuri Website.

Sucuri WAF API key

Danach müssen Sie auf die grüne Schaltfläche „Speichern“ klicken, um Ihre Änderungen zu speichern.

Als nächstes müssen Sie zum Dashboard Ihres Sucuri-Kontos wechseln. Klicken Sie oben auf das Menü „Einstellungen“ und wechseln Sie dann auf die Registerkarte „Sicherheit“.

Setting HTTP security headers in Sucuri

Hier können Sie drei Regelsätze auswählen. Der Standardschutz ist für die meisten Websites gut geeignet.

Wenn Sie einen Professional- oder Business-Tarif haben, stehen Ihnen auch Optionen für HSTS und HSTS Full zur Verfügung. Sie können sehen, welche HTTP-Sicherheits-Header für jeden Satz von Regeln angewendet werden.

Sie müssen auf die Schaltfläche „Änderungen in den zusätzlichen Kopfzeilen speichern“ klicken, um Ihre Änderungen zu übernehmen.

Sucuri fügt nun die von Ihnen ausgewählten HTTP-Sicherheits-Header in WordPress hinzu. Da es sich um eine WAF auf DNS-Ebene handelt, ist Ihr Website-Verkehr vor Hackern geschützt, noch bevor diese Ihre Website erreichen.

2. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit Cloudflare

Cloudflare bietet eine grundlegende kostenlose Website-Firewall und einen CDN-Dienst. Es fehlt an erweiterten Sicherheitsfunktionen in seinem kostenlosen Plan, so dass Sie ein Upgrade auf seinen Pro-Plan benötigen, der teurer ist.

Wie Sie Cloudflare zu Ihrer Website hinzufügen können, erfahren Sie in unserem Tutorial zur Einrichtung des kostenlosen Cloudflare CDN in WordPress.

Sobald Cloudflare auf Ihrer Website aktiv ist, müssen Sie auf die SSL/TLS-Seite in Ihrem Cloudflare-Konto-Dashboard gehen und dann auf die Registerkarte „Edge-Zertifikate“ wechseln.

Setting up HTTPS security headers in Cloudflare

Blättern Sie nun nach unten zum Abschnitt „HTTP Strict Transport Security (HSTS)“.

Sobald Sie es gefunden haben, müssen Sie auf die Schaltfläche „HSTS aktivieren“ klicken.

Click the Enable HSTS Button

Daraufhin wird ein Popup-Fenster mit Anweisungen angezeigt, die Sie darauf hinweisen, dass Sie HTTPS auf Ihrer Website aktiviert haben müssen, bevor Sie diese Funktion nutzen können.

Wenn Ihr WordPress-Blog bereits eine sichere HTTPS-Verbindung hat, können Sie auf die Schaltfläche „Weiter“ klicken, um fortzufahren. Sie sehen nun die Optionen zum Hinzufügen von HTTP-Sicherheits-Headern.

Enable HTTPS security headers in Cloudflare

Von hier aus können Sie HSTS aktivieren, HSTS auf Subdomänen anwenden (wenn die Subdomänen HTTPS verwenden), HSTS vorladen und No-Sniff-Header aktivieren.

Diese Methode bietet einen grundlegenden Schutz durch HTTP-Sicherheits-Header. Sie ermöglicht jedoch nicht das Hinzufügen von X-Frame-Options, und Cloudflare verfügt nicht über eine Benutzeroberfläche, um dies zu tun.

Sie können dies immer noch tun, indem Sie ein Skript mit der Cloudflare Workers-Funktion erstellen. Wir empfehlen dies jedoch nicht, da die Erstellung eines HTTPS-Security-Header-Skripts für Anfänger unerwartete Probleme verursachen kann.

3. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit .htaccess

Mit dieser Methode können Sie die HTTP-Sicherheitsheader in WordPress auf Serverebene festlegen.

Dazu muss die Datei .htaccess auf Ihrer Website bearbeitet werden. Diese Serverkonfigurationsdatei wird von der am häufigsten verwendeten Apache-Webserver-Software verwendet.

Hinweis: Bevor Sie Änderungen an den Dateien Ihrer Website vornehmen, empfehlen wir Ihnen, ein Backup zu erstellen.

Als Nächstes verbinden Sie sich einfach mit einem FTP-Client oder dem Dateimanager in Ihrem Webhosting-Kontrollpanel mit Ihrer Website. Im Stammverzeichnis Ihrer Website müssen Sie die Datei .htaccess finden und bearbeiten.

View of Edit the .htaccess File Using an FTP Client

Dadurch wird die Datei in einem einfachen Texteditor geöffnet. Am Ende der Datei können Sie einen Code hinzufügen, um HTTPS-Sicherheits-Header zu Ihrer WordPress-Website hinzuzufügen.

Sie können den folgenden Beispielcode als Ausgangspunkt verwenden. Er setzt die am häufigsten verwendeten HTTP-Sicherheits-Header mit optimalen Einstellungen:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

Vergessen Sie nicht, Ihre Änderungen zu speichern und Ihre Website zu besuchen, um sicherzustellen, dass alles wie erwartet funktioniert.

Hinweis: Seien Sie vorsichtig, wenn Sie Code auf Ihrer Website bearbeiten. Falsche Kopfzeilen oder Konflikte in der .htaccess-Datei können den 500 Internal Server Error auslösen.

4. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit AIOSEO

All in One SEO (AIOSEO) ist das beste SEO-Tool für WordPress und genießt das Vertrauen von über 3 Millionen Unternehmen. Mit dem Premium-Plugin können Sie ganz einfach HTTP-Sicherheits-Header zu Ihrer Website hinzufügen.

Als Erstes müssen Sie das AIOSEO-Plugin auf Ihrer Website installieren und aktivieren. Mehr dazu erfahren Sie in unserer Schritt-für-Schritt-Anleitung zur Einrichtung von All in One SEO für WordPress.

Anschließend müssen Sie auf die Seite All in One SEO “ Redirects gehen, um die HTTP-Sicherheits-Header hinzuzufügen. Zunächst müssen Sie auf die Schaltfläche „Weiterleitungen aktivieren“ klicken, um die Funktion zu aktivieren.

Activating Redirects in All in One SEO

Sobald die Weiterleitungen aktiviert sind, müssen Sie auf die Registerkarte „Full Site Redirect“ klicken und dann nach unten zum Abschnitt „Canonical Settings“ scrollen.

Aktivieren Sie einfach den Schalter „Kanonische Einstellungen“ und klicken Sie dann auf die Schaltfläche „Sicherheitsvorgaben hinzufügen“.

Add Security Presets in AIOSEO

In der Tabelle wird eine voreingestellte Liste von HTTP-Sicherheits-Headern angezeigt.

Diese Kopfzeilen sind für die Sicherheit der Website optimiert. Sie können sie bei Bedarf überprüfen und ändern.

Security Headers are Added in AIOSEO

Klicken Sie unbedingt auf die Schaltfläche „Änderungen speichern“ am oberen oder unteren Rand des Bildschirms, um die Sicherheitsüberschriften zu speichern.

Sie können nun Ihre Website besuchen, um sich zu vergewissern, dass alles einwandfrei funktioniert.

HTTP-Sicherheits-Header für eine Website prüfen

Nachdem Sie nun HTTP-Sicherheits-Header zu Ihrer Website hinzugefügt haben, können Sie Ihre Konfiguration mit dem kostenlosen Security Headers Tool testen.

Geben Sie einfach die URL Ihrer Website ein und klicken Sie auf die Schaltfläche „Scannen“.

Checking a Website's HTTP Security Headers

Es prüft dann die HTTP-Sicherheits-Header Ihrer Website und zeigt Ihnen einen Bericht an. Das Tool generiert auch ein sogenanntes Notenlabel, das Sie ignorieren können, da die meisten Websites eine B- oder C-Bewertung erhalten, ohne dass die Benutzerfreundlichkeit beeinträchtigt wird.

Sie zeigt Ihnen an, welche HTTP-Sicherheits-Header von Ihrer Website gesendet werden und welche nicht enthalten sind. Wenn die Sicherheitsheader, die Sie einrichten wollten, dort aufgeführt sind, sind Sie fertig.

Expertenleitfäden zur WordPress-Sicherheit

Da Sie nun wissen, wie man HTTP Security Header hinzufügt, möchten Sie vielleicht einige andere Anleitungen zur Verbesserung der Sicherheit Ihrer WordPress-Website sehen:

Wir hoffen, dass dieser Artikel Ihnen geholfen hat zu lernen, wie man HTTP-Sicherheits-Header in WordPress hinzufügt. Vielleicht interessieren Sie sich auch für unseren vollständigen WordPress-Sicherheitsleitfaden und unsere Expertenauswahl der besten WordPress-Plugins für Unternehmenswebsites.

Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.

Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, dass wir möglicherweise eine Provision verdienen, wenn Sie auf einige unserer Links klicken. Mehr dazu erfahren Sie unter Wie WPBeginner finanziert wird , warum das wichtig ist und wie Sie uns unterstützen können. Hier finden Sie unseren redaktionellen Prozess .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Das ultimative WordPress Toolkit

Erhalte KOSTENLOSEN Zugang zu unserem Toolkit - eine Sammlung von WordPress-bezogenen Produkten und Ressourcen, die jeder Profi haben sollte!

Reader Interactions

19 KommentareEine Antwort hinterlassen

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Holly Gough says

    Grateful for this info. Clear concise easy to follow directions. I spent an hour+ trying to fix the header issues. Thank you!

  3. Michelangelo says

    Thank you so much for this article! It helped so much.

    I wish you the best and that your sleeves never slip during dishwashing :D

  4. Karma Tsheten says

    It worked for me but also it destroyed my design. when ever i add security header, design gets spoiled, any help

    • WPBeginner Support says

      That sounds like your theme may be having a conflict for some reason. We would recommend reaching out to your theme’s support to see if they can see the root of the issue.

      Admin

  5. Nigel Mcilwaine says

    Hi,
    Unfortunately it didn’t work for me, even after clearing my cache. The site is on an Apache server, shared hosting is that going to affect the success?
    cheers

    • WPBeginner Support says

      You would likely want to check with your hosting provider to ensure they do not have caching or a rule on their end that would cause an issue with your security header

      Admin

  6. Neil Cheesman says

    Hi

    I have added the code to the .htaccess file but it hasn’t made any difference… the website redirects okay from HTTP to https but when testing I still get the message „Couldn’t find the HSTS header
    in the response headers.“

    • WPBeginner Support says

      Don’t forget to clear any caching on your site as that is the most common reason for that specific error after adding the code to your htaccess.

      Admin

  7. ed thomas says

    did not work. still have:
    Your website does not send all recommended security headers.
    X-Content Type Options
    X-Frame-Options
    Permissions-Policy

    • WPBeginner Support says

      You may want to check your caching as that is the most common reason it will not update. If you clear your site’s cache that should allow your headers to be found.

      Admin

  8. Mark Downing says

    Thanks for the very helpful article. Our site went from an „F“ to a „B“ with no glitches after I pasted your code snippet into .htaccess.

Eine Antwort hinterlassen

Danke, dass du einen Kommentar hinterlassen möchtest. Bitte beachte, dass alle Kommentare nach unseren kommentarpolitik moderiert werden und deine E-Mail-Adresse NICHT veröffentlicht wird. Bitte verwende KEINE Schlüsselwörter im Namensfeld. Lass uns ein persönliches und sinnvolles Gespräch führen.