Wie aktiviere ich HTTP STRICT TRANSPORT SECURITY (HSTS) in WordPress?

Heute zeige ich euch wie du HSTS in WordPress aktivierst.

Was ist HSTS?

Ich versuche es möglichst praxisnah zu erklären. Stell dir vor du sitzt in einem Café deiner Wahl und nutzt dort das WLAN. Der Café Besitzer versteht nicht viel von EDV und hat einfach eine Fritz Box im Betrieb für das WLAN. Für dich bedeutet das, dass jeder deinen Datenverkehr in diesem WLAN mitsniffen kann. Wenn eine Seite zwar ein SSL Zertifikat hat und HTTPS nutzt kann ein Angreifer trotzdem deinen Verkehr abfangen und entschlüsseln.

Aber warum? Bei den meisten Seiten wird auf HTTPS nur umgelitten, dass bedeutet du kommst auf die Seite trotzdem erst einmal über HTTP und an diesem Punkt kann ein Angreifer die Verschlüsselung deaktivieren. HSTS sagt dem Browser aber dass Daten nur verschlüsselt akzeptiert werden. Somit wird unverschlüsselter Verkehr nicht akzeptiert.

Wie schwer ist es HSTS zu aktivieren?

Es ist sehr einfach und schade zu sehen wie wenig Mühe Webentwickler sich geben ihre Kunden zu schützen, solltest du professionelle Beratung benötigen schau hier mal vorbei Sphere Media.

Was muss ich tun?

Navigiere in deinem WordPress auf der linken Seite zu Design -> Theme-Editor

Öffne auf der rechten Seite die „functions.php“

Und füge jetzt folgenden Code hinzu:

add_action( ’send_headers‘, ‚tgm_io_strict_transport_security‘ );

function tgm_io_strict_transport_security() {header( ‚Strict-Transport-Security: max-age=31536000; includeSubDomains; preload‘ );}

Und speicher unten auf „Datei aktualisieren“

War ich erfolgreich?

Nun musst du natürlich noch testen ob du auch alles richtig gemacht hast und deine Seite nur noch verschlüsselte Inhalte zulässt. Das mache ich immer über die Seite https://webbkoll.dataskydd.net/de. Gib einfach deine Domain in die Suchleiste und lass den test laufen, wenn du alles richtig gemacht sollte es so aussehen.

konnte ich dir helfen?

Schreibe einfach alles was du loswerden willst als Kommentar und ich trete mit dir in Kontakt.

2 Gedanken zu „Wie aktiviere ich HTTP STRICT TRANSPORT SECURITY (HSTS) in WordPress?“

  1. hallo, wenn ich Seinen code copy und paste zeigt mir wordpress in der letzten Zeile (bei mir zeile 188) wäre ein fehler, und wird darum nicht akzeptiert. das habe ich eingefügt:

    add_action( ’send_headers‘, ‚tgm_io_strict_transport_security‘ );

    function tgm_io_strict_transport_security() {header( ‚Strict-Transport-Security: max-age=31536000; includeSubDomains; preload‘ );}

    und das ist der fehler den wordpress ausgibt:

    Deine PHP-Code-Änderungen wurden aufgrund eines Fehlers in Zeile 188 der Datei wp-content/themes/hello-elementor/functions.php zurückgesetzt. Bitte beheben und versuchen, erneut zu speichern.

    syntax error, unexpected ‚:‘, expecting ‚)‘

    Wo ist in eurem codeschnipsel der fehler und wie muss der code korrekt lauten? vielen dank!

    Antworten
    • Hallo Dirk, wie die Fehlermeldung sagt, kommt er mit den Zeichen nicht zurrecht. Hier ist wohl etwas in der Formatierung im Beitrag schief gegangen. Die Hochkommas ‚ sind das Problem.

      Antworten

Schreibe einen Kommentar