Om je website te beschermen tegen allerlei soorten aanvallen is het mogelijk om Security Headers naast al de bestaande HTTPS (SSL) te zetten.
Als je de website bezoekt van Internet.nl (een initiatief van de internetgemeenschap en de Nederlandse overheid) kun je zien welke beveiligingsinstellingen je nog voor je website kunt regelen.
De onderstaande HEADER settings kun je per website in een .htaccess bestand zetten als je website onder een Apache webserver draait. Indien je beschikt over een DirectAdmin server, dan kun je dit ook globaal regelen zodat ze meteen voor alle websites gelden.
Het gaat om de onderstaande instellingen:
Header set Strict-Transport-Security "max-age=31536000; includeSubdomains;" env=HTTPS
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Xss-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header set Referrer-Policy "no-referrer-when-downgrade"Instellen via DirectAdmin
Zet de instellingen dan in de configuratie bestand door de onderstaande commando’s uit te voeren:
# cd /usr/local/directadmin/data/templates# cp virtual_host2*.conf custom# cd custom# vi virtual_host2.conf (daarna ook voor virtual_host2_secure.conf):
Sla het bestand op en sluit het af. Voer vervolgens het onderstaande uit:
# echo "action=rewrite&value=httpd" >> /usr/local/directadmin/data/task.queue /usr/local/directadmin/dataskq d
Zodat het weggeschreven wordt in de httpd.conf bestand.