HTTP Security Headers instellen in Apache en DirectAdmin

Gepubliceerd op 7 oktober 2018

HTTP Security Headers vormen een extra beveiligingslaag voor je website. Naast een SSL-certificaat (HTTPS) helpen deze headers om je website beter te beschermen tegen veelvoorkomende aanvallen, zoals clickjacking, MIME-type sniffing en cross-site scripting (XSS).

Door de juiste HTTP Security Headers in te stellen, verbeter je niet alleen de beveiliging van je website, maar voldoe je ook beter aan de huidige beveiligingsrichtlijnen.

Controleer de beveiliging van je website

Wil je weten welke beveiligingsinstellingen nog ontbreken? Controleer je website dan via Internet.nl, een initiatief van de Nederlandse internetgemeenschap en de overheid. Deze controle laat zien welke HTTP Security Headers ontbreken en welke verbeteringen mogelijk zijn.

HTTP Security Headers voor Apache

Draait je website op een Apache-webserver? Dan kun je de volgende headers toevoegen aan het .htaccess-bestand van je website:

Header set Strict-Transport-Security "max-age=31536000; includeSubdomains;" env=HTTPS
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Xss-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header set Referrer-Policy "no-referrer-when-downgrade"

Met deze instellingen worden onder andere de volgende beveiligingsmaatregelen geactiveerd:

  • Strict-Transport-Security (HSTS): dwingt bezoekers om altijd via HTTPS verbinding te maken.
  • X-Frame-Options: voorkomt dat de website in een iframe wordt geladen en beschermt tegen clickjacking.
  • X-XSS-Protection: biedt extra bescherming tegen bepaalde XSS-aanvallen (voor oudere browsers).
  • X-Content-Type-Options: voorkomt dat browsers bestandstypen verkeerd interpreteren.
  • Referrer-Policy: bepaalt welke verwijzingsinformatie wordt meegestuurd naar andere websites.

HTTP Security Headers instellen in DirectAdmin

Gebruik je een DirectAdmin-server? Dan kun je de HTTP Security Headers centraal configureren, zodat ze automatisch voor alle gehoste websites worden toegepast.

Voer hiervoor de volgende stappen uit.

1. Maak een aangepaste virtual host-template

cd /usr/local/directadmin/data/templates
cp virtual_host2*.conf custom
cd custom

2. Bewerk de configuratiebestanden

Open zowel virtual_host2.conf als virtual_host2_secure.conf en voeg daarin de HTTP-headerconfiguratie toe.

vi virtual_host2.conf

Herhaal dit vervolgens voor:

vi virtual_host2_secure.conf

3. Schrijf de configuratie opnieuw weg

Sla de bestanden op en voer daarna het onderstaande commando uit om de Apache-configuratie opnieuw op te bouwen:

echo "action=rewrite&value=httpd" >> /usr/local/directadmin/data/task.queue
/usr/local/directadmin/dataskq d

Na het uitvoeren van deze opdracht worden de wijzigingen verwerkt in de httpd.conf-configuratie en zijn de HTTP Security Headers actief voor de websites die gebruikmaken van deze templates.

Conclusie

Het instellen van HTTP Security Headers is een eenvoudige maar effectieve manier om de beveiliging van je website te verbeteren. Of je nu werkt met een Apache-webserver en .htaccess, of de headers centraal beheert via DirectAdmin, deze extra beveiligingslaag helpt om diverse veelvoorkomende webaanvallen te voorkomen.

Tags:, , , , , , , ,

Gerelateerde berichten

Over de auteur

Mark ter Weele

Add a Comment

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *