Hoe je je website beter beveiligt met security headers

Website security headers zijn een fundamenteel onderdeel van de websitebeveiliging. Bij implementatie beschermen ze je website tegen verschillende soorten cyberaanvallen zoals cross site scripting, code-injectie, clickjacking, etc. Het toepassen van beveiliging door security headers wordt vaak vergeten bij websites. Als je dit goed doet, zorg je voor een extra laag van bescherming tegen hackers.

Wat zijn security headers?

Wanneer iemand een site bezoekt via de browser, reageert de server met HTTP Response Headers. Deze headers geven aan de browser aan hoe deze zich moet gedragen tijdens de communicatie met de site. Deze headers bestaan voornamelijk uit metadata. Je kunt deze headers gebruiken om de manier van communiceren aan te geven tussen de browser en de webserver en daarnaast de website beveiliging mee te vebeteren.

Testen van de security headers van jouw website

Via deze online tool kun je de security headers van jouw website testen. Als je niets aanpast, ziet het resultaat er zo uit:

Voeg htaccess regels toe voor betere website beveiliging

Je kunt de security headers aanpassen door het .htaccess bestand van jouw website aan te passen wanneer je de Apache webserver gebruikt. Het kan zijn dat je dit aan je webdeveloper of webhostingpartij moet vragen.

Als je onderstaande regels aan jouw .htaccess bestand toevoegd, verbeter je je website beveiliging al flink:

ServerSignature Off
<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header set Referrer-Policy "no-referrer-when-downgrade"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>

Hieronder het resultaat van de test na het toevoegen van bovenstaande regels aan het .htaccess bestand: