Wat zijn HTTP Security Headers ?

HTTP Security headers controleren verkeer op je website en kunnen bepaald verkeer van uw website weren. Hoewel niet geheel waterdicht is het goed instellen van de security headers een goed middel om hackers buiten te houden. Hieronder een opsomming van de bekende security headers en een korte uitleg wat ze doen.

X-Frame-Options

Om uw klanten beter te beschermen tegen clickjacking aanvallen kan u binnen uw webshop een X-Frame-options configureren. X-Frame-options worden ingesteld op pagina’s waarbij het niet toegestaan is om code op te vragen in een zogeheten frame of iframe. Als dit niet wordt geconfigureerd kan een aanvaller een laag over uw webshop heen plaatsen en dit presenteren aan uw klanten. Dit wordt met name gebruikt op webpagina’s waarbij de klant zijn inloggegevens moet invullen.

Http-headers-beveiligen

X Content Type Options

Om drive-by downloads te voorkomen kan u met behulp van een X-Content-Type-Options header voorkomen dat een cybercrimineel uw website doorzoekt op zoek naar kwetsbaarheden. Het houdt tevens aanvallen tegen aanvragen met een verkeerd MIME type.

Http-headers-beveiligen

Public Key Pins

Wanneer u gebruik maakt van een SSL certificaat oftewel een https://www.uwwebshop.nl verbinding wordt uw website beschermd tegen een man in the middle aanval. Het certifcaat wat u gebruikt wordt uitgegeven door een officiële certificaat uitgever zoals Comodo of Verisign. Ondanks dat u uw website veilig heeft kan het zijn dat bijvoorbeeld Comodo niet veilig is. Mocht dit het geval zijn kan een cybercrimineel een identiek certificaat als die van u laten uitgeven door Comodo.

Als de cybercrimineel vervolgens een webshop identiek als die van u namaakt met het vals uitgegeven certificaat, kan deze uw klanten laten verleiden om bij hun te bestellen in plaats van bij u. Als u denkt dat niet vaak gebeurd heeft u dit fout. In 2011 is certificaat uitgever Diginotar gehacked en zijn er 500 valse certificaten uitgebracht met alle gevolgen van dien.

Http-headers-beveiligen

Hoe beveiligt u public key pins http headers

Gelukkig kan u zich tegen dit beveiligen en wel door het implementeren van HTTP Public Key Pinning, oftewel HPKP. Door het instellen van de juiste HTTP Response Header kan u HPKP implementeren binnen uw webshop en zodoende cybercriminelen te slim af zijn.

HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS) wordt gebruikt om een veilige verbinding tussen uw webshop en de klant af te dwingen. Dit wordt gerealiseerd door een instelling op de server. Wanneer HSTS wordt afgedwongen wordt tegen de internet browser van de klant verteld dat deze alleen om uw webshop via HTTPS te bezoeken. Wanneer HSTS niet geïmplementeerd is binnen uw webshop kan er een zogeheten man in the middle aanval plaatsvinden. Hiermee kan een cybercrimineel de gegevens zoals de inloggegevens op uw webshop van de klant onderscheppen en daarmee malafide activiteiten ondernemen.

 

Http-headers-beveiligen

Hieronder een tooltje om je websitesnel te controleren op de status van de HTTP Security headers van uw website.

 

Voor een uitgebreide professionele test adviseren we om dit te laten doen door een uitgebreide scan aan te vragen bij bijvoorbeeld www.hoeveiligismijn.nl

Referrer Policy

Om Cross-Site Request Forgery (CSRF) of Cross-Site Scripting (XSS) te voorkomen moet u een manier hebben om echte aanvragen en vervalste (forged) aanvragen van elkaar te onderscheiden. Gelukkig voor u stuurt de browser van de bezoeker in veel gevallen mee wat de vorige pagina is die de bezoeker bezocht heeft. Dit noemen ze referrer. Op basis van die HTTP header kan er een beslissing genomen worden of de aanvraag van uw website komt of van iemand anders.

Helaas zijn browsers niet verplicht om een referrer HTTP header mee te sturen. In een aantal gevallen wordt dit ook niet gedaan. Een goed voorbeeld is wanneer een gebruiker van een HTTPS naar een HTTP website gaat. Om deze reden is het niet aan te bevelen om volledig op de referrer HTTP header te vertrouwen. Een manier om dit wel op te lossen is om gebruik te maken van een token om een CSRF- of XSS aanval te voorkomen.

Http-headers-beveiligen

Content Security Policy

Met behulp van een Content Security Policy header kan er aangegeven worden welke pagina er wel betrouwbaar zijn en welke niet. Een Content Security Policy (CSP) is een additionele laag van beveiliging zodat wanneer uw website kwetsbaar is voor een cross-site scripting (XSS) aanval dit alsnog (deels) kan worden voorkomen.

Een Content Security Policy header wordt ingesteld op de webserver of binnen uw webshop.

Http-headers-beveiligen

 

X-XSS-Protection

Om een Cross Site Request Forgery (CRSF) aanval of Cross Site Scripting (XSS) aanval tegen te gaan kan u X-XSS-Protection configureren op uw website. De meeste hedendaagse browsers hebben standaard een Cross Site Scripting Filter ingebouwd alleen is het de vraag of deze standaard is ingeschakeld. Met behulp van X-XSS-Protection wordt dit filter geforceerd aangezet. Hierdoor is uw website veilig tegen dit type aanvallen. Heeft u Content Security Policy (CSP) ingeschakeld bent u beschermd tegen dit type aanvallen.

Http-headers-beveiligen

Tips voor het repareren van een gehackte wordpress website van Securi

Er zijn diverse tools voor het verwijderen van hackerscode en malware scripts uit uw website en database. Bovenstaande link verwijst u naar de website van  Securi welke niet alleen uw WordPress website op kan schonen maar ook de database controleert en herstelt. Daarnaast heeft Securi een plugin welke uw website continu kan beschermen. Er is zowel een gratis versie als een betaalde versie.

Hacked website tool

hacked database tool

voor meer info. Ga naar de Securi website. U kunt hier ook de gratis wordpress plugin vinden om uw website gedeeltelijk te beveiligen.

 

 

 

Sharing is caring!