All-Inkl — Alle Security-Header-Anleitungen
Schritt-für-Schritt-Anleitungen für jeden Security Header bei All-Inkl. .htaccess-Konfigurationen mit mod_headers, KAS-Einstellungen und PHP-Alternativen — von HSTS in 5 Minuten bis CSP mit Report-Only.
Security Headers bei All-Inkl — per .htaccess und KAS
All-Inkl ist einer der beliebtesten deutschen Shared-Hosting-Anbieter — besonders bei
KMU, Freelancern und kleinen Agenturen. Der große Vorteil für Security Headers: mod_headers
ist auf allen Tarifen aktiv. Sie können jeden HTTP-Security-Header direkt per
.htaccess-Datei setzen, ohne den Support kontaktieren zu müssen.
Alle All-Inkl-Server laufen auf Apache. Die .htaccess-Datei im
Verzeichnis /www/htdocs/[username]/[domain]/ ist Ihr zentraler Konfigurationsweg.
Für dynamische Inhalte steht PHP header() als Alternative bereit. SSL-Zertifikate
aktivieren Sie komfortabel über das KAS (Kunden-Administrations-System).
Wichtig: Jede Subdomain bei All-Inkl hat ein eigenes Verzeichnis und benötigt
eine eigene .htaccess-Datei. Unsere Anleitungen zeigen für jedes Kapitel die
.htaccess-Konfiguration und eine PHP-Alternative — beide Wege funktionieren auf allen Tarifen.
All-Inkl-Anleitungen nach Thema
Jede Anleitung erklärt einen Security Header Schritt für Schritt — mit All-Inkl-spezifischen .htaccess-Konfigurationen und KAS-Einstellungen. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Content Security Policy (CSP)
XSS-Schutz per .htaccess Header set — mit Report-Only-Modus und PHP-Alternative für dynamische Inhalte.
HTTP Strict Transport Security
HTTPS erzwingen per .htaccess — Let's Encrypt vorher in KAS aktivieren, dann HSTS mit Preload setzen.
Sichere Cookie-Konfiguration
Secure, HttpOnly und SameSite per php_value in .htaccess oder über KAS PHP-Konfiguration setzen.
Permissions Policy
Browser-APIs wie Kamera, Mikrofon und Geolocation per .htaccess einschränken — auf allen All-Inkl-Tarifen.
Clickjacking-Schutz
X-Frame-Options per .htaccess Header always set — Einbettung in fremde Seiten verhindern.
Referrer-Policy
Referrer-Informationen kontrollieren per .htaccess — Datenschutz-konform mit strict-origin-when-cross-origin.
X-Content-Type-Options
MIME-Sniffing verhindern mit einer Zeile in der .htaccess — funktioniert auf allen All-Inkl-Tarifen.
Cross-Origin Headers
CORP, COEP und COOP gegen Spectre-Angriffe per .htaccess — Kompatibilität mit eingebetteten Inhalten beachten.
Subresource Integrity
Hash-Prüfung externer Scripts direkt im HTML — keine Server-Konfiguration nötig, funktioniert auf jedem Tarif.
security.txt
Kontaktdatei unter .well-known/ — Verzeichnis per FTP oder SSH erstellen und Datei hochladen.
DNS-Sicherheit
CAA-Records im KAS DNS-Editor setzen — Zertifikatsausstellung auf Let's Encrypt beschränken.
TLS & Zertifikate
Let's Encrypt per KAS aktivieren, TLS-Version prüfen und HTTPS-Weiterleitung einrichten.
Cache-Control
Sicherheitsrelevante Cache-Direktiven per .htaccess mod_expires und mod_headers — auf allen Tarifen verfügbar.
Reporting API
Report-To und Reporting-Endpoints per .htaccess konfigurieren — CSP-Violations erfassen und auswerten.
Clear-Site-Data
Browser-Daten beim Logout löschen per PHP header() — ideal für Login-geschützte Bereiche.
Erweiterte Header
Origin-Agent-Cluster, X-DNS-Prefetch-Control und weitere Header per .htaccess setzen.
In 3 Schritten zur sicheren All-Inkl-Konfiguration
Status prüfen mit Wolf-Agents
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen und wo Handlungsbedarf besteht.
.htaccess erstellen oder erweitern
Erstellen Sie eine .htaccess-Datei im Verzeichnis
/www/htdocs/[username]/[domain]/ und fügen Sie die Header-Direktiven ein.
Beginnen Sie mit HSTS und
X-Content-Type-Options
— zwei Header, die in Minuten gesetzt sind.
SSL und DNS in KAS konfigurieren
Aktivieren Sie Let's Encrypt über KAS für automatische SSL-Zertifikate. Setzen Sie CAA-Records im KAS DNS-Editor, um die Zertifikatsausstellung zu kontrollieren.
Nicht All-Inkl? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Unterstützt All-Inkl mod_headers auf allen Tarifen?
Ja. Anders als bei vielen Shared-Hosting-Anbietern ist mod_headers bei All-Inkl auf allen Tarifen aktiv — vom Privat-Tarif bis zum Business-Tarif. Sie können Security Headers direkt per .htaccess setzen, ohne den Support kontaktieren zu müssen.
Wie konfiguriere ich Security Headers über KAS?
Die meisten Security Headers setzen Sie per .htaccess-Datei im Webspace-Verzeichnis /www/htdocs/[username]/[domain]/. KAS selbst bietet keine direkte Header-Konfiguration, aber Sie nutzen KAS für SSL-Aktivierung (Let's Encrypt), PHP-Versionseinstellungen und DNS-Konfiguration (CAA-Records).
Habe ich SSH-Zugang bei All-Inkl?
SSH-Zugang ist ab dem PrivatPlus-Tarif verfügbar. Auf dem Privat-Tarif laden Sie Dateien per FTP oder über den KAS-Dateimanager hoch. Für Security Headers reicht FTP-Zugang vollkommen aus — Sie bearbeiten lediglich die .htaccess-Datei und laden sie hoch.
Wie aktiviere ich Let's Encrypt bei All-Inkl?
Öffnen Sie KAS, navigieren Sie zu Domain, wählen Sie Ihre Domain und klicken Sie auf Bearbeiten. Unter SSL-Schutz aktivieren Sie Let's Encrypt. Die Aktivierung dauert wenige Minuten. Erst nach erfolgreicher SSL-Aktivierung sollten Sie HSTS und andere HTTPS-abhängige Header setzen.
Was tun bei einem .htaccess-Syntaxfehler (500 Internal Server Error)?
Laden Sie die fehlerhafte .htaccess per FTP herunter, korrigieren Sie den Fehler und laden Sie sie erneut hoch. Alternativ benennen Sie die .htaccess über den KAS-Dateimanager temporär um (z.B. in .htaccess.bak), um die Website wieder erreichbar zu machen. Häufige Ursache: Fehlende schließende Klammern bei IfModule-Blöcken oder Tippfehler in Direktiven-Namen.