Apache — Alle Security-Header-Anleitungen
Schritt-für-Schritt-Anleitungen für jeden Security Header über .htaccess und mod_headers. Copy-paste-fertige Konfigurationen für Apache — auch auf Shared Hosting ohne Root-Zugriff.
Security Headers in Apache — .htaccess ohne Root-Zugriff
Apache ist der zweitmeistgenutzte Webserver und bietet über das mod_headers-Modul
volle Kontrolle über HTTP-Response-Header. Jeder Security Header lässt sich über die
.htaccess-Datei konfigurieren — auch auf Shared Hosting ohne Root-Zugriff.
Für fortgeschrittene Szenarien wie dynamische CSP-Nonces steht mod_rewrite oder PHP als Alternative zur Verfügung. Die Anleitungen decken sowohl die .htaccess-Konfiguration als auch die vhost-basierte Konfiguration ab.
Wichtig: Wickeln Sie alle Header-Direktiven in <IfModule mod_headers.c>
ein. Das verhindert Server-Fehler wenn mod_headers nicht geladen ist. Auf Shared Hosting
ist dies besonders wichtig. Unsere Anleitungen verwenden dieses Pattern durchgängig.
Apache-Anleitungen nach Thema
Jede Anleitung erklärt einen Security Header Schritt für Schritt — mit copy-paste-fertiger .htaccess Konfiguration. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Implementierungs-Architektur
Alle Security Headers in einer konsolidierten .htaccess — optimale Reihenfolge und Multi-Layer-Konflikte.
Content Security Policy (CSP)
XSS-Schutz durch kontrolliertes Script-Loading — .htaccess und mod_headers mit IfModule-Wrapper.
HTTP Strict Transport Security
HTTPS erzwingen und SSL-Stripping verhindern — Header set Strict-Transport-Security über .htaccess.
Sichere Cookie-Konfiguration
HttpOnly, Secure, SameSite Flags — Header edit Set-Cookie über mod_headers.
Permissions Policy
Browser-APIs wie Kamera und Mikrofon kontrollieren — Header set Permissions-Policy über .htaccess.
Clickjacking-Schutz
X-Frame-Options und frame-ancestors — Header set X-Frame-Options über mod_headers.
Referrer-Policy
Referrer-Informationen kontrollieren — Header set Referrer-Policy über .htaccess.
X-Content-Type-Options
MIME-Sniffing verhindern — Header set X-Content-Type-Options über mod_headers.
Cross-Origin Headers
CORP, COEP und COOP gegen Spectre-Angriffe — Cross-Origin Isolation über .htaccess und mod_headers.
Subresource Integrity
Hash-Prüfung externer Scripts — SRI-Header über .htaccess.
security.txt
Standardisierte Kontaktdatei für Sicherheitsforscher — /.well-known/security.txt via Alias oder Redirect.
TLS & Zertifikate
TLS 1.3 aktivieren, Cipher Suites konfigurieren, OCSP Stapling einrichten.
Cache-Control
Sicherheitsrelevante Cache-Direktiven — no-store für sensible Seiten über mod_expires und mod_headers.
Reporting API
Report-To und Reporting-Endpoints über mod_headers.
Clear-Site-Data
Browser-Daten beim Logout sicher löschen — Header set auf dem Logout-Endpoint.
Erweiterte Header
HTTPS-Redirects via RewriteRule, WWW-Normalisierung und weitere .htaccess-Header.
In 3 Schritten zur sicheren Apache-Konfiguration
Status prüfen
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen und wo Handlungsbedarf besteht.
Einfache Header zuerst
Beginnen Sie mit HSTS, X-Content-Type-Options und Referrer-Policy — diese drei Header sind in 5 Minuten konfiguriert und bringen sofort eine deutlich bessere Note.
CSP als Krönung
Die Content Security Policy ist der wirksamste aber auch komplexeste Header. Unsere Anleitung führt Sie durch Report-Only-Modus, Violation-Analyse und Enforcement — Schritt für Schritt.
Nicht Apache? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Wo konfiguriere ich Security Headers in Apache?
In der .htaccess-Datei im Root-Verzeichnis Ihrer Website oder in der vhost-Konfiguration. Verwenden Sie die Header set Direktive (mod_headers muss aktiviert sein). Bei .htaccess: Änderungen wirken sofort ohne Server-Neustart.
Warum werden meine Apache-Header nicht angezeigt?
Häufigste Ursache: mod_headers ist nicht aktiviert. Prüfen Sie mit apachectl -M ob headers_module geladen ist. Falls nicht: a2enmod headers und Apache neu starten. Zweite Ursache: .htaccess wird vom Server ignoriert — prüfen Sie AllowOverride All in der vhost-Konfiguration.
Brauche ich alle Security Headers gleichzeitig?
Nein. Beginnen Sie mit den einfachen Headern (HSTS, X-Content-Type-Options, Referrer-Policy — zusammen 5 Minuten) und arbeiten Sie sich zu CSP vor. Unsere Anleitungen sind nach Schwierigkeit sortiert.
Kann ich Security Headers testen ohne die Live-Site zu gefährden?
Ja. CSP bietet einen Report-Only-Modus der Violations protokolliert ohne zu blockieren. Für alle anderen Header: Testen Sie auf einer Staging-Umgebung oder nutzen Sie den kostenlosen Wolf-Agents Web Security Check zur Validierung.
Funktionieren die Anleitungen auf Shared Hosting?
Ja. Die .htaccess-Konfiguration funktioniert auf jedem Apache-Hosting das mod_headers unterstützt — auch auf Shared Hosting ohne Root-Zugriff. Die meisten deutschen Hoster (All-Inkl, Strato, IONOS, Hetzner) haben mod_headers standardmäßig aktiviert.