IONOS — Alle Security-Header-Anleitungen
Schritt-für-Schritt-Anleitungen für jeden Security Header auf IONOS. .htaccess-Konfigurationen für Shared Hosting, PHP-Fallbacks und Control-Panel-Einstellungen — von HSTS in 5 Minuten bis CSP mit Report-Only.
Security Headers auf IONOS — drei Hosting-Varianten
IONOS bietet drei Hosting-Varianten mit unterschiedlichen Konfigurationsmöglichkeiten: Shared Hosting (nur .htaccess und PHP), WordPress Hosting (.htaccess, PHP und Plugins) und vServer/Cloud (voller Root-Zugriff mit Nginx oder Apache). Unsere Anleitungen decken alle drei Varianten ab.
Auf dem Shared Hosting ist die .htaccess-Datei Ihr wichtigstes
Werkzeug. IONOS unterstützt mod_headers auf allen Webhosting-Tarifen, sodass
Sie Security Headers direkt per Header set konfigurieren können. Für dynamische
Inhalte nutzen Sie PHP header() als Ergänzung.
Wichtig: IONOS terminiert SSL auf der eigenen Infrastruktur. Security Headers müssen auf Ihrem Webspace gesetzt werden — die IONOS-Edge fügt keine eigenen hinzu. Prüfen Sie mit dem Web Security Check, welche Header fehlen.
IONOS-Anleitungen nach Thema
Jede Anleitung erklärt einen Security Header Schritt für Schritt — mit .htaccess-Konfigurationen für Shared Hosting, PHP-Fallbacks und Hinweisen für vServer. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Content Security Policy (CSP)
XSS-Schutz per .htaccess und PHP header() — Shared Hosting, WordPress Hosting und vServer-Konfiguration.
HTTP Strict Transport Security
HTTPS erzwingen per .htaccess — IONOS Auto-SSL muss im Control Panel aktiv sein.
Sichere Cookie-Konfiguration
PHP session.cookie_secure und SameSite via php.ini im IONOS Control Panel oder .htaccess.
Permissions Policy
Browser-APIs einschränken per .htaccess Header set — Kamera, Mikrofon, Geolocation sperren.
Clickjacking-Schutz
X-Frame-Options per .htaccess Header always set — Schutz vor Einbettung in fremde Seiten.
Referrer-Policy
Referrer-Informationen kontrollieren per .htaccess — Datenschutz für ausgehende Links.
X-Content-Type-Options
MIME-Sniffing verhindern per .htaccess — ein Einzeiler gegen Content-Type-Manipulation.
Cross-Origin Headers
CORP, COEP und COOP gegen Spectre-Angriffe — .htaccess mit CDN-Kompatibilitätshinweisen.
Subresource Integrity
Hash-Prüfung externer Scripts im HTML — funktioniert auf jedem IONOS-Tarif ohne Serverkonfiguration.
security.txt
Kontaktdatei unter .well-known/ hochladen — per FTP oder IONOS Dateimanager.
DNS-Sicherheit
CAA Records und DNSSEC in der IONOS DNS-Konsole aktivieren.
TLS & Zertifikate
SSL-Zertifikat im IONOS Control Panel verwalten — inklusive Let's Encrypt Auto-Renewal.
Cache-Control
Cache-Direktiven per .htaccess mod_expires und mod_headers — PHP header() als Fallback.
Reporting API
Report-To und Reporting-Endpoints per .htaccess — Security-Violations protokollieren.
Clear-Site-Data
Browser-Daten beim Logout per PHP header() löschen — nicht via .htaccess möglich.
Erweiterte Header
Origin-Agent-Cluster, HTTPS-Redirects und X-DNS-Prefetch-Control per .htaccess und PHP.
In 3 Schritten zur sicheren IONOS-Konfiguration
Status prüfen
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen und wo Handlungsbedarf besteht.
.htaccess erstellen
Erstellen Sie eine .htaccess-Datei im Webroot Ihres IONOS-Pakets. Beginnen Sie
mit den einfachen Headern: HSTS,
X-Content-Type-Options und
Referrer-Policy — drei Einzeiler
für sofort mehr Sicherheit.
SSL und DNS im Control Panel
Aktivieren Sie im IONOS Control Panel das SSL-Zertifikat, richten Sie CAA Records ein und arbeiten Sie sich dann zur Content Security Policy vor.
Nicht IONOS? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Unterstützt IONOS Shared Hosting .htaccess mit mod_headers?
Ja. Alle IONOS Webhosting-Tarife unterstützen .htaccess mit mod_headers. Verwenden Sie den <IfModule mod_headers.c>-Wrapper, damit die Datei auch funktioniert, wenn das Modul auf einem anderen Server nicht geladen ist. Bei Problemen prüfen Sie, ob Ihr Tarif PHP-basiertes Hosting oder reines Static-Hosting ist.
Was ist der Unterschied zwischen Shared Hosting und vServer bei IONOS?
Auf dem Shared Hosting haben Sie keinen SSH-Zugang und konfigurieren alles per .htaccess, FTP und Control Panel. Auf einem IONOS vServer oder Cloud Server haben Sie vollen Root-Zugriff und können nginx.conf oder apache2.conf direkt bearbeiten — wie auf jedem eigenständigen Server.
Wie aktiviere ich SSL auf IONOS?
Im IONOS Control Panel unter Domains & SSL. IONOS bietet kostenlose SSL-Zertifikate (Let's Encrypt) für alle Hosting-Tarife. Die Aktivierung erfolgt mit wenigen Klicks — die SSL-Terminierung läuft über die IONOS-Infrastruktur.
Kann ich DNS-Einstellungen wie CAA und DNSSEC bei IONOS verwalten?
Ja. In der IONOS DNS-Konsole können Sie CAA Records anlegen. DNSSEC kann für Domains mit IONOS-Nameservern aktiviert werden. Gehen Sie dazu im Control Panel auf Domains & SSL und dann auf DNS-Einstellungen.
Welche Einschränkungen hat IONOS WordPress Hosting?
Das Managed WordPress Hosting unterstützt .htaccess und PHP header(). Allerdings können Plugin-Konflikte auftreten, wenn mehrere Security-Plugins denselben Header setzen. Nutzen Sie entweder .htaccess oder ein einzelnes Plugin — nicht beides gleichzeitig für denselben Header.