LiteSpeed — Alle Security-Header-Anleitungen
Schritt-für-Schritt-Anleitungen für jeden Security Header in LiteSpeed. .htaccess, Web Admin Console und Virtual-Host-Config — von HSTS in 5 Minuten bis CSP mit Report-Only.
Security Headers in LiteSpeed — drei Konfigurationswege
LiteSpeed ist ein Apache-kompatibler Hochleistungs-Webserver, der in zwei Varianten existiert:
OpenLiteSpeed (OLS, kostenlos) und LiteSpeed Enterprise (LSWS,
kommerziell). Beide unterstützen die Apache-.htaccess-Syntax vollständig — Ihre
bestehenden Header-Konfigurationen funktionieren ohne Änderungen.
Security Headers konfigurieren Sie auf drei Wegen: per .htaccess mit
mod_headers-Syntax (Apache-kompatibel), über die LiteSpeed Web Admin Console
(Port 7080) mit grafischer Oberfläche oder direkt in der Virtual-Host-Konfiguration
unter /usr/local/lsws/conf/httpd_config.conf.
Wichtig: LiteSpeed cached .htaccess-Dateien für Performance. Änderungen an .htaccess werden nicht sofort wirksam wie bei Apache — ein Graceful Restart oder Cache-Flush ist nötig. LiteSpeed unterstützt außerdem QUIC/HTTP3 nativ, was Apache nicht bietet.
LiteSpeed-Anleitungen nach Thema
Jede Anleitung erklaert einen Security Header Schritt für Schritt — mit LiteSpeed-spezifischen Konfigurationen für .htaccess, Web Admin Console und Virtual-Host-Config. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Implementierungs-Architektur
Alle Security Headers zentral über .htaccess, Virtual-Host-Konfiguration oder Web Admin Console — konsolidierte Architektur für OpenLiteSpeed und LSWS.
Content Security Policy (CSP)
XSS-Schutz per .htaccess (Apache-kompatibel) oder über die LiteSpeed Web Admin Console konfigurieren.
HTTP Strict Transport Security
HTTPS erzwingen per .htaccess oder Virtual-Host-Config — inklusive Preload und QUIC/HTTP3-Kompatibilität.
Sichere Cookie-Konfiguration
Cookie-Attribute per .htaccess oder Anwendungs-Framework steuern — LiteSpeed reicht Set-Cookie-Header durch.
Permissions Policy
Browser-APIs einschränken per .htaccess oder Web Admin Console — Kamera, Mikrofon, Geolocation sperren.
Clickjacking-Schutz
X-Frame-Options und frame-ancestors per .htaccess — Web Admin Console hat Vorrang bei Konflikten.
Referrer-Policy
Referrer-Informationen kontrollieren per .htaccess — identisch zu Apache-Syntax.
X-Content-Type-Options
MIME-Sniffing verhindern per .htaccess — einfacher One-Liner, Apache-kompatibel.
Cross-Origin Headers
CORP, COEP und COOP gegen Spectre-Angriffe — .htaccess-Konfiguration mit LSCache-Kompatibilität.
Subresource Integrity
Hash-Prüfung externer Scripts — Anwendungs-seitig oder per Build-Pipeline, nicht über .htaccess.
security.txt
Kontaktdatei unter .well-known/ — RewriteRule-Ausnahme in der .htaccess beachten.
TLS & Zertifikate
TLS-Konfiguration in der Web Admin Console — QUIC/HTTP3 nativ, Cipher-Suites und OCSP Stapling.
Cache-Control
Sicherheitsrelevante Cache-Direktiven per .htaccess — LSCache überschreibt Cache-Control, Konflikte vermeiden.
Reporting API
Report-To und Reporting-Endpoints per .htaccess — CSP-Violations dauerhaft erfassen.
Clear-Site-Data
Browser-Daten beim Logout löschen über Anwendungs-Framework oder .htaccess mit Condition.
Erweiterte Header
Origin-Agent-Cluster, HTTPS-Redirects, Resource Isolation Policy und X-DNS-Prefetch-Control.
In 3 Schritten zur sicheren LiteSpeed-Konfiguration
Status prüfen
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen und wo Handlungsbedarf besteht.
.htaccess konfigurieren
Erstellen Sie eine zentrale .htaccess mit allen Security Headers im Document Root. Damit setzen Sie HSTS, X-Content-Type-Options und Referrer-Policy in einer Datei — Apache-kompatible Syntax funktioniert direkt auf LiteSpeed.
Graceful Restart ausführen
LiteSpeed cached .htaccess-Dateien. Nach Änderungen führen Sie einen Graceful Restart
über die Web Admin Console
oder per systemctl reload lsws aus, damit die neuen Header wirksam werden.
Nicht LiteSpeed? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Was ist der Unterschied zwischen OpenLiteSpeed und LiteSpeed Enterprise?
OpenLiteSpeed (OLS) ist die kostenlose Open-Source-Version mit grundlegenden Funktionen. LiteSpeed Enterprise (LSWS) ist die kommerzielle Version mit erweitertem Caching (LSCache), mod_security-Kompatibilität und cPanel/Plesk-Integration. Beide sind vollständig .htaccess-kompatibel mit Apache.
Wo konfiguriere ich Security Headers in LiteSpeed?
Es gibt drei Wege: Per .htaccess mit mod_headers (Apache-kompatibel), über die LiteSpeed Web Admin Console (Port 7080) unter Server Configuration oder per Virtual-Host-Konfiguration in httpd_config.conf. Die Web Admin Console hat Vorrang über .htaccess.
Warum werden meine .htaccess-Änderungen nicht sofort wirksam?
LiteSpeed cached .htaccess-Dateien für bessere Performance. Änderungen werden nicht sofort wirksam wie bei Apache. Lösungen: Graceful Restart über die Web Admin Console, oder den LiteSpeed-Dienst per systemctl reload lsws neu laden.
Überschreibt LSCache meine Cache-Control Header?
Ja, das ist ein häufiges Problem. LSCache (LiteSpeed Cache) setzt eigene Cache-Control-Direktiven, die Ihre .htaccess-Einstellungen überschreiben können. Konfigurieren Sie Cache-Control in der LSCache-Konfiguration oder deaktivieren Sie LSCache für bestimmte Pfade per RewriteRule.
Kann ich Security Headers auf Shared Hosting mit LiteSpeed setzen?
Ja. Die meisten DACH-Hoster mit LiteSpeed (z.B. über Plesk oder cPanel) erlauben .htaccess-Dateien mit mod_headers. Das Plesk LiteSpeed-Plugin hat zusätzlich ein eigenes Header-Management — stellen Sie sicher, dass sich die Konfigurationen nicht widersprechen.