WordPress — Alle Security-Header-Anleitungen
Schritt-für-Schritt-Anleitungen für jeden Security Header in WordPress. Per functions.php, Plugin oder Theme — auch ohne Programmierkenntnisse.
Security Headers in WordPress — functions.php und Plugins
WordPress betreibt über 43% aller Websites weltweit und bietet über den wp_headers-Filter
Kontrolle über HTTP-Response-Header. Jeder Security Header lässt sich über die
functions.php Ihres Themes oder per Plugin konfigurieren — auch ohne Programmierkenntnisse.
Für fortgeschrittene Szenarien wie dynamische CSP-Nonces steht der script_loader_tag-Filter zur Verfügung. Die Anleitungen decken sowohl die functions.php-Methode als auch Plugin-Alternativen (Really Simple Security, Headers Security) ab.
Wichtig: WordPress-Plugins können sich gegenseitig bei Security Headern überschreiben. Verwenden Sie entweder functions.php ODER ein Plugin — nicht beides gleichzeitig. Unsere Anleitungen zeigen beide Wege und warnen vor Kompatibilitätsproblemen.
WordPress-Anleitungen nach Thema
Jede Anleitung erklärt einen Security Header Schritt für Schritt — mit copy-paste-fertiger functions.php und Plugin-Konfiguration. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Implementierungs-Architektur
Alle Security Headers über functions.php oder Plugin — optimale Reihenfolge und Multi-Layer-Konflikte.
Content Security Policy (CSP)
XSS-Schutz durch kontrolliertes Script-Loading — functions.php wp_headers Filter und Plugin-Konfiguration.
HTTP Strict Transport Security
HTTPS erzwingen und SSL-Stripping verhindern — wp_headers Action für Strict-Transport-Security.
Sichere Cookie-Konfiguration
HttpOnly, Secure, SameSite Flags — Session-Cookie-Flags über WordPress-Filter.
Permissions Policy
Browser-APIs wie Kamera und Mikrofon kontrollieren — wp_headers Filter für Permissions-Policy.
Clickjacking-Schutz
X-Frame-Options und frame-ancestors — wp_headers Filter oder Plugin-Konfiguration.
Referrer-Policy
Referrer-Informationen kontrollieren — wp_headers Filter für Referrer-Policy.
X-Content-Type-Options
MIME-Sniffing verhindern — WordPress setzt nosniff seit v4.7 automatisch.
Cross-Origin Headers
CORP, COEP und COOP gegen Spectre-Angriffe — Cross-Origin Isolation über functions.php Filter.
Subresource Integrity
Hash-Prüfung externer Scripts — SRI-Integration über wp_script_attributes Filter.
security.txt
Standardisierte Kontaktdatei für Sicherheitsforscher — security.txt über WP Security.txt Plugin oder manuell.
TLS & Zertifikate
TLS 1.3 aktivieren, Cipher Suites konfigurieren, OCSP Stapling einrichten.
Cache-Control
Sicherheitsrelevante Cache-Direktiven — no-store für Login und Admin über Cache-Plugin-Konfiguration.
Reporting API
Report-To über wp_headers Filter oder Plugin.
Clear-Site-Data
Browser-Daten beim Logout sicher löschen — PHP header() in der wp_logout Action.
Erweiterte Header
HTTPS via Really Simple SSL, WWW-Normalisierung und weitere WordPress-Konfiguration.
In 3 Schritten zur sicheren WordPress-Konfiguration
Status prüfen
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen und wo Handlungsbedarf besteht.
Einfache Header zuerst
Beginnen Sie mit HSTS, X-Content-Type-Options und Referrer-Policy — diese drei Header sind in 5 Minuten konfiguriert und bringen sofort eine deutlich bessere Note.
CSP als Krönung
Die Content Security Policy ist der wirksamste aber auch komplexeste Header. Unsere Anleitung führt Sie durch Report-Only-Modus, Violation-Analyse und Enforcement — Schritt für Schritt.
Nicht WordPress? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Wo konfiguriere ich Security Headers in WordPress?
In der functions.php Ihres Child-Themes über den wp_headers Filter. Alternativ per Plugin: Really Simple Security oder Headers Security Advanced. WICHTIG: Immer ein Child-Theme verwenden — Änderungen in der Haupt-Theme functions.php gehen bei Updates verloren.
Warum werden meine WordPress-Header nicht angezeigt?
Häufigste Ursache: Ein Caching-Plugin überschreibt die Header. Deaktivieren Sie testweise alle Cache-Plugins. Zweite Ursache: Ein Security-Plugin setzt bereits Header die Ihre functions.php-Einstellungen überschreiben. Dritte Ursache: Der Hoster setzt eigene Header auf Server-Ebene.
Brauche ich alle Security Headers gleichzeitig?
Nein. Beginnen Sie mit den einfachen Headern (HSTS, X-Content-Type-Options, Referrer-Policy — zusammen 5 Minuten) und arbeiten Sie sich zu CSP vor. Unsere Anleitungen sind nach Schwierigkeit sortiert.
Kann ich Security Headers testen ohne die Live-Site zu gefährden?
Ja. CSP bietet einen Report-Only-Modus der Violations protokolliert ohne zu blockieren. Für alle anderen Header: Testen Sie auf einer Staging-Umgebung oder nutzen Sie den kostenlosen Wolf-Agents Web Security Check zur Validierung.
Funktionieren die Anleitungen mit WordPress-Plugins?
Ja. Plugins wie Really Simple Security und Headers Security Advanced bieten eine UI für alle Security Headers — ohne Code. Für fortgeschrittene Konfigurationen (CSP mit Nonces) empfehlen wir die functions.php-Methode, da Plugins hier oft zu restriktiv oder zu permissiv sind.