X-Frame-Options auf All-Inkl konfigurieren
Clickjacking-Schutz auf Ihrem All-Inkl Webhosting — X-Frame-Options per .htaccess setzen und Einbettung in fremde Websites verhindern.
Clickjacking-Schutz auf All-Inkl
X-Frame-Options schützt vor Clickjacking-Angriffen, bei denen Ihre Website unsichtbar in einem iframe auf einer bösartigen Seite eingebettet wird. Der Besucher klickt vermeintlich auf die sichtbare Seite — tatsächlich aber auf versteckte Elemente Ihrer Website. Im Wolf-Agents Web Security Check bringt X-Frame-Options 10 von 166 Punkten.
Auf All-Inkl setzen Sie den Header per .htaccess mit Header always set. Das always-Keyword stellt sicher, dass der Header auch bei Fehlerseiten (404, 500) gesendet wird. Der modernere Ersatz ist frame-ancestors in der Content Security Policy — beide sollten parallel gesetzt werden.
X-Frame-Options auf All-Inkl implementieren
Verwenden Sie DENY, wenn Ihre Website nie in einem iframe eingebettet werden soll. Verwenden Sie SAMEORIGIN, wenn Sie iframes auf der eigenen Domain nutzen (z.B. für ein CMS-Backend oder Login-Formulare).
# /www/htdocs/[username]/[domain]/.htaccess
<IfModule mod_headers.c>
# DENY — Einbettung komplett verhindern
Header always set X-Frame-Options "DENY"
# Oder: SAMEORIGIN — nur eigene Domain darf einbetten
# Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>// PHP-Alternative
<?php
header("X-Frame-Options: DENY");
// Zusätzlich CSP frame-ancestors als modernen Ersatz
// header("Content-Security-Policy: frame-ancestors 'none'");
?>DENY blockiert jede Einbettung — auch von der eigenen Domain. SAMEORIGIN erlaubt Einbettung von der eigenen Domain. Wenn Sie WordPress mit Elementor, Divi oder anderen Page Buildern nutzen, die Vorschauen in iframes laden, wählen Sie SAMEORIGIN.
Verifizierung
Laden Sie die .htaccess per FTP hoch und prüfen Sie den Header. Testen Sie zusätzlich, ob eine iframe-Einbettung blockiert wird.
# X-Frame-Options-Header prüfen
curl -sI https://ihre-domain.de | grep -i x-frame-options
# Erwartete Ausgabe:
# x-frame-options: DENYframe-ancestors 'none' in Ihrer Content Security Policy. CSP frame-ancestors ist der modernere Standard und wird von allen aktuellen Browsern unterstützt. Häufige Fehler bei X-Frame-Options auf All-Inkl
CMS-eigene iFrame-Vorschau blockiert
WordPress-Page-Builder (Elementor, Divi, WPBakery) laden die Vorschau in einem iFrame. Mit DENY wird diese Vorschau blockiert. Verwenden Sie SAMEORIGIN statt DENY, wenn Sie einen Page Builder auf All-Inkl nutzen. Prüfen Sie in KAS unter den Domain-Einstellungen, ob keine zusätzlichen Sicherheitseinstellungen den Header beeinflussen.
ALLOW-FROM wird nicht unterstützt
Die ALLOW-FROM-Direktive wird von modernen Browsern nicht mehr unterstützt. Verwenden Sie stattdessen frame-ancestors in der Content Security Policy: frame-ancestors 'self' https://erlaubte-domain.de.
WordPress-Plugin setzt eigenen X-Frame-Options
Security-Plugins wie Wordfence, iThemes Security oder All In One WP Security setzen X-Frame-Options per PHP. Der Header erscheint dann doppelt — einmal aus der .htaccess, einmal vom Plugin. Deaktivieren Sie die X-Frame-Options-Einstellung im Plugin oder entfernen Sie die Zeile aus der .htaccess.
Compliance-Relevanz
Clickjacking-Schutz ist eine grundlegende Sicherheitsmaßnahme, die von mehreren Frameworks gefordert wird.
Wie steht Ihre Domain bei Clickjacking-Schutz?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.