Plugin Sec-Header_XH

Dieses Plugin hilft bei der Einrichtung der verschiedenen Header-Anweisungen (Security Header), die im HTTP-Protokoll enthalten sind, und ermöglicht so eine Verbesserung der Sicherheit für die Besucher einer Website.

Nicht alle Einstellungen und Optionen werden von allen Browsern unterstützt.

Die Konfigurationmöglichkeiten dieser Erweiterung sind teilweise so variabel, dass es nur bei wenigen möglich ist, wählbare Vorgaben bereitzustellen. Das Thema ist recht komplex und benötigt eine gewisse Einarbeitung.

Vorsicht, mit einigen Einstellungen kann man die Funktion der gesamten Website beeinträchtigen.

Referrer-Policy

Steuert, wie viele Referrer-Informationen (die über den Referer-Header gesendet werden) in der nächsten Anfrage enthalten sein soll.

X-Content-Type-Options

Nur korrekte Styles und Scripte werden geladen. Unterbindet das "Erraten" des Dateityps durch den Browser.

X-XSS-Protection Header

Aktiviert den Schutzfilter im Browser.

Content Security Policy

Es werden nur Dateien aus explizit erlaubten Quellen geladen.

Feature-Policy, Permissions-Policy

Verhindert bzw. steuert beispielsweise die Nutzung von Webcams, Mikrofonen oder Sensoren auf der Seite.

Feature-Policy ist "deprecated". Ab Version 1.0 beta2 kann man Feature-Policy einzeln deaktivieren.
Ich würde aber empfehlen Feature-Policy weiterhin auf aktiv zu belassen.

Verwenden Sie die Syntax der Feature Policy!

Permissions-Policy: interest-cohort (Google FLoC)

Google FLoC

COEP CORP COOP (experimentell)

Installation

PHP ab Version 5.6
(Sie sollten min. Version 7.3 einsetzen!, Stand 04/2021)

Für CMSimple_XH Versionen ab 1.7.3.

Um das Plugin zu installieren, einfach den entpackten Ordner sec_header in den Pluginordner laden.

Möglicherweise, abhängig vom Webserver müssen noch Dateirechte angepasst werden.
Wird PHP als FastCGI ausgeführt ist ein Anpassen der Dateirechte nicht notwendig.
Wenn PHP als Apache-Modul ausgeführt wird, müssen noch Rechte für

folgende Dateien:

die Konfigurationsdatei (/plugins/sec_header/config/config.php),
den Stylesheet (/plugins/sec_header/css/stylesheet.css)
die entsprechende(n) Sprachdatei(en) (/plugins/sec_header/languages/xx.php)

geändert werden (0666), falls man diese über das Backend bearbeiten möchte.

Die Ordner:

/plugins/sec_header/css/
/plugins/sec_header/config/
/plugins/sec_header/languages/

benötigen in diesem Fall 0777.

Alle Voraussetzungen lassen sich auf der Startseite des Plugins prüfen.

https://filezilla-project.org

FileZilla Client Tutorial (de)

644 - der Standardwert für Dateien - nur der FTP-Benutzer kann Dateien ändern / schreiben
666 - auch PHP-Prozesse können Dateien beschreiben.
755 - der Standardwert für Ordner - nur der FTP-Benutzer kann Dateien ändern / schreiben
777 - der Ordner hat Vollzugriff, d.h. auch Scripte können darin schreiben.

Fragen, Hinweise, Fehlermeldungen zu Sec-Header_XH

Sec-Header_XH im CMSimple_XH Forum

Gern nehme ich auch Informationen entgegen, auf welchen Seiten das Plugin Sec-Header_XH eingesetzt wird.
Ich möchte keine Statistik führen oder gar veröffentlichen. Es geht einfach darum, zu wissen, ob weiteres Arbeiten an diesem Plugin sinnvoll ist.

Sec-Header_XH kann unter Einhaltung der GPLv3 verwendet werden.

Version 1.0 beta2 für CMSimple_XH Versionen ab 1.7.3

Update von Version 1.0 beta1 auf 1.0 beta2

Softwareentwicklung ist teilweise sehr aufwendig und findet, für jede hier angebotene Software, in meiner Freizeit statt. Daher freue ich mich über jede Unterstützung. Zum Teil wird damit z.B. einfach diese Website finanziert.
Außerdem bringt eine kleine Anerkennung zwischendurch immer wieder etwas Schwung in die Entwicklung.

Kaffeekasse

Stichwortliste: CMSimple_XH, Plugin, Plugins, Sec-Header_XH, Security Header