TLS wird immer komplexer. Server Name Indication (SNI) bedeutet nun, dass HTTPS-Websites auf gemeinsam genutzten IP-Adressen laufen oder anderweitig eingeschränkt sein können. Für diese Server ist es praktisch, wenn man die gewünschten HTTP-Header ohne Zugriff auf die Webserver-Konfiguration oder die .htaccess-Datei festlegen kann.
Dieses Plugin stellt Steuerungen zur Verfügung für:
- HSTS (Strict-Transport-Security)
- HPKP (Public-Key-Pins)
- Deaktivieren des Sniffings von Inhalten (X-Content-Type-Options)
- XSS-Schutz (X-XSS-Protection)
- Clickjacking-Milderung (X-Frame-Options auf der Website)
- Expect-CT
HSTS wird verwendet, um sicherzustellen, dass zukünftige Verbindungen zu einer Website immer TLS verwenden, und um die Umgehung von Zertifikatswarnungen für die Website zu verhindern.
HPKP wird verwendet, wenn du dich bei der Zertifikatsausstellung nicht ausschließlich auf das Vertrauensmodell der Zertifizierungsstelle verlassen möchtest.
Das Deaktivieren von Content Sniffing ist vor allem für Seiten interessant, die es den Benutzern erlauben, Dateien bestimmter Typen hochzuladen, deren Browser aber möglicherweise dumm genug sind, andere Typen zu interpretieren und so unerwartete Angriffe zu ermöglichen.
Der XSS-Schutz aktiviert wieder den XSS-Schutz für die Website, wenn der Benutzer ihn zuvor deaktiviert hat, und setzt die „blockieren“-Option, damit Angriffe nicht stillschweigend ignoriert werden.
Der Clickjacking-Schutz ist in der Regel nur dann relevant, wenn jemand angemeldet ist, die Benutzer ihn aber angefordert haben. Vermutlich haben diese Rich-Content außerhalb der WordPress-Authentifizierung, den sie schützen möchten.
Expect-CT wird verwendet, um sicherzustellen, dass die Zertifikatstransparenz korrekt konfiguriert ist.