Sicherheits-Header-Analysator

Sicherheitsheader sind Anweisungen, die ein Webserver mit jeder Antwort sendet und die Browsern mitteilen, wie sie sich defensiv verhalten sollen: Content-Security-Policy schränkt ein, woher Skripte geladen werden können, Strict-Transport-Security erzwingt HTTPS, X-Frame-Options blockiert Clickjacking und so weiter. Sie gehören zu den kostengünstigsten und wirkungsvollsten Härtungsmaßnahmen, die ein Standort durchführen kann.

Die Note zählt, wie viele der sechs Kernheader vorhanden sind (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy). Alle sechs erhalten ein A; Ein A+ erfordert zusätzlich mindestens einen Cross-Origin-Isolationsheader (COOP/CORP/COEP) und keine schwächenden Flags wie „unsafe-inline“ in Ihrem CSP.

Nicht direkt – Google ordnet nicht nach Sicherheitsüberschriften. Allerdings schützt HSTS die HTTPS-Erfahrung, die Google misst, und eine gehärtete Website ist weniger wahrscheinlich, gehackt und auf die schwarze Liste gesetzt zu werden, was Rankings völlig zerstört. Betrachten Sie Header als Versicherung für Ihre SEO-Investition.

Jeder fehlende Header in Ihrem Bericht enthält ein einfügbares Nginx-Fix-Snippet. Verwenden Sie unter Apache immer Header-Set-Anweisungen in .htaccess; Fügen Sie bei WordPress mit Nginx die Snippets zu Ihrem Serverblock hinzu und laden Sie sie neu. Beginnen Sie mit X-Content-Type-Options und HSTS (geringstes Risiko) und testen Sie CSP zunächst im Nur-Bericht-Modus.

Header wie Server: nginx/1.24.0 oder Der Bericht markiert sie, sodass Sie sie entfernen oder generisch umwandeln können.