Veilige website
Om te controleren of ik een veilige website gemaakt heb, heb ik de Observatory site van Mozilla gebruikt. Deze site controleert niet alleen je site maar bevat ook heel veel tips hoe je de score (en dus je veiligheid) kan verbeteren.
Veel van de instellingen om een veiligere website te maken zoals het automatisch omleiden naar HTTPS kunnen in het .htaccess bestand gezet worden waardoor je er in de rest van de pagina's geen rekening mee hoeft te houden.
Een aantal van de instellingen die ik heb toegepast staan hieronder.
- Een eigen "niet gevonden" pagina
- Automatisch doorsturen naar HTTPS
- Security headers die beveiligen tegen cross site scripting of wel scripts uitvoeren vanaf een andere website
- Security headers zodat de site niet in een iframe gestart kan worden
- Security headers om te beveiligen tegen kwaadaardige bestanden
- Forceren van HTTPS verkeer
# serve custom error pages
ErrorDocument 404 /404.html
RewriteEngine On
RewriteCond %{SERVER_PORT} ^80$
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301]
# Extra Security Headers
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
</IfModule>
# Only connect to this site via HTTPS for the two years (recommended)
Header set Strict-Transport-Security: max-age=63072000
Ik ben nog bezig met het verder beveiligen van de content op de site, maar door het gebruik van enkele frameworks is dat nog iets lastiger om goed te krijgen zodat ook de site er nog steeds goed uit ziet.