Hallo allerseits,
hier folgt nach direkter Korrespondenz mit dem Plugin-Entwickler Olaf und erneuter Prüfung meine aktualisierte Bewertung.
Aber zuerst ein riesengroßes Dankeschön an Holger für sein Plugin ADC, welches die Vorlage für Olaf war, „da noch eins draufzusetzen”.
ADC-Core_XH nutze ich schon seit Veröffentlichung in Version 1.0 beta1, allerdings nutzte ich die nur
- zum Entfernen der index.php aus der URL
- zur Korrektur encodierter URL-Separatoren
Mein Webhoster bietet kostenlose TLS-Zertifikate von Let´s Encrypt an und im Bestellmenü kann die Weiterleitung auf https: permanent (redirect 301) oder temporär (redirect 302) fest hinterlegt werden.
Also nutze ich das für meine Domains auch (redirect 301) und brauche weder per .htaccess noch Plugin nochmal eine Weiterleitung einstellen.
Bis zur Installation des Updates auf Version 1.0 beta2 stimmte das auch …
Nun hat Olaf HSTS implementiert und setzt die Aktivierung SSL: force voraus, was ich nicht gleich erkannte/anders interpretierte.
Deshalb schrieb ich in meinem ersten Test des Updates, dass es bei mir leider nicht funktioniert.
Fazit nach erneuter gründlicher Prüfung: sehr empfehlenswertes Plugin für sicherheitsbewusste Nutzer des schnuckeligsten CMS, welches ich kenne.
Aber Achtung!
HSTS ist super wichtig, aber man sollte, nein man muss sich mit dem Thema eingehend beschäftigen, bevor man das einfach planlos implementiert!
Vor allem die Aufnahme in die Preload-Liste, welche Mozilla und Google verwalten, muss gut geplant sein, weil man sich sonst vielleicht ein, zwei Jahre selbst von seiner Domain ausschließt, naja zumindest ein paar Wochen und den Leuten vom preload-Team unnötig Arbeit damit macht, sich wieder austragen zu lassen.
Für gewerbliche Nutzer also einerseits wichtig, diese Technik einzusetzen (EU-DSGVO: Sicherheit nach aktuellem Stand der Technik!), aber ohne gute Vorbereitung für einen Onlineshop wirkt das geschäftsschädigend, wenn man einen Fehler macht.
Sorgfalt ist hier das A und O.
Aus eigener Erfahrung mit zwei Hobby-Websites kann ich aber sagen, dass es sich lohnt, da Zeit reinzustecken und sich schlau zu machen.
Alle meine Domains sind so geschützt und zusammen mit Einsatz aller für Privatleute nützlichen Security-Header ziemlich sicher vor Man-in-the-Middle-Angriffen.
Die meisten Banken schützen ihre Websites/ihr Onlinebanking immer noch deutlich schlechter als ich meine reinen Hobby-Websites.
Bei vielen Clouds sieht es noch düsterer aus, aber ist ja klar, die müssen den „Diensten” zu Diensten sein.
Schlapphüte wollen nicht lange umständlich den Schlüssel erbetteln …
Meine Lieblingstools zum Testen der Website nach Implementierung:
Achtung: immer Häkchen setzen bei
[X] Don't include my site in the public results
[X] Do not show the results on the boards (damit Hacker sich nicht eingeladen fühlen)
https://hstspreload.org (mit Empfehlung zur sorgfältigen Implementierung wie oben in Warnung erwähnt)
https://www.ssllabs.com/ssltest/ (für den Anfang erstmal nur Analysetool für TLS)
Hilfreiche Infos vom Experten Scott Helme
https://scotthelme.co.uk/hsts-cheat-sheet/
Wenn Du neugierig geworden bist, wie Du Deine Website weiter absichern kannst, helfen Dir folgende Seiten und das Plugin Sec_Header_XH (
viewtopic.php?f=12&t=17027):
https://observatory.mozilla.org (ohne zusätzlichen Einsatz von Security Headers wird Rating nie besser als D)
https://securityheaders.com (auch dieses Analysetool wird Deine Website erstmal schlecht dastehen lassen, bietet aber Links zu hilfreichen Seiten.