Zum Inhalt springen

HTTP-Header hinzufügen

Dieser Text wurde mithilfe von KI übersetzt. Wenn du den Originaltext auf Englisch lesen möchtest, klicke hier.

Diese Anleitung zeigt dir, wie du HTTP-Headers zu deiner WordPress.com-Website hinzufügst, um verschiedene Anfragen und Antworten zu verarbeiten.

Über HTTP-Headers

HTTP-Headers übermitteln zusätzliche Informationen zusammen mit einer HTTP-Anfrage oder -Antwort auf deiner Website. HTTP-Headers weisen deine Website an, wie bestimmte Anfragen verarbeitet und Informationen gesammelt werden sollen, abhängig von der Quelle, dem Dienst oder dem sozialen Netzwerk, von dem der Header-Code stammt.

Die meisten HTTP-Headers sind auf WordPress.com bereits optimiert und müssen nicht geändert werden. Viele können jedoch bei Bedarf auf deiner Website angewendet oder angepasst werden. Beachte, dass einige HTTP-Header-Codes auf WordPress.com nicht geändert werden können, wenn sie ein Sicherheitsrisiko darstellen oder mit anderen Funktionen der WordPress.com-Plattform in Konflikt stehen.

Liste gängiger HTTP-Headers

Nachfolgend findest du eine Tabelle mit gängigen HTTP-Headers, die auf deiner Website angewendet werden können, einschließlich Hinweisen dazu, welche HTTP-Headers auf WordPress.com nicht geändert werden können. Weitere Informationen zu verschiedenen HTTP-Headers findest du bei MDN.

HeaderBeschreibung
X-Robots-TagGibt an, wie eine Webseite in öffentlichen Suchmaschinenergebnissen indexiert wird. Der HTTP-Header ist im Wesentlichen gleichbedeutend mit <meta name="robots" content="...">.
Access-Control-Allow-HeadersWird als Antwort auf eine Preflight-Anfrage verwendet, die die Access-Control-Request-Headers enthält, um anzugeben, welche HTTP-Headers während der eigentlichen Anfrage verwendet werden können.
Access-Control-Allow-MethodsGibt eine oder mehrere Methoden an, die beim Zugriff auf eine Ressource als Antwort auf eine Preflight-Anfrage erlaubt sind.
Access-Control-Allow-CredentialsTeilt Browsern mit, ob die Antwort dem Frontend-JavaScript-Code zugänglich gemacht werden soll, wenn der Anmeldedatenmodus der Anfrage (Request.credentials) auf include gesetzt ist.
Access-Control-Allow-OriginGibt an, ob die Antwort mit anfragendem Code vom angegebenen Ursprung geteilt werden kann.
Access-Control-Expose-HeadersErmöglicht es einem Server anzugeben, welche Antwort-Headers für Skripte im Browser als Antwort auf eine Cross-Origin-Anfrage verfügbar gemacht werden sollen.
X-Frame-OptionsGibt an, ob ein Browser eine Seite in einem <frame>, <iframe>, <embed> oder <object> rendern darf. Websites können dies nutzen, um Clickjacking-Angriffe zu vermeiden, indem sie sicherstellen, dass ihre Inhalte nicht in andere Websites eingebettet werden.
X-XSS-ProtectionEine Funktion von Internet Explorer, Chrome und Safari, die das Laden von Seiten stoppt, wenn reflektierte Cross-Site-Scripting-Angriffe (XSS) erkannt werden. Diese Schutzmaßnahmen sind in modernen Browsern weitgehend überflüssig, wenn Websites eine strenge Content-Security-Policy implementieren, die die Verwendung von Inline-JavaScript (‚unsafe-inline‘) deaktiviert.
X-Content-Type-OptionsGibt an, dass die in den Content-Type-Headers angegebenen MIME-Typen befolgt und nicht geändert werden sollen. Der HTTP-Header ermöglicht es dir, MIME-Type-Sniffing zu vermeiden, indem angegeben wird, dass die MIME-Typen bewusst konfiguriert sind.
Strict-Transport-SecurityInformiert Browser darüber, dass die Website nur über HTTPS aufgerufen werden sollte und dass zukünftige Zugriffsversuche über HTTP automatisch in HTTPS umgewandelt werden sollen.
Hinweis: Kontaktiere den Support, um die Direktiven includeSubdomains und preload hinzuzufügen.
Referrer-PolicySteuert, wie viele Referrer-Informationen (gesendet mit dem Referer-Header) in Anfragen enthalten sein sollen. Neben dem HTTP-Header kannst du diese Richtlinie auch in HTML festlegen.
Content-Security-PolicyErmöglicht es Website-Administratoren zu steuern, welche Ressourcen der User-Agent für eine bestimmte Seite laden darf. Mit wenigen Ausnahmen umfassen die Richtlinien hauptsächlich die Angabe von Server-Ursprüngen und Skript-Endpunkten. Dies hilft, Cross-Site-Scripting-Angriffe zu verhindern.

Dies kann mit einem Plugin wie Redirection oder über custom-redirects.php geändert werden.

Hinzufügen von HTTP-Headers zu einer Website

Es gibt zwei Methoden, mit denen du einen HTTP-Response-Header zu deiner Website hinzufügen kannst.

HTTP-Headers mit einem Weiterleitungs-Plugin hinzufügen

Es gibt zwar mehrere Möglichkeiten, HTTP-Headers zu einer Plugin-fähigen Website hinzuzufügen, aber unsere beste Empfehlung ist die Verwendung des Redirection-Plugins.

Auch wenn der Name des Redirection-Plugins vermuten lässt, dass es ausschließlich für Weiterleitungen gedacht ist, kannst du dieses Plugin bedenkenlos verwenden, um HTTP-Headers anzuwenden, ohne Weiterleitungen zu nutzen. Wenn du dich dafür entscheidest, nur HTTP-Headers anzuwenden, werden deine Seiten nicht durch Weiterleitungen beeinflusst.

Nach der Installation des Redirection-Plugins kannst du die folgenden Schritte ausführen, um einen HTTP-Header hinzuzufügen:

  1. Rufe die Plugin-Einstellungen auf, indem du zu Werkzeuge → Redirection navigierst.
  2. Klicke auf den Reiter „Website„.
  3. Scrolle am Ende des Bildschirms zum Abschnitt „HTTP Headers“ hinunter. Dort findest du eine Tabelle, die für jeden HTTP-Header auf deiner Website eine Zeile anzeigt.
  4. Klicke auf die Schaltfläche „Header hinzufügen„, um der Tabelle eine Zeile für einen weiteren HTTP-Header hinzuzufügen.
  5. Wähle die folgenden Informationen aus:
    • Ort: Wo soll dieser HTTP-Header gelten? Im Allgemeinen ist site die richtige Option für die meisten HTTP-Headers.
    • Header: Wenn du auf diese Option klickst, erscheint ein Dropdown-Menü mit gängigen HTTP-Headers.
      • Wenn die gewünschte Option nicht verfügbar ist, kannst du auch einen benutzerdefinierten Header hinzufügen, wodurch ein neues Feld geöffnet wird, in dem du den benutzerdefinierten HTTP-Header und den Wert eingeben kannst.
      • Auch wenn eine Option in der Dropdown-Auswahl erscheint, ist sie möglicherweise auf der WordPress.com-Plattform nicht verfügbar, wie oben erläutert.
    • Wert: Hier werden die verfügbaren Optionen für einen bestimmten HTTP-Header angezeigt. Bei benutzerdefinierten Headers kann dies jedoch als leeres Feld erscheinen, das du ausfüllen musst.
  6. Klicke auf die Schaltfläche „Aktualisieren„, und die HTTP-Headers werden den Anfragen und Antworten deiner Website hinzugefügt.

Es kann einige Zeit dauern, bis die Änderungen an den HTTP-Headers auf deiner aktiven Website wirksam werden. Die Änderungen werden zwar mit der Zeit automatisch übernommen, aber du kannst auch erwägen, deinen Browser-Cache zu leeren und den Cache deiner Website zu leeren.

HTTP-Headers mit PHP-Code hinzufügen

Wenn du eine fortgeschrittenere Lösung suchst oder auf die Verwendung von Plugins verzichten möchtest, kannst du HTTP-Headers auch über eine custom-redirects.php-Datei mithilfe der PHP-Funktion header() setzen. Diese kann über SFTP zum Stammverzeichnis der Website hinzugefügt werden.

Alle Änderungen über SFTP gelten als fortgeschrittene Website-Anpassung. Du solltest Dateien nur bearbeiten, wenn du genau weißt, was die Änderung bewirkt, und wir empfehlen dir, diese Methode nur zu verwenden, wenn du mit der Nutzung von SFTP vertraut bist.

Hier ist ein allgemeiner Überblick, wie du HTTP-Headers zu deinen Website-Dateien per SFTP hinzufügst:

  1. Verbinde dich mit deiner WordPress-Website über deinen bevorzugten SFTP-Client.
  2. Standardmäßig solltest du dich im Stammverzeichnis befinden. Vergewissere dich, dass du dich im Ordner htdocs (Stammverzeichnis) für WordPress.com-Websites befindest. Erstelle in diesem Ordner eine neue Datei mit dem Namen custom-redirects.php
  3. Verwende einen Texteditor auf deinem Gerät (z. B. TextEdit oder Notepad), um die Datei nach Bedarf zu bearbeiten.
  4. Speichere die Datei auf dem Server.

Ein Beispiel für eine gültige custom-redirects.php-Datei findest du unten:

<?php
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('X-Frame-Options: SAMEORIGIN');
header('Referrer-Policy: no-referrer-when-downgrade');

Zuletzt aktualisiert: Juni 29, 2026