um HSTS zu aktivieren, muss man einfach in die .htaccess datei folgendes reinschreiben:
# HSTS (mod_headers is required) (15768000 seconds = 6 months)
Header always add Strict-Transport-Security "max-age=15768000"
falls der apache das headers modul noch nicht geladen hat, auf der commandline ausfuehren:
a2enmod headers
sofern das notwendig war, bitte den apache neu starten.
und dann einfach pruefen mit diesem befehl:
curl -si sd.vc | grep Strict
der output sollte so aussehen:
Strict-Transport-Security: max-age=15768000
uzr sicherheit, falls doch ein browser ankommt, der kein HSTS unterstuetzt noch diesen spruch in die .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule .* https://ww.sd.vc%{REQUEST_URI} [last]
zusammen mit ein paar wichtigen einstellungen an den ciphers etc. (spaeter mehr dazu) gibt das beim Test von Qualys SSL Labs ein A+ ranking 🙂
damit die ganze seite dann nur noch ueber https geht, muss man in den einstellungen von wordpress (settings -> general) die url auch noch auf https anpassen:
und da wordpress die dumme eigenheit hat, die eigenen urls (bilder, links) als absolute links abszuspeichern, muss man die auch noch aendern.
UPDATE wp_posts SET post_content = REPLACE(post_content,'http://ww.sd.vc','https://ww.sd.vc')
