Quick Start

Erste Schritte mit EcomSec Security Headers - in 5 Minuten einsatzbereit.

Schritt 1: Plugin installieren

Falls noch nicht geschehen, installieren Sie das Plugin:

bin/console plugin:install --activate EcomSecSecurityHeaders
bin/console cache:clear

Schritt 2: Basis-Header aktivieren

Navigieren Sie zu: Einstellungen > System > Plugins > EcomSec Security Headers > Konfiguration

Aktivieren Sie diese Header für sofortigen Schutz:

1. Strict-Transport-Security (HSTS)

• ✅ Aktivieren: Ja
• Wert: max-age=31536000; includeSubDomains; preload
• Wichtig: Nur aktivieren wenn HTTPS verfügbar!

2. X-Frame-Options

• ✅ Aktivieren: Ja
• Wert: SAMEORIGIN
• Schützt vor Clickjacking

3. X-Content-Type-Options

• ✅ Aktivieren: Ja
• Wert: nosniff (fest)
• Verhindert MIME-Sniffing

4. Referrer-Policy

• ✅ Aktivieren: Ja
• Wert: strict-origin-when-cross-origin
• Kontrolliert Referrer-Informationen

Schritt 3: Speichern & Testen

1. Speichern Sie die Konfiguration
2. Cache leeren: bin/console cache:clear
3. Testen Sie die Header

Header testen

Öffnen Sie Ihren Shop und prüfen Sie die Header:

Browser DevTools:

1. F12 drücken
2. Network Tab öffnen
3. Seite neu laden
4. Erste Anfrage auswählen
5. Response Headers prüfen

Online-Tool: Besuchen Sie securityheaders.com und geben Sie Ihre Shop-URL ein.

Schritt 4: Content Security Policy (Optional)

⚠️ Vorsicht: CSP kann Ihren Shop brechen wenn falsch konfiguriert!

Empfohlenes Vorgehen:

1. Erst CSP-Report-Only aktivieren (testet ohne zu blockieren)
2. Violations im Browser Console beobachten
3. CSP-Policy anpassen
4. Wenn keine Violations mehr: CSP aktivieren

Mehr dazu: CSP Schritt für Schritt

Ergebnis prüfen

Testen Sie Ihre Security-Bewertung:

• securityheaders.com - Sollte mind. B Rating sein
• Mozilla Observatory - Sollte mind. B Rating sein

Mit den Basis-Headern erreichen Sie bereits eine gute Bewertung!

Nächste Schritte

• Alle Konfigurationsoptionen
• Empfohlene Konfiguration
• CSP einrichten
• Header-Referenz

Häufige Fragen

Q: Kann ich Header pro Sales Channel konfigurieren?
A: Ja! Wechseln Sie einfach den Sales Channel in der Konfiguration.

Q: Was passiert wenn ich HSTS aktiviere ohne HTTPS?
A: Der Header wird automatisch nicht gesetzt. HSTS funktioniert nur mit HTTPS.

Q: Brechen die Header meinen Shop?
A: Die Basis-Header (HSTS, X-Frame-Options, etc.) sind sicher. Nur CSP muss vorsichtig konfiguriert werden.

Weitere Fragen: FAQ