Afgelopen weken heb ik weer een aantal wijzigingen doorgevoerd aan Timdehoog.nl om de beveiliging te verhogen. Zo ben ik van PHP 7.0 overgestapt op 7.2. Zo maak ik gebruik van de veiligste, snelste en stabielste versie die er op dit moment is. Uit een rondje testen bleek dat WordPress, de plugins en het thema geen foutmeldingen genereerde na de overstap.
Mijn lijst met Content Secure Policies heb ik uitgebreid op basis van een rondje testen. De meeste foutmeldingen werden veroorzaakt door de advertenties die ik sinds enkele weken toon. Door kritisch te kijken en veel te testen maak ik nu weer gebruik van een lijst die helemaal up to date is.
Lees mijn blog hoe je zelf Content Secure Policy in kan stellen. Deze maken deel uit van een grotere verzameling met Security Headers.
Tegenwoordig maakt vrijwel iedere website gebruik van https://. In de meeste gevallen wordt dit gedaan om de melding in de browser voor een onveilige verbinding te verbergen. Daarnaast verhoogd het ook de SEO. Nadeel is natuurlijk dat als iedere website een certificaat gebruikt je weer op hetzelfde niveau zit als toen nog niet iedereen het had. In veel gevallen wordt er gebruik gemaakt van LetsEncrypt wat een prima oplossing is.
Mijn website gebruikt ook een gratis LetsEncrypt certificaat. Sinds dit weekend heb ik CAA-records toegevoegd aan mijn DNS instellingen waarin staat dat alleen LetsEncrypt certificaten mag uitgeven voor Timdehoog.nl. LetsEncrypt is in dit geval een Certificate Authoritie, ook wel afgekort CA genoemd. Een andere CA, zoals Comodo, mag dus geen certificaat uitgeven voor mijn domein. Ik heb ook een CAA-record toegevoegd die mij waarschuwt wanneer een andere CA het toch probeert.