We willen HSTS preload aanvragen voor onze site.
HSTS preload is hardcore: eens aangevraagd, kun je niet meer naar HTTP terug zonder browser-warnings voor maanden. Pas inzetten als je zeker weet dat alle subdomeinen HTTPS-only zijn.
Probeer dit eerst zelf
- 1Test eerst dat je site, www-variant en alle subdomeinen op HTTPS werken zonder fouten. Geen mixed content, geen verlopen certs.
- 2Voeg de HSTS-header toe via je webserver of Cloudflare: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
- 3Laat de header eerst een paar maanden op een korte max-age (bijvoorbeeld 86400, een dag) staan. Dan kun je terug zonder schade.
- 4Bij geen issues: zet max-age naar 31536000 (een jaar) en bewaar dat een week of twee.
- 5Submit het domein op hstspreload.org. Google's lijst is leidend, andere browsers volgen.
- 6Documenteer dat HSTS-preload actief is: rollback duurt maanden tot een jaar omdat browsers de regel cachen.
Wanneer ons inschakelen
Werk je voor een organisatie waar HTTP-fallback ooit nodig kan zijn (specifieke legacy-systemen, IoT-apparaten op subdomeinen), zet HSTS-preload niet in zonder een security-engineer die de impact heeft afgewogen.
Zie ook
- WordPress, plugins en thema staan al 6+ maanden zonder updatesOut-of-date WP is de nummer-1 instap voor malware. Niet zomaar 'update all' klikken, eerst back-up.
- Thema-update gedaan en de layout is kapot of fatal errorThemes overschrijven custom-CSS bij een update als je niet via een child-theme werkt.
- WordPress geeft wit scherm na plugin-installatie of updateWSOD (white screen of death) komt meestal door één plugin die crasht. Je moet hem isoleren.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.