Condividi questo contenuto!
In questa guida ti mostreremo come aggiungere intestazioni di sicurezza HTTP in WordPress.
Le intestazioni di sicurezza HTTP ti consentono di aggiungere un ulteriore livello di sicurezza al tuo sito Web WordPress. Possono aiutare a impedire che attività dannose comuni influiscano sulle prestazioni del tuo sito web.
Cos’è HTTP Security Headers?
HTTP Security Headers (tradotto in italiano è intestazioni di sicurezza HTTP) è una misura di sicurezza che consente al server del tuo sito web di prevenire alcune comuni minacce alla sicurezza prima che influiscano sul tuo sito web.
Fondamentalmente, quando un utente visita il tuo sito web, il tuo server web invia una risposta di intestazione HTTP al proprio browser. Questa risposta comunica ai browser i codici di errore, il controllo della cache e altri stati.
La normale risposta dell’intestazione emette uno stato chiamato HTTP 200. Dopodiché il tuo sito web viene caricato nel browser dell’utente. Tuttavia, se il tuo sito web ha difficoltà, il tuo server web potrebbe inviare un’intestazione HTTP diversa.
Ad esempio, potrebbe inviare un errore del server interno 500 o un codice di errore 404 non trovato.
Le intestazioni di sicurezza HTTP sono un sottoinsieme di queste intestazioni e vengono utilizzate per impedire ai siti Web minacce comuni come il click-jacking, lo scripting intersito, gli attacchi brute force e altro ancora.
Diamo una rapida occhiata a come sono le intestazioni di sicurezza HTTP e cosa fanno per proteggere il tuo sito web.
HTTP Strict Transport Security (HSTS)
L’intestazione HTTP Strict Transport Security (HSTS) comunica ai browser Web che il tuo sito Web utilizza HTTPS e non deve essere caricato utilizzando un protocollo non sicuro come HTTP.
Se hai spostato il tuo sito Web WordPress da HTTP a HTTPS, questa intestazione di sicurezza ti consente di impedire ai browser di caricare il tuo sito Web su HTTP.
Protezione X-XSS
L’intestazione X-XSS Protection ti consente di bloccare il caricamento di scripting cross-site sul tuo sito Web WordPress.
Opzioni X-Frame
L’intestazione di sicurezza X-Frame-Options impedisce iframe interdominio o click-jacking.
X-Content-Type-Options
X-Content-Type-Options blocca lo sniffing del tipo MIME del contenuto.
Detto questo, diamo un’occhiata a come aggiungere intestazioni di sicurezza HTTP in WordPress facilmente.
Aggiunta di intestazioni di sicurezza HTTP in WordPress
Le intestazioni di sicurezza HTTP funzionano meglio quando sono impostate a livello di server web (cioè il tuo account di hosting WordPress ). Ciò consente loro di essere attivati nelle prime fasi durante una tipica richiesta HTTP e offre il massimo vantaggio.
Funzionano ancora meglio se si utilizza un firewall per applicazioni per siti Web a livello DNS come Sucuri o Cloudflare. Ti mostreremo ogni metodo e potrai scegliere quello che funziona meglio per te.
Qui ci sono collegamenti rapidi ai diversi metodi su come aggiungere intestazioni di sicurezza HTTP in WordPress, puoi passare a quello che fa per te.
- Aggiunta di intestazioni di sicurezza HTTP utilizzando Sucuri
- Aggiunta di intestazioni di sicurezza HTTP utilizzando Cloudflare
- Aggiunta di intestazioni di sicurezza HTTP utilizzando .htaccess
- Aggiunta di intestazioni di sicurezza HTTP utilizzando il plug-in di WordPress
- Test delle intestazioni di sicurezza HTTP
1. Aggiunta di intestazioni di sicurezza HTTP in WordPress utilizzando Sucuri
Sucuri è uno dei migliori plugin per la sicurezza di WordPress sul mercato. Se stai utilizzando anche il servizio firewall del loro sito web, puoi impostare le intestazioni di sicurezza HTTP senza scrivere alcun codice.
Innanzitutto, dovrai registrarti per un account Sucuri . È un servizio a pagamento che viene fornito con un firewall per siti Web a livello di server, plug-in di sicurezza, CDN e garanzia di rimozione del malware.
Durante la registrazione, risponderai a semplici domande e la documentazione di Sucuri ti aiuterà a configurare il firewall dell’applicazione del sito web sul tuo sito web.
Dopo la registrazione, è necessario installare e attivare il plug-in Sucuri gratuito. Se non sai come fare, consulta la nostra guida passo passo su come installare un plugin per WordPress.
Dopo l’attivazione, vai alla pagina Sucuri Security »Firewall (WAF) e inserisci la tua chiave API Firewall. Puoi trovare queste informazioni nel tuo account sul sito web di Sucuri.
Fare clic sul pulsante Salva per salvare le modifiche.
Successivamente, devi passare alla dashboard del tuo account Sucuri. Da qui, fai clic sul menu Impostazioni (Settings) in alto e quindi passa alla scheda Sicurezza (Security).
Da qui puoi scegliere tre serie di regole. La protezione predefinita, HSTS e HSTS completo. Vedrai quali intestazioni di sicurezza HTTP verranno applicate per ogni set di regole.
Fare clic sul pulsante “Salva modifiche nelle intestazioni aggiuntive (Save Changes in the Additional Headers)” per applicare le modifiche.
Questo è tutto, Sucuri ora aggiungerà HTTP Security Headers in WordPress con le opzioni selezionate. Poiché si tratta di un WAF di livello DNS, il traffico del tuo sito web sarà protetto dagli hacker già prima che raggiungano il tuo sito web.
2. Aggiunta di intestazioni di sicurezza HTTP in WordPress utilizzando Cloudflare
Cloudflare offre un firewall di base del sito Web gratuito e un servizio CDN. Manca di funzionalità di sicurezza avanzate nel loro piano gratuito, quindi dovrai eseguire l’upgrade al loro piano Pro che sono più costosi.
Per aggiungere Cloudflare al tuo sito, guarda il nostro tutorial su come aggiungere CDN gratuito di Cloudflare in WordPress.
Una volta che Cloudflare è attivo sul tuo sito web, vai alla pagina SSL / TLS nella dashboard del tuo account Cloudflare, quindi passa alla scheda Certificati Edge.
Ora scorri verso il basso fino alla sezione HTTP Strict Transport Security (HSTS) e fai clic sul pulsante “Abilita HSTS“.
Verrà visualizzato un popup con le istruzioni che ti dicono che devi avere HTTPS abilitato sul tuo blog WordPress prima di utilizzare questa funzione. Fai clic sul pulsante Avanti per continuare e vedrai le opzioni per aggiungere le intestazioni di sicurezza HTTP.
Da qui, puoi abilitare HSTS, intestazione no-sniff, applicare HSTS ai sottodomini (se utilizzano HTTPS) e precaricare HSTS.
Questo metodo fornisce una protezione di base utilizzando le intestazioni di sicurezza HTTP. Tuttavia, non ti consente di aggiungere X-Frame-Options e Cloudflare non ha un’interfaccia utente per farlo.
Puoi ancora farlo creando uno script utilizzando la funzione Lavoratori (Workers). Tuttavia, la creazione di uno script di intestazione di sicurezza HTTPS può causare problemi imprevisti per i principianti, motivo per cui non lo consigliamo.
3. Aggiunta di intestazioni di sicurezza HTTP in WordPress utilizzando .htaccess
Questo metodo consente di impostare le intestazioni di sicurezza HTTP in WordPress a livello di server.
Richiede di modificare il file .htaccess sul tuo sito web. È un file di configurazione del server utilizzato dalla maggior parte dei software server web Apache.
Collegati semplicemente al tuo sito Web utilizzando un client FTP o l’app di gestione file nel pannello di controllo dell’hosting (probabilmente cPanel). Nella cartella principale del tuo sito web, devi individuare il file .htaccess e modificarlo.
Questo aprirà il file in un semplice editor di testo. Nella parte inferiore del file, puoi aggiungere il codice per aggiungere intestazioni di sicurezza HTTPS al tuo sito Web WordPress.
È possibile utilizzare il seguente codice di esempio come punto di partenza, imposta le intestazioni di sicurezza HTTP più comunemente utilizzate con impostazioni ottimali:
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff Header set X-Frame-Options DENY Header set Referrer-Policy: no-referrer-when-downgrade
Non dimenticare di salvare le modifiche e di visitare il tuo sito web per assicurarti che tutto funzioni come previsto.
Nota: intestazioni errate nel file .htaccess possono attivare Errore interno del server 500 sulla maggior parte degli host web.
4. Aggiunta di intestazioni di sicurezza HTTP in WordPress utilizzando Plugin
Questo metodo è un po’ meno efficace in quanto si basa su un plug-in di WordPress per modificare le intestazioni. Tuttavia, è anche il modo più semplice per aggiungere intestazioni di sicurezza HTTP al tuo sito Web WordPress.
Innanzitutto, è necessario installare e attivare il plug-in di Redirection. Se non sai come fare, consulta la nostra guida passo passo su come installare un plugin per WordPress.
Dopo l’attivazione, il plug-in mostrerà una procedura guidata di configurazione che puoi semplicemente seguire per configurare il plug-in. Successivamente, vai su Strumenti (Tools) » Reindirizzamento (redirection) e passa alla scheda”Sito“.
Successivamente, è necessario scorrere fino alla fine della pagina fino alla sezione Intestazioni HTTP (HTTP Headers) e fare clic sul pulsante “Aggiungi intestazione (Add Header)“. Dal menu a discesa, è necessario selezionare l’opzione “Aggiungi preimpostazioni di sicurezza (Add Security Presets)“.
Dopodiché, dovrai fare nuovamente clic su di esso per aggiungere quelle opzioni. Ora vedrai apparire un elenco preimpostato di intestazioni di sicurezza HTTP nella tabella.
Queste intestazioni sono già ottimizzate per la sicurezza, puoi esaminarle e modificarle se necessario. Una volta terminato, non dimenticare di fare clic sul pulsante Aggiorna per salvare le modifiche.
Ora puoi visitare il tuo sito web per assicurarti che tutto funzioni correttamente.
Come controllare le intestazioni di sicurezza HTTP per un sito web
Ora che hai aggiunto le intestazioni di sicurezza HTTP al tuo sito web. Puoi testare la tua configurazione utilizzando lo strumento gratuito Security Headers. Inserisci semplicemente l’URL del tuo sito web e fai clic sul pulsante Scansione.
Quindi verranno controllate le intestazioni di sicurezza HTTP per il tuo sito web e ti verrà mostrato un rapporto. Lo strumento genererà una cosiddetta etichetta di valutazione che puoi ignorare poiché la maggior parte dei siti Web poichè puoi ottenere un punteggio B o C nella migliore delle ipotesi senza influire sull’esperienza dell’utente.
Ti mostrerà quali intestazioni di sicurezza HTTP vengono inviate dal tuo sito web e quali intestazioni di sicurezza non sono incluse. Se le intestazioni di sicurezza che volevi impostare sono elencate lì, hai finito.
E’ tutto. Speriamo che questo tutorial ti abbia aiutato a capire come aggiungere intestazioni di sicurezza HTTP in WordPress. Potresti anche consultare la nostra guida completa alla sicurezza di WordPress.
Dichiarazione sulla trasparenza: il contenuto di B-Fast è supportato dal lettore, il che significa che se fai clic su alcuni dei collegamenti in questo post, potremmo guadagnare una piccola tassa di riferimento. Tieni presente che raccomandiamo solo prodotti che utilizziamo noi stessi e / o che riteniamo possano aggiungere valore ai nostri lettori.
Condividi questo contenuto!
Related Posts