Proteggere il tuo sito web WordPress dalle minacce online è fondamentale. Un modo in cui miglioriamo la sicurezza su WPBeginner è utilizzando le intestazioni di sicurezza HTTP. Queste forniscono un ulteriore livello di sicurezza, agendo come uno scudo contro attacchi e vulnerabilità comuni.
Queste intestazioni funzionano dietro le quinte, istruendo i browser web e i server su come gestire i dati del tuo sito web e migliorarne la sicurezza generale. L'aggiunta di queste intestazioni è un modo semplice ma efficace per rafforzare le difese del tuo sito web e proteggerti da attività dannose.
Questa guida per principianti ti mostrerà come aggiungere intestazioni di sicurezza HTTP in WordPress. Tratteremo vari metodi, tra cui l'uso di plugin e la modifica manuale dei file di configurazione.
Cosa sono le intestazioni di sicurezza HTTP?
Le intestazioni di sicurezza HTTP sono una misura di sicurezza che consente al server del tuo sito web di prevenire alcune minacce di sicurezza comuni prima che possano influire sul tuo sito web.
Quando un utente visita il tuo sito web WordPress, il tuo web server invia una risposta di intestazione HTTP al suo browser. Questa risposta informa i browser sui codici di errore, il controllo della cache e altri stati.
La normale risposta di intestazione emette uno stato chiamato HTTP 200. Dopodiché, il tuo sito web viene caricato nel browser dell'utente. Tuttavia, se il tuo sito web sta riscontrando difficoltà, il tuo web server potrebbe inviare un'intestazione HTTP diversa.
Ad esempio, potrebbe inviare un codice di errore interno del server 500 o un codice di errore non trovato 404.
Gli header di sicurezza HTTP sono un sottoinsieme di questi header. Vengono utilizzati per proteggere i siti web da minacce comuni come il click-jacking, gli attacchi di cross-site scripting, gli attacchi brute force e altro ancora.
Diamo una rapida occhiata ad alcuni header di sicurezza HTTP e a come proteggono il tuo sito WordPress:
- HTTP Strict Transport Security (HSTS) indica ai browser web che il tuo sito web utilizza HTTPS e non dovrebbe essere caricato utilizzando un protocollo insicuro come HTTP.
- X-XSS Protection ti consente di bloccare il caricamento di script cross-site.
- X-Frame-Options impedisce iframe cross-domain o click-jacking.
- X-Content-Type-Options X-Content-Type-Options blocca il rilevamento del tipo MIME del contenuto.
Gli header di sicurezza HTTP funzionano al meglio quando sono impostati a livello di web server, il che significa il tuo account di hosting WordPress. Ciò consente loro di essere attivati presto durante una tipica richiesta HTTP e di fornire il massimo beneficio.
Funzionano ancora meglio se stai utilizzando un firewall per applicazioni web a livello DNS come firewall per applicazioni web come Sucuri o Cloudflare.
Detto questo, diamo un'occhiata a come aggiungere facilmente intestazioni di sicurezza HTTP in WordPress. Ecco collegamenti rapidi a diversi metodi in modo da poter passare a quello che fa per te:
- Aggiungere intestazioni di sicurezza HTTP in WordPress utilizzando Sucuri
- Aggiungere intestazioni di sicurezza HTTP in WordPress utilizzando Cloudflare
- Aggiungere intestazioni di sicurezza HTTP in WordPress utilizzando .htaccess
- Aggiungere intestazioni di sicurezza HTTP in WordPress utilizzando AIOSEO
- Come controllare le intestazioni di sicurezza HTTP per un sito web
- Guide Esperte sulla Sicurezza di WordPress
1. Aggiungere intestazioni di sicurezza HTTP in WordPress utilizzando Sucuri
Sucuri è uno dei migliori plugin di sicurezza per WordPress sul mercato. Se stai utilizzando il loro servizio di firewall per siti web, puoi impostare le intestazioni di sicurezza HTTP senza scrivere codice.
Per prima cosa, dovrai iscriverti a un account Sucuri. È un servizio a pagamento che include un firewall per siti web a livello di server, un plugin di sicurezza, CDN e garanzia di rimozione malware.
Durante l'iscrizione, dovrai rispondere a semplici domande e la documentazione di Sucuri ti aiuterà a configurare il firewall per applicazioni web sul tuo sito.
Dopo esserti iscritto, devi installare e attivare il plugin Sucuri gratuito. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin WordPress.
Dopo l'attivazione, devi andare su Sucuri Security » Firewall (WAF) e inserire la tua chiave API del Firewall. Puoi trovare queste informazioni nel tuo account sul sito web di Sucuri.
Dopodiché, dovrai fare clic sul pulsante verde 'Salva' per memorizzare le tue modifiche.
Successivamente, devi passare alla dashboard del tuo account Sucuri. Da qui, fai clic sul menu 'Impostazioni' in alto e poi passa alla scheda 'Sicurezza'.
Da qui, puoi scegliere tre set di regole. La protezione predefinita funzionerà bene per la maggior parte dei siti web.
Se hai un piano Professional o Business, hai anche opzioni per HSTS e HSTS Full. Puoi vedere quali header di sicurezza HTTP verranno applicati per ciascun set di regole.
Devi fare clic sul pulsante 'Salva modifiche nelle intestazioni aggiuntive' per applicare le tue modifiche.
Sucuri aggiungerà ora gli header di sicurezza HTTP selezionati in WordPress. Poiché si tratta di un WAF a livello DNS, il traffico del tuo sito web è protetto dagli hacker ancora prima che raggiunga il tuo sito.
2. Aggiungere intestazioni di sicurezza HTTP in WordPress utilizzando Cloudflare
Cloudflare offre un firewall di base gratuito per siti web e un servizio CDN. Nel suo piano gratuito mancano funzionalità di sicurezza avanzate, quindi dovrai passare al suo piano Pro, che è più costoso.
Puoi imparare come aggiungere Cloudflare al tuo sito web seguendo il nostro tutorial su come configurare la CDN gratuita Cloudflare in WordPress.
Una volta che Cloudflare è attivo sul tuo sito web, devi andare alla pagina SSL/TLS nella dashboard del tuo account Cloudflare e quindi passare alla scheda 'Edge Certificates'.
Ora, scorri verso il basso fino alla sezione 'HTTP Strict Transport Security (HSTS)'.
Una volta trovata, devi fare clic sul pulsante 'Abilita HSTS'.
Questo aprirà un popup con istruzioni che ti dicono che devi avere HTTPS abilitato sul tuo sito web prima di utilizzare questa funzionalità.
Se il tuo blog WordPress ha già una connessione HTTPS sicura, allora puoi fare clic sul pulsante 'Avanti' per continuare. Vedrai le opzioni per aggiungere intestazioni di sicurezza HTTP.
Da qui, puoi abilitare HSTS, applicare HSTS ai sottodomini (se i sottodomini utilizzano HTTPS), precaricare HSTS e abilitare l'intestazione no-sniff.
Questo metodo fornisce una protezione di base utilizzando intestazioni di sicurezza HTTP. Tuttavia, non ti consente di aggiungere X-Frame-Options e Cloudflare non ha un'interfaccia utente per farlo.
Puoi ancora farlo creando uno script utilizzando la funzionalità Cloudflare Workers. Tuttavia, non lo consigliamo perché la creazione di uno script di intestazione di sicurezza HTTPS potrebbe causare problemi imprevisti per i principianti.
3. Aggiungere intestazioni di sicurezza HTTP in WordPress utilizzando .htaccess
Questo metodo ti consente di impostare le intestazioni di sicurezza HTTP in WordPress a livello di server.
Richiede la modifica del file .htaccess sul tuo sito web. Questo file di configurazione del server è utilizzato dal software del webserver Apache più comunemente utilizzato.
Nota: Prima di apportare qualsiasi modifica ai file sul tuo sito web, ti consigliamo di effettuare un backup.
Successivamente, connettiti semplicemente al tuo sito web utilizzando un client FTP o il file manager nel pannello di controllo del tuo hosting web. Nella cartella principale del tuo sito web, devi trovare il file .htaccess e modificarlo.
Questo aprirà il file in un editor di testo semplice. In fondo al file, puoi aggiungere del codice per aggiungere intestazioni di sicurezza HTTPS al tuo sito web WordPress.
Puoi utilizzare il seguente codice di esempio come punto di partenza. Imposta le intestazioni di sicurezza HTTP più comunemente utilizzate con impostazioni ottimali:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
Non dimenticare di salvare le modifiche e visitare il tuo sito web per assicurarti che tutto funzioni come previsto.
Nota: Fai attenzione quando modifichi il codice sul tuo sito web. Intestazioni errate o conflitti nel file .htaccess potrebbero causare l'errore del server interno 500.
4. Aggiungere intestazioni di sicurezza HTTP in WordPress utilizzando AIOSEO
All in One SEO (AIOSEO) è il miglior strumento SEO per WordPress e è fidato da oltre 3 milioni di aziende. Il plugin premium ti consente di aggiungere facilmente intestazioni di sicurezza HTTP al tuo sito web.
La prima cosa che dovrai fare è installare e attivare il plugin AIOSEO sul tuo sito web. Puoi saperne di più nella nostra guida passo passo su come configurare All in One SEO per WordPress.
Devi quindi recarti alla pagina All in One SEO » Redirects per aggiungere gli header di sicurezza HTTP. Per prima cosa, dovrai fare clic sul pulsante ‘Attiva Redirect’ per abilitare la funzionalità.
Una volta abilitati i redirect, devi fare clic sulla scheda ‘Reindirizzamento sito completo’ e quindi scorrere fino alla sezione ‘Impostazioni canoniche’.
Abilita semplicemente l'interruttore ‘Impostazioni canoniche’ e quindi fai clic sul pulsante ‘Aggiungi preset di sicurezza’.
Vedrai un elenco predefinito di header di sicurezza HTTP apparire nella tabella.
Questi header sono ottimizzati per la sicurezza del sito web. Puoi rivederli e modificarli se necessario.
Assicurati di fare clic sul pulsante ‘Salva modifiche’ in alto o in basso nella schermata per memorizzare gli header di sicurezza.
Ora puoi visitare il tuo sito web per assicurarti che tutto funzioni correttamente.
Come controllare le intestazioni di sicurezza HTTP per un sito web
Ora che hai aggiunto gli header di sicurezza HTTP al tuo sito web, puoi testare la tua configurazione utilizzando lo strumento gratuito Security Headers.
Inserisci semplicemente l'URL del tuo sito web e fai clic sul pulsante ‘Scan’.
Verranno quindi controllati gli header di sicurezza HTTP per il tuo sito web e ti verrà mostrato un report. Lo strumento genererà anche un cosiddetto punteggio, che puoi ignorare poiché la maggior parte dei siti web otterrà un punteggio B o C senza influire sull'esperienza utente.
Ti mostrerà quali header di sicurezza HTTP vengono inviati dal tuo sito web e quali non sono inclusi. Se gli header di sicurezza che volevi configurare sono elencati lì, allora hai finito.
Guide Esperte sulla Sicurezza di WordPress
Speriamo che questo articolo ti abbia aiutato a imparare come aggiungere header di sicurezza HTTP in WordPress. Potresti anche voler consultare altre guide relative al miglioramento della sicurezza del tuo sito web WordPress:
- La guida definitiva alla sicurezza di WordPress (Passo dopo passo)
- Come eseguire un audit di sicurezza di WordPress (checklist completa)
- Come ottenere un certificato SSL gratuito per il tuo sito WordPress (Guida per principianti)
- Motivi principali per cui i siti WordPress vengono compromessi (& come prevenirlo)
- Come cambiare il prefisso del database di WordPress per migliorare la sicurezza
- I migliori plugin di sicurezza WordPress per proteggere il tuo sito (confronto)
- I migliori scanner di sicurezza WordPress per rilevare malware e hack
- Come scansionare il tuo sito WordPress alla ricerca di codice potenzialmente dannoso
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Jiří Vaněk
Utilizzo CloudFlare da quando ho iniziato il mio blog, principalmente per la loro CDN e protezione DDoS. Avevo già configurato l'SSL con certificati sia sul mio server che su CloudFlare. Tuttavia, c'erano alcune impostazioni di sicurezza che non conoscevo e che non avevo attivato per paura di compromettere la funzionalità del mio sito web. Questa era una di queste. Grazie a questo articolo, ho attivato la funzionalità e ora ne capisco molto meglio lo scopo. E naturalmente, il sito web non si è rotto; continua a funzionare benissimo. Sono felice di aver compiuto questo passo in più per la sicurezza. Quindi, grazie per questo articolo!
Holly Gough
Grato per queste informazioni. Indicazioni chiare, concise e facili da seguire. Ho passato più di un'ora a cercare di risolvere i problemi dell'intestazione. Grazie!
Supporto WPBeginner
Siamo lieti che la nostra guida ti sia stata d'aiuto!
Amministratore
Valerie
Grazie. Informazioni solide come sempre. Grazie per il tuo aiuto, ha funzionato perfettamente.
Supporto WPBeginner
Prego, sono contento che la nostra guida sia stata utile!
Amministratore
Katrin
Dove nel file .htacces devo inserire il codice? sopra, tra # BEGIN WordPress o dopo # END WordPress?
Supporto WPBeginner
You would want to put code between the begin and end WordPress
Amministratore
Michelangelo
Grazie mille per questo articolo! Ha aiutato moltissimo.
I wish you the best and that your sleeves never slip during dishwashing
Supporto WPBeginner
Siamo contenti che il nostro articolo sia stato utile!
Amministratore
Karma Tsheten
Ha funzionato per me, ma ha anche distrutto il mio design. ogni volta che aggiungo un header di sicurezza, il design si rovina, qualche aiuto?
Supporto WPBeginner
Sembra che il tuo tema possa avere un conflitto per qualche motivo. Ti consigliamo di contattare il supporto del tuo tema per vedere se riescono a individuare la causa del problema.
Amministratore
Nigel Mcilwaine
Ciao,
Sfortunatamente non ha funzionato per me, anche dopo aver cancellato la cache. Il sito è su un server Apache, l'hosting condiviso influenzerà il successo?
Saluti
Supporto WPBeginner
Probabilmente dovresti verificare con il tuo provider di hosting per assicurarti che non abbiano una cache o una regola dalla loro parte che potrebbe causare problemi con il tuo header di sicurezza.
Amministratore
Neil Cheesman
Ciao
Ho aggiunto il codice al file .htaccess ma non ha fatto alcuna differenza... il sito web reindirizza correttamente da HTTP a https ma durante il test ricevo ancora il messaggio "Impossibile trovare l'intestazione HSTS
nelle intestazioni di risposta."
Supporto WPBeginner
Non dimenticare di svuotare la cache del tuo sito, poiché questo è il motivo più comune per quell'errore specifico dopo aver aggiunto il codice al tuo htaccess.
Amministratore
ed thomas
non ha funzionato. ho ancora:
Il tuo sito web non invia tutte le intestazioni di sicurezza consigliate.
X-Content Type Options
X-Frame-Options
Permissions-Policy
Supporto WPBeginner
Potresti voler controllare la tua cache, poiché è il motivo più comune per cui non si aggiorna. Se svuoti la cache del tuo sito, questo dovrebbe consentire di trovare i tuoi header.
Amministratore
Mark Downing
Grazie per l'articolo molto utile. Il nostro sito è passato da una "F" a una "B" senza intoppi dopo che ho incollato il tuo snippet di codice in .htaccess.
Supporto WPBeginner
Glad our recommendation was helpful
Amministratore