Aggiunta di intestazioni di sicurezza HTTP in WordPress
Tempo di lettura: 8 minuti

Vuoi aggiungere intestazioni di sicurezza HTTP in WordPress?

Le intestazioni di sicurezza HTTP ti consentono di aggiungere un ulteriore livello di sicurezza al tuo sito Web WordPress. Possono aiutare a impedire che attività dannose comuni influiscano sulle prestazioni del tuo sito web.

In questa guida per principianti, ti mostreremo come aggiungere facilmente intestazioni di sicurezza HTTP in WordPress.

Cosa sono le intestazioni di sicurezza HTTP?

Le intestazioni di sicurezza HTTP sono una misura di sicurezza che consente al server del tuo sito web di prevenire alcune comuni minacce alla sicurezza prima che influisca sul tuo sito web.

Fondamentalmente, quando un utente visita il tuo sito web, il tuo server web invia una risposta di intestazione HTTP al proprio browser. Questa risposta comunica ai browser i codici di errore, il controllo della cache e altri stati.

La normale risposta dell'intestazione emette uno stato chiamato HTTP 200. Dopodiché il tuo sito web viene caricato nel browser dell'utente. Tuttavia, se il tuo sito web ha difficoltà, il tuo server web potrebbe inviare un'intestazione HTTP diversa.

Ad esempio, potrebbe inviare un file 500 errore interno del servero un file errore 404 non trovato codice.

Le intestazioni di sicurezza HTTP sono un sottoinsieme di queste intestazioni e vengono utilizzate per impedire ai siti Web minacce comuni come il click-jacking, lo scripting intersito, attacchi di forza brutae altro ancora.

Diamo una rapida occhiata all'aspetto delle intestazioni di sicurezza HTTP e a cosa fanno per proteggere il tuo sito web.

HTTP Strict Transport Security (HSTS)

L'intestazione HTTP Strict Transport Security (HSTS) comunica ai browser Web che il tuo sito Web utilizza HTTP e non deve essere caricato utilizzando un protocollo non sicuro come HTTP.

Se hai spostato il tuo file Sito Web WordPress da HTTP a HTTP, quindi questa intestazione di sicurezza ti consente di impedire ai browser di caricare il tuo sito Web su HTTP.

Protezione X-XSS

L'intestazione X-XSS Protection ti consente di bloccare il caricamento di scripting cross-site sul tuo file Sito Web WordPress.

Opzioni X-Frame

L'intestazione di sicurezza X-Frame-Options impedisce iframe interdominio o click-jacking.

Opzioni del tipo di contenuto X

X-Content-Type-Options blocca lo sniffing del tipo MIME del contenuto.

Detto questo, diamo un'occhiata a come aggiungere facilmente intestazioni di sicurezza HTTP in WordPress.

Aggiunta di intestazioni di sicurezza HTTP in WordPress

Le intestazioni di sicurezza HTTP funzionano meglio quando sono impostate a livello di server web (ad esempio il tuo file Hosting WordPress account). Ciò consente loro di essere attivati ​​nelle prime fasi durante una tipica richiesta HTTP e offre il massimo vantaggio.

Funzionano ancora meglio se utilizzi un livello DNS firewall dell'applicazione del sito Web come Sucuri o Cloudflare. Ti mostreremo ogni metodo e potrai scegliere quello che funziona meglio per te.

Qui ci sono collegamenti rapidi a diversi metodi, puoi passare a quello che fa per te.

1. Aggiunta di intestazioni di sicurezza HTTP in WordPress utilizzando Sucuri

Sucuri è il miglior plugin per la sicurezza di WordPress sul mercato. Se stai utilizzando anche il servizio firewall del loro sito web, puoi impostare le intestazioni di sicurezza HTTP senza scrivere alcun codice.

Innanzitutto, dovrai registrarti per un file Sucuri account. È un servizio a pagamento che viene fornito con un firewall per siti Web a livello di server, plug-in di sicurezza, CDN e garanzia di rimozione del malware.

Durante la registrazione, risponderai a semplici domande e la documentazione di Sucuri ti aiuterà a configurare il firewall dell'applicazione del sito web sul tuo sito web.

Dopo la registrazione, è necessario installare e attivare il programma gratuito Plugin Sucuri. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin per WordPress.

Dopo l'attivazione, vai a Sucuri Security »Firewall (WAF) pagina e inserisci la tua chiave API del firewall. Puoi trovare queste informazioni nel tuo account su Sucuri sito web.

Chiave API Sucuri WAF

Fare clic sul pulsante Salva per salvare le modifiche.

Successivamente, devi passare alla dashboard del tuo account Sucuri. Da qui, fai clic sul menu Impostazioni in alto e quindi passa alla scheda Sicurezza.

Impostazione delle intestazioni di sicurezza HTTP in Sucuri

Da qui puoi scegliere tre serie di regole. La protezione predefinita, HSTS e HSTS completo. Vedrai quali intestazioni di sicurezza HTTP verranno applicate per ogni set di regole.

Fare clic sul pulsante “Salva modifiche nelle intestazioni aggiuntive” per applicare le modifiche.

Questo è tutto, Sucuri ora aggiungerà le intestazioni di sicurezza HTTP selezionate in WordPress. Poiché si tratta di un WAF di livello DNS, il traffico del tuo sito web è protetto dagli hacker anche prima che raggiungano il tuo sito web.

2. Aggiunta di intestazioni di sicurezza HTTP in WordPress utilizzando Cloudflare

Cloudflare offre un firewall di base gratuito per il sito Web e un servizio CDN. Manca di funzionalità di sicurezza avanzate nel loro piano gratuito, quindi dovrai eseguire l'upgrade al loro piano Pro che sono più costosi.

Per aggiungere Cloudflare al tuo sito, guarda il nostro tutorial su come farlo aggiungi la CDN gratuita di Cloudflare in WordPress.

Una volta che Cloudflare è attivo sul tuo sito web, vai alla pagina SSL / TLS nella dashboard del tuo account Cloudflare, quindi passa alla scheda Certificati Edge.

Configurazione delle intestazioni di sicurezza HTTPS in Cloudflare

Ora scorri verso il basso fino alla sezione HTTP Strict Transport Security (HSTS) e fai clic sul pulsante “Abilita HSTS”.

Abilita HSTS su Cloudflare

Questo farà apparire un popup con le istruzioni che ti dicono che devi avere HTTPS abilitato sul tuo Blog di WordPress prima di utilizzare questa funzione. Fai clic sul pulsante Avanti per continuare e vedrai le opzioni per aggiungere le intestazioni di sicurezza HTTP.

Abilita le intestazioni di sicurezza HTTPS in Cloudflare

Da qui, puoi abilitare HSTS, intestazione no-sniff, applicare HSTS ai sottodomini (se utilizzano HTTPS) e precaricare HSTS.

Questo metodo fornisce una protezione di base utilizzando le intestazioni di sicurezza HTTP. Tuttavia, non ti consente di aggiungere X-Frame-Options e Cloudflare non ha un'interfaccia utente per farlo.

Puoi ancora farlo creando uno script utilizzando la funzione Lavoratori. Tuttavia, la creazione di uno script di intestazione di sicurezza HTTPS può causare problemi imprevisti per i principianti, motivo per cui non lo consigliamo.

3. Aggiunta di intestazioni di sicurezza HTTP in WordPress utilizzando .htaccess

Questo metodo consente di impostare le intestazioni di sicurezza HTTP in WordPress a livello di server.

Richiede di modificare il file file .htaccess sul tuo sito web. È un file di configurazione del server utilizzato dal software server web Apache più comunemente utilizzato.

Collegati semplicemente al tuo sito web utilizzando un client FTPo l'app di gestione file nel pannello di controllo dell'hosting. Nella cartella principale del tuo sito web, devi individuare il file .htaccess e modificarlo.

Modifica il file .htaccess in WordPress

Questo aprirà il file in un semplice editor di testo. Nella parte inferiore del file, puoi aggiungere il codice per aggiungere intestazioni di sicurezza HTTPS al tuo sito Web WordPress.

È possibile utilizzare il seguente codice di esempio come punto di partenza, imposta le intestazioni di sicurezza HTTP più comunemente utilizzate con impostazioni ottimali:


Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade

Non dimenticare di salvare le modifiche e di visitare il tuo sito web per assicurarti che tutto funzioni come previsto.

Nota: Potrebbero attivarsi intestazioni errate o conflitti nel file .htaccess 500 Errore interno del server sulla maggior parte degli host web.

4. Aggiunta di intestazioni di sicurezza HTTP in WordPress utilizzando Plugin

Questo metodo è un po 'meno efficace in quanto si basa su un plug-in di WordPress per modificare le intestazioni. Tuttavia, è anche il modo più semplice per aggiungere intestazioni di sicurezza HTTP al tuo sito Web WordPress.

Innanzitutto, è necessario installare e attivare il file Reindirizzamento collegare. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin per WordPress.

All'attivazione, il plug-in mostrerà una procedura guidata di configurazione che puoi semplicemente seguire per configurare il plug-in. Dopodiché, vai a Strumenti »Reindirizzamento pagina e passa alla scheda “Sito”.

Impostazioni del sito nel plug-in di reindirizzamento

Successivamente, è necessario scorrere fino alla fine della pagina fino alla sezione Intestazioni HTTP e fare clic sul pulsante “Aggiungi intestazione”. Dal menu a discesa, è necessario selezionare l'opzione “Aggiungi preimpostazioni di sicurezza”.

Aggiunta di preimpostazioni di intestazione utilizzando Reindirizzamento

Dopodiché, dovrai fare nuovamente clic su di esso per aggiungere quelle opzioni. Ora vedrai apparire un elenco preimpostato di intestazioni di sicurezza HTTP nella tabella.

Preimpostazioni dell'intestazione di sicurezza HTTP

Queste intestazioni sono ottimizzate per la sicurezza, puoi esaminarle e modificarle se necessario. Una volta terminato, non dimenticare di fare clic sul pulsante Aggiorna per salvare le modifiche.

Ora puoi visitare il tuo sito web per assicurarti che tutto funzioni correttamente.

Come controllare le intestazioni di sicurezza HTTP per un sito web

Ora che hai aggiunto le intestazioni di sicurezza HTTP al tuo sito web. Puoi testare la tua configurazione usando il free Intestazioni di sicurezza attrezzo. Inserisci semplicemente l'URL del tuo sito web e fai clic sul pulsante Scansione.

Controllo delle intestazioni di sicurezza di WordPress

Quindi controllerà le intestazioni di sicurezza HTTP per il tuo sito web e ti mostrerà un rapporto. Lo strumento genererebbe una cosiddetta etichetta di valutazione che è possibile ignorare poiché la maggior parte dei siti Web otterrebbe un punteggio B o C nella migliore delle ipotesi senza influire sull'esperienza dell'utente.

Ti mostrerà quali intestazioni di sicurezza HTTP vengono inviate dal tuo sito web e quali intestazioni di sicurezza non sono incluse. Se le intestazioni di sicurezza che volevi impostare sono elencate lì, hai finito.

Questo è tutto, speriamo che questo articolo ti abbia aiutato a imparare come aggiungere intestazioni di sicurezza HTTP in WordPress. Potresti anche voler vedere il nostro guida completa alla sicurezza di WordPresse la nostra scelta esperta di i migliori plugin per WordPress per i siti web aziendali.

Se ti è piaciuto questo articolo, iscriviti al nostro Canale Youtube per i tutorial video di WordPress. Puoi trovarci anche su Twitter e Facebook.

Il post Come aggiungere intestazioni di sicurezza HTTP in WordPress (Guida per principianti) è apparso per primo WPBeginner.



Source link

Web Designer Freelancer Realizzazione Siti Web Serra Simone

Realizzo siti web, portali ed e-commerce con focus specifici sull’usabilità, l’impatto grafico, una facile gestione e soprattutto in grado di produrre conversioni visitatore-cliente. Elaboro siti internet, seguendo gli standard Web garantendo la massima compatibilità con tutti i devices. Sviluppo e-commerce personalizzati, multilingua, geolocalizzati per potervi mettere nelle migliori condizioni di vendita. Posiziono il tuo sito su Google per dare maggiore visibilità alla tua attività sui motori di ricerca con SEO di base o avanzato.

Di Simone Serra

Web Designer Freelancer Realizzazione Siti Web Serra Simone Realizzo siti web, portali ed e-commerce con focus specifici sull’usabilità, l’impatto grafico, una facile gestione e soprattutto in grado di produrre conversioni visitatore-cliente. Elaboro siti internet, seguendo gli standard Web garantendo la massima compatibilità con tutti i devices. Sviluppo e-commerce personalizzati, multilingua, geolocalizzati per potervi mettere nelle migliori condizioni di vendita. Posiziono il tuo sito su Google per dare maggiore visibilità alla tua attività sui motori di ricerca con SEO di base o avanzato.