Come aggiungere intestazioni di sicurezza HTTP in WordPress

Pubblicato: 2021-04-20

Quando si tratta di progettare un sito Web WordPress, non c'è niente come essere troppo sicuri. Ogni livello di sicurezza è un'ulteriore garanzia che le informazioni tue e dei tuoi clienti rimarranno protette. Ma, purtroppo, alcune misure di sicurezza possono ostacolarti in diversi modi . Idealmente, vuoi aggiungere funzionalità di sicurezza extra al tuo sito Web senza compromettere l'esperienza dell'utente. E, a quanto pare, questo è esattamente ciò che offrono le intestazioni di sicurezza HTTP. Quindi, diamo un'occhiata più da vicino a come aggiungere intestazioni di sicurezza HTTP in WordPress.

Comprensione delle intestazioni di sicurezza HTTP

L'uso principale delle intestazioni di sicurezza HTTP è come avviso. Quando un visitatore arriva al tuo sito web, riceverà una risposta di intestazione HTTP dal tuo server . La risposta indicherà al browser se sono presenti codici di errore, controllo della cache e vari altri aspetti. Se tutto è a posto, la risposta dell'intestazione emetterà uno stato HTTP 200. Ricevendo questo, il browser dell'utente avrà una luce verde per caricare il tuo sito web. Ma, in caso di difficoltà, l'utente riceverà un'intestazione diversa. Esempi comuni sono 500 errori interni del server o un errore 404 non trovato.

404 scritto a blocchi.
L'errore 404 è abbastanza comune.

Le intestazioni di sicurezza HTTP sono un tipo di intestazione che il tuo server può inviare. Servono per avvisare i browser di scripting tra siti, attacchi di forza bruta, click-jacking e varie altre minacce alla sicurezza. I tipi più comuni di intestazioni di sicurezza HTTP sono:

  • HTTP Strict Transport Security (HSTS) – Questa intestazione informa il browser dell'utente che il tuo sito Web utilizza HTTPS.
  • Protezione X-XSS : questa intestazione blocca lo scripting tra siti.
  • X-Frame-Options – Questa intestazione impedisce il click-jacking e gli iframe tra domini.
  • X-Content-Type-Options – Questa intestazione blocca lo sniffing di tipo mime.

Come puoi vedere, le intestazioni di sicurezza possono svolgere un ruolo importante nella sicurezza del tuo sito web. Quindi, con questo fuori mano, vediamo un paio di modi in cui puoi incorporare le intestazioni di sicurezza HTTP nel tuo sito web.

Aggiungi intestazioni di sicurezza HTTP in WordPress

Il modo migliore per impostare le intestazioni di sicurezza HTTP è a livello di server web. In questo modo, ti assicurerai che vengano attivati ​​all'inizio di una richiesta HTTP e quindi fornirai la massima sicurezza. E non dovrai preoccuparti di farlo per diverse pagine di destinazione, poiché le intestazioni sono impostate a livello di server. L'altra opzione è quella di utilizzare un firewall per siti Web di livello DSN. L'installazione a questo livello è generalmente considerata più semplice, ma può essere problematica quando si tratta di misure di sicurezza. Tuttavia, esamineremo entrambi i metodi e come applicarli.

Utilizzo di un plugin per WordPress

Come nella maggior parte dei casi riguardanti WordPress, l'utilizzo di un plug-in è il modo più semplice per cambiare qualcosa. Fortunatamente, le intestazioni di sicurezza HTTP non fanno eccezione. La prima cosa da fare è installare il plugin Redirection. Dopo averlo installato e attivato, vedrai una procedura guidata di installazione. Segui semplicemente le sue istruzioni per configurarlo. Fatto ciò, vai alla pagina Strumenti -> Reindirizzamento e passa alla scheda "Sito". Lì devi scorrere verso il basso e fare clic su "Aggiungi intestazione". Nel menu a discesa che mostra puoi scegliere l'opzione "Aggiungi preimpostazioni di sicurezza". In questo modo, ti verrà presentato un elenco di intestazioni di sicurezza HTTP . Puoi quindi rivedere e modificare le intestazioni (se necessario) e infine implementarle sul tuo sito web. Ricordati solo di fare clic sul pulsante "Aggiorna" una volta terminato.

Scheda Sicurezza in WordPress.
Anche se dovresti aggiungere intestazioni di sicurezza HTTP in WordPress, sappi che avrai bisogno di altri plugin per proteggere il tuo sito web.

Usando .htaccess

Allontaniamoci ora dai plug-in comuni ed esploriamo alcuni metodi un po' più complicati. Il metodo seguente ti consentirà di impostare le intestazioni di sicurezza HTTP a livello di server. Vale a dire, quello che hai intenzione di fare è modificare il file .htaccess sul tuo sito web . Il software del server web Apache utilizza più comunemente questo file per la configurazione del server. Per modificarlo, puoi utilizzare un client FTP o andare al pannello di controllo dell'hosting e utilizzare l'app di gestione file . Troverai il file .htaccess nella cartella principale del tuo sito web. Una volta fatto, fai clic con il pulsante destro del mouse su di esso e seleziona Modifica.

In questo modo si aprirà l'editor di testo. In esso, devi scorrere verso il basso e aggiungere il codice che implementerà le intestazioni di sicurezza HTTP. C'è una certa varietà quando si tratta di quali intestazioni si desidera implementare. Pertanto, dovresti scavare un po' più a fondo per capire quali intestazioni sono più adatte a te . Il codice seguente è un buon punto di partenza in quanto contiene le intestazioni più comunemente utilizzate:

<ifModule mod_headers.c>
Set di intestazione Strict-Transport-Security “max-age=31536000” env=HTTPS
Set di intestazione Protezione X-XSS “1; modalità=blocco”
Set di intestazione X-Content-Type-Options nosniff
Set di intestazione X-Frame-Options DENY
Set di intestazione Referrer-Policy: no-referrer-when-downgrade
</ifModulo>

Ricordati solo di salvare le modifiche dopo aver copiato il codice.

Un laptop collegato a siti Web in vari paesi, che mostra la necessità di aggiungere intestazioni di sicurezza HTTP in WordPress.
Le misure di sicurezza a livello di server sono piuttosto difficili da battere.

Usando Cloudflare

Quando si tratta di gestire un sito Web, Cloudfare è uno strumento abbastanza decente. Usandolo avrai un firewall di base, più che sufficiente per proteggerti da bot e attacchi malware standard. E avrai un servizio CDN. Sfortunatamente, può essere un po' carente nella sua versione gratuita . Quindi, se alla fine ti piace, potresti dover optare per uno premium.

Un altro utilizzo di Cloudfare è che puoi aggiungere intestazioni di sicurezza HTTP in WordPress. Per farlo, devi prima installarlo e attivarlo. Una volta fatto, vai alla pagina SSL/TLS sotto il tuo account. Quindi dovrai passare alla scheda Certificati Edge. Ora dovrai scorrere verso il basso e aprire la sezione HSTS (HTTP Strict Transport Security). Ora procedi a fare clic sul pulsante Abilita HSTS. Qui ti verrà chiesto di abilitare HTTPS sul tuo blog WordPress. Una volta fatto, avrai accesso alle intestazioni di sicurezza HTTP.