Vorresti aumentare la sicurezza del tuo sito WordPress? Come modificare le intestazioni HTTP di sicurezza su WordPress? Leggi qui.
Indice della guida:
Come modificare le intestazioni HTTP di sicurezza su WordPress
Aumentare la sicurezza del proprio sito internet è sicuramente una operazione fondamentale da effettuare per dormire sonni tranquilli anche quando non abbiamo le nostre pagine web sottomano. Su WordPress molti strumenti ci vengono incontro per questo e sicuramente una delle funzioni più richieste dall’utenza media-avanzata è quella di modificare le intestazioni di sicurezza del proprio sito per aumentare la protezione e diminuire gli attacchi da parte dei malintenzionati. Con poche accortezze potrai svolgere operazioni complesse come nascondere la versione PHP e rimuovere la versione WordPress dall’header oppure svolgere operazioni sulla Content-Security Policy, la X-XSS-Protection, la Strict-Transport-Security, le X-Frame-Options, i Public-Key-Pins, la X-Content-Type etc. Questi strumenti sono ottimi per superare con successo alcuni “standard dei livelli di sicurezza” del proprio sito WordPress (standard testabili, ad esempio, con gli strumenti gratuiti offerti da digitale.co o da securityheaders.io). Vediamo insieme come svolgere agevolmente il compito:
Come modificare le intestazioni HTTP di sicurezza con HTTP Headers
1) Installa il plugin “HTTP Headers“, se non sai come fare, clicca qui per scoprire come installare un plugin su WordPress.
2) Apri le impostazioni del nuovo plugin. Per farlo clicca su “Impostazioni”, quindi su “HTTP Headers” e infine su “Security”.
3) Attiva le impostazioni di tuo gradimento. Per un livello di sicurezza accettabile, ti basterà attivare le prime sei opzioni e la ottava della lista.
Su “X-Frame-Options” metti “On” e seleziona dal menù a colonna “SAMEORIGIN” (e non “DENY” o “ALLOW-FROM”).
Su “X-XSS-Protection” metti “On”.
Su “X-Content-Type-Options” metti “On”.
Su “Strict-Transport-Security” metti “On” e “30 days”.
Su “Referrer-Policy” seleziona “strict-origin-when-cross-origin”.
Su “Content-Security-Policy” seleziona “On”.
Su “Expect-CT” scegli “On” e “30 days”.
Con queste opzioni attive, su securityheaders.io si dovrebbe ottenere una valutazione di “B”.
Come modificare le intestazioni HTTP di sicurezza con HTTP headers to improve web site security
Il plugin HTTP headers to improve web site security è attualmente fuori dallo store ufficiale di WordPress e non è quindi più supportato. Quest parte della guida è tuttavia dedicata a coloro che sono rimasti affezionati a questo plugin e/o vogliono temporeggiare per passare a soluzioni ancora supportate dalla community. Mi raccomando, scegli solo uno dei tanti plugin per la sicurezza HTTP disponibili, altrimenti non potrai evitare i conflitti interni tra gli stessi! E ora cominciamo:
1) Apri il plugin “HTTP headers to improve web site security”.
2) Dalla “Bacheca” di WordPress, recati in “Impostazioni”, quindi clicca su “HTTP Security”. Si aprirà quindi la finestra di sicurezza dedicata.
3) Per aumentare la sicurezza del tuo sito, dalla schermata di “Opzioni Generali” (o “General options”) del plugin potrai attivare:
- La forzatura del protocollo HTTPS (o “Force HTTPS protocol”) e l’opzione per includere questa forzatura anche nei sottodomini (attiva “Include subdomains”). Vicino alla voce “Max age” (età/tempo massimo per far partire questa opzione) potrai impostare un valore a tua scelta per indicare i secondi (io ti consiglio “2592000”).
- L’opzione Expect-CT (o “Enable Expect-CT”) e vicino alla voce “Max age” (età/tempo massimo per far partire questa opzione) potrai impostare anche qui un valore a tua scelta per indicare i secondi (io ti consiglio “2592000”).
- L’impostazione “Gestisci la visualizzazione in frame remoti” (o “Manage display in remote frames”) e potrai selezionare “NEGA” (o “DENY”) subito in basso.
- Alla voce “Referrer policy” potrai selezionare l’opzione “strict-origin-when-cross-origin” (o “origine rigorosa quando l’origine è incrociata”) per predisporre una referrer policy più sicura. In alternativa, qui potrai scegliere anche altri modi per gestire la Referrer policy.
- In “Altre opzioni” (o “Other options”) potrai inserire la spunta su ognuna delle voci presenti, cioè sia su “Forza protezione XSS” (o “Force XSS protection”), sia su “Disattiva lo sniffing dei contenuti” (o “Disable content sniffing”), sia su “Rimuovi informazioni PHP dall’intestazione HTTP” (o “Remove PHP version information from HTTP header”), sia su “Rimuovi sulla versione di WordPress dall’intestazione” (o “Remove WordPress version information from header”).
4) Una volta selezionate le opzioni di tuo interesse, clicca su “Salva le modifiche”. La procedura è conclusa. Ora il tuo sito è molto più al sicuro! Testa subito il grado di sicurezza con il sito gratuito securityheaders.io di Scott HelmeI! Clicca qui per accedere a questo sito oppure utilizza l’ottimo strumento completamente in italiano di controllo sicurezza messo a disposizione da digitale.co Se hai attivato tutte le opzioni, ora dovresti avere un grado “B” di sicurezza, il che è molto buono (prima della procedura, il grado è “D” critico).
Per raggiungere i gradi A e A+ nei livelli di sicurezza è necessario impostare al meglio la “Content-Security” e la “Policy Permissions-Policy” (le uniche 2 voce rimaste “rosse/critiche” sui test di sicurezza). Queste operazioni sono più difficili e per svolgerle agevolmente sono richieste delle competenze avanzate e specifiche. Tuttavia, per un ottimo sito internet il grado di sicurezza “B” è molto buono e ti consiglio di fermarti qui se non hai competenze di programmazione. Ti basti pensare che siti dai milioni di visite hanno un grado “C” o “D”. Fai dei test per scoprirlo! Provare per credere!
Alcuni chiarimenti necessari
Il tipo di modifiche che apporterai con i plugin descritti in questa guida, riguarderà diverse funzionalità del tuo sito internet.
In ultima analisi, è importante ricordare che quando si aggiornano le intestazioni di sicurezza HTTP, si potrebbero avere problemi con i sottodomini di WordPress, con le anteprime dei post sui social network, e con alcune componenti avanzate del sito. Dunque, per svariati motivi tecnici, queste ed altre operazioni simili (come la messa in sicurezza del database tramite “cambio di nome”) sono consigliate, lo ricordiamo, soprattutto ad utenti più esperti. Inoltre, plugin o altre funzionalità del sito potrebbero andare in conflitto con queste impostazioni di sicurezza. Cito qui, a titolo esemplificativo, il noto plugin Elementor, il quale solitamente non funziona con “HTTP headers to improve web site security” attivo. Per ovviare a questo spiacevole inconveniente, ti basterà disattivare quest’ultimo plugin ogni volta che dovrai creare una pagina o apportare modifiche al sito con Elementor oppure ogni volta che un plugin che utilizzi avrà a che fare con le impostazioni che “HTTP headers to improve web site security” andrà a modificare. Svolgi quindi le tue operazioni e una volta finito il lavoro riattiva questo plugin.