Really Simple SSL: Hardening degli Header di Sicurezza
Il certificato SSL è solo la base della sicurezza di un sito WordPress. Per una protezione completa, è necessario configurare correttamente gli header di sicurezza HTTP, un insieme di direttive che il server invia al browser per istruirlo su come comportarsi. Really Simple SSL, soprattutto nella versione Pro, offre un’interfaccia intuitiva per configurare questi header senza dover modificare manualmente i file del server. Vediamo nel dettaglio ogni header e come configurarlo.
Cosa Sono gli Header di Sicurezza
Gli header HTTP sono metadati inviati dal server insieme alla pagina web. Gli header di sicurezza sono un sottoinsieme specifico che istruisce il browser su come gestire il contenuto della pagina, quali risorse caricare, come gestire i cookie e molto altro. Senza questi header, il browser utilizza le sue impostazioni predefinite, che spesso sono troppo permissive.
Configurare correttamente gli header di sicurezza è una delle pratiche più efficaci per proteggere un sito WordPress da attacchi come XSS (Cross-Site Scripting), clickjacking, MIME sniffing e injection di codice. Strumenti come SecurityHeaders.com permettono di verificare quali header sono configurati sul tuo sito e assegnano un voto da F (pessimo) ad A+ (ottimo).
X-Content-Type-Options
Questo header previene il cosiddetto MIME sniffing, una tecnica in cui il browser cerca di indovinare il tipo di contenuto di un file ignorando il Content-Type dichiarato dal server. Un attaccante potrebbe sfruttare questa caratteristica per far eseguire codice JavaScript mascherato da immagine o file di testo.
La configurazione è semplice: l’unico valore possibile è nosniff. In Really Simple SSL, questa opzione è generalmente attivabile con un semplice toggle nella sezione dedicata agli header di sicurezza.
Quando questo header è attivo, il browser rifiuterà di caricare risorse il cui tipo MIME non corrisponde a quello dichiarato. Ad esempio, se un file CSS viene servito con Content-Type “text/html”, il browser non lo caricherà, prevenendo potenziali attacchi di injection.
X-Frame-Options
L’header X-Frame-Options protegge il tuo sito dal clickjacking, un attacco in cui il tuo sito viene caricato all’interno di un iframe su un sito malevolo. L’attaccante sovrappone elementi invisibili al tuo sito, inducendo l’utente a cliccare su pulsanti o link senza saperlo.
I valori possibili sono:
- DENY: impedisce al sito di essere caricato in qualsiasi iframe. È l’opzione più sicura ma potrebbe interferire con alcuni plugin o servizi che utilizzano iframe (ad esempio, alcuni editor visuali o widget di terze parti).
- SAMEORIGIN: permette al sito di essere caricato in iframe solo da pagine dello stesso dominio. È il valore consigliato per la maggior parte dei siti WordPress, perché non interferisce con le funzionalità native di WordPress come l’anteprima nel customizer.
In Really Simple SSL, puoi selezionare il valore desiderato dalla dashboard. Se usi Elementor, WPBakery o altri page builder, assicurati di testare che l’editor funzioni correttamente dopo l’attivazione, poiché alcuni builder utilizzano iframe per l’anteprima.
X-XSS-Protection
Questo header attivava il filtro XSS integrato nei browser più datati. Il valore tipico era 1; mode=block, che istruiva il browser a bloccare la pagina se veniva rilevato un tentativo di XSS riflesso.
È importante sapere che questo header è considerato deprecato nei browser moderni. Chrome lo ha rimosso nel 2019, e gli altri browser hanno seguito. La protezione contro XSS è ora gestita dalla Content Security Policy (CSP), molto più potente e flessibile. Tuttavia, per compatibilità con browser più vecchi, molti consigliano ancora di impostarlo.
Referrer-Policy
L’header Referrer-Policy controlla quante informazioni sul referrer (la pagina da cui proviene l’utente) vengono inviate quando l’utente clicca un link verso un altro sito. Senza questo header, il browser invia l’URL completo della pagina di provenienza, che potrebbe contenere informazioni sensibili (parametri di ricerca, ID di sessione in URL, ecc.).
I valori più comuni sono:
- no-referrer: non invia mai informazioni sul referrer. Massima privacy ma può interferire con l’analisi del traffico.
- strict-origin-when-cross-origin: invia l’URL completo per navigazione all’interno dello stesso sito, solo l’origine (dominio) per navigazione verso altri siti HTTPS, e nulla per navigazione verso siti HTTP. È il valore consigliato come miglior compromesso tra privacy e funzionalità.
- no-referrer-when-downgrade: invia il referrer completo per navigazione HTTPS→HTTPS, nulla per HTTPS→HTTP. Era il comportamento predefinito dei browser fino a poco tempo fa.
Really Simple SSL permette di selezionare la policy desiderata dalla sua interfaccia, senza dover modificare file di configurazione del server.
Permissions-Policy (ex Feature-Policy)
L’header Permissions-Policy (precedentemente noto come Feature-Policy) controlla quali API del browser il tuo sito può utilizzare. Può disabilitare funzionalità come la geolocalizzazione, la fotocamera, il microfono, il pagamento automatico e altre API potenzialmente sensibili.
Ad esempio, se il tuo sito WordPress non utilizza la geolocalizzazione né la fotocamera, puoi disabilitare queste API per prevenire che script di terze parti (come widget o tag di tracciamento) le utilizzino senza il tuo consenso:
Permissions-Policy: geolocation=(), camera=(), microphone=(), payment=()
I valori tra parentesi indicano quali origini possono utilizzare ciascuna funzionalità. Le parentesi vuote () significano “nessuno”, ovvero la funzionalità è completamente disabilitata.
In Really Simple SSL Pro, puoi configurare granularmente ogni permesso, scegliendo per ciascuna API se permetterla al tuo sito, a siti specifici o bloccarla completamente.
Cross-Origin Headers
Un gruppo di header relativamente recenti riguarda l’isolamento cross-origin:
Cross-Origin-Embedder-Policy (COEP): controlla se il documento può caricare risorse cross-origin. Il valore require-corp richiede che tutte le risorse cross-origin abbiano header CORP appropriati.
Cross-Origin-Opener-Policy (COOP): isola il contesto di navigazione del tuo sito, impedendo che altre pagine possano accedere al suo oggetto window. Il valore same-origin garantisce l’isolamento completo.
Cross-Origin-Resource-Policy (CORP): protegge le tue risorse dall’essere caricate da altri siti. Utile per prevenire il “hot-linking” di immagini e script.
Questi header sono importanti per abilitare funzionalità avanzate come SharedArrayBuffer, necessario per alcune applicazioni web complesse, ma il loro principale beneficio per un sito WordPress è l’isolamento di sicurezza che forniscono.
Come Verificare gli Header di Sicurezza
Dopo aver configurato gli header in Really Simple SSL, verifica che siano effettivamente inviati dal server:
SecurityHeaders.com: inserisci l’URL del tuo sito e ottieni un’analisi dettagliata di tutti gli header di sicurezza, con un voto complessivo e consigli per il miglioramento.
Strumenti per sviluppatori del browser: apri la tab “Network”, carica la pagina e clicca sulla prima richiesta (il documento HTML). Nella sezione “Response Headers” puoi vedere tutti gli header inviati dal server.
cURL da terminale: con il comando curl -I https://tuodominio.it puoi visualizzare rapidamente gli header di risposta del server.
Header Implementati a Livello Server vs Plugin
Un aspetto importante da considerare è dove vengono configurati gli header. Really Simple SSL li configura a livello di WordPress (tramite la funzione PHP header() o tramite regole .htaccess). Tuttavia, gli header possono essere configurati anche direttamente nel server web (Apache, Nginx, LiteSpeed).
La configurazione a livello di server è generalmente preferibile per le prestazioni, perché gli header vengono aggiunti senza caricare PHP e WordPress. Tuttavia, la configurazione tramite Really Simple SSL ha il vantaggio di essere più semplice da gestire e non richiede accesso al file di configurazione del server.
Se hai accesso alla configurazione del server (ad esempio con un hosting dedicato), potresti considerare di configurare gli header critici direttamente nel server e utilizzare Really Simple SSL per gestire quelli più dinamici.
Header e Compatibilità con Plugin WordPress
Alcuni header di sicurezza possono interferire con il funzionamento di plugin WordPress. Ecco le situazioni più comuni:
X-Frame-Options e page builder: editor come Elementor e Divi utilizzano iframe per l’anteprima. Se imposti X-Frame-Options su DENY, l’editor potrebbe non funzionare. La soluzione è usare SAMEORIGIN.
CSP e plugin con inline script: molti plugin WordPress inseriscono JavaScript inline nelle pagine. Una Content Security Policy restrittiva potrebbe bloccarlo. Questo è un argomento complesso che trattiamo nell’articolo dedicato alla CSP.
COEP e risorse esterne: se il tuo sito carica font da Google Fonts, script da CDN o immagini da servizi esterni, COEP potrebbe bloccarli se non hanno gli header CORP appropriati. Testa attentamente prima di attivare COEP in produzione.
Punteggio di Sicurezza e Best Practice
Really Simple SSL mostra un punteggio di sicurezza nella sua dashboard che tiene conto degli header configurati. Per ottenere un punteggio elevato, ecco la configurazione minima consigliata:
- X-Content-Type-Options: nosniff
- X-Frame-Options: SAMEORIGIN
- Referrer-Policy: strict-origin-when-cross-origin
- Permissions-Policy: configurazione personalizzata
- HSTS: attivo con max-age di almeno 1 anno (trattato nell’articolo dedicato)
- CSP: policy personalizzata (trattata nell’articolo dedicato)
Non tutti gli header devono essere attivati contemporaneamente. Procedi gradualmente, testando ogni header prima di passare al successivo. Questo approccio incrementale riduce il rischio di rompere funzionalità del sito.
Conclusioni
Gli header di sicurezza sono una delle misure più efficaci e sottovalutate per proteggere un sito WordPress. Really Simple SSL offre un’interfaccia accessibile per configurarli anche senza competenze tecniche avanzate, ma è fondamentale comprendere cosa fa ogni header per evitare problemi di compatibilità e garantire la massima protezione.
Se hai bisogno di una configurazione personalizzata degli header di sicurezza per il tuo sito WordPress, contatta il team di G Tech Group. Analizzeremo il tuo sito e configureremo gli header ottimali per le tue esigenze specifiche.
Leggi anche gli altri articoli della serie Really Simple SSL
- Really Simple SSL Pro: Content Security Policy per WordPress
- Configurare HSTS con Really Simple SSL: HTTP Strict Transport Security
- Really Simple SSL: Vulnerability Detection e Server Health Check
- Really Simple SSL Free vs Pro: Confronto Funzionalità e Prezzi 2026
- Come Installare e Configurare Really Simple SSL su WordPress
La sicurezza del tuo sito WordPress inizia dall’infrastruttura. Un hosting WordPress professionale con header di sicurezza preconfigurati a livello server, firewall applicativo e monitoraggio proattivo è la base su cui costruire un sito veramente sicuro.
Migliora il Tuo Sito WordPress
Scopri le nostre guide complete sugli altri plugin essenziali per WordPress: