Cosa Sono gli Header di Sicurezza<\/h3>\n
Gli header HTTP sono metadati inviati dal server insieme alla pagina web. Gli header di sicurezza sono un sottoinsieme specifico che istruisce il browser su come gestire il contenuto della pagina, quali risorse caricare, come gestire i cookie e molto altro. Senza questi header, il browser utilizza le sue impostazioni predefinite, che spesso sono troppo permissive.<\/p>\n
Configurare correttamente gli header di sicurezza \u00e8 una delle pratiche pi\u00f9 efficaci per proteggere un sito WordPress da attacchi come XSS (Cross-Site Scripting), clickjacking, MIME sniffing e injection di codice. Strumenti come SecurityHeaders.com<\/em> permettono di verificare quali header sono configurati sul tuo sito e assegnano un voto da F (pessimo) ad A+ (ottimo).<\/p>\n Questo header previene il cosiddetto MIME sniffing<\/em>, una tecnica in cui il browser cerca di indovinare il tipo di contenuto di un file ignorando il Content-Type dichiarato dal server. Un attaccante potrebbe sfruttare questa caratteristica per far eseguire codice JavaScript mascherato da immagine o file di testo.<\/p>\n La configurazione \u00e8 semplice: l’unico valore possibile \u00e8 Quando questo header \u00e8 attivo, il browser rifiuter\u00e0 di caricare risorse il cui tipo MIME non corrisponde a quello dichiarato. Ad esempio, se un file CSS viene servito con Content-Type “text\/html”, il browser non lo caricher\u00e0, prevenendo potenziali attacchi di injection.<\/p>\n L’header X-Frame-Options protegge il tuo sito dal clickjacking<\/strong>, un attacco in cui il tuo sito viene caricato all’interno di un iframe su un sito malevolo. L’attaccante sovrappone elementi invisibili al tuo sito, inducendo l’utente a cliccare su pulsanti o link senza saperlo.<\/p>\n I valori possibili sono:<\/p>\n In Really Simple SSL, puoi selezionare il valore desiderato dalla dashboard. Se usi Elementor, WPBakery o altri page builder, assicurati di testare che l’editor funzioni correttamente dopo l’attivazione, poich\u00e9 alcuni builder utilizzano iframe per l’anteprima.<\/p>\n Questo header attivava il filtro XSS integrato nei browser pi\u00f9 datati. Il valore tipico era \u00c8 importante sapere che questo header \u00e8 considerato deprecato<\/strong> nei browser moderni. Chrome lo ha rimosso nel 2019, e gli altri browser hanno seguito. La protezione contro XSS \u00e8 ora gestita dalla Content Security Policy (CSP), molto pi\u00f9 potente e flessibile. Tuttavia, per compatibilit\u00e0 con browser pi\u00f9 vecchi, molti consigliano ancora di impostarlo.<\/p>\n L’header Referrer-Policy controlla quante informazioni sul referrer (la pagina da cui proviene l’utente) vengono inviate quando l’utente clicca un link verso un altro sito. Senza questo header, il browser invia l’URL completo della pagina di provenienza, che potrebbe contenere informazioni sensibili (parametri di ricerca, ID di sessione in URL, ecc.).<\/p>\n I valori pi\u00f9 comuni sono:<\/p>\n Really Simple SSL permette di selezionare la policy desiderata dalla sua interfaccia, senza dover modificare file di configurazione del server.<\/p>\n L’header Permissions-Policy (precedentemente noto come Feature-Policy) controlla quali API del browser il tuo sito pu\u00f2 utilizzare. Pu\u00f2 disabilitare funzionalit\u00e0 come la geolocalizzazione, la fotocamera, il microfono, il pagamento automatico e altre API potenzialmente sensibili.<\/p>\n Ad esempio, se il tuo sito WordPress non utilizza la geolocalizzazione n\u00e9 la fotocamera, puoi disabilitare queste API per prevenire che script di terze parti (come widget o tag di tracciamento) le utilizzino senza il tuo consenso:<\/p>\n I valori tra parentesi indicano quali origini possono utilizzare ciascuna funzionalit\u00e0. Le parentesi vuote In Really Simple SSL Pro, puoi configurare granularmente ogni permesso, scegliendo per ciascuna API se permetterla al tuo sito, a siti specifici o bloccarla completamente.<\/p>\n Un gruppo di header relativamente recenti riguarda l’isolamento cross-origin:<\/p>\n Cross-Origin-Embedder-Policy (COEP)<\/strong>: controlla se il documento pu\u00f2 caricare risorse cross-origin. Il valore Cross-Origin-Opener-Policy (COOP)<\/strong>: isola il contesto di navigazione del tuo sito, impedendo che altre pagine possano accedere al suo oggetto window. Il valore Cross-Origin-Resource-Policy (CORP)<\/strong>: protegge le tue risorse dall’essere caricate da altri siti. Utile per prevenire il “hot-linking” di immagini e script.<\/p>\n Questi header sono importanti per abilitare funzionalit\u00e0 avanzate come Dopo aver configurato gli header in Really Simple SSL, verifica che siano effettivamente inviati dal server:<\/p>\n SecurityHeaders.com<\/strong>: inserisci l’URL del tuo sito e ottieni un’analisi dettagliata di tutti gli header di sicurezza, con un voto complessivo e consigli per il miglioramento.<\/p>\n Strumenti per sviluppatori del browser<\/strong>: apri la tab “Network”, carica la pagina e clicca sulla prima richiesta (il documento HTML). Nella sezione “Response Headers” puoi vedere tutti gli header inviati dal server.<\/p>\n cURL da terminale<\/strong>: con il comando Un aspetto importante da considerare \u00e8 dove<\/em> vengono configurati gli header. Really Simple SSL li configura a livello di WordPress (tramite la funzione PHP La configurazione a livello di server \u00e8 generalmente preferibile per le prestazioni, perch\u00e9 gli header vengono aggiunti senza caricare PHP e WordPress. Tuttavia, la configurazione tramite Really Simple SSL ha il vantaggio di essere pi\u00f9 semplice da gestire e non richiede accesso al file di configurazione del server.<\/p>\n Se hai accesso alla configurazione del server (ad esempio con un hosting dedicato<\/a>), potresti considerare di configurare gli header critici direttamente nel server e utilizzare Really Simple SSL per gestire quelli pi\u00f9 dinamici.<\/p>\n Alcuni header di sicurezza possono interferire con il funzionamento di plugin WordPress. Ecco le situazioni pi\u00f9 comuni:<\/p>\n X-Frame-Options e page builder<\/strong>: editor come Elementor e Divi utilizzano iframe per l’anteprima. Se imposti X-Frame-Options su DENY, l’editor potrebbe non funzionare. La soluzione \u00e8 usare SAMEORIGIN.<\/p>\n CSP e plugin con inline script<\/strong>: molti plugin WordPress inseriscono JavaScript inline nelle pagine. Una Content Security Policy restrittiva potrebbe bloccarlo. Questo \u00e8 un argomento complesso che trattiamo nell’articolo dedicato alla CSP.<\/p>\n COEP e risorse esterne<\/strong>: se il tuo sito carica font da Google Fonts, script da CDN o immagini da servizi esterni, COEP potrebbe bloccarli se non hanno gli header CORP appropriati. Testa attentamente prima di attivare COEP in produzione.<\/p>\n Really Simple SSL mostra un punteggio di sicurezza nella sua dashboard che tiene conto degli header configurati. Per ottenere un punteggio elevato, ecco la configurazione minima consigliata:<\/p>\n Non tutti gli header devono essere attivati contemporaneamente. Procedi gradualmente, testando ogni header prima di passare al successivo. Questo approccio incrementale riduce il rischio di rompere funzionalit\u00e0 del sito.<\/p>\n Gli header di sicurezza sono una delle misure pi\u00f9 efficaci e sottovalutate per proteggere un sito WordPress. Really Simple SSL offre un’interfaccia accessibile per configurarli anche senza competenze tecniche avanzate, ma \u00e8 fondamentale comprendere cosa fa ogni header per evitare problemi di compatibilit\u00e0 e garantire la massima protezione.<\/p>\n Se hai bisogno di una configurazione personalizzata degli header di sicurezza per il tuo sito WordPress, contatta il team di G Tech Group<\/a>. Analizzeremo il tuo sito e configureremo gli header ottimali per le tue esigenze specifiche.<\/p>\n La sicurezza del tuo sito WordPress inizia dall’infrastruttura. Un hosting WordPress professionale<\/a> con header di sicurezza preconfigurati a livello server, firewall applicativo e monitoraggio proattivo \u00e8 la base su cui costruire un sito veramente sicuro.<\/p>\n Scopri le nostre guide complete sugli altri plugin essenziali per WordPress:<\/p>\n Really Simple SSL: Hardening degli Header di Sicurezza Il certificato SSL \u00e8 solo la base della sicurezza di un sito WordPress. Per una protezione completa,…<\/p>\n","protected":false},"author":2,"featured_media":167200,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_titles_title":"Really Simple SSL: Hardening Header Sicurezza | Guida","_seopress_titles_desc":"Come configurare gli header di sicurezza con Really Simple SSL. HSTS, X-Frame-Options, CSP e Permissions-Policy.","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"","_seopress_social_fb_title":"","_seopress_social_fb_desc":"","_seopress_social_fb_img":"","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"","_seopress_social_twitter_desc":"","_seopress_social_twitter_img":"","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"","_seopress_redirections_param":"","_seopress_redirections_type":0,"_seopress_analysis_target_kw":"Really Simple SSL: Hardening","footnotes":""},"categories":[1,61],"tags":[3596,3594,3591,3593,3595],"class_list":["post-167234","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-senza-categoria","category-wordpress","tag-csp","tag-hsts","tag-really-simple-ssl","tag-security-headers","tag-x-frame"],"_links":{"self":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts\/167234","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/comments?post=167234"}],"version-history":[{"count":0,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts\/167234\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/media\/167200"}],"wp:attachment":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/media?parent=167234"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/categories?post=167234"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/tags?post=167234"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}X-Content-Type-Options<\/h3>\n
nosniff<\/code>. In Really Simple SSL, questa opzione \u00e8 generalmente attivabile con un semplice toggle nella sezione dedicata agli header di sicurezza.<\/p>\n![\"Configurazione](\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/rssl-02-settings.png\")
<\/p>\nX-Frame-Options<\/h3>\n
\n
X-XSS-Protection<\/h3>\n
1; mode=block<\/code>, che istruiva il browser a bloccare la pagina se veniva rilevato un tentativo di XSS riflesso.<\/p>\nReferrer-Policy<\/h3>\n
\n
![\"Hardening](\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/rssl-03-plugins.png\")
<\/p>\nPermissions-Policy (ex Feature-Policy)<\/h3>\n
Permissions-Policy: geolocation=(), camera=(), microphone=(), payment=()<\/code><\/p>\n()<\/code> significano “nessuno”, ovvero la funzionalit\u00e0 \u00e8 completamente disabilitata.<\/p>\nCross-Origin Headers<\/h3>\n
require-corp<\/code> richiede che tutte le risorse cross-origin abbiano header CORP appropriati.<\/p>\nsame-origin<\/code> garantisce l’isolamento completo.<\/p>\nSharedArrayBuffer<\/code>, necessario per alcune applicazioni web complesse, ma il loro principale beneficio per un sito WordPress \u00e8 l’isolamento di sicurezza che forniscono.<\/p>\nCome Verificare gli Header di Sicurezza<\/h3>\n
curl -I https:\/\/tuodominio.it<\/code> puoi visualizzare rapidamente gli header di risposta del server.<\/p>\nHeader Implementati a Livello Server vs Plugin<\/h3>\n
header()<\/code> o tramite regole .htaccess). Tuttavia, gli header possono essere configurati anche direttamente nel server web (Apache, Nginx, LiteSpeed).<\/p>\n![\"Impostazioni](\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/wc-06-settings.png\")
<\/p>\nHeader e Compatibilit\u00e0 con Plugin WordPress<\/h3>\n
Punteggio di Sicurezza e Best Practice<\/h3>\n
\n
Conclusioni<\/h3>\n
Leggi anche gli altri articoli della serie Really Simple SSL<\/h4>\n
\n
Migliora il Tuo Sito WordPress<\/h3>\n
\n