Che Cos’\u00e8 la Content Security Policy<\/h3>\n
La Content Security Policy \u00e8 un header HTTP che dice al browser: “per questa pagina, puoi caricare script solo da queste origini, stili solo da queste origini, immagini solo da queste origini” e cos\u00ec via. Qualsiasi risorsa che non corrisponde alle regole definite nella CSP viene bloccata dal browser.<\/p>\n
Questo \u00e8 estremamente potente perch\u00e9, anche se un attaccante riesce a iniettare codice HTML nel tuo sito (ad esempio tramite un commento malevolo, un campo di input non sanitizzato o una vulnerabilit\u00e0 in un plugin), il browser rifiuter\u00e0 di eseguire lo script iniettato perch\u00e9 non proviene da un’origine autorizzata.<\/p>\n
Senza CSP, il browser esegue qualsiasi script presente nella pagina, indipendentemente dalla sua origine. Con CSP, il browser diventa selettivo e blocca tutto ci\u00f2 che non \u00e8 esplicitamente autorizzato.<\/p>\n
Le Direttive Fondamentali della CSP<\/h3>\n
Una CSP \u00e8 composta da una serie di direttive<\/em>, ciascuna delle quali controlla un tipo specifico di risorsa:<\/p>\n default-src<\/strong>: \u00e8 la direttiva di fallback. Se una direttiva specifica non \u00e8 definita, il browser usa default-src. Impostarla su script-src<\/strong>: controlla da dove possono essere caricati gli script JavaScript. \u00c8 la direttiva pi\u00f9 critica per la sicurezza, perch\u00e9 gli script malevoli sono il vettore principale degli attacchi XSS.<\/p>\n style-src<\/strong>: controlla da dove possono essere caricati i fogli di stile CSS. Molti plugin WordPress utilizzano stili inline, quindi potrebbe essere necessario aggiungere img-src<\/strong>: controlla da dove possono essere caricate le immagini. Se il tuo sito utilizza immagini da CDN, servizi esterni o Gravatar, devi aggiungere le relative origini.<\/p>\n font-src<\/strong>: controlla da dove possono essere caricati i font. Se utilizzi Google Fonts, devi autorizzare connect-src<\/strong>: controlla le connessioni di rete effettuate da JavaScript tramite fetch, XMLHttpRequest, WebSocket, ecc. Plugin come WooCommerce, editor real-time e chat widget necessitano di autorizzazioni specifiche qui.<\/p>\n frame-src<\/strong>: controlla quali siti possono essere caricati in iframe nella tua pagina. Se embed YouTube, Google Maps o altri widget, devi autorizzare i relativi domini.<\/p>\n form-action<\/strong>: controlla verso quali URL i form del tuo sito possono inviare dati. Utile per prevenire il dirottamento dei form verso siti malevoli.<\/p>\n Implementare una CSP su WordPress \u00e8 notoriamente complesso, e la ragione principale \u00e8 che WordPress e i suoi plugin fanno largo uso di JavaScript e CSS inline<\/strong>. Ogni volta che un plugin inserisce un tag Per gestire gli script inline, la CSP offre diverse opzioni:<\/p>\n Really Simple SSL Pro implementa il sistema di nonce-based CSP<\/strong>, generando automaticamente un nonce per ogni pagina e applicandolo agli script inline di WordPress. Questo offre un ottimo compromesso tra sicurezza e compatibilit\u00e0.<\/p>\n Una delle funzionalit\u00e0 pi\u00f9 utili di Really Simple SSL Pro \u00e8 la modalit\u00e0 Learning<\/strong> (apprendimento) per la CSP. Ecco come funziona:<\/p>\n Passo 1 \u2014 Attiva la modalit\u00e0 Learning<\/strong>: nella dashboard di Really Simple SSL, vai alla sezione Content Security Policy e attiva la modalit\u00e0 di apprendimento. In questa modalit\u00e0, il plugin invia la CSP con la direttiva Passo 2 \u2014 Naviga il sito<\/strong>: visita le diverse pagine del tuo sito, inclusa l’area di amministrazione, le pagine con form, il carrello WooCommerce (se presente) e qualsiasi pagina con contenuti speciali. Il plugin raccoglie le segnalazioni delle violazioni e costruisce una lista delle risorse che il tuo sito utilizza.<\/p>\n Passo 3 \u2014 Rivedi le regole suggerite<\/strong>: Really Simple SSL Pro mostra le origini rilevate durante la fase di learning e suggerisce le direttive CSP appropriate. Puoi approvare o rifiutare ciascuna origine.<\/p>\n Passo 4 \u2014 Attiva la CSP<\/strong>: quando sei soddisfatto delle regole, passa dalla modalit\u00e0 Report-Only alla modalit\u00e0 Enforce. Da questo momento, il browser bloccher\u00e0 attivamente qualsiasi risorsa non autorizzata.<\/p>\n Ecco come potrebbe apparire una CSP per un sito WordPress tipico che utilizza Google Fonts, Google Analytics, YouTube embed e Gravatar:<\/p>\n Questa \u00e8 una configurazione di base. Ogni sito avr\u00e0 esigenze diverse in base ai plugin installati, ai servizi di terze parti utilizzati e alle funzionalit\u00e0 implementate.<\/p>\n Se il tuo sito utilizza WooCommerce, la CSP richiede attenzioni aggiuntive. I gateway di pagamento come Stripe e PayPal caricano script dai propri domini per gestire i pagamenti in modo sicuro. Se questi domini non sono autorizzati nella CSP, il checkout non funzioner\u00e0.<\/p>\n Per Stripe, ad esempio, devi autorizzare La modalit\u00e0 Learning di Really Simple SSL Pro \u00e8 particolarmente utile per WooCommerce: naviga l’intero flusso di checkout durante la fase di apprendimento per assicurarti che tutte le risorse necessarie vengano rilevate.<\/p>\n Alcuni plugin WordPress comuni richiedono eccezioni CSP specifiche:<\/p>\n Anche dopo aver configurato la CSP, potrebbero verificarsi violazioni. Really Simple SSL Pro offre un sistema di reporting<\/strong> che raccoglie le violazioni e le mostra nella dashboard. Questo \u00e8 utile per:<\/p>\n Quando aggiungi un nuovo plugin o servizio al tuo sito, ricordati di verificare se richiede modifiche alla CSP. La modalit\u00e0 Learning pu\u00f2 essere riattivata temporaneamente per rilevare le nuove risorse.<\/p>\n La specifica CSP si \u00e8 evoluta nel tempo. CSP Level 2 ha introdotto i nonce e gli hash per gli script inline, oltre al reporting migliorato. CSP Level 3 ha aggiunto Really Simple SSL Pro supporta le funzionalit\u00e0 di CSP Level 2 e Level 3, inclusi nonce, hash e strict-dynamic. La scelta di quali funzionalit\u00e0 utilizzare dipende dalla compatibilit\u00e0 browser richiesta dal tuo sito.<\/p>\n Ecco gli errori pi\u00f9 frequenti da evitare:<\/p>\n Partire con una CSP troppo restrittiva<\/strong>: attivare subito una CSP restrittiva in modalit\u00e0 Enforce senza fase di learning causa quasi certamente problemi. Usa sempre la modalit\u00e0 Report-Only prima.<\/p>\n Usare ’unsafe-inline’ e ’unsafe-eval’ ovunque<\/strong>: se la tua CSP include Dimenticare le sottopagine<\/strong>: la CSP si applica a tutte le pagine, ma diverse pagine possono caricare risorse diverse. Assicurati di navigare l’intero sito durante la fase di learning.<\/p>\n Non monitorare dopo il deploy<\/strong>: la CSP non \u00e8 “imposta e dimentica”. Plugin aggiornati, nuovi widget e modifiche ai servizi esterni possono richiedere aggiornamenti alla policy.<\/p>\n La Content Security Policy \u00e8 uno degli strumenti pi\u00f9 efficaci per proteggere un sito WordPress dagli attacchi XSS e dall’injection di codice. Grazie alla modalit\u00e0 Learning di Really Simple SSL Pro, l’implementazione \u00e8 diventata accessibile anche a chi non ha competenze tecniche avanzate. L’importante \u00e8 procedere gradualmente, testare accuratamente e monitorare le violazioni nel tempo.<\/p>\n Se la configurazione della CSP ti sembra troppo complessa o se hai un sito WordPress con molti plugin e servizi di terze parti, contatta G Tech Group<\/a> per un’implementazione professionale che garantisca sicurezza senza compromettere la funzionalit\u00e0.<\/p>\n Per una protezione completa del tuo sito WordPress, combina Really Simple SSL Pro con un hosting WordPress sicuro<\/a> che offra firewall applicativo, protezione DDoS e monitoraggio proattivo delle minacce. La sicurezza \u00e8 un approccio a strati, e ogni livello conta.<\/p>\n Scopri le nostre guide complete sugli altri plugin essenziali per WordPress:<\/p>\n Really Simple SSL Pro: Content Security Policy per WordPress La Content Security Policy (CSP) \u00e8 considerata uno degli header di sicurezza pi\u00f9 potenti e complessi…<\/p>\n","protected":false},"author":2,"featured_media":167200,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_titles_title":"Really Simple SSL Pro: CSP per WordPress | Guida","_seopress_titles_desc":"Come implementare Content Security Policy con Really Simple SSL Pro. Direttive, whitelist e test.","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"","_seopress_social_fb_title":"","_seopress_social_fb_desc":"","_seopress_social_fb_img":"","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"","_seopress_social_twitter_desc":"","_seopress_social_twitter_img":"","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"","_seopress_redirections_param":"","_seopress_redirections_type":0,"_seopress_analysis_target_kw":"Really Simple SSL Pro:","footnotes":""},"categories":[1,61],"tags":[3597,3596,3482,3591,911],"class_list":["post-167235","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-senza-categoria","category-wordpress","tag-content-security-policy","tag-csp","tag-pro","tag-really-simple-ssl","tag-sicurezza"],"_links":{"self":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts\/167235","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/comments?post=167235"}],"version-history":[{"count":0,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/posts\/167235\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/media\/167200"}],"wp:attachment":[{"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/media?parent=167235"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/categories?post=167235"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gtechgroup.it\/blog\/wp-json\/wp\/v2\/tags?post=167235"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}’self’<\/code> significa “per impostazione predefinita, carica solo risorse dal mio stesso dominio”.<\/p>\n’unsafe-inline’<\/code> per compatibilit\u00e0.<\/p>\nfonts.gstatic.com<\/code>.<\/p>\n![\"Dashboard](\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/rssl-01-dashboard.png\")
<\/p>\nIl Problema della CSP con WordPress<\/h3>\n
<script><\/code> direttamente nell’HTML della pagina (invece di caricare un file .js esterno), una CSP restrittiva lo bloccherebbe.<\/p>\n\n
Configurare la CSP con Really Simple SSL Pro: la Modalit\u00e0 Learning<\/h3>\n
Content-Security-Policy-Report-Only<\/code> invece di Content-Security-Policy<\/code>. Questo significa che il browser segnala<\/em> le violazioni senza bloccare<\/em> nulla.<\/p>\n![\"Configurazione](\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/rssl-02-settings.png\")
<\/p>\nEsempio di CSP per un Sito WordPress Tipico<\/h3>\n
default-src ’self’; script-src ’self’ ’nonce-{random}’ www.googletagmanager.com www.google-analytics.com; style-src ’self’ ’unsafe-inline’ fonts.googleapis.com; img-src ’self’ data: *.gravatar.com www.google-analytics.com; font-src ’self’ fonts.gstatic.com; frame-src www.youtube.com www.google.com; connect-src ’self’ www.google-analytics.com;<\/code><\/p>\nCSP e WooCommerce<\/h3>\n
js.stripe.com<\/code> in script-src e frame-src, oltre a api.stripe.com<\/code> in connect-src. Per PayPal, le origini da autorizzare sono www.paypal.com<\/code> e www.paypalobjects.com<\/code>.<\/p>\nCSP e Plugin di Terze Parti<\/h3>\n
\n
www.google.com<\/code> e www.gstatic.com<\/code><\/li>\nconnect.facebook.net<\/code> e www.facebook.com<\/code><\/li>\njs.hs-scripts.com<\/code>, js.hsforms.net<\/code>, js.hs-analytics.net<\/code><\/li>\n’unsafe-eval’<\/code> in script-src per alcune funzionalit\u00e0 dell’editor<\/li>\nstats.wp.com<\/code> e script-src per s0.wp.com<\/code><\/li>\n<\/ul>\nGestire le Violazioni CSP<\/h3>\n
\n
![\"Sicurezza](\"https:\/\/gtechgroup.it\/blog\/wp-content\/uploads\/2026\/05\/wc-08-payments.png\")
<\/p>\nCSP Level 2 e Level 3<\/h3>\n
’strict-dynamic’<\/code> e migliorato la compatibilit\u00e0 con le single-page application.<\/p>\nErrori Comuni nell’Implementazione della CSP<\/h3>\n
script-src ’unsafe-inline’ ’unsafe-eval’<\/code>, stai praticamente annullando la protezione contro XSS. Usa i nonce quando possibile.<\/p>\nConclusioni<\/h3>\n
Leggi anche gli altri articoli della serie Really Simple SSL<\/h4>\n
\n
Migliora il Tuo Sito WordPress<\/h3>\n
\n