Cum configurezi antetele de securitate HTTP pentru website-ul tău

Cum configurezi antetele de securitate HTTP pentru website-ul tău este un subiect tehnic esențial care este deseori ignorat, chiar și de administratorii de site-uri cu experiență.

Antetele de securitate HTTP sunt instrucțiuni pe care serverul le trimite browserului, indicând cum să gestioneze conținutul paginii pentru a proteja utilizatorii de atacuri comune.

Cum configurezi antetele de securitate HTTP pentru website-ul tău

Aceste antete sunt invizibile pentru utilizatorul obișnuit, dar sunt citite și aplicate de browser. Absența lor sau configurarea greșită lasă site-ul vulnerabil la atacuri precum XSS, clickjacking sau injectare de conținut.

Combinați aceste configurări cu măsurile generale prezentate în ghidul de securitate esențială pentru website-urile WordPress.

Cele mai importante antete de securitate HTTP

Există mai multe antete de securitate pe care ar trebui să le configurați pe orice website modern. Fiecare protejează împotriva unui tip specific de atac.

Content-Security-Policy (CSP)

CSP este cel mai puternic antet de securitate disponibil. Acesta definește sursele din care browserul poate încărca resurse: scripturi, stiluri, imagini, fonturi și altele.

Un CSP bine configurat blochează eficient atacurile de tip XSS (Cross-Site Scripting), deoarece scripturile injectate de atacatori nu vor proveni dintr-o sursă autorizată.

• default-src 'self' permite resurse doar din același domeniu
• script-src 'self' 'unsafe-inline' permite și scripturi inline (mai puțin sigur)
• img-src 'self' data: https: permite imagini din mai multe surse
• Testați CSP în modul report-only înainte de aplicarea completă

X-Frame-Options

Acest antet protejează împotriva atacurilor de clickjacking, în care site-ul dumneavoastră este inclus într-un iframe pe un site malițios. Valoarea SAMEORIGIN permite încadrarea doar de pe același domeniu.

• DENY – nu permite încadrarea în niciun iframe
• SAMEORIGIN – permite încadrarea doar de pe același domeniu
• ALLOW-FROM uri – permite încadrarea de pe un domeniu specific (deprecat)

X-Content-Type-Options

Antetul X-Content-Type-Options: nosniff previne browserele să „ghicească” tipul de conținut al unei resurse, forțându-le să respecte tipul declarat în antet. Aceasta blochează o categorie de atacuri bazate pe MIME type sniffing.

Strict-Transport-Security (HSTS)

HSTS forțează browserele să acceseze site-ul exclusiv prin HTTPS, chiar dacă utilizatorul tastează manual o adresă HTTP. Aceasta elimină complet posibilitatea atacurilor de tip SSL stripping.

Această configurare completează instalarea corectă a HTTPS, descrisă în ghidul de certificatul SSL și importanța sa și în ghidul de configurare HTTPS și redirectări 301.

Referrer-Policy

Acest antet controlează ce informații despre pagina de referință sunt trimise atunci când un utilizator navighează de pe site-ul dumneavoastră pe alt site. Valoarea strict-origin-when-cross-origin este recomandată pentru un echilibru între confidențialitate și funcționalitate.

Permissions-Policy (fost Feature-Policy)

Permissions-Policy controlează accesul la funcționalitățile browserului: camera, microfonul, geolocalizarea și altele. Dezactivând funcționalitățile neutilizate, reduceți suprafața de atac a site-ului.

Configurarea antetelor în .htaccess pentru Apache

Pe serverele Apache, antetele HTTP se configurează cel mai frecvent în fișierul .htaccess sau în configurarea virtualhostului. Această metodă este flexibilă și nu necesită acces la nivelul serverului.

Consultați ghidul detaliat de optimizare a fișierului .htaccess și ghidul de securizare a fișierelor de configurare WordPress.

Exemplu de configurare în .htaccess

1. Activați modulul headers: Header always set X-Frame-Options "SAMEORIGIN"
2. Adăugați protecție MIME: Header always set X-Content-Type-Options "nosniff"
3. Configurați HSTS cu preload: Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
4. Testați configurarea cu instrumente online specializate

Configurarea antetelor în Nginx

Pe serverele Nginx, antetele se configurează în blocul server sau location din fișierul de configurare. Sintaxa este similară, dar diferă de cea din Apache.

Indiferent de serverul web utilizat, testați întotdeauna configurarea cu instrumente gratuite de testare pentru a verifica că antetele sunt aplicate corect.

Configurarea prin plugin-uri WordPress

Dacă nu aveți acces direct la configurarea serverului, există plugin-uri WordPress care adaugă antetele de securitate prin cod PHP. Aceasta este o opțiune mai puțin eficientă decât configurarea la nivel de server, dar funcțională.

• Wordfence Security – include configurarea antetelor în versiunea premium
• WP Headers and Footers – permite adăugarea de cod în zona de header
• HTTP Headers – plugin dedicat pentru gestionarea antetelor HTTP
• Shield Security – configurare automată a antetelor de securitate

Testarea și verificarea antetelor de securitate

După configurare, este esențial să verificați că antetele sunt aplicate corect și că valorile sunt corecte.

Instrumente de testare recomandate

• securityheaders.com – analizează și notează antetele de securitate
• Mozilla Observatory – instrument complet de audit al securității
• Chrome DevTools (tab Network) – vizualizați antetele oricărei cereri HTTP
• SSL Labs (ssllabs.com) – testează configurarea SSL și HSTS

Gestionarea permisiunilor și accesului la resurse

Antetele de securitate HTTP lucrează în tandem cu gestionarea permisiunilor fișierelor și folderelor pe server. O configurare completă include ambele niveluri de protecție.

Monitorizați constant respectarea politicilor de securitate cu ajutorul sistemelor de monitorizare în timp real.

Concluzie

Configurarea antetelor de securitate HTTP este o investiție de timp minimă cu un impact semnificativ asupra securității site-ului dumneavoastră. Odată configurate corect, acestea funcționează automat și protejează toți vizitatorii fără nicio intervenție suplimentară.

Integrați aceste configurări în strategia completă de securitate, care include un firewall pentru website, autentificarea în doi pași și backup-uri automate regulate.