WordPress

WordPress security headers: configurare completă pentru 2026

Optimizare SEO·
WordPress security headers: configurare completă pentru 2026

WordPress security headers: configurare completă pentru 2026 este subiectul tehnic care adaugă un strat suplimentar de protecție site-ului dvs. împotriva atacurilor XSS, clickjacking și injecție de...

WordPress security headers: configurare completă pentru 2026 este subiectul tehnic care adaugă un strat suplimentar de protecție site-ului dvs. împotriva atacurilor XSS, clickjacking și injecție de conținut.

Header-ele de securitate sunt instrucțiuni trimise de server browserului care îi spun cum să se comporte în privința conținutului primit. Configurarea lor corectă poate preveni o categorie întreagă de atacuri.

WordPress security headers: configurare completă pentru 2026

Security headers sunt adăugate în răspunsul HTTP de la server și nu vizibile direct în pagina web. Browserele moderne le respectă și aplică politicile specificate, prevenind acțiuni malițioase.

Header-ele esențiale și rolul lor

  • Content-Security-Policy (CSP): specifică ce surse de conținut sunt permise. Previne XSS prin blocarea scripturilor din surse neautorizate
  • X-Frame-Options: previne clickjacking prin blocarea site-ului dvs. de a fi încărcat în iframe pe alte site-uri
  • Strict-Transport-Security (HSTS): forțează browserul să acceseze site-ul doar prin HTTPS
  • X-Content-Type-Options: previne MIME-type sniffing, o formă de atac mai puțin cunoscută
  • Referrer-Policy: controlează ce informații de referrer sunt trimise la navigare
  • Permissions-Policy: controlează accesul la funcționalități browser: cameră, microfon, geolocation

Configurarea în .htaccess pentru Apache

Adăugați în fișierul .htaccess din rădăcina site-ului, după regulile WordPress existente:

  • Header always set X-Frame-Options "SAMEORIGIN"
  • Header always set X-Content-Type-Options "nosniff"
  • Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
  • Header always set Referrer-Policy "strict-origin-when-cross-origin"
  • Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"

Content-Security-Policy: configurare avansată

CSP este cel mai complex header dar și cel mai puternic. O politică strictă poate bloca scripturile inline necesare WordPress, deci necesită configurare atentă.

  • Începeți în modul raport-only: Content-Security-Policy-Report-Only pentru a detecta blocajele
  • Adăugați treptat sursele permise: self pentru resurse proprii, CDN-uri externe
  • WordPress necesită unsafe-inline pentru unele funcționalități: evaluați alternativele
  • Folosiți nonce-uri pentru scripturile inline în loc de unsafe-inline

Verificarea implementării

  • SecurityHeaders.com: scanare gratuită cu rating și recomandări
  • Observatory by Mozilla: test complet cu punctaj
  • Chrome DevTools - Network tab - Headers: verificare per request

Concluzie

Security headers sunt o intervenție de 30 de minute cu impact permanent asupra securității site-ului. Nu există nicio scuză pentru a nu le configura.

Completați securitatea cu configurarea Cloudflare pentru protecție CDN și cu configurarea serverului web Nginx.

Aveți nevoie de servicii SEO?

Solicitați o analiză gratuită a site-ului și o ofertă personalizată, fără obligații.

Cere o ofertă

Articole similare

SEO
WordPress

SEO

SEO - Search Engine Optimization, sau optimizare pentru motoarele de căutare. În această secţiune, sunt două categorii principale, optimizarea on-page şi optimizarea off-page. Orice model de websit...