WordPress security headers: configurare completă pentru 2026 este subiectul tehnic care adaugă un strat suplimentar de protecție site-ului dvs. împotriva atacurilor XSS, clickjacking și injecție de conținut.
Header-ele de securitate sunt instrucțiuni trimise de server browserului care îi spun cum să se comporte în privința conținutului primit. Configurarea lor corectă poate preveni o categorie întreagă de atacuri.
WordPress security headers: configurare completă pentru 2026
Security headers sunt adăugate în răspunsul HTTP de la server și nu vizibile direct în pagina web. Browserele moderne le respectă și aplică politicile specificate, prevenind acțiuni malițioase.
Header-ele esențiale și rolul lor
- Content-Security-Policy (CSP): specifică ce surse de conținut sunt permise. Previne XSS prin blocarea scripturilor din surse neautorizate
- X-Frame-Options: previne clickjacking prin blocarea site-ului dvs. de a fi încărcat în iframe pe alte site-uri
- Strict-Transport-Security (HSTS): forțează browserul să acceseze site-ul doar prin HTTPS
- X-Content-Type-Options: previne MIME-type sniffing, o formă de atac mai puțin cunoscută
- Referrer-Policy: controlează ce informații de referrer sunt trimise la navigare
- Permissions-Policy: controlează accesul la funcționalități browser: cameră, microfon, geolocation
Configurarea în .htaccess pentru Apache
Adăugați în fișierul .htaccess din rădăcina site-ului, după regulile WordPress existente:
- Header always set X-Frame-Options "SAMEORIGIN"
- Header always set X-Content-Type-Options "nosniff"
- Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
- Header always set Referrer-Policy "strict-origin-when-cross-origin"
- Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
Content-Security-Policy: configurare avansată
CSP este cel mai complex header dar și cel mai puternic. O politică strictă poate bloca scripturile inline necesare WordPress, deci necesită configurare atentă.
- Începeți în modul raport-only: Content-Security-Policy-Report-Only pentru a detecta blocajele
- Adăugați treptat sursele permise: self pentru resurse proprii, CDN-uri externe
- WordPress necesită unsafe-inline pentru unele funcționalități: evaluați alternativele
- Folosiți nonce-uri pentru scripturile inline în loc de unsafe-inline
Verificarea implementării
- SecurityHeaders.com: scanare gratuită cu rating și recomandări
- Observatory by Mozilla: test complet cu punctaj
- Chrome DevTools - Network tab - Headers: verificare per request
Concluzie
Security headers sunt o intervenție de 30 de minute cu impact permanent asupra securității site-ului. Nu există nicio scuză pentru a nu le configura.
Completați securitatea cu configurarea Cloudflare pentru protecție CDN și cu configurarea serverului web Nginx.