Intestazioni di sicurezza per il tuo sito web: buone per la sicurezza e l' SEO.

Scopri qui cosa sono i Security Headers, come funzionano e perché sono importanti per la tua sicurezza del sito web e per migliorare la sicurezza dei tuoi provvedimenti SEO.

L'articolo di aiuto sui Security Headers include i seguenti temi:

Cos'è il Security Headers?

Security Headers sono header HTTP utilizzati su siti web e applicazioni web per migliorare la sicurezza e la protezione da vari tipi di attacchi e vulnerabilità. Forniscono uno strato di sicurezza importante per proteggere utenti e dati da minacce. 

Se ti stai chiedendo se ne hai bisogno, puoi testare la sicurezza attuale con uno strumento online. Puoi farlo su securityheaders.com. Basta inserire l'URL.

Probabilmente otterrai un risultato D o F. La maggior parte dei siti web inizialmente sono valutati negativamente perché la sicurezza dei siti web non è una priorità per la maggior parte degli sviluppatori e delle agenzie nell'ambito della creazione o del rilancio del sito web. Scoprirai di seguito come implementare i Security Headers (anche se non sei uno sviluppatore). Tuttavia, ora sai già che c'è bisogno di intervento da parte tua.

Come funzionano i Security Headers?

I Security Headers fanno parte della risposta HTTP che un server web invia al browser quando viene inviata una richiesta a un sito web o a un'applicazione web. Questi header contengono istruzioni e informazioni che dicono al browser come comportarsi in termini di sicurezza e privacy. Ecco alcuni importanti Security Headers e come funzionano:

Sicurezza del trasporto stretto HTTP (HSTS)

HSTS obbliga il browser a stabilire e mantenere la connessione al sito web tramite HTTPS per prevenire attacchi Man-in-the-Middle. 

Molti siti web hanno solo un reindirizzamento 301 da HTTP a HTTPS. Molti link nei contenuti dei siti web sono ancora impostati come HTTP. Se qualcuno fa clic su un link del genere, verrà prima caricata la pagina HTTP e poi verrà attivato il reindirizzamento 301. Oppure se si digita solo il proprio-dominio.com nel browser per accedere a un sito web, senza aggiungere la parte https, che probabilmente accade nella maggior parte dei casi, c'è la possibilità di subire un attacco Man-in-the-Middle. 

HSTS impedisce a un aggressore di declassare la connessione HTTPS a una connessione HTTP, consentendo all'aggressore di sfruttare reindirizzamenti non sicuri. Pertanto, impone il caricamento tramite una connessione HTTPS sicura.

Opzioni X-Content-Type

Questo header controlla se un browser cerca di indovinare il tipo MIME di una risorsa quando il tipo specificato non è corretto. Aiuta a prevenire attacchi di MIME-Spoofing, perché vengono caricati solo stili e script con il tipo MIME corretto. Per la prospettiva: i browser possono "sniffare" se si tratta di un testo, un'immagine (.png), un video (.mp4) o di HTML, JavaScript e altri tipi di contenuti scaricabili da un sito web.

Utilizzare "X-Content-Type-Options: nosniff" è una misura di sicurezza importante, in quanto aiuta a prevenire determinati vettori di attacco come Cross-Site Scripting (XSS). Negli attacchi XSS - anche vedere più avanti - un aggressore potrebbe cercare di inserire codice JavaScript dannoso in una risorsa come un PDF, facendo credere al browser che si tratti di un PDF e poi ottenendo l'esecuzione del file come JavaScript, anche se il tipo MIME indica qualcosa di diverso, come PDF.

Ciò ha una serie di conseguenze negative per il visitatore del sito web, specialmente in caso di attacchi Drive-by-Download, dove il malware viene installato sul computer del visitatore.

L'uso di "nosniff" è particolarmente importante in combinazione con altre misure di sicurezza come la Policy di Sicurezza del Contenuto (CSP), per aumentare la sicurezza delle applicazioni web e ridurre la superficie di attacco. Questo header dovrebbe essere attivato di solito nelle risposte HTTP per tutte le risorse (ad esempio file HTML, JavaScript, CSS) di un sito web.

Opzioni X-Frame

Questo header impedisce a un sito web di essere visualizzato in un frame HTML o iframe per prevenire attacchi di Clickjacking. L'uso di "X-Frame-Options" è una misura di sicurezza importante per prevenire attacchi di Clickjacking, in cui un aggressore cerca di caricare un sito web in un frame invisibile sfruttando i clic dell'utente. Impostando l'header, i gestori del sito web possono controllare come il loro sito web è integrato nei frame.

Si noti che "X-Frame-Options" è considerato come un metodo più vecchio per prevenire il Clickjacking. Un approccio più moderno è l'utilizzo dell'header "Content Security Policy" (CSP), che può anche prevenire il Clickjacking e coprire ulteriori aspetti di sicurezza. Per saperne di più continuare più sotto.

Protezione X-XSS

Questo header attiva o disattiva la protezione integrata contro XSS del browser. 

Politica Referer

La "Politica Referer" è un'intestazione HTTP inviata dai server Web per specificare come un browser Web dovrebbe gestire le informazioni nel campo "Referer" di una richiesta HTTP. Il "Referer" è un campo di intestazione HTTP che di solito indica l'URL della pagina precedente dalla quale l'utente è navigato alla pagina attuale. La "Politica Referer" offre ai proprietari dei siti Web un modo per controllare la condivisione delle informazioni di Referer con altri siti Web e proteggere la privacy degli utenti. È interessante sapere che per coloro che guadagnano online attraverso i propri contenuti, la Politica Referer non ha effetto sui link di affiliazione.

Politica di Sicurezza dei Contenuti (CSP)

Le intestazioni CSP definiscono da quali fonti possono essere caricate risorse (come script, immagini e fogli di stile). Questo aiuta a prevenire il Cross-Site Scripting (XSS), le iniezioni di codice e attacchi simili. 

Attacchi di Cross-Site Scripting (XSS) sono progettati per sfruttare una falla di sicurezza nel tuo CMS o framework per caricare script dannosi sul tuo sito web, che poi vengono caricati nel browser dei visitatori del tuo sito. Un punto di ingresso per un attacco XSS potrebbe essere, ad esempio, un modulo di posta elettronica che non è codificato in modo tale da accettare solo input limitati. Un modulo mal codificato potrebbe consentire altri input che potrebbero portare all'inserimento di file dannosi. Questo è anche un motivo per cui come agenzia equipaggiamo molti progetti di clienti completamente senza modulo di contatto, perché di solito si riesce a farne a meno.

Stabilisci con il tuo intestazione CSP una sorta di lista bianca di domini che determina cosa il tuo sito web può caricare e cosa no. Ogni attaccante che scarica script dannosi da un altro server al di fuori di questo gruppo attendibile verrà bloccato. Nel dicembre 2016 la Politica di Sicurezza dei Contenuti è stata sviluppata ulteriormente con il livello CSP 2, che ha aggiunto hash-source, nonce-source e cinque nuove direttive. Non ci si aspettano problemi lato browser per questo motivo. Al 11 settembre 2023, il CSP 2 è compatibile con il 95 percento di tutti i browser.

La creazione di una Politica di Sicurezza dei Contenuti può essere forte o debole, a seconda di come viene impostata. Nella configurazione di TutKit.com, è effettivamente durata più a lungo rispetto a tutte le altre intestazioni, poiché è necessario elencare tutti gli script e le risorse che devono essere scaricati da fonti esterne per poterli includere nella lista bianca. Puoi verificare l'integrazione corretta tramite securityheaders.com, con Mozilla Observatory e anche tramite Google PageSpeed Insights nella sezione Migliori Pratiche. Il vantaggio del servizio di Mozilla è che il tuo URL verrà simultaneamente testato anche da altri strumenti di test esterni. Se uno di essi riscontra un risultato negativo, potrai approfondire ulteriormente.

Perché sono importanti gli header di sicurezza?

Gli header di sicurezza sono importanti perché contribuiscono a ridurre la superficie di attacco dei siti Web e delle applicazioni Web e a coprire le vulnerabilità di sicurezza note. Dando istruzioni ai browser su come comportarsi per quanto riguarda la sicurezza, possono contribuire a prevenire o almeno a complicare diversi tipi di attacchi. Questo include gli attacchi XSS, il Clickjacking, il MIME-Spoofing e altri problemi di sicurezza.

I negozi online che memorizzano, trasmettono o elaborano transazioni con carte di credito devono essere conformi al PCI-DSS. Molti audit PCI-DSS controllano anche un HSTS attivato (Strict Transport Security HTTP) e altri Security Header. Se il tuo sito Web è soggetto alla conformità PCI, ovvero se elabori pagamenti con carta di credito e il tuo fornitore di pagamento si aspetta una certificazione PCI da parte tua e devi dimostrarla attraverso un test/audit, allora l'inclusione degli header di sicurezza diventerà un problema per te.

Come terzo motivo, viene garantita anche la tua esperienza utente, migliorando positivamente le tue azioni SEO. Per saperne di più su questo, leggi più avanti.

Come implementare gli header di sicurezza?

Implementare gli header di sicurezza di solito richiede modifiche di configurazione a livello di server Web o di applicazioni Web. 

1. Identifica prima di tutto gli header di sicurezza necessari: Rifletti su quali header di sicurezza sono più importanti per il tuo sito Web o la tua applicazione Web. La scelta dipende dai tuoi requisiti specifici e dalle minacce a cui sei esposto. Se hai una sola pagina senza cookie e modulo di contatto, basata esclusivamente su HTML, il tuo rischio è minore rispetto a un negozio con cookie, trasferimenti di dati delle carte di credito, dati dei clienti e CMS.

2. Configura il server Web: La maggior parte degli header di sicurezza può essere aggiunta modificando la configurazione del tuo server Web. Ad esempio, i server Apache possono configurare gli header nel file .htaccess, mentre Nginx utilizza il file di configurazione nginx.conf o sites-available.

3. Imposta gli header nella risposta HTTP: Gli header dovrebbero essere impostati nella risposta HTTP del tuo sito Web o della tua applicazione Web. Questo può essere di solito ottenuto utilizzando moduli server, script o middleware.

4. Testa l'implementazione: Dopo aver aggiunto gli header di sicurezza, assicurati di testare attentamente il tuo sito web o l'applicazione web per garantire che tutto funzioni come previsto. Esistono anche strumenti online come Security Headers e Mozilla Observatory che possono analizzare la configurazione di sicurezza del tuo sito web.

5. Mantieni aggiornati gli header: Monitora e aggiorna regolarmente gli header di sicurezza per assicurarti che rispettino le attuali linee guida e siano protetti contro le nuove minacce.

Il processo esatto per l'implementazione degli header di sicurezza può variare a seconda della tecnologia del server web e della piattaforma, quindi è consigliabile consultare la documentazione del tuo server e della tua applicazione web o, se necessario, ottenere supporto professionale. Di seguito troverai una guida su come farlo con i server Apache e Nginx. Purtroppo, per i non sviluppatori, non è così semplice come configurare un plugin di WordPress server-side.

Inserire gli header di sicurezza tramite il file .htaccess su server Apache

L'aggiunta degli header di sicurezza attraverso il file .htaccess è un metodo comune per migliorare la sicurezza di un sito web sul server web Apache. Il file .htaccess ti consente di impostare configurazioni e impostazioni a livello di server, inclusi gli header di sicurezza. Di seguito ti presentiamo una guida passo-passo su come inserire gli header di sicurezza tramite il file .htaccess:

Esegui il backup: Effettua il backup del tuo sito web e del file .htaccess prima di apportare modifiche, per garantire di non renderlo accidentalmente non accessibile.

Apri il tuo file .htaccess: Di solito trovi il file .htaccess nella directory radice della tua installazione di WordPress. Puoi aprirlo con un editor di testo come Notepad++, Dreamweaver, PHP Storm o Visual Studio Code.

Inserisci gli header di sicurezza: Per aggiungere gli header di sicurezza, utilizza l'istruzione Header nel tuo file .htaccess. Di seguito ci sono alcuni esempi di header di sicurezza comunemente utilizzati e come aggiungerli:

Content Security Policy (CSP):

Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';"

X-Content-Type-Options:

Header always set X-Content-Type-Options "nosniff"

X-Frame-Options:

Header always set X-Frame-Options "DENY"

X-XSS-Protection:

Header always set X-XSS-Protection "1; mode=block"

HTTP Strict Transport Security (HSTS):

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Referrer-Policy:

Header always set Referrer-Policy "strict-origin-when-cross-origin"

Salva il file .htaccess: Dopo aver aggiunto gli header di sicurezza desiderati, salva il file .htaccess e caricalo sul tuo server web, se necessario.

Controlla la configurazione: Assicurati di non avere errori di sintassi nel file .htaccess visitando il sito web e prestando attenzione a eventuali messaggi di errore. Puoi anche utilizzare strumenti online per verificare l'efficacia dei tuoi header di sicurezza.

Testa il tuo sito web: Verifica attentamente che tutte le funzionalità del tuo sito web funzionino correttamente e che gli header di sicurezza implementino le misure di sicurezza desiderate.

Si prega di notare che l'aggiunta degli header di sicurezza tramite il file .htaccess funziona solo su server Apache. Se stai utilizzando un server web diverso come Nginx, dovrai modificare i file di configurazione corrispondenti per impostare gli header di sicurezza. Per ulteriori informazioni, continua a leggere...

Includere l'header di sicurezza nei server Nginx

L'aggiunta degli header di sicurezza in Nginx avviene attraverso i file di configurazione di Nginx, di solito in un file con estensione .conf. Ecco una guida passo-passo su come inserire gli header di sicurezza in Nginx:

Esegui un backup: Prima di apportare modifiche alla tua configurazione Nginx, assicurati di creare un backup dei file di configurazione per poter tornare a una configurazione funzionante in caso di problemi.

Apri il file di configurazione Nginx: Il file di configurazione principale di Nginx si trova di solito in una directory come /etc/nginx/ sui sistemi Linux. Il file esatto può variare da sistema a sistema, ma di solito è denominato nginx.conf o default o sites-available per ogni sito web.

Usa un editor di testo o un editor da riga di comando (come nano, vim o gedit) per aprire il file di configurazione. Avrai bisogno delle autorizzazioni di amministratore o superutente per poter modificare il file.

Aggiungi gli header di sicurezza desiderati: Puoi aggiungere gli header di sicurezza desiderati inserendo le direttive add_header nella tua configurazione Nginx. Di seguito ci sono degli esempi di alcuni header di sicurezza comunemente utilizzati:

Content Security Policy (CSP):

add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';";

X-Content-Type-Options:

add_header X-Content-Type-Options "nosniff";

X-Frame-Options:

add_header X-Frame-Options "DENY";

X-XSS-Protection:

add_header X-XSS-Protection "1; mode=block";

HTTP Strict Transport Security (HSTS) (Attenzione: utilizzare solo se il tuo sito è sempre accessibile via HTTPS):

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

Referrer-Policy:

add_header Referrer-Policy "strict-origin-when-cross-origin";

Salva e chiudi il file di configurazione: Dopo aver aggiunto gli header desiderati, salva e chiudi il file di configurazione.

Verifica ora la configurazione: Puoi verificare la validità della configurazione di Nginx con il comando nginx -t. Se la configurazione è valida, dovrebbe essere visualizzato un messaggio di successo.

Avvia o aggiorna Nginx: Dopo aver verificato la configurazione, avvia o aggiorna il server Nginx per attivare i nuovi header. Puoi riavviare il server con il comando sudo service nginx restart (su Debian/Ubuntu) oppure sudo systemctl restart nginx (su sistemi basati su systemd).

Testa il tuo sito web: Controlla il funzionamento del tuo sito web per assicurarti che tutte le funzionalità funzionino correttamente e che gli header di sicurezza implementino le misure di sicurezza desiderate.

Considera che la configurazione di Nginx può variare da sistema a sistema, soprattutto se stai utilizzando più virtual hosts (blocchi server) o una configurazione più complessa. Assicurati quindi di modificare il file di configurazione corretto responsabile del tuo sito web.

Plugin per WordPress per gli header di sicurezza

Ci sono vari plugin WordPress che possono aiutarti a configurare gli header di sicurezza sul tuo sito WordPress. Questi plugin semplificano l'implementazione delle misure di sicurezza anche se non hai conoscenze tecniche approfondite.

Il plugin "Headers Security Advanced & HSTS WP" è specificamente progettato per implementare gli header di sicurezza e HTTP Strict Transport Security (HSTS) nei siti WordPress. Offre un modo user-friendly per configurare questi header e misure di sicurezza.
https://it.wordpress.org/plugins/headers-security-advanced-hsts-wp/

Ecco alcuni altri plugin WordPress che possono aiutarti nella configurazione degli header di sicurezza:

1. WP Security Headers: Questo plugin ti consente di configurare diversi header di sicurezza nel tuo sito WordPress. Fornisce un'interfaccia user-friendly e ti permette di personalizzare header come Content Security Policy (CSP), X-Frame-Options e altro.

2. HTTP Headers: HTTP Headers è un plugin WordPress che ti consente di impostare vari header HTTP per una maggiore sicurezza e privacy. Puoi configurare header come X-Content-Type-Options, X-XSS-Protection e Referrer-Policy.

3. Security Headers: Questo plugin è specificamente dedicato alla configurazione di Content Security Policy (CSP). Offre un modo semplice per definire e personalizzare una politica CSP per il tuo sito web.

4. Easy Security Headers: Questo plugin offre un modo semplice per attivare e configurare importanti header di sicurezza in WordPress. Include header come Content Security Policy, Strict-Transport-Security e X-Content-Type-Options.

Prima di utilizzare un plugin per la configurazione degli header di sicurezza in WordPress, assicurati che sia compatibile con la tua versione di WordPress e la tua versione di PHP.

Implementare gli header di sicurezza per il CMS Headless Strapi

Strapi è un popolare CMS Headless (Content Management System) basato su Node.js. Similmente a WordPress, per Strapi esiste la possibilità di implementare gli header di sicurezza. Tuttavia, in Strapi la configurazione degli header di sicurezza di solito avviene a un livello più profondo, poiché si tratta di un'applicazione lato server. Ecco i passaggi per configurare gli header di sicurezza in un'applicazione Strapi:

Utilizzare middleware: In Strapi puoi utilizzare middleware per impostare gli header HTTP. Puoi creare un middleware personalizzato che aggiunge gli header di sicurezza desiderati alle risposte HTTP. Ecco un esempio di come puoi farlo:

1. Crea un file, ad esempio security-headers.js, nella tua directory middleware

module.exports = (strapi) => {
return {
initialize() {
strapi.app.use(async (ctx, next) => {

2. Imposta gli header di sicurezza desiderati

ctx.set('Content-Security-Policy', "default-src 'self'"); ctx.set('X-Content-Type-Options', 'nosniff'); ctx.set('X-Frame-Options', 'DENY'); ctx.set('X-XSS-Protection', '1; mode=block'); ctx.set('Strict-Transport-Security', 'max-age=63072000; includeSubDomains; preload'); ctx.set('Referrer-Policy', 'strict-origin-when-cross-origin');

3. Chiamare il passo successivo del middleware

await next(); 
}); 
},
};
};

Registrare il middleware: Dopo aver creato il middleware, è necessario registrarlo nel file middleware.js della tua applicazione Strapi per assicurarti che venga eseguito ad ogni richiesta HTTP.

module.exports = {
settings: {

Altre impostazioni...

},
middleware: {

Altri middleware...

securityHeaders: { 
enabled: true, 
},
},
};

Personalizzare e testare: Personalizza i valori degli header nel middleware secondo le tue esigenze. Assicurati che gli header siano impostati correttamente testando l'applicazione e utilizzando strumenti come il controllo degli header di sicurezza.

Verifica la configurazione del server: Oltre all'impostazione del middleware in Strapi, è importante verificare che anche il tuo server web (ad es. Nginx o Apache), se presente, non imposti header contrastanti che potrebbero sovrascrivere quelli definiti da Strapi.

L'implementazione esatta può variare a seconda della tua configurazione Strapi e del tuo server. Un'implementazione alternativa può essere fatta anche tramite config/app.js in Strapi CMS. Tuttavia, l'utilizzo di middleware ti offre maggiore controllo e flessibilità.

Così appare sul nostro sito web di agenzia 4eck-media.de, che utilizza il CMS Headless Strapi:

Strumenti di test per gli header di sicurezza e le vulnerabilità dei siti web

Dopo aver implementato gli header di sicurezza, assicurati di effettuare un test funzionale del sito su diversi browser e dispositivi. Utilizza anche i seguenti due strumenti di test per verificare che tutto sia integrato correttamente:

• securityheaders.com => lo strumento si concentra sugli header di sicurezza. Vedi la schermata sopra.
• securityscan.getastra.com => lo strumento verifica oltre 140 vulnerabilità di sicurezza e include anche gli header di sicurezza.

Con il controllo della salute su https://securityscan.getastra.com/ otteniamo attualmente un punteggio di 90/100 per tutkit.com:

Come puoi vedere, c'è ancora margine di miglioramento, nonostante tutto sia a posto. Da parte nostra, ciò è correlato a determinati moduli che emettono JavaScript in modo diverso rispetto alle raccomandazioni per le migliori pratiche di sicurezza. Con il prossimo aggiornamento principale del nostro framework JavaScript vue.js e dei moduli Laraberg di TutKit.com, affronteremo anche questo problema.

I Security Headers sono utili per l'ottimizzazione dei motori di ricerca (SEO)?

C'è una correlazione tra gli Security Headers e l'ottimizzazione dei motori di ricerca (SEO), anche se questa relazione è più di natura indiretta.

Google ha dichiarato a maggio 2020 che nel 2021 l'Esperienza di Pagina incorporerà sette diversi fattori contribuendo a un quadro completo per la qualità nell'esperienza di un sito web.

HTTPS e Safe Browsing sono tra i principali fattori che contribuiscono ai segnali positivi per l'Esperienza di Pagina. L'uso di HTTPS è stato identificato come fattore di classifica da parte di Google. La stessa cosa valeva inizialmente per il Safe Browsing. Ad agosto 2021, Google ha poi ritrattato e ha affermato che il Safe Browsing non sarà più considerato come fattore di classifica, poiché molti proprietari di siti web non possono fare nulla contro l'hacking. 

Negli strumenti PageSpeed Insights e nei test Lighthouse tramite gli Strumenti per sviluppatori del browser Chrome visualizzerai un suggerimento relativo al Safe Browsing. Pertanto, è presumibile che il tema del Safe Browsing per l'ottimizzazione dei motori di ricerca non sia del tutto escluso:

Inoltre, Google assegna maggiore importanza ai siti web che rispettano il principio EEAT, ovvero i cui contenuti sono validati secondo competenza, esperienza, autorità e affidabilità. L'affidabilità si riferisce alla sicurezza e alla credibilità di un sito web o di un contenuto web. Google valuta l'affidabilità in base a fattori come privacy, sicurezza e trasparenza.

Come esattamente Security Headers influiscono sul SEO può essere spiegato attraverso cinque vantaggi degli header HTTP per il tuo sito web e i tuoi visitatori:

1. Fiducia e sicurezza: Un sito web che utilizza header di sicurezza segnala ai visitatori e ai motori di ricerca che si preoccupa della sicurezza dei propri utenti e dei dati. Questo può rafforzare la fiducia degli utenti nel sito web e ridurre il rischio di problemi di sicurezza come perdite di dati e attacchi malware.

2. Prevenzione di problemi di sicurezza: Gli Security Headers, come ad esempio Content Security Policy (CSP) e X-XSS-Protection, aiutano a prevenire vulnerabilità note come Cross-Site Scripting (XSS). I siti web vulnerabili potrebbero essere penalizzati dai motori di ricerca o visualizzare avvisi di sicurezza agli utenti, cosa che potrebbe avere un impatto negativo sul SEO.

3. Miglioramento dei tempi di caricamento: Alcuni Security Headers, come HTTP Strict Transport Security (HSTS), possono contribuire a migliorare i tempi di caricamento del sito web poiché costringono il browser a stabilire la connessione tramite HTTPS. Tempi di caricamento più veloci sono un importante fattore SEO, poiché i motori di ricerca come Google tengono conto dei tempi di caricamento come criterio di ranking.

4. Prevenzione di Clickjacking e Phishing: Gli Security Headers come X-Frame-Options possono aiutare a prevenire attacchi di Clickjacking, in cui i contenuti di un sito web vengono visualizzati in un frame invisibile. Questo può aumentare la fiducia degli utenti nel sito web e ridurre la probabilità di attacchi di phishing.

5. HTTPS e ranking: Sebbene non direttamente correlato agli Security Headers, l'uso di HTTPS (promosso da Headers di sicurezza come HSTS) è un importante fattore SEO. Google aveva già annunciato nel 2010 che HTTPS sarebbe considerato un segnale di ranking e i siti web con HTTPS potrebbero avere un vantaggio SEO.

L'uso di Security Headers può, a mio parere, influenzare positivamente il ranking SEO di un sito web, ma non rappresenta l'unico criterio, bensì solo una piccola parte dell'intera equazione di sicurezza e SEO. Un sito web che offre contenuti non pertinenti o un'esperienza utente insufficiente non migliorerà il suo posizionamento nei risultati di ricerca semplicemente aggiungendo Security Headers. Il SEO è un processo complesso che tiene conto di molti fattori, tra cui contenuti di qualità, buona user experience, ottimizzazione mobile e molto altro. Tuttavia, gli header di sicurezza sono una componente importante per guadagnare la fiducia degli utenti e rendere complessivamente il sito web più sicuro, il che può influenzare positivamente il posizionamento SEO.

Oppure, al contrario: se il tuo sito web è infestato da malware e Google avvisa i visitatori del sito, ciò avrà un impatto negativo diretto sulla tua reputazione. Il tuo ranking diminuirà e andranno persi tutti i tuoi successi SEO precedenti. Come proprietario del sito web, riceverai un avviso da Google tramite Search Console in questo caso. In alternativa, puoi anche verificare se il tuo sito è infestato da malware qui.

Siamo comunque orgogliosi di aver aggiornato i nostri Security Headers allo stato dell'arte in un Security Sprint. E abbiamo così guadagnato un posto nella Hall of Fame:

In conclusione: implementare gli header di sicurezza non è complicato e dovrebbe essere preso in considerazione ogni volta che si lancia un sito web. Purtroppo, la maggior parte dei proprietari di siti web, agenzie ed esperti di SEO non lo ha presente, motivo per cui sarebbe utile se gli strumenti SEO includessero l'analisi degli HTTP-Headers nei loro audits. Vedremo... ho già espresso questo desiderio alla direzione di SEOBILITY :-)