Analisador de cabeçalhos de segurança

Cabeçalhos de segurança são instruções que um servidor web envia com cada resposta que informa aos navegadores como se comportar defensivamente: Content-Security-Policy restringe de onde os scripts podem ser carregados, Strict-Transport-Security força HTTPS, X-Frame-Options bloqueia clickjacking e assim por diante. Eles são uma das etapas de proteção mais baratas e de maior impacto que um site pode realizar.

A nota conta quantos dos seis cabeçalhos principais estão presentes (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy). Todos os seis ganham A; um A+ requer adicionalmente pelo menos um cabeçalho de isolamento de origem cruzada (COOP/CORP/COEP) e nenhum sinalizador de enfraquecimento, como unsafe-inline, em seu CSP.

Não diretamente – o Google não classifica por cabeçalhos de segurança. No entanto, o HSTS protege a experiência HTTPS que o Google mede, e um site protegido tem menos probabilidade de ser hackeado e colocado na lista negra, o que destrói totalmente as classificações. Trate os cabeçalhos como um seguro para seu investimento em SEO.

Cada cabeçalho ausente em seu relatório inclui um snippet de correção nginx pronto para colar. No Apache, use Header sempre defina diretivas em .htaccess; no WordPress com nginx, adicione os snippets ao bloco do servidor e recarregue. Comece com X-Content-Type-Options e HSTS (risco mais baixo), teste primeiro o CSP no modo somente relatório.

Cabeçalhos como Server: nginx/1.24.0 ou X-Powered-By: PHP/8.3 revelam versões exatas de software, o que permite que invasores procurem explorações específicas de versões. O relatório os sinaliza para que você possa retirá-los ou genericizá-los.