¿Deseas añadir encabezados de seguridad HTTP en WordPress? Los encabezados de seguridad HTTP le dejan añadir una capa auxiliar de seguridad a su sitio de WordPress. Pueden asistir a eludir que la actividad maliciosa común afecte el desempeño de su sitio. En esta guía para principiantes, le vamos a mostrar de qué forma añadir de manera fácil encabezados de seguridad HTTP en WordPress.
¿Qué son los encabezados de seguridad HTTP?
Contents
Los encabezados de seguridad HTTP son una medida de seguridad que deja al servidor de su sitio prevenir ciertas amenazas de seguridad comunes antes que afecten a su sitio. Esencialmente, en el momento en que un usuario visita su sitio, su servidor web manda una contestación de encabezado HTTP a su navegador. Esta contestación notifica a los navegadores de los códigos de fallo, la comprobación de la caché y otros estados. La contestación normal del encabezado emite un informe llamado HTTP doscientos. Tras el como su sitio se carga en el navegador del usuario. No obstante, si su sitio tiene contrariedades, su servidor web puede mandar un encabezado HTTP diferente. Por poner un ejemplo, puede mandar un fallo interno del servidor quinientos o bien un código de fallo cuatrocientos cuatro no encontrado. Los encabezados de seguridad HTTP son un subconjunto de estos encabezados y se usan para eludir que los sitios experimenten amenazas comunes como clic-jacking, cross-site scripting, ataques de fuerza bárbara, etc. Echemos una ojeada veloz a de qué forma se ven los encabezados de seguridad HTTP y qué hacen para resguardar su sitio.
Seguridad de transporte rigurosa HTTP (HSTS)
El encabezado HTTP Strict Transport Security (HSTS) le afirma a los navegadores web que su sitio utiliza HTTP y no debe cargarse utilizando un protocolo inseguro como HTTP. Si ha movido su sitio de WordPress de HTTP a HTTP, este encabezado de seguridad le deja eludir que los navegadores carguen su sitio por medio de HTTP.
Protección X-XSS
El encabezado de protección X-XSS le deja bloquear la carga de scripts entre sitios en su sitio de WordPress.
Opciones de X-Frame
El encabezado de seguridad X-Frame-Options evita los iframes entre dominios o bien el clic-jacking.
Opciones de género de contenido X
X-Content-Type-Options bloquea el rastreo de contenido de tipo mimo. Dicho esto, echemos una ojeada a de qué forma añadir de manera fácil encabezados de seguridad HTTP en WordPress.
Agregar encabezados de seguridad HTTP en WordPress
Los encabezados de seguridad HTTP marchan mejor cuando se configuran en el nivel del servidor web (o sea, su cuenta de alojamiento de WordPress). Esto deja que se activen al comienzo de una petición HTTP habitual y da el máximo beneficio. Marchan aun mejor si está usando un firewall de aplicación de sitio a nivel de DNS como Sucuri o bien Cloudflare. Le vamos a mostrar cada procedimiento y puede seleccionar el que mejor se adapte a sus necesidades. Acá hay links veloces a diferentes métodos, puede mudar al que sea conveniente para .
1. Añadir encabezados de seguridad HTTP en WordPress utilizando Sucuri
Sucuri es el mejor complemento de seguridad de WordPress del mercado. Si asimismo usa el servicio de firewall de su sitio, puede establecer encabezados de seguridad HTTP sin redactar ningún código. Primero, va a deber darse de alta para conseguir una cuenta de Sucuri. Este es un servicio pago que incluye un firewall de sitio de nivel de servidor, complemento de seguridad, CDN y garantía de supresión de malware. Al darse de alta, responderá preguntas fáciles y la documentación de Sucuri lo va a ayudar a configurar el firewall de la aplicación del sitio en su sitio. Tras darse de alta, debe instalar y activar el complemento gratis Sucuri. Para conseguir más detalles, consulte nuestra guía pasito a pasito sobre de qué forma instalar un complemento de WordPress. A lo largo de la activación, vaya a Seguridad de Sucuri »Cortafuegos (WAF) y también ingrese su clave de API de firewall. Puede hallar esta información en su cuenta en el sitio de Sucuri.
Haga click en el botón Guardar para guardar sus cambios. Ahora, debe mudar al panel de control de su cuenta de Sucuri. Desde allá, haga click en el menú Configuración en la parte superior y después cambie a la pestañita Seguridad.
Desde ahí, puede seleccionar 3 conjuntos de reglas. Protección predeterminada, HSTS y HSTS Full. Va a ver qué encabezados de seguridad HTTP se van a aplicar para cada conjunto de reglas. Haga click en el botón «Guardar cambios en encabezados auxiliares» para aplicar sus cambios. Eso es todo, Sucuri ahora añadirá sus encabezados de seguridad HTTP elegidos a WordPress. Puesto que se trata de un WAF de nivel DNS, el tráfico de su sitio está protegido de los piratas informáticos aun antes que lleguen a su sitio.
2. Añadir encabezados de seguridad HTTP en WordPress utilizando Cloudflare
Cloudflare ofrece un firewall de sitio básico y gratis y un servicio CDN. Su plan gratis carece de funciones de seguridad avanzadas, con lo que deberá actualizar a su plan Pro más costoso. Para añadir Cloudflare a su lugar, consulte nuestro tutorial sobre de qué forma añadir un CDN de Cloudflare gratis en WordPress. En el momento en que Cloudflare esté activo en su sitio, navegue a la página SSL / TLS bajo el panel de control de su cuenta de Cloudflare, entonces cambie a la pestañita Certificados Edge.
Ahora desplácese cara abajo hasta la sección HTTP Strict Transport Security (HSTS) y haga click en el botón «Habilitar HSTS».
Aparecerá una ventana emergente con instrucciones que le señalarán que debe habilitar HTTPS en su weblog de WordPress ya antes de emplear esta función. Haga click en el botón Siguiente para seguir y va a ver las opciones para añadir encabezados de seguridad HTTP.
Desde allá, puede habilitar HSTS, el encabezado sin rastreo, aplicar HSTS a subdominios (si emplean HTTPS) y precargar HSTS. Este procedimiento da protección básica a través de encabezados de seguridad HTTP. No obstante, no le deja añadir X-Frame-Options y Cloudflare no tiene una interfaz de usuario para hacerlo. Todavía puede hacer esto creando un script utilizando la función Workers. No obstante, la creación de un script de encabezado de seguridad HTTPS puede producir inconvenientes inopinados para los principiantes, con lo que no lo aconsejamos.
3. Añadir encabezados de seguridad HTTP en WordPress utilizando .htaccess
Este procedimiento le deja configurar encabezados de seguridad HTTP en WordPress a nivel de servidor. Requiere que edite el fichero .htaccess en su sitio. Este es un fichero de configuración del servidor usado por el software de servidor web Apache más usado. Sencillamente comience sesión en su sitio usando un cliente del servicio FTP o bien la aplicación de administrador de ficheros en su panel de control de alojamiento. En la carpetita raíz de su sitio, debe situar el fichero .htaccess y editarlo.
Esto va a abrir el fichero en un editor de texto sin formato. En la parte inferior del fichero, puede añadir el código para añadir encabezados de seguridad HTTPS a su sitio de WordPress. Puede emplear el próximo código de muestra como punto de inicio, establece los encabezados de seguridad HTTP más empleados con la configuración óptima:
Conjunto de encabezado Strict-Transport-Security «max-age = treinta y un millones quinientos treinta y seis mil» env = HTTPS Conjunto de encabezado X-XSS-Protection «1; modo = bloque» Conjunto de encabezado X-Content-Type-Options nosniff Conjunto de encabezado X-Frame-Options Encabezado DENY establecer la política de referencia: no-referrer-when-downgrade
Recuerde guardar los cambios y visitar su sitio para cerciorarse de que todo funcione como se aguardaba.
Notar: Los encabezados incorrectos o bien los enfrentamientos en el fichero .htaccess pueden provocar un fallo interno del servidor quinientos en la mayor parte de los servidores web.
Agregar encabezados de seguridad HTTP en WordPress utilizando el complemento
Este procedimiento es un tanto menos eficaz puesto que se fundamenta en un complemento de WordPress para alterar los encabezados. No obstante, asimismo es la manera más simple de añadir encabezados de seguridad HTTP a su sitio de WordPress. Primeramente, debe instalar y activar el complemento de redirección. Para conseguir más detalles, consulte nuestra guía pasito a pasito sobre de qué forma instalar un complemento de WordPress. Tras la activación, el complemento va a mostrar un asistente de configuración que puede proseguir para configurar el complemento. Tras eso, ve a Herramientas »Redirección y vaya a la pestañita «Lugar».
Ahora, debe desplazarse cara abajo hasta la parte inferior de la página hasta la sección Encabezados HTTP y hacer click en el botón « Añadir encabezado ». En el menú desplegable, debe elegir la opción «Añadir ajustes preestablecidos de seguridad».
Tras eso, deberá hacer click en él de nuevo para añadir estas opciones. Ahora va a ver aparecer una lista predefinida de encabezados de seguridad HTTP en la tabla.
Estos encabezados están optimados para la seguridad, puede verlos y alterarlos si es preciso. En el momento en que haya terminado, no olvide hacer click en el botón Actualizar para guardar sus cambios. Ahora puede visitar su sitio para cerciorarse de que todo funcione adecuadamente.
Cómo revisar los encabezados de seguridad HTTP de un lugar web
Ahora que ha agregado encabezados de seguridad HTTP a su sitio. Puede probar su configuración usando la herramienta gratis Security Headers. Sencillamente ingrese la URL de su sitio y haga click en el botón Examinar.
Entonces comprobará los encabezados de seguridad HTTP de su sitio y le va a enseñar un informe. La herramienta produciría una etiqueta de calidad que puede ignorar por el hecho de que la mayor parte de los sitios conseguirían una puntuación B o bien C en el mejor caso sin afectar la experiencia del usuario. Le va a enseñar qué encabezados de seguridad HTTP manda su sitio y qué encabezados de seguridad no están incluidos. Si los encabezados de seguridad que deseaba configurar se cuentan allá, ya está. Eso es todo, aguardamos que este artículo le haya ayudado a aprender de qué forma añadir encabezados de seguridad HTTP en WordPress. Asimismo puede preguntar nuestra guía completa de seguridad de WordPress y la selección de especialistas de los mejores complementos de WordPress para sitios comerciales. Si le agradó este artículo, subscríbase a nuestro canal de YouTube para poder ver tutoriales en vídeo de WordPress. Asimismo puedes toparnos en Twitter …