Cómo Añadir las Cabeceras de Seguridad HTTP en WordPress

Categorias: Wordpress

Cómo Añadir las Cabeceras de Seguridad HTTP en WordPress

Las cabeceras HTTP se utilizan para el correcto funcionamiento de una web. Se tratan de una espacie de comunicación entre el servidor y el navegador que un atacante puede utilizar para «conocer» el funcionamiento de nuestro sitio. En WordPress puedes securizar las cabeceras HTTP de una forma muy sencilla editando el archivo .htaccess.

Cuando haces click en un enlace o visitas un sitio WordPress, el navegador y el servidor envían información entre ellos, imágenes, texto, enlaces, etc… de otra forma no se vería el sitio web.

Además del contenido web en si mismo, se envían la información de la cabeceras o headers en ingles.

En las cabeceras se añade información del servidor y la web visitada, como la versión de HTTP que se utiliza, el tipo de servidor web, el control de la caché, los tipos de archivo, etc…

Toda esta información se utiliza para que el navegador pueda mostrar el sitio web de forma correcta, pero tanta información también puede ser utilizada para que un atacante intente hackear nuestro WordPress.

Una forma de evitar esto es securizar las cabeceras o añadir cabeceras http seguras en nuestro WordPress.

En realidad se trata de un proceso muy sencillo pero que no se utiliza mucho, al menos por ahora.

Tampoco significa que si no usamos las cabeceras seguras, un atacante nos puede hackear si o si, pero si las activamos tenemos una capa extra de seguridad que nos puede salvar de un intento de ataque.

También es posible que, al añadir algunas de las cabeceras de seguridad, nuestro WordPress falle, por alguna programación o plugin que tengamos instalado.

Por eso es importante que hagas una copia de seguridad antes de tocar nada, así si algo falla, lo podrás arreglar en pocos minutos.


Tenemos diferentes tipos de hosting, selecciona uno:


¿Tengo las Cabeceras HTTP Seguras ya en mi WordPress?

Antes de nada, es posible que tu WordPress ya tenga las cabeceras HTTP seguras, pero no seas consciente de ello.

Igual un plugin de seguridad que hayas instalado tenga esta opción entre sus muchas características o el diseñador/programador que te hizo la web las añadiera.

En cualquier caso, para revisarlo lo mejor es hacer un check externo en alguna de las muchas webs que puedes encontrar haciendo una simple búsqueda en Google, como por ejemplo securityheaders.com

Su funcionamiento es muy sencillo, sólo tienes que poner en tu dominio en el buscador y pulsar en Scan y en unos segundos verás el resultado.

En nuestra prueba no hemos dado ningún positivo y nos faltan todas las cabeceras HTTP de seguridad posibles. ¡Código Rojo!

prueba cabeceras http seguras negativa - Código Rojo

Si por el contrario el test muestra un bonito color verde, significa que ya estás utilizando las cabeceras seguras y ay puedes pasar a otra cosa, no tienes que hacer nada más al respecto.

 

Añadir Cabeceras HTTP Seguras en en Archivo .htaccess

La cabeceras seguras HTTP se pueden añadir el en archivo .htaccess de tu WordPress, aunque también puedes añadirlas en el archivo functions.php del theme que estés usando, pero si no estás usando un «Tema Hijo» tendrás que volver a añadirlas cada vez que actualices el theme.

Las cabeceras seguras más comunes son las siguientes:

  • – Strict-Transport-Security
    Eso nos garantiza que ningún navegador pueda interactuar con el sitio si no usa https, así evitamos que un atacante intente usar protocolo no seguro (http) en nuestro sitio.
  • – Content-Security-Policy
    Se trata de una eficaz medida para evitar los ataques XSS. Se pueden incluir «listas blancas» de contenido para que el navegador no pueda cargar contenido no verificado.
  • – X-Frame-Options
    Un frame se utiliza para cargar parte de una página web en otra web, con esta cabecera podemos evitarlo o añadir sólo algunas URL’s permitidas.
  • – X-Content-Type-Options
    Con esta cabecera de seguridad podemos evitar que el navegador cargue contenido enmascarado para intentar engañarlo.
  • – Referrer-Policy
    Cuando visitas una web el servidor «sabe» de dónde eres. Si quieres evitar esto en tu WordPress puedes usar esta cabecera de seguridad.
  • – Permissions-PolicyEsta cabeceras sirve para controlar las funciones que puede usare el navegador web visitar nuestros WordPress. Sirve también para las API.

Un ejemplo del código que puedes usar es el siguiente:

Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header Referrer-Policy: no-referrer-when-downgrade
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set Content-Security-Policy "default-src 'self'"
Header set X-XSS-Protection "1; mode=block"

 

Eso lo tienes que copiar y pegar en el archivo .htaccess de tu sitio web, aunque es sólo un ejemplo, puedes editarlo si lo necesitas y si no tienes los conocimientos necesarios, buscar ayuda de un profesional.

Lo que si es importante es que hagas una copia de seguridad del archivo .htaccess antes de modificarlo, por si algo sale mal.

Debería quedar algo parecido a la siguiente imagen:

cabeceras http seguras htaccess para WordPress

Una vez guardes los cambios puedes volver a pasar el test online de antes para ver si todo ha sido correcto.

El bonito color verde debería confirmar que has añadido las cabeceras HTTP seguras de manera correcta.

prueba cabeceras http seguras positiva - Código Verde

Cosas a Tener en Cuenta

Una vez añadas las cabeceras HTTTP seguras debes de comprobar que todo tu WordPress funcione correctamente.

Formularios, accesos al panel, carritos de compra, registro de usuarios, envío de correos electrónicos automáticos,…

Comprueba que todo es correcto y que no has dejado sin funcionamiento alguna programación por añadir las cabeceras seguras HTTP en el archivo .htaccess.

En principio no deberías tener problemas, pero cada WordPress es un mundo, así que vale la pena comprobarlo.

Si prefieres hacer todo esto a través de un plugin, una opción es HTTP Headers, aunque tienes más opciones disponible, como casi todo en WordPress.

Hosting WordPress SSD + IP Española

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!