Cómo agregar encabezados de seguridad HTTP en WordPress (Guía para principiantes)
¿Quieres agregar encabezados de seguridad HTTP en WordPress?
Los encabezados de seguridad HTTP le permiten agregar una capa adicional de seguridad a su sitio web de WordPress. Pueden ayudar a evitar que la actividad maliciosa común afecte el rendimiento de su sitio web.
En esta guía para principiantes, le mostraremos cómo agregar fácilmente encabezados de seguridad HTTP en WordPress.
¿Qué son los encabezados de seguridad HTTP?
Los encabezados de seguridad HTTP son una medida de seguridad que permite que el servidor de su sitio web evite algunas amenazas de seguridad comunes antes de que afecten a su sitio web.
Básicamente, cuando un usuario visita su sitio web, su servidor web envía una respuesta de encabezado HTTP a su navegador. Esta respuesta informa a los navegadores sobre códigos de error, control de caché y otros estados.
La respuesta del encabezado normal emite un estado llamado HTTP 200. Después del cual su sitio web se carga en el navegador del usuario. Sin embargo, si su sitio web tiene dificultades, su servidor web puede enviar un encabezado HTTP diferente.
Por ejemplo, puede enviar un error interno del servidor 500 o un código de error 404 no encontrado.
Los encabezados de seguridad HTTP son un subconjunto de estos encabezados y se utilizan para evitar que los sitios web reciban amenazas comunes como el secuestro de clics, las secuencias de comandos entre sitios, los ataques de fuerza bruta, etc.
Echemos un vistazo rápido a cómo se ven los encabezados de seguridad HTTP y qué hacen para proteger su sitio web.
Seguridad de transporte estricta HTTP (HSTS)
El encabezado HTTP Strict Transport Security (HSTS) le dice a los navegadores web que su sitio web usa HTTP y no debe cargarse usando un protocolo inseguro como HTTP.
Si ha movido su sitio web de WordPress de HTTP a HTTP, este encabezado de seguridad le permite evitar que los navegadores carguen su sitio web en HTTP.
Protección X-XSS
El encabezado de protección X-XSS le permite bloquear la carga de secuencias de comandos entre sitios en su sitio web de WordPress.
Opciones de X-Frame
El encabezado de seguridad X-Frame-Options evita los iframes entre dominios o el click-jacking.
X-Content-Type-Options
X-Content-Type-Options bloquea el rastreo de contenido tipo mimo.
Dicho esto, veamos cómo agregar fácilmente encabezados de seguridad HTTP en WordPress.
Agregar encabezados de seguridad HTTP en WordPress
Los encabezados de seguridad HTTP funcionan mejor cuando se configuran en el nivel del servidor web (es decir, su cuenta de alojamiento de WordPress). Esto permite que se activen desde el principio durante una solicitud HTTP típica y proporciona el máximo beneficio.
Funcionan incluso mejor si está utilizando un firewall de aplicaciones de sitios web a nivel de DNS como Sucuri o Cloudflare. Le mostraremos cada método y puede elegir el que mejor se adapte a sus necesidades.
- Agregar encabezados de seguridad HTTP usando Sucuri
- Agregar encabezados de seguridad HTTP con Cloudflare
- Agregar encabezados de seguridad HTTP usando .htaccess
- Agregar encabezados de seguridad HTTP usando el complemento de WordPress
- Prueba de encabezados de seguridad HTTP
1 Agregar encabezados de seguridad HTTP en WordPress usando Sucuri
Sucuri es el mejor complemento de seguridad de WordPress del mercado. Si también está utilizando el servicio de firewall de su sitio web, puede configurar los encabezados de seguridad HTTP sin escribir ningún código.
Primero, deberá registrarse para obtener una cuenta de Sucuri. Es un servicio pago que viene con un firewall de sitio web de nivel de servidor, un complemento de seguridad, CDN y garantía de eliminación de malware.
Durante el registro, responderá preguntas sencillas y la documentación de Sucuri lo ayudará a configurar el firewall de la aplicación del sitio web en su sitio web.
Después de registrarse, debe instalar y activar el complemento gratuito Sucuri. Para obtener más detalles, consulte nuestra guía paso a paso sobre cómo instalar un complemento de WordPress.
Tras la activación, vaya a la página Sucuri Security »Firewall (WAF) e ingrese su clave API de Firewall. Puede encontrar esta información en su cuenta en el sitio web de Sucuri.
Haga clic en el botón Guardar para almacenar sus cambios.
A continuación, debe cambiar al panel de control de su cuenta de Sucuri. Desde aquí, haga clic en el menú Configuración en la parte superior y luego cambie a la pestaña Seguridad.
Desde aquí puede elegir tres conjuntos de reglas. La protección predeterminada, HSTS y HSTS Full. Verá qué encabezados de seguridad HTTP se aplicarán para cada conjunto de reglas.
Haga clic en el botón «Guardar cambios en los encabezados adicionales» para aplicar sus cambios.
Eso es todo, Sucuri ahora agregará sus encabezados de seguridad HTTP seleccionados en WordPress. Dado que es un WAF de nivel DNS, el tráfico de su sitio web está protegido de los piratas informáticos incluso antes de que lleguen a su sitio web.
2 Agregar encabezados de seguridad HTTP en WordPress usando Cloudflare
Cloudflare ofrece un firewall de sitio web básico y gratuito y un servicio CDN. Carece de funciones de seguridad avanzadas en su plan gratuito, por lo que deberá actualizar a su plan Pro, que son más costosos.
Para agregar Cloudflare en su sitio, consulte nuestro tutorial sobre cómo agregar CDN gratuito de Cloudflare en WordPress.
Una vez que Cloudflare esté activo en su sitio web, vaya a la página SSL / TLS debajo del panel de control de su cuenta de Cloudflare y luego cambie a la pestaña Certificados Edge.
Ahora, desplácese hacia abajo hasta la sección HTTP Strict Transport Security (HSTS) y haga clic en el botón «Habilitar HSTS».
Aparecerá una ventana emergente con instrucciones que le indicarán que debe tener HTTPS habilitado en su blog de WordPress antes de usar esta función. Haga clic en el botón Siguiente para continuar y verá las opciones para agregar encabezados de seguridad HTTP.
Desde aquí, puede habilitar HSTS, encabezado sin rastreo, aplicar HSTS a subdominios (si están usando HTTPS) y precargar HSTS.
Este método proporciona protección básica mediante encabezados de seguridad HTTP. Sin embargo, no le permite agregar X-Frame-Options y Cloudflare no tiene una interfaz de usuario para hacerlo.
Aún puede hacerlo creando una secuencia de comandos con la función Trabajadores. Sin embargo, la creación de un script de encabezado de seguridad HTTPS puede causar problemas inesperados para los principiantes, por lo que no lo recomendamos.
3 Agregar encabezados de seguridad HTTP en WordPress usando .htaccess
Este método le permite configurar los encabezados de seguridad HTTP en WordPress a nivel del servidor.
Requiere que edite el archivo .htaccess en su sitio web. Es un archivo de configuración del servidor utilizado por el software de servidor web Apache más utilizado.
Simplemente conéctese a su sitio web utilizando un cliente FTP o la aplicación de administrador de archivos en su panel de control de alojamiento. En la carpeta raíz de su sitio web, debe ubicar el archivo .htaccess y editarlo.
Esto abrirá el archivo en un editor de texto sin formato. En la parte inferior del archivo, puede agregar el código para agregar encabezados de seguridad HTTPS a su sitio web de WordPress.
Puede usar el siguiente código de muestra como punto de partida, establece los encabezados de seguridad HTTP más utilizados con una configuración óptima:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>No olvide guardar los cambios y visitar su sitio web para asegurarse de que todo funcione como se esperaba.
Nota: Los encabezados incorrectos o los conflictos en el archivo .htaccess pueden desencadenar un error interno del servidor 500 en la mayoría de los servidores web.
4 Agregar encabezados de seguridad HTTP en WordPress usando un complemento
Este método es un poco menos efectivo ya que se basa en un complemento de WordPress para modificar los encabezados. Sin embargo, también es la forma más fácil de agregar encabezados de seguridad HTTP a su sitio web de WordPress.
Primero, debe instalar y activar el complemento de redirección.
Tras la activación, el complemento mostrará un asistente de configuración que puede seguir para configurar el complemento. Después de eso, vaya a Herramientas »Página de redireccionamiento y cambie a la pestaña» Sitio «.
A continuación, debe desplazarse hacia abajo hasta la parte inferior de la página hasta la sección Encabezados HTTP y hacer clic en el botón «Agregar encabezado». En el menú desplegable, debe seleccionar la opción «Agregar ajustes preestablecidos de seguridad».
Después de eso, deberá hacer clic en él nuevamente para agregar esas opciones. Ahora, verá una lista preestablecida de encabezados de seguridad HTTP aparecer en la tabla.
Estos encabezados están optimizados para la seguridad, puede revisarlos y cambiarlos si es necesario. Una vez que haya terminado, no olvide hacer clic en el botón Actualizar para guardar sus cambios.
Ahora puede visitar su sitio web para asegurarse de que todo funcione correctamente.
Cómo comprobar los encabezados de seguridad HTTP de un sitio web
Ahora que, ha agregado encabezados de seguridad HTTP a su sitio web. Puede probar su configuración utilizando la herramienta gratuita Security Headers. Simplemente ingrese la URL de su sitio web y haga clic en el botón Escanear.
Luego verificará los encabezados de seguridad HTTP de su sitio web y le mostrará un informe. La herramienta generaría una etiqueta de calificación que puede ignorar, ya que la mayoría de los sitios web obtendrían una puntuación B o C en el mejor de los casos sin afectar la experiencia del usuario.
Le mostrará qué encabezados de seguridad HTTP envía su sitio web y qué encabezados de seguridad no están incluidos. Si los encabezados de seguridad que deseaba configurar están enumerados allí, entonces ha terminado.
Eso es todo, esperamos que este artículo le haya ayudado a aprender cómo agregar encabezados de seguridad HTTP en WordPress. Es posible que también desee ver nuestra guía de seguridad completa de WordPress y nuestra selección experta de los mejores complementos de WordPress para sitios web comerciales.