Cómo agregar encabezados de seguridad HTTP en WordPress (Guía para principiantes)

¿Quiere agregar encabezados de seguridad HTTP en WordPress?

Los encabezados de seguridad HTTP le permiten agregar una capa adicional de seguridad a su sitio web de WordPress. Pueden ayudar a evitar que la actividad maliciosa común afecte el rendimiento de su sitio.

En esta guía para principiantes, le mostraremos cómo agregar encabezados de seguridad HTTP en WordPress.

Los encabezados de seguridad HTTP son una medida de seguridad que permite que el servidor de su sitio web evite algunas amenazas de seguridad comunes antes de que puedan afectar su sitio web.

Cuando un usuario visita su sitio web de WordPress, su servidor web envía una respuesta de encabezado HTTP a su navegador. Esta respuesta comunica códigos de error, control de caché y otros estados a los navegadores.

La respuesta de encabezado normal emite un estado llamado HTTP 200. Después de eso, su sitio web se carga en el navegador del usuario. Sin embargo, si su sitio web tiene problemas, es posible que su servidor web esté enviando un encabezado HTTP diferente.

Por ejemplo, podría enviar un error de servidor interno 500 o un código de error 404 no encontrado.

Los encabezados de seguridad HTTP son un subconjunto de estos encabezados. Se utilizan para proteger sitios web de amenazas comunes, como secuestro de clics, secuencias de comandos entre sitios, ataques de fuerza bruta y más.

Echemos un vistazo rápido a algunos encabezados de seguridad HTTP y cómo protegen su sitio web:

  • Seguridad de transporte estricta HTTP (HSTS) le dice a los navegadores web que su sitio web usa HTTPS y no debe cargarse usando un protocolo inseguro como HTTP.
  • Protección X-XSS le permite bloquear la carga de secuencias de comandos entre sitios.
  • Opciones de marco X evita los iframes entre dominios o el secuestro de clics.
  • Opciones de tipo de contenido X X-Content-Type-Options bloquea el rastreo de contenido de tipo MIME.

Los encabezados de seguridad HTTP funcionan mejor cuando se configuran en el nivel del servidor web, lo que significa que su cuenta de alojamiento de WordPress. Esto les permite activarse con anticipación durante una solicitud HTTP típica y brindar el máximo beneficio.

Funcionan incluso mejor si usa un firewall de aplicaciones de sitios web a nivel de DNS como Sucuri o Cloudflare.

Dicho esto, echemos un vistazo a cómo agregar fácilmente encabezados de seguridad HTTP en WordPress. Aquí hay enlaces rápidos a varios métodos para que pueda saltar al que sea adecuado para usted:

Sucuri es uno de los mejores plugins de seguridad de WordPress del mercado. Si está utilizando el servicio de firewall de su sitio web, puede establecer encabezados de seguridad HTTP sin escribir ningún código.

Primero, deberá registrarse para obtener una cuenta de Sucuri. Es un servicio pago que viene con un firewall de sitio web a nivel de servidor, plugins de seguridad, CDN y garantía de eliminación de malware.

Durante el registro, deberá responder preguntas simples y la documentación de Sucuri lo ayudará a configurar el firewall de la aplicación del sitio web en su sitio web.

Después de registrarse, debe instalar y activar la versión gratuita Plugin Sucuri. Para obtener más detalles, consulte nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.

Después de la activación, debe ir a Sucuri Seguridad » Cortafuegos (WAF) e ingrese su clave API de firewall. Puede encontrar esta información en su cuenta en el sitio web de Sucuri.

Clave API WAF de Sucuri

Después de eso, deberá hacer clic en el botón verde «Guardar» para almacenar los cambios.

A continuación, debe navegar hasta el panel de control de su cuenta de Sucuri. Desde aquí, haga clic en el menú «Configuración» en la parte superior, luego cambie a la pestaña «Seguridad».

Configuración de encabezados de seguridad HTTP en Sucuri

Desde aquí, puede elegir tres conjuntos de reglas. La protección predeterminada funcionará bien para la mayoría de los sitios web.

Si tienes un plan Profesional o Empresarial, también tienes opciones para HSTS y HSTS Full. Puede ver qué encabezados de seguridad HTTP se aplicarán para cada conjunto de reglas.

Debe hacer clic en el botón «Guardar cambios en encabezados adicionales» para aplicar los cambios.

Sucuri ahora agregará los encabezados de seguridad HTTP seleccionados en WordPress. Dado que es un WAF a nivel de DNS, el tráfico de su sitio web está protegido contra piratas informáticos incluso antes de que lleguen a su sitio web.

Llamarada de la nube ofrece un firewall de sitio web gratuito básico y un servicio de CDN. Carece de funciones de seguridad avanzadas en su plan gratuito, por lo que deberá actualizar a su plan Pro, que es más costoso.

Puede aprender cómo agregar Cloudflare a su sitio web siguiendo nuestro tutorial sobre cómo configurar el CDN gratuito de Cloudflare en WordPress.

Una vez que Cloudflare esté activo en su sitio web, debe ir a la página SSL/TLS en el panel de control de su cuenta de Cloudflare y luego cambiar a la pestaña «Certificados de borde».

Configuración de encabezados de seguridad HTTPS en Cloudflare

Ahora desplácese hacia abajo hasta la sección «HTTP Strict Transport Security (HSTS)».

Una vez encontrado, debe hacer clic en el botón «Habilitar HSTS».

Haga clic en el botón Habilitar HSTS

Aparecerá una ventana emergente con instrucciones que le indicarán que debe tener HTTPS habilitado en su sitio web antes de usar esta función.

Si su blog de WordPress ya tiene una conexión HTTPS segura, puede hacer clic en el botón «Siguiente» para continuar. Verá opciones para agregar encabezados de seguridad HTTP.

Habilite los encabezados de seguridad HTTPS en Cloudflare

Desde aquí, puede habilitar HSTS, aplicar HSTS a subdominios (si los subdominios usan HTTPS), precargar HSTS y habilitar encabezado no-sniff.

Este método proporciona seguridad básica mediante encabezados de seguridad HTTP. Sin embargo, no le permite agregar X-Frame-Options y Cloudflare no tiene una interfaz de usuario para hacerlo.

Todavía puede hacer esto creando un script usando el Trabajadores de Cloudflare característica. Sin embargo, no lo recomendamos porque crear un encabezado de seguridad HTTPS puede causar problemas inesperados a los principiantes.

Este método le permite establecer encabezados de seguridad HTTP en WordPress a nivel de servidor.

Requiere editar el archivo .htaccess en su sitio web. Este archivo de configuración del servidor es utilizado por el software de servidor web Apache más utilizado.

Nota: Antes de realizar cambios en los archivos de su sitio web, le recomendamos que realice una copia de seguridad.

Luego, simplemente conéctese a su sitio web usando un cliente FTP o el administrador de archivos en su panel de control de alojamiento. En la carpeta raíz de su sitio web, debe encontrar el archivo .htaccess y editarlo.

Visualización Edite el archivo .htaccess usando un cliente FTP

Esto abrirá el archivo en un editor de texto simple. En la parte inferior del archivo, puede agregar código para agregar encabezados de seguridad HTTPS a su sitio web de WordPress.

Puede utilizar el siguiente código de ejemplo como punto de partida. Establezca los encabezados de seguridad HTTP más utilizados con una configuración óptima:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

No olvides guardar los cambios y visitar tu sitio web para asegurarte de que todo funciona como se espera.

Nota: Tenga cuidado al editar el código en su sitio web. Los encabezados incorrectos o los conflictos en el archivo .htaccess pueden desencadenar el error interno del servidor 500.

SEO todo en uno (AIOSEO) es la mejor herramienta de SEO para WordPress y cuenta con la confianza de más de 3 millones de empresas. El plugin premium le permite agregar fácilmente encabezados de seguridad HTTP a su sitio web.

Lo primero que debe hacer es instalar y activar el plugin AIOSEO en su sitio web. Puede obtener más información en nuestra guía paso a paso sobre cómo configurar All in One SEO para WordPress.

A continuación, debe ir a la Todo en uno SEO » Redireccionamientos página para agregar encabezados de seguridad HTTP. Primero, deberá hacer clic en el botón «Habilitar redireccionamientos» para habilitar la función.

Habilitación de redireccionamientos en All in One SEO

Una vez que los redireccionamientos están habilitados, debe hacer clic en la pestaña «Redireccionamiento completo del sitio» y luego desplazarse hacia abajo hasta la sección «Configuración canónica».

Simplemente habilite la opción «Configuración canónica» y luego haga clic en el botón «Agregar preajuste de seguridad».

Agregar ajustes preestablecidos de seguridad en AIOSEO

Aparecerá una lista preestablecida de encabezados de seguridad HTTP en la tabla.

Estos encabezados están optimizados para la seguridad. Puede revisarlos y editarlos si es necesario.

Los encabezados de seguridad se agregan en AIOSEO

Asegúrese de hacer clic en el botón «Guardar cambios» en la parte superior o inferior de la pantalla para almacenar sus encabezados de seguridad.

Ahora puede visitar su sitio web para asegurarse de que todo funciona correctamente.

Ahora que ha agregado encabezados de seguridad HTTP a su sitio web, puede probar su configuración usando el archivo gratuito Encabezados de seguridad herramienta.

Simplemente ingrese la URL de su sitio web y haga clic en el botón «Craw».

Comprobación de los encabezados de seguridad HTTP de un sitio web

Luego verificará los encabezados de seguridad HTTP para su sitio web y le mostrará un informe. La herramienta también generará una llamada etiqueta de calificación, que puede ignorar ya que la mayoría de los sitios web obtendrán una calificación B o C sin afectar la experiencia del usuario.

Le mostrará qué encabezados de seguridad HTTP envía su sitio web y cuáles no están incluidos. Si los encabezados de seguridad que desea establecer se enumeran allí, ya está.

Esperamos que este artículo le haya ayudado a aprender cómo agregar encabezados de seguridad HTTP en WordPress. Es posible que también desee ver nuestra guía completa sobre la seguridad de WordPress y nuestras selecciones de expertos para los mejores plugins de WordPress para sitios web comerciales.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicado. Required fields are marked *