¿Desea agregar encabezados de seguridad HTTP en WordPress?
Los encabezados de seguridad HTTP le permiten agregar una capa adicional de seguridad a su sitio de WordPress. Pueden ayudar a bloquear el impacto de actividades maliciosas comunes en el rendimiento de su sitio.
En esta guía para principiantes, le mostramos cómo agregar fácilmente encabezados de seguridad HTTP en WordPress.
¿Qué son los encabezados de seguridad HTTP?
Los encabezados de seguridad HTTP son una medida de seguridad que permite que el servidor de su sitio web evite algunas amenazas de seguridad comunes antes de que afecten su sitio web.
Básicamente, cuando un usuario visita su sitio web, el servidor web envía una respuesta de encabezado HTTP a su navegador. Esta respuesta informa a los navegadores sobre códigos de error, verificación de caché y otras condiciones.
Una respuesta de encabezado normal produce un estado llamado HTTP 200. Después de lo cual su sitio se carga en el navegador del usuario. Sin embargo, si su sitio tiene problemas, el servidor web puede enviar un encabezado HTTP diferente.
Por ejemplo, puede enviar un error de servidor interno 500 o un código de error 404 no encontrado.
Los encabezados de seguridad HTTP son un subconjunto de estos encabezados y se utilizan para prevenir amenazas web comunes, como el secuestro de clics, secuencias de comandos entre sitios, ataques de fuerza bruta y más.
Echemos un vistazo a cómo se ven los encabezados de seguridad HTTP y qué hacen para proteger su sitio web.
Seguridad de transporte HTTP estricta (HSTS)
El encabezado HTTP Strict Transport Security (HSTS) les dice a los navegadores web que su sitio usa HTTP y no debe cargarse usando un protocolo inseguro como HTTP.
Si movió su sitio de WordPress de HTTP a HTTPs, este encabezado de seguridad le permite evitar que los navegadores carguen su sitio a través de HTTP.
Protección X-XSS
El encabezado de protección X-XSS le permite bloquear secuencias de comandos entre sitios en su sitio de WordPress.
Opciones de marco X
El encabezado de seguridad X-Frame-Options evita los iframes entre dominios o el secuestro de clics.
Opciones de tipo de contenido X
X-Content-Type-Options bloquea el espionaje en el contenido de tipo MIME.
Dicho esto, echemos un vistazo a cómo agregar fácilmente encabezados de seguridad HTTP en WordPress.
Agregar encabezados de seguridad HTTP en WordPress
Los encabezados de seguridad HTTP funcionan mejor cuando se configuran en el nivel del servidor web (es decir, su cuenta de alojamiento de WordPress). Esto les permite activarse temprano en una solicitud HTTP típica y proporciona el máximo beneficio.
Funcionan aún mejor si usa un firewall de nivel DNS como Sucuri o Cloudflare. Te mostraremos cada método y podrás elegir el que más te convenga.
Aquí hay enlaces rápidos a diferentes métodos, puede ir al que más le convenga.
- Agregar encabezados de seguridad HTTP usando Sucuri
- Agregar encabezados de seguridad HTTP con Cloudflare
- Agregar encabezados de seguridad HTTP con .htaccess
- Agregar encabezados de seguridad HTTP con un complemento de WordPress
- Prueba de encabezados de seguridad HTTP
Sucuri es el mejor complemento de seguridad de WordPress del mercado. Si también usa un servicio de firewall, puede establecer encabezados de seguridad HTTP sin escribir ningún código.
Primero debe registrarse para obtener una cuenta de Sucuri. Es un servicio pago que viene con firewall a nivel de servidor, tapón de seguridad, CDN y garantía de eliminación de malware.
Durante el registro, responderá preguntas simples y la documentación de Sucuri lo ayudará a configurar el firewall de la aplicación en su sitio.
Después de registrarse, debe instalar y activar el complemento gratuito de Sucuri. Para obtener más información, consulte nuestra guía paso a paso sobre cómo instalar un complemento de WordPress.
Después de la activación, vaya a Sucuri Seguridad » Cortafuegos (WAF) e ingrese la clave API del Firewall. Puede encontrar esta información en su cuenta en el sitio web de Sucuri.
Haga clic en el botón Guardar para guardar sus cambios.
Luego debe ir al panel de la cuenta de Sucuri. Desde aquí, haga clic en el menú Configuración en la parte superior y luego vaya a la pestaña Seguridad.
Aquí puede seleccionar tres conjuntos de reglas. Protección por defecto, HSTS y HSTS Full. Verá qué encabezados de seguridad HTTP se aplicarán para cada conjunto de reglas.
Haga clic en el botón «Guardar cambios en encabezados adicionales» para aplicar los cambios.
Eso es todo, Sucuri ahora agregará encabezados de seguridad HTTP seleccionados en WordPress. Como es WAF a nivel de DNS, el tráfico de su sitio web está protegido de los piratas informáticos incluso antes de que llegue a su sitio web.
Cloudflare ofrece un servicio gratuito básico de firewall y CDN. Carecen de funciones de seguridad avanzadas en su plan gratuito, por lo que deberá actualizar a su plan Pro, que es más costoso.
Para agregar Cloudflare a su sitio web, consulte nuestro tutorial sobre cómo agregar un CDN gratuito de Cloudflare en WordPress.
Con Cloudflare activo en su sitio, vaya a la página SSL/TLS en el panel de control de la cuenta de Cloudflare y luego vaya a la pestaña Certificados perimetrales.
Ahora desplácese hacia abajo hasta la sección HTTP Strict Transport Security (HSTS) y haga clic en el botón «Habilitar HSTS».
Esto mostrará una ventana emergente con instrucciones que le indicarán que debe habilitar HTTPS en su blog de WordPress antes de usar esta función. Haga clic en Siguiente para continuar y verá opciones para agregar encabezados de seguridad HTTP.
Aquí puede habilitar HSTS, encabezado sin detección, aplicar HSTS a subdominios (si usan el protocolo HTTPS) y precargar HSTS.
Este método brinda protección básica mediante el uso de encabezados de seguridad HTTP. Sin embargo, no le permite agregar X-Frame-Options y Cloudflare no tiene una interfaz de usuario para eso.
Todavía puede hacer esto creando un script usando la función Empleados. Sin embargo, crear un script de encabezado de seguridad HTTPS puede causar problemas inesperados a los principiantes, por lo que no lo recomendamos.
Este método le permite establecer encabezados de seguridad HTTP en WordPress a nivel de servidor.
Necesita editar el archivo .htaccess en su sitio. Este es el archivo de configuración del servidor utilizado por el software de servidor Apache más utilizado.
Simplemente conéctese a su sitio web utilizando un cliente FTP o una aplicación de administración de archivos en el panel de control de alojamiento. En la raíz de su sitio web, debe ubicar el archivo .htaccess y editarlo.
Esto abrirá el archivo en un editor de texto sin formato. En la parte inferior del archivo, puede agregar código para agregar encabezados de seguridad HTTPS a su sitio de WordPress.
Puede usar el siguiente código de muestra como punto de partida, establece los encabezados de seguridad HTTP más utilizados con la configuración óptima:
No olvide guardar sus cambios y visitar su sitio para asegurarse de que todo funcione como se espera.
Nota: Los encabezados no válidos o los conflictos en el archivo .htaccess pueden causar un error interno del servidor 500 en la mayoría de los servidores web.
Este método es un poco menos efectivo ya que se basa en un complemento de WordPress para modificar los encabezados. Sin embargo, esta también es la forma más fácil de agregar encabezados de seguridad HTTP a su sitio de WordPress.
Primero debe instalar y activar el complemento de redirección. Para obtener más información, consulte nuestra guía paso a paso sobre cómo instalar un complemento de WordPress.
Una vez activado, el complemento mostrará un asistente de configuración que simplemente puede seguir para configurar el complemento. Luego ve a Herramientas » Redirección y vaya a la pestaña «Sitio web».
Luego, debe desplazarse hacia abajo hasta la sección Encabezados HTTP y hacer clic en el botón «Agregar encabezado». Debe seleccionar «Agregar configuración de seguridad» en el menú desplegable.
Luego, debe hacer clic en él nuevamente para agregar estas opciones. Ahora verá una lista preestablecida de encabezados de seguridad HTTP en la tabla.
Estos encabezados están optimizados para la seguridad, puede verlos y cambiarlos según sea necesario. Cuando haya terminado, no olvide hacer clic en el botón Actualizar para guardar los cambios.
Ahora puede visitar su sitio para asegurarse de que todo funciona correctamente.
Ahora ha agregado encabezados de seguridad HTTP a su sitio web. Puede probar su configuración con la herramienta gratuita Security Headers. Simplemente ingrese la URL de su sitio web y haga clic en el botón Escanear.
Luego verificará los encabezados de seguridad HTTP de su sitio y mostrará un informe. La herramienta generará una llamada etiqueta de calificación que se puede ignorar, ya que la mayoría de los sitios obtendrán una calificación de B o C en el mejor de los casos sin afectar la experiencia del usuario.
Le mostrará qué encabezados de seguridad HTTP envía su sitio y cuáles no. Si los encabezados de seguridad que desea establecer se enumeran allí, eso es todo.
Eso es todo, esperamos que este artículo te haya ayudado a aprender cómo agregar encabezados de seguridad HTTP en WordPress. También puede consultar nuestra guía completa de seguridad de WordPress y nuestro experto en los mejores complementos de WordPress para sitios web comerciales.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de WordPress. También puede encontrarnos en Twitter y Facebook.
