Hola a todos,
Actualmente estoy revisando la configuración de seguridad de nuestro sitio web de WordPress y recientemente implementé encabezados de seguridad usando Cloudflare/configuración a nivel de servidor.
En este momento, la advertencia restante está relacionada con la Política de seguridad de contenido (CSP), específicamente el uso de ‘unsafe-inline’ y ‘unsafe-eval’ en la directiva script-src.
Nuestro equipo de seguridad del servidor sugirió pasar a un CSP estricto que no esté basado en nce, pero me preocupa que esto pueda dañar el sitio web porque estamos usando Elementor, WP Rocket, GTM, Meta Pixel y varios complementos de terceros que dependen de scripts en línea o inyectados dinámicamente.
Antes de realizar cambios importantes, quería saber de la comunidad de WordPress:
- ¿Alguien ha implementado con éxito un CSP estricto sin base en una configuración de WordPress con muchos complementos?
- ¿Es práctico con Elementor y complementos similares?
- ¿La eliminación de ‘unsafe-inline’ y ‘unsafe-eval’ probablemente interrumpirá la funcionalidad del frontend?
- ¿Existen enfoques más seguros o graduales recomendados para los sitios web de WordPress?
Realmente agradecería cualquier orientación, mejores prácticas o experiencias del mundo real.
Gracias de antemano.
Este tema fue modificado hace 10 horas y 29 minutos por
.