¿Desea agregar encabezados de seguridad HTTP en WordPress?

Los encabezados de seguridad HTTP le permiten agregar una capa adicional de seguridad a su sitio web de WordPress. Pueden ayudar a bloquear actividades maliciosas comunes para que no afecten el rendimiento de su sitio.

En esta guía para principiantes, le mostraremos cómo agregar encabezados de seguridad HTTP en WordPress.

Cómo agregar encabezados de seguridad HTTP en WordPress (Guía para principiantes)

Los encabezados de seguridad HTTP son una medida de seguridad que permite que el servidor de su sitio web evite algunas amenazas de seguridad comunes antes de que puedan afectar su sitio web.

Cuando un usuario visita su sitio web de WordPress, su servidor web envía una respuesta de encabezado HTTP a su navegador. Esta respuesta informa a los navegadores sobre códigos de error, control de caché y otros estados.

La respuesta de encabezado normal emite un estado llamado HTTP 200. Después de esto, su sitio web se carga en el navegador del usuario. Sin embargo, si su sitio web tiene dificultades, entonces su servidor web puede enviar un encabezado HTTP diferente.

Por ejemplo, puede enviar un error de servidor interno 500 o un código de error 404 no encontrado.

Los encabezados de seguridad HTTP son un subconjunto de estos encabezados. Se utilizan para proteger los sitios web de amenazas comunes como el secuestro de clics, secuencias de comandos entre sitios, ataques de fuerza bruta y más.

Echemos un vistazo rápido a algunos encabezados de seguridad HTTP y cómo protegen su sitio web:

  • Seguridad de transporte estricta HTTP (HSTS) les dice a los navegadores web que su sitio web usa HTTPS y no debe cargarse usando un protocolo inseguro como HTTP.
  • Protección X-XSS le permite bloquear la carga de secuencias de comandos entre sitios.
  • Opciones de marco X evita los iframes entre dominios o el secuestro de clics.
  • Opciones de tipo de contenido X X-Content-Type-Options bloquea el rastreo de contenido tipo mimo.

Los encabezados de seguridad HTTP funcionan mejor cuando se configuran en el nivel del servidor web, lo que significa que su cuenta de alojamiento de WordPress. Esto les permite activarse desde el principio durante una solicitud HTTP típica y proporcionar el máximo beneficio.

Funcionan aún mejor si está utilizando un firewall de aplicación de sitio web de nivel DNS como Sucuri o Cloudflare.

Dicho esto, echemos un vistazo a cómo agregar fácilmente encabezados de seguridad HTTP en WordPress. Aquí hay enlaces rápidos a diferentes métodos para que pueda saltar al que más le convenga:

Sucuri es uno de los mejores complementos de seguridad de WordPress del mercado. Si está utilizando el servicio de firewall de su sitio web, puede configurar los encabezados de seguridad HTTP sin escribir ningún código.

Primero, deberá registrarse para obtener una cuenta de Sucuri. Es un servicio pago que viene con un firewall de sitio web a nivel de servidor, complemento de seguridad, CDN y garantía de eliminación de malware.

Durante el registro, deberá responder preguntas simples, y la documentación de Sucuri lo ayudará a configurar el firewall de la aplicación del sitio web en su sitio web.

Después de registrarse, debe instalar y activar el complemento gratuito de Sucuri. Para obtener más detalles, consulte nuestra guía paso a paso sobre cómo instalar un complemento de WordPress.

Tras la activación, debe ir a Sucuri Seguridad » Cortafuegos (WAF) e ingrese su clave API de Firewall. Puede encontrar esta información en su cuenta en el sitio web de Sucuri.

Clave API WAF de Sucuri

Después de eso, deberá hacer clic en el botón verde ‘Guardar’ para almacenar sus cambios.

Cómo ver la versión móvil de los sitios de WordPressCómo ver la versión móvil de los sitios de WordPress

A continuación, debe cambiar al panel de control de su cuenta de Sucuri. Desde aquí, haga clic en el menú ‘Configuración’ en la parte superior y luego cambie a la pestaña ‘Seguridad’.

Configuración de encabezados de seguridad HTTP en Sucuri

Desde aquí, puede elegir tres conjuntos de reglas. La protección predeterminada funcionará bien para la mayoría de los sitios web.

Si tiene un plan Professional o Business, también tiene opciones para HSTS y HSTS Full. Puede ver qué encabezados de seguridad HTTP se aplicarán para cada conjunto de reglas.

Debe hacer clic en el botón ‘Guardar cambios en los encabezados adicionales’ para aplicar sus cambios.

Sucuri ahora agregará los encabezados de seguridad HTTP seleccionados en WordPress. Dado que es un WAF a nivel de DNS, el tráfico de su sitio web está protegido contra piratas informáticos incluso antes de que lleguen a su sitio web.

Cloudflare ofrece un firewall de sitio web gratuito básico y un servicio de CDN. Carece de funciones de seguridad avanzadas en su plan gratuito, por lo que deberá actualizar a su plan Pro, que es más costoso.

Puede aprender cómo agregar Cloudflare a su sitio web siguiendo nuestro tutorial sobre cómo configurar el CDN gratuito de Cloudflare en WordPress.

Una vez que Cloudflare esté activo en su sitio web, debe ir a la página SSL/TLS en el panel de control de su cuenta de Cloudflare y luego cambiar a la pestaña ‘Certificados de borde’.

Configuración de encabezados de seguridad HTTPS en Cloudflare

Ahora, desplácese hacia abajo hasta la sección ‘HTTP Strict Transport Security (HSTS)’.

Una vez que lo encuentre, debe hacer clic en el botón ‘Habilitar HSTS’.

Haga clic en el botón Habilitar HSTS

Aparecerá una ventana emergente con instrucciones que le indicarán que debe tener HTTPS habilitado en su sitio web antes de usar esta función.

Si su blog de WordPress ya tiene una conexión HTTPS segura, puede hacer clic en el botón ‘Siguiente’ para continuar. Verá las opciones para agregar encabezados de seguridad HTTP.

Habilite los encabezados de seguridad HTTPS en Cloudflare

Desde aquí, puede habilitar HSTS, aplicar HSTS a los subdominios (si los subdominios usan HTTPS), precargar HSTS y habilitar el encabezado sin detección.

Este método brinda protección básica mediante encabezados de seguridad HTTP. Sin embargo, no le permite agregar X-Frame-Options y Cloudflare no tiene una interfaz de usuario para hacerlo.

Todavía puede hacerlo creando un script con la función Cloudflare Workers. Sin embargo, no recomendamos esto porque la creación de un script de encabezado de seguridad HTTPS puede causar problemas inesperados para los principiantes.

Este método le permite configurar los encabezados de seguridad HTTP en WordPress a nivel de servidor.

Requiere editar el archivo .htaccess en su sitio web. Este archivo de configuración del servidor es utilizado por el software de servidor web Apache más utilizado.

Nota: Antes de realizar cambios en los archivos de su sitio web, le recomendamos que haga una copia de seguridad.

Cómo arreglar la redirección de WordPress a un dominio antiguo después de la migraciónCómo arreglar la redirección de WordPress a un dominio antiguo después de la migración

Luego, simplemente conéctese a su sitio web usando un cliente FTP o el administrador de archivos en su panel de control de alojamiento. En la carpeta raíz de su sitio web, debe encontrar el archivo .htaccess y editarlo.

Vista de Editar el archivo .htaccess usando un cliente FTP

Esto abrirá el archivo en un editor de texto sin formato. En la parte inferior del archivo, puede agregar un código para agregar encabezados de seguridad HTTPS a su sitio web de WordPress.

Puede utilizar el siguiente código de ejemplo como punto de partida. Establece los encabezados de seguridad HTTP más utilizados con configuraciones óptimas:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

No olvides guardar tus cambios y visitar tu sitio web para asegurarte de que todo funciona como se esperaba.

Nota: Tenga cuidado al editar código en su sitio web. Los encabezados incorrectos o los conflictos en el archivo .htaccess pueden desencadenar el error interno del servidor 500.

All in One SEO (AIOSEO) es la mejor herramienta de SEO para WordPress y cuenta con la confianza de más de 3 millones de empresas. El complemento premium le permite agregar fácilmente encabezados de seguridad HTTP a su sitio web.

Lo primero que deberá hacer es instalar y activar el complemento AIOSEO en su sitio web. Puede obtener más información en nuestra guía paso a paso sobre cómo configurar All in One SEO para WordPress.

A continuación, debe dirigirse a la Todo en uno SEO » Redireccionamientos página para agregar los encabezados de seguridad HTTP. Primero, deberá hacer clic en el botón ‘Activar redireccionamientos’ para habilitar la función.

Activación de redireccionamientos en All in One SEO

Una vez que los redireccionamientos están habilitados, debe hacer clic en la pestaña ‘Redireccionamiento completo del sitio’ y luego desplazarse hacia abajo hasta la sección ‘Configuración canónica’.

Simplemente habilite la opción ‘Configuración canónica’ y luego haga clic en el botón ‘Agregar ajustes preestablecidos de seguridad’.

Agregar ajustes preestablecidos de seguridad en AIOSEO

Verá que aparece una lista preestablecida de encabezados de seguridad HTTP en la tabla.

Estos encabezados están optimizados para la seguridad. Puede revisarlos y cambiarlos si es necesario.

Los encabezados de seguridad se agregan en AIOSEO

Asegúrese de hacer clic en el botón ‘Guardar cambios’ en la parte superior o inferior de la pantalla para almacenar los encabezados de seguridad.

Ahora puede visitar su sitio web para asegurarse de que todo funciona bien.

Ahora que ha agregado encabezados de seguridad HTTP a su sitio web, puede probar su configuración con la herramienta gratuita Encabezados de seguridad.

Simplemente ingrese la URL de su sitio web y haga clic en el botón ‘Escanear’.

Comprobación de los encabezados de seguridad HTTP de un sitio web

Luego verificará los encabezados de seguridad HTTP para su sitio web y le mostrará un informe. La herramienta también generará una llamada etiqueta de calificación, que puede ignorar ya que la mayoría de los sitios web obtendrán una calificación B o C sin afectar la experiencia del usuario.

Le mostrará qué encabezados de seguridad HTTP envía su sitio web y cuáles no están incluidos. Si los encabezados de seguridad que deseaba configurar aparecen allí, entonces ya ha terminado.

Widgets de WordPress vs bloques: ¿cuál es la diferencia?  (Explicado)Widgets de WordPress vs bloques: ¿cuál es la diferencia? (Explicado)