Cómo agregar encabezados de seguridad HTTP en WordPress

Publicado: 2021-04-20

Cuando se trata de diseñar un sitio web de WordPress, no existe tal cosa como ser demasiado seguro. Cada nivel de seguridad es una garantía adicional de que su información y la de sus clientes permanecerán protegidas. Pero, lamentablemente, algunas medidas de seguridad pueden entorpecerte de diferentes maneras . Idealmente, desea agregar funciones de seguridad adicionales a su sitio web sin poner en peligro la experiencia del usuario. Y resulta que eso es precisamente lo que ofrecen los encabezados de seguridad HTTP. Entonces, echemos un vistazo más de cerca a cómo agregar encabezados de seguridad HTTP en WordPress.

Comprender los encabezados de seguridad HTTP

El uso principal de los encabezados de seguridad HTTP es como advertencia. Cuando un visitante llega a su sitio web, recibirá una respuesta de encabezado HTTP de su servidor . La respuesta le dirá a su navegador si hay algún código de error, control de caché y varios otros aspectos. Si todo está bien, la respuesta del encabezado emitirá un estado HTTP 200. Al recibir esto, el navegador del usuario tendrá luz verde para cargar su sitio web. Pero, si hay alguna dificultad, el usuario obtendrá un encabezado diferente. Los ejemplos comunes son 500 errores internos del servidor o un error 404 no encontrado.

404 escrito en bloques.
El error 404 es bastante común.

Los encabezados de seguridad HTTP son un tipo de encabezado que su servidor puede enviar. Sirven para advertir a los navegadores sobre secuencias de comandos entre sitios, ataques de fuerza bruta, secuestro de clics y varias otras amenazas de seguridad. Los tipos más comunes de encabezados de seguridad HTTP son:

  • HTTP Strict Transport Security (HSTS) : este encabezado informa al navegador del usuario que su sitio web utiliza HTTPS.
  • Protección X-XSS : este encabezado bloquea las secuencias de comandos entre sitios.
  • X-Frame-Options : este encabezado evita el secuestro de clics y los iframes entre dominios.
  • X-Content-Type-Options : este encabezado bloquea la detección de tipo MIME.

Como puede ver, los encabezados de seguridad pueden desempeñar un papel importante en la seguridad de su sitio web. Entonces, con eso fuera del camino, veamos un par de formas en las que puede incorporar encabezados de seguridad HTTP en su sitio web.

Agregue encabezados de seguridad HTTP en WordPress

La mejor manera de configurar los encabezados de seguridad HTTP es a nivel de servidor web. Al hacerlo, se asegurará de que se activen al comienzo de una solicitud HTTP y, por lo tanto, brinden la máxima seguridad. Y no tendrá que preocuparse por hacerlo para diferentes páginas de destino, ya que los encabezados se configuran a nivel de servidor. La otra opción es ir con un firewall de sitio web de nivel DSN. La configuración en este nivel generalmente se considera más fácil, pero puede ser problemática cuando se trata de medidas de seguridad. Sin embargo, repasaremos ambos métodos y cómo aplicarlos.

Usando un complemento de WordPress

Como ocurre con la mayoría de los casos relacionados con WordPress, usar un complemento es la forma más fácil de cambiar algo. Afortunadamente, los encabezados de seguridad HTTP no son una excepción. Lo primero que debe hacer es instalar el complemento de redirección. Una vez que lo instale y lo active, verá un asistente de configuración. Simplemente siga sus instrucciones para configurarlo. Una vez hecho esto, vaya a la página Herramientas -> Redirección y cambie a la pestaña "Sitio". Allí debe desplazarse hacia abajo hasta la parte inferior y hacer clic en "Agregar encabezado". En el menú desplegable que se muestra, puede elegir la opción "Agregar ajustes preestablecidos de seguridad". Al hacerlo, se le presentará una lista de encabezados de seguridad HTTP . Luego puede revisar y cambiar los encabezados (si es necesario) y finalmente implementarlos en su sitio web. Solo recuerda hacer clic en el botón "Actualizar" una vez que hayas terminado.

Pestaña de seguridad en WordPress.
Si bien debe agregar encabezados de seguridad HTTP en WordPress, sepa que necesitará otros complementos para mantener su sitio web seguro.

Usando .htaccess

Ahora alejémonos de los complementos comunes y corrientes y exploremos algunos métodos que son un poco más complicados. El siguiente método le permitirá configurar los encabezados de seguridad HTTP a nivel de servidor. Es decir, lo que vas a hacer es alterar el archivo .htaccess en tu sitio web . El software del servidor web Apache suele utilizar este archivo para la configuración del servidor. Para modificarlo, puede usar un cliente FTP o dirigirse al panel de control de alojamiento y usar la aplicación de administrador de archivos . Encontrará el archivo .htaccess en la carpeta raíz de su sitio web. Una vez que lo haga, haga clic derecho sobre él y seleccione editar.

Al hacerlo, se abrirá el editor de texto. En él, debe desplazarse hacia abajo y agregar el código que implementará los encabezados de seguridad HTTP. Existe cierta variedad en lo que respecta a los encabezados que le gustaría implementar. Por lo tanto, debe profundizar un poco más para descubrir qué encabezados son los más adecuados para usted . El siguiente código es un buen punto de partida, ya que contiene los encabezados más utilizados:

<ifModule mod_headers.c>
Encabezado establecido Strict-Transport-Security “max-age=31536000” env=HTTPS
Conjunto de encabezado X-XSS-Protection “1; modo=bloquear”
Conjunto de encabezado X-Content-Type-Options nosniff
Conjunto de encabezado X-Frame-Options DENY
Conjunto de encabezado Referrer-Policy: no-referrer-when-downgrade
</ifModulo>

Solo recuerda guardar tus cambios una vez que hayas copiado el código.

Una computadora portátil conectada a sitios web en varios países, que muestra la necesidad de agregar encabezados de seguridad HTTP en WordPress.
Las medidas de seguridad a nivel de servidor son bastante difíciles de superar.

Usando Cloudflare

Cuando se trata de manejar un sitio web, Cloudfare es una herramienta bastante decente. Al usarlo, tendrá un firewall básico, que es más que suficiente para protegerlo de los bots y los ataques de malware estándar. Y tendrás un servicio de CDN. Desafortunadamente, puede faltar un poco en su versión gratuita . Entonces, si te termina gustando, es posible que debas optar por uno premium.

Otro uso de Cloudfare es que puede agregar encabezados de seguridad HTTP en WordPress. Para hacerlo, primero deberá instalarlo y activarlo. Una vez que lo haga, diríjase a la página SSL/TLS debajo de su cuenta. Luego deberá cambiar a la pestaña Certificados perimetrales. Ahora deberá desplazarse hacia abajo y abrir la sección HSTS (HTTP Strict Transport Security). Ahora proceda a hacer clic en el botón Habilitar HSTS. Aquí se le pedirá que habilite HTTPS en su blog de WordPress. Una vez que lo haga, tendrá acceso a los encabezados de seguridad HTTP.