¿Desea agregar encabezados de seguridad HTTP en WordPress?

Los encabezados de seguridad HTTP le permiten agregar una capa adicional de seguridad a su sitio de WordPress. Pueden ayudar a evitar que la actividad maliciosa común afecte el rendimiento de su sitio web.

En esta guía para principiantes, le mostraremos cómo agregar fácilmente encabezados de seguridad HTTP en WordPress.

Agregar encabezado de seguridad HTTP en WordPress

¿Qué son los encabezados de seguridad HTTP?

Los encabezados de seguridad HTTP son una medida de seguridad que permite que el servidor de su sitio web bloquee algunas amenazas de seguridad comunes antes de que afecten su sitio web.

Básicamente, cuando un usuario visita su sitio web, su servidor web envía una respuesta de encabezado HTTP a su navegador. Esta respuesta le informa al navegador sobre códigos de error, control de caché y otros estados.

Una respuesta de encabezado normal emite un estado llamado HTTP 200. Después de eso, su sitio web se carga en el navegador del usuario. Sin embargo, si su sitio web tiene problemas, es posible que su servidor web esté enviando diferentes encabezados HTTP.

Por ejemplo, podría enviar un error interno del servidor 500 o un código de error 404 No encontrado.

Los encabezados de seguridad HTTP son un subconjunto de estos encabezados y se utilizan para proteger los sitios web de amenazas comunes como el secuestro de clics, secuencias de comandos entre sitios, ataques de fuerza bruta y más.

Echemos un vistazo rápido a cómo se ven los encabezados de seguridad HTTP y qué hacen para proteger su sitio web.

Seguridad de transporte estricta HTTP (HSTS)

El encabezado HTTP Strict Transport Security (HSTS) les dice a los navegadores web que su sitio web usa HTTP y no debe cargarse usando un protocolo inseguro como HTTP.

Si movió su sitio de WordPress de HTTP a HTTP, este encabezado de seguridad le permite evitar que los navegadores carguen su sitio a través de HTTP.

Protección X-XSS

Los encabezados de protección X-XSS le permiten evitar que se carguen secuencias de comandos entre sitios en su sitio de WordPress.

Opciones de marco X

El encabezado de seguridad X-Frame-Options evita los iframes entre dominios o el secuestro de clics.

Opciones de tipo de contenido X

X-Content-Type-Options evita la detección de tipos mime de contenido.

Dicho esto, veamos cómo agregar fácilmente encabezados de seguridad HTTP en WordPress.

Agregar encabezado de seguridad HTTP en WordPress

Los encabezados de seguridad HTTP funcionan mejor cuando se configuran en el nivel del servidor web (es decir, su cuenta de alojamiento de WordPress). Esto les permite ser despedidos temprano durante una solicitud HTTP típica y brinda el máximo beneficio.

Funcionan mejor si está utilizando un firewall de aplicación de sitio web de nivel DNS como Sucuri o Cloudflare. Le mostraremos cada método y podrá elegir el que mejor se adapte a sus necesidades.

A continuación hay enlaces rápidos a los diferentes métodos y puede saltar al método que funcione para usted.

Sucuri es el mejor complemento de seguridad de WordPress del mercado. Si también está utilizando el servicio de firewall de su sitio web, no necesita escribir ningún código para configurar los encabezados de seguridad HTTP.

Primero, debe registrarse para obtener una cuenta de Sucuri. Este es un servicio pago que viene con un firewall de sitio web de nivel de servidor, complementos de seguridad, CDN y garantía de eliminación de malware.

Durante el registro, responderá preguntas simples y la documentación de Sucuri lo ayudará a configurar un firewall de aplicaciones de sitios web en su sitio web.

Después del registro, debe instalar y activar el complemento gratuito de Sucuri. Para obtener más detalles, consulte nuestra guía paso a paso sobre cómo instalar complementos de WordPress.

Después de la activación, vaya a Sucuri Seguridad » Cortafuegos (WAF) página e ingrese su clave API de firewall. Puede encontrar esta información en el sitio web de Sucuri en Cuenta.

Clave API WAF de Sucuri

Haga clic en el botón Guardar para guardar sus cambios.

A continuación, debe cambiar al panel de la cuenta de Sucuri. Desde aquí, haga clic en el menú Configuración en la parte superior y cambie a la pestaña Seguridad.

Configuración del encabezado de seguridad HTTP en Sucuri

Desde aquí puede elegir entre tres conjuntos de reglas. Protección por Defecto, HSTS y HSTS Full. Verá qué encabezados de seguridad HTTP se aplicarán para cada conjunto de reglas.

Haga clic en el botón «Guardar cambios en encabezado adicional» para aplicar sus cambios.

Eso es todo, Sucuri ahora agregará el encabezado de seguridad HTTP de su elección en WordPress. Dado que es un WAF a nivel de DNS, el tráfico de su sitio web está protegido incluso antes de que los piratas informáticos lleguen a su sitio.

Cloudflare proporciona cortafuegos de sitios web gratuitos básicos y servicios de CDN. Su plan gratuito carece de funciones de seguridad avanzadas, por lo que deberá actualizar al plan Pro más costoso.

Para agregar Cloudflare a su sitio web, consulte nuestro tutorial sobre cómo agregar CDN gratuito de Cloudflare en WordPress.

Una vez que Cloudflare esté activo en su sitio web, vaya a la página SSL/TLS en el panel de control de su cuenta de Cloudflare, luego cambie a la pestaña Certificados de Edge.

Configuración de encabezados de seguridad HTTPS en Cloudflare

Ahora, desplácese hacia abajo hasta la sección HTTP Strict Transport Security (HSTS) y haga clic en el botón «Habilitar HSTS».

Habilitar HSTS en Cloudflare

Aparecerá una ventana emergente con instrucciones que le indicarán que debe habilitar HTTPS en su blog de WordPress antes de usar esta función. Haga clic en el botón Siguiente para continuar y verá la opción para agregar el encabezado de seguridad HTTP.

Habilite los encabezados de seguridad HTTPS en Cloudflare

Desde aquí, puede habilitar HSTS, el encabezado sin detección, aplicar HSTS a los subdominios (si usan HTTPS) y precargar HSTS.

Este método brinda protección básica mediante encabezados de seguridad HTTP. Sin embargo, no le permite agregar X-Frame-Options y Cloudflare no tiene una interfaz de usuario para hacerlo.

Todavía puede hacer esto creando scripts usando la función Trabajadores. Sin embargo, crear un script de encabezado seguro HTTPS puede causar problemas inesperados a los principiantes, por lo que no lo recomendamos.

Este método le permite establecer encabezados de seguridad HTTP en WordPress a nivel de servidor.

Requiere que edites el archivo .htaccess en tu sitio web. Es el archivo de configuración del servidor utilizado por el software de servidor web Apache más utilizado.

Simplemente conéctese a su sitio web utilizando un cliente FTP o la aplicación de administrador de archivos en su panel de control de alojamiento. En la carpeta raíz de su sitio web, debe encontrar el archivo .htaccess y editarlo.

Edite el archivo .htaccess en WordPress

Esto abrirá el archivo en un editor de texto sin formato. En la parte inferior del archivo, puede agregar código para agregar el encabezado de seguridad HTTPS a su sitio de WordPress.

Puede utilizar el siguiente código de ejemplo como punto de partida, que establece los encabezados de seguridad HTTP más utilizados en la configuración óptima:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

No olvides guardar tus cambios y visitar tu sitio web para asegurarte de que todo funciona.

notas: Los encabezados incorrectos o los conflictos en los archivos .htaccess pueden desencadenar un error interno del servidor 500 en la mayoría de los servidores web.

Este método es un poco menos efectivo porque se basa en un complemento de WordPress para modificar el título. Sin embargo, también es la forma más fácil de agregar encabezados de seguridad HTTP a su sitio de WordPress.

Primero, debe instalar y activar el complemento de redirección. Para obtener más detalles, consulte nuestra guía paso a paso sobre cómo instalar complementos de WordPress.

Una vez activado, el complemento mostrará un asistente de configuración que puede seguir para configurar el complemento.Después de eso, ve a Herramientas » Redirigir y cambie a la pestaña Sitios.

Configuración del sitio en el complemento de redirección

A continuación, debe desplazarse hacia abajo hasta la sección Encabezados HTTP en la parte inferior de la página y hacer clic en el botón «Agregar encabezado». En el menú desplegable, debe seleccionar la opción «Agregar preajuste de seguridad».

Agregue ajustes preestablecidos de encabezado con redireccionamientos

Después de eso, debe hacer clic nuevamente para agregar estas opciones. Ahora verá una lista de encabezados de seguridad HTTP preestablecidos en la tabla.

Valores predeterminados del encabezado de seguridad HTTP

Estos encabezados están optimizados para la seguridad y puede revisarlos y cambiarlos si es necesario. Cuando haya terminado, no olvide hacer clic en el botón «Actualizar» para guardar los cambios.

Ahora puede visitar su sitio web para asegurarse de que todo esté en orden.

Ahora ha agregado encabezados de seguridad HTTP a su sitio web. Puede probar su configuración con la herramienta gratuita de encabezado seguro. Simplemente ingrese la URL de su sitio web y haga clic en el botón «Escanear».

Comprueba tus encabezados de seguridad de WordPress

Luego verificará los encabezados de seguridad HTTP de su sitio web y le mostrará un informe. La herramienta genera una llamada etiqueta de calificación, que puede ignorar ya que la mayoría de los sitios solo obtendrán una calificación de B o C en el mejor de los casos, sin afectar la experiencia del usuario.

Mostrará qué encabezados de seguridad HTTP envía su sitio web y qué encabezados de seguridad no están incluidos. Si los encabezados de seguridad que desea configurar se enumeran aquí, ya ha terminado.

Eso es todo, esperamos que este artículo te haya ayudado a aprender cómo agregar encabezados de seguridad HTTP en WordPress. También puede consultar nuestra guía completa de seguridad de WordPress, así como nuestras selecciones de expertos para los mejores complementos de WordPress para sitios web comerciales.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de WordPress.También puedes encontrarnos en Gorjeo y Facebook.

Los datos expuestos en este sitio web son de índole informativo, no necesariamente están actualizados. Esta información es una recopilación de información de internet.