Este artículo explicará cómo agregar manualmente los encabezados de seguridad recomendados a su sitio web. Para obtener encabezados de seguridad más avanzados o agregar automáticamente los encabezados de seguridad, considere suscribirse a Really Simple SSL Pro . Los encabezados de seguridad agregarán una nueva capa a SSL (Secure Socket Layer).
Los encabezados de seguridad
Explicaremos los encabezados de seguridad a continuación y cómo agregarlos manualmente. Cuando necesite saber más, o esté interesado en encabezados de seguridad más avanzados, visite este artículo .
- HSTS: cuando este encabezado se establece en su dominio, un navegador realizará todas las solicitudes a su sitio a través de HTTPS a partir de ese momento.
- Upgrade-Insecure-Requests: este encabezado es un método adicional para forzar solicitudes a su propio dominio a través de https://.
- X-Content-Type-Options: este encabezado obligará al navegador a no «adivinar» qué tipo de datos se pasan. Si la extensión es «.doc», el navegador debe obtener un archivo .doc, no otra cosa (un .exe).
- Protección X-XSS: detendrá la carga de las páginas si se detecta un ataque de secuencias de comandos entre sitios (XSS) reflejado.
- Expect-CT, Transparencia de certificados: una autoridad de certificación (el emisor del certificado SSL) debe registrar los certificados que se emiten en un registro separado, el marco CT, para evitar el fraude.
- Sin referencia al encabezado de degradación: solo establece una referencia cuando se pasa del mismo protocolo y no cuando se degrada (HTTPS -> HTTP).
- X-Frame-Options: restringe iframes, incrustaciones y objetos a su propio dominio.
- Política de permisos: permite que los sitios restrinjan más estrictamente a qué orígenes se les puede otorgar acceso a las funciones. Para obtener más información, consulte nuestro artículo dedicado a la política de permisos .
Que necesitarás
Antes de agregar manualmente estos archivos, deberá acceder a su archivo .htaccess. Este archivo solo está disponible en servidores Apache a través de FTP.
- Credenciales FTP
- Programa de edición de texto para abrir el archivo .htaccess
- Un poco de paciencia y no te preocupes ya que todo es reversible.
- ¡Empecemos!
Adición manual de encabezados de seguridad
Comencemos con lo básico, abriendo y agregando una línea al archivo .htaccess.
- Abra su cliente FTP y visite la raíz de su sitio web. La raíz es donde se encuentran los mapas wp-admin, wp-content, incluido el .htaccess
- Si no puede encontrar el .htaccess, asegúrese de poder ver todos los archivos ocultos. Para la mayoría de los clientes FTP, vaya a «Ver» y seleccione «Mostrar archivos ocultos» o similar.
- Descargue y abra el archivo en un editor de texto para ver un archivo similar a la imagen de abajo. A veces no puede guardar un archivo que comienza con un punto. Guarde el archivo sin el punto y continúe.
Agregar una línea
- Recomendamos agregar una línea entre los comentarios. En este caso siempre añadiremos una cabecera de seguridad por línea, entre los mismos comentarios. Por ejemplo:
# Really Simple SSL // This will be a security header… # End Really Simple SSL
O como ejemplo:
Adición de HSTS
Agregue la siguiente línea entre los comentarios como se muestra arriba. Terminaremos con un ejemplo para comparar. También repetiremos los comentarios, por favor no repita los comentarios en el archivo.
# Really Simple SSL Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS # End Really Simple SSL
- · Para eliminar HSTS. Mantenga la línea, pero establezca max-age en cero. O «edad máxima = 0»
Adición de solicitudes de actualización inseguras
# Really Simple SSL Header always set Content-Security-Policy "upgrade-insecure-requests" # End Really Simple SSL
Adición de protección X-XSS
# Really Simple SSL Header always set X-Content-Type-Options "nosniff" # End Really Simple SSL
Adición de opciones de tipo de contenido X
# Really Simple SSL Header always set X-XSS-Protection "1; mode=block" # End Really Simple SSL
Adición de Expect-CT, transparencia de certificados
# Really Simple SSL Header always set Expect-CT "max-age=7776000, enforce" # End Really Simple SSL
No se agrega ningún referente cuando se degrada el encabezado
# Really Simple SSL Header always set Referrer-Policy: "no-referrer-when-downgrade" # End Really Simple SSL
Adición del encabezado X-Frame-Options
# Really Simple SSL Header always set X-Frame-Options: "SAMEORIGIN" # End Really Simple SSL
Agregar encabezado de política de permisos
# Really Simple SSL Header always set Política de permisos: "" # End Really Simple SSL
ejemplo .htaccess
En la imagen de abajo encontrará el ejemplo de toda la seguridad combinada, entre los dos comentarios.
Carga y solución de problemas
Antes de cargar, asegúrese de tener una copia de seguridad de su archivo .htaccess actual. Como ejemplo:
- Cargue el nuevo archivo con el nombre de archivo 1htaccess
- Cambiar el .htaccess actual a htaccess-bk
- Cambie 1htaccess a .htaccess para activar su nuevo archivo.