blog webempresa

Cabecera X-Content-Type-Options, problemas de Seguridad

por David Noguera | Sep 21, 2020 | Seguridad WordPress

Si enviamos la cabecera X-Content-Type-Options en la respuesta con el valor “nosniff”, los navegadores que soportan esta cabecera (IE y Chrome), no cargan las hojas de estilos, ni los scripts (Javascript), cuyo Myme-type no sea el adecuado.

El aspecto de la cabecera es el siguiente:

X-Content-Type-Options: nosniff

La mejor forma de añadir esta cabecera sería añadiendo unas líneas de código al archivos functions.php del tema de WordPress que estemos usando.

Este archivo se encuentra en la ruta wp-content/themes/NOMBRE_TEMA, en donde NOMBRE_TEMA es el nombre del tema que tenemos activado.

En primer lugar, haremos una copia de seguridad del archivo functions.php.

Después lo editamos y añadimos el siguiente código al final del mismo:

add_action( 'send_headers', 'add_header_xcontenttype' );
function add_header_xcontenttype() {
header( 'X-Content-Type-Options: nosniff' );
}

Existen otras alternativas.

Para implementar la cabecera en un servidor web Apache, se puede hacer usando el fichero .htaccess, añadiendo el siguiente código:

Header set X-Content-Type-Options nosniff

Con esta cabecera, se reduce el riesgo de que se produzca un ataque basado en confusión de tipos mime.

En general con la Cabecera X-Content-Type-Options evitaremos que se carguen hojas de estilo o scripts maliciosos.

Puedes leer más información en las páginas de ayuda de Microsoft MSDN.

Si queremos añadir otras cabeceras de seguridad a partir de cambios en el archivo functions.php, podemos hacerlo usando una única función, en lugar de añadir cada cabecera en una función distinta, aunque el funcionamiento sea similar.

En el siguiente código de ejemplo, que habría que colocar al final del archivo functions.php, se añaden las cabeceras X-Content-Type-Options, X-Frame-Options y X-XSS-Protection:

add_action( 'send_headers', 'add_header_seguridad' );
function add_header_seguridad() {
header( 'X-Content-Type-Options: nosniff' );
header( 'X-Frame-Options: SAMEORIGIN' );
header( 'X-XSS-Protection: 1;mode=block' );
}

Puedes echar un ojo al siguiente artículo sobre cabeceras HTTP.

¿Te ha resultado útil este artículo?

Ayúdanos a mejorar nuestros contenidos compartiendo tu opinión

David Noguera

Miembro del equipo de Administración de sistemas de webempresa.com y líder del equipo de desarrollo de CiberProtector y CiberBox.

Video tutorial, paso a paso y demo del editor de contenidos

La verdad es que este creador de webs con IA me tiene algo enamorado, y aquí te envío un vídeo de cómo es “por dentro”, para terminar de convencerte y animarte a que lo utilices.

Durante el vídeo voy a:

Configurar la web desde cero, con el asistente (que hemos visto en el apartado anterior).
Añadir información sobre mi web (una web para un restaurante vegano en madrid, especializado en verduras de la huerta).
Ver el resultado y explorar las características principales de WeBuilder en cuanto a configuración y posibilidades generales.

Ten en cuenta que este vídeo no es un curso completo sobre la herramienta, es un recorrido por encima para que te hagas una idea de las posibilidades que tiene.

Conclusión

Crear una web con IA y WeBuilder te permite centrarte en tu negocio o tu pasión, dejando la parte técnica en manos de algoritmos inteligentes. Ahorro de tiempo, costes reducidos y resultados profesionales son solo el comienzo.

Define tu proyecto y palabras clave.
Deja que la IA genere la estructura y contenido.
Personaliza el diseño y las funcionalidades.
Publica y mantén tu sitio siempre optimizado.
Delega la parte técnica y las dudas al equipo de soporte de Webempresa.

Prueba WeBuilder hoy mismo y lleva tu proyecto a un nivel que no pensabas alcanzable hasta antes de leer este artículo, y todo gracias a la potencia de la inteligencia artificial en Webempresa.

¡Espero de todo corazón que este artículo te haya servido para darte un empujoncito a llevar a cabo esa puesta a punto de tu web o prueba de concepto de tu proyecto, y nos vemos en el siguiente artículo!

Plugin Gratuito WordPress