Avisos
Vaciar todo
Página 1 / 2
Siguiente
Hola,
He testeado la web www.editorialarrela.cat en wpdoctor y me recomienda instalar tres cabeceras de seguridad. He leído también vuestras recomendaciones en: https://www.wpdoctor.es/cabecera-x-content-type-options/. Allí indicáis la siguiente opción para introducir las tres cabeceras de seguridad:
"Si queremos añadir otras cabeceras de seguridad a partir de cambios en el archivo functions.php, podemos hacerlo usando una única función, en lugar de añadir cada cabecera en una función distinta, aunque el funcionamiento sea similar. En el siguiente código de ejemplo, que habría que colocar al final del archivo functions.php, se añaden las cabeceras X-Content-Type-Options, X-Frame-Options y X-XSS-Protection:
add_action( 'send_headers', 'add_header_seguridad' );
function add_header_seguridad() {
header( 'X-Content-Type-Options: nosniff' );
header( 'X-Frame-Options: SAMEORIGIN' );
header( 'X-XSS-Protection: 1;mode=block' );
}
Ya he localizado el archivo functions.php, pero no me queda claro dónde tengo que poner este código. ¿debajo de todo y antes del corchete, o después?
Gracias
URL del sitio: Contenido solo visible a usuarios registrados
Respondido : 25/04/2017 4:34 pm
Hola
Puedes ponerla debajo de todo, no dentro del corchete sino fuera del último corchete que tienes.
Saludos.
Respondido : 25/04/2017 11:10 pm
De acuerdo, gracias. Instalaré un tema hijo de Make, ¿no tengo entonces que hacer nada más? ¿Servirá igual las indicaciones en este archivo del tema?
¿Es mejor hacerlo en este archivo que en .htaccess?
Gracias
Respondido : 25/04/2017 11:16 pm
Hola,
No es recomendable tocar los ficheros del tema ya que en alguna actualización se puede sobre-escribir. Puedes insertar los códigos en el fichero .htaccess de tu WordPress que es exactamente lo mismo. Puedes revisar los códigos a insertar en el siguiente enlace: https://www.webempresa.com/foro/administracion-wordpress/como-se-colocan-cabeceras-cont-security-policy-y-otras-relativa-a-la-seguridad
Respondido : 26/04/2017 3:40 am
De acuerdo! Ya lo probé tal y como me indicas. INtroduje este código al principio de todo del documento .htacces del Wordpress:
## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"
# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"
# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"
## Charset UTF-8
Header set Content-Type "text/html; charset=UTF-8"
Todo bien, aunque cuando voy a Wp Doctor me dice que no tengo aún la Cabecera Content-Security-Policy. ¿Falta añadir algún código?
Gracias
Respondido : 26/04/2017 1:40 pm
Hola Adriadna.
Elimina el código que tienes añadido en tu archivo htaccess y añade el siguiente al principio del archivo:
## Cabecera X-Frame-Options para mejorar la seguridad Header always append X-Frame-Options SAMEORIGIN # Tell the browser to attempt the HTTPS version first Header add Strict-Transport-Security "max-age=157680000" ## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome Header set X-XSS-Protection "1; mode=block" ## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos Header set X-Content-Type-Options "nosniff" # Disable server signature Header set ServerSignature "Off" Header set ServerTokens "Prod" # Control Cross-Domain Policies Header set X-Permitted-Cross-Domain-Policies "master-only" ## Charset UTF-8 Header set Content-Type "text/html; charset=UTF-8"
Comprueba si con esto se soluciona.....
Un Saludo
Respondido : 26/04/2017 1:57 pm
Gracias, pero no entiendo: el código que me indicas es el mismo que he puesto. ¿Hay algún cambio?
Muchas gracias
Respondido : 26/04/2017 2:02 pm
Hola Adirana.
ok, discúlpame no lo comprobé y es un fallo mio :blush:
Revisa si tienes algún plugin de seguridad instalado ( iThemes Security, etc.. ) y que pueda estar bloqueando el acceso a WP-Doctor y vacía también la cahe de tu web.
Si tienes plugin de seguridad lo desactivas y comprueba si e soluciona.
un saludo
Respondido : 26/04/2017 2:26 pm
Hola Pepe,
Muchas gracias por tu respuesta.
¿Me puedes indicar cómo se vacía la caché de la web? ¿Hay algún enlace que lo explique? Gracias
Y sí, tengo instalado el pluggin de seguridad All In One WP Security. El hecho de que bloquee la entrada a Wp-doctor, no quiere decir que la cabecera (con el código que indicáis y que he instalado) no funcione, no?
Muchas gracias
Respondido : 26/04/2017 3:12 pm
Hola adirana.
. El hecho de que bloquee la entrada a Wp-doctor, no quiere decir que la cabecera (con el código que indicáis y que he instalado) no funcione, no?
No, pero cuando pases el wp-doctor para comprobar los datos, esto no aparecerán ya que esta bloqueado, por eso te comentaba que lo deshabilitaras momentáneamente y lo probaras si fuera eso.
De normal no hace falta que tengas ninguna extensión de seguridad ya que todos los servicios que te ofrecen los tenemos aplicados en todos nuestros servidores y somos nosotros los que estamos continuamente monitorizando las cuentas de todos los clientes para evitar cualquier clase de ataque.
¿Me puedes indicar cómo se vacía la caché de la web?
¿ Utilizas alguna extensión de cache ( WP Super Cache, W3 Total Cache, etc..) ?
si utilizas alguna extensión de cache el propio plugin tiene la opcion de vaciarla.
Un saludo
Respondido : 26/04/2017 3:27 pm
Sí, utilizo WPSuper Caché, pero no sé dónde se encuentra la opción que me indicas... ¿Hay alguna manera de saberlo?
Muchas gracias
Saludos
Respondido : 26/04/2017 3:45 pm
Hola Adriadna.
¿Hay alguna manera de saberlo?
Si, si lo tienes activado en la parte superior de tu wordpres veras una opción que pone vaciar cache, pulsas sobre ese botón y eliminara la cahe que tengas cargada.
También puedes eliminarla desde el mismo administrador del plugin:
Un saludo
Respondido : 26/04/2017 4:01 pm
Ya he hecho lo que me indicabas en cuanto a Caché y a desactivar el pluggin de seguridad para ver si era eso. Pero wp doctor me sigue diciendo lo mismo, que no tengo Cabecera Content-Security-Policy...
¿Tengo que hacer alguna cosa al respecto?
Muchas gracias
Respondido : 26/04/2017 4:17 pm
Hola Adirana.
veo que tienes la web en mantenimiento.
Por favor habré la web monentaneamente para que podamos comprobarla en wp-doctor y veamos todos los avisos.
Respondido : 26/04/2017 6:13 pm
De acuerdo, pero solo tengo un post y todavía no hemos empezado a configurar el tema make. Así que si me puedes decir más o menos en qué momento la tengo que abrir, mejor. Lo digo porque no está muy presentable, vaya. 🙂
Muchas gracias
Mayca
Respondido : 27/04/2017 11:04 am
Página 1 / 2
Siguiente
