Avisos
Vaciar todo

Cabeceras seguridad

13 Respuestas
4 Usuarios
0 Reactions
19 Visitas
Respuestas: 7
Active Member
Topic starter
 

Buenos días,

Hay varias cabeceras de seguridad que me gustaría añadir a mi web... como puedo hacerlo?

Missing security header for ClickJacking Protection. Alternatively, you can use Content-Security-Policy: frame-ancestors 'none'.

Missing security header to prevent Content Type sniffing.

Missing Strict-Transport-Security security header.

Missing Content-Security-Policy directive. We recommend to add the following CSP directives (you can use default-src if all values are the same): script-src, object-src, base-uri, frame-src

Muchas gracias

Contenido solo visible a usuarios registrados


 
Respondido : 19/04/2021 11:27 am
Pepe
 Pepe
Respuestas: 41113
Illustrious Member Admin
 

Hola Maria.

Edita el archivo htaccess que encontraras en al raíz de la instalación y añade lo siguiente:

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Puedes ver más información entrada del blog donde tratamos el tema.

-> https://www.webempresa.com/foro/preguntas-sobre-wordpress/introduccion-de-cabeceras-de-seguridad-da-problemas

 

Un saludo


 
Respondido : 19/04/2021 11:57 am
Respuestas: 7
Active Member
Topic starter
 

ufff Pepe, he añadido el código y se me ha desconfigurado el site administrador de la web.... como lo soluciono? He copiado el código tal cuál me has dicho. Gracias

 

image

 
Respondido : 19/04/2021 1:13 pm
Respuestas: 7
Active Member
Topic starter
 

Me falta la cabecera Content-Security-Policy también...


 
Respondido : 19/04/2021 1:23 pm
Pepe
 Pepe
Respuestas: 41113
Illustrious Member Admin
 

Hola Maria.

se me ha desconfigurado el site administrador de la web.... como lo soluciono? 

Del código prueba a eliminar la siguiente linea:

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

 

Un saludo


 
Respondido : 19/04/2021 1:43 pm
Respuestas: 7
Active Member
Topic starter
 

Ha quedado así y sigo teniendo problemas:

 

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

<FilesMatch ".(php4|php5|php3|php2|php|phtml)$">
SetHandler application/x-lsphp73
</FilesMatch>


 
Respondido : 19/04/2021 1:53 pm
Pepe
 Pepe
Respuestas: 41113
Illustrious Member Admin
 

Hola Maria.

Añade el código al final del archivo.

Ha quedado así y sigo teniendo problemas:

Que problemas son? lo del administrador ?

Si es lo del administrador añade el código al final del archivo 

 

Un saludo


 
Respondido : 19/04/2021 1:59 pm
Respuestas: 7
Active Member
Topic starter
 

El admin de la web sigue dando problemas... 

El código que tengo en el htacess es este:

 

<FilesMatch ".(php4|php5|php3|php2|php|phtml)$">
SetHandler application/x-lsphp73
</FilesMatch>

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

 

 

Adicionalmente, me siguen faltando las cabeceras de Content-Security-Policy

 

image

 
Respondido : 20/04/2021 3:51 pm
Jhon
 Jhon
Respuestas: 44989
Illustrious Member Moderator
 

Hola

Tendrías que ir quitando los bloques de código que añadiste hasta detectar cual te causa el problema.

Ten en cuenta que para añadir algunas cabeceras por ejemplo la de CSP necesitas conocer a profundidad los recursos que cargará tu sito, esto en muchos casos no es necesario ya que te complica la administración. Ya que por ejemplo algún plugin o tu propio theme no puede estar acorde a a política definida.

Saludos.


 
Respondido : 20/04/2021 4:05 pm
Respuestas: 7
Active Member
Topic starter
 

He eliminado todo el código que me habíais dado y mi admin sigue desconfigurado!!!!!!!!!! Como lo puedo arreglar?


 
Respondido : 21/04/2021 6:35 am
Pepe
 Pepe
Respuestas: 41113
Illustrious Member Admin
 

Hola Maria.

Revisa accediendo con el navegador en privado, es posible que el problema venga de la cache del navegador:

-> https://support.google.com/chrome/answer/95464?co=GENIE.Platform%3DDesktop&hl=es

 

Un saludo


 
Respondido : 21/04/2021 8:33 am
Respuestas: 7
Active Member
Topic starter
 

He accedido en modo incógnito y sigo igual... me puedes enviar exactamente que debería tener en el fichero .htaccess porfavor? Es muy importante que vuelva a funcionar!!!!

Lo copiaré tal cual.

 

Gracias!


 
Respondido : 21/04/2021 4:34 pm
Karen Rios
Respuestas: 18663
Illustrious Member Moderator
 

Hola Maria,

En este caso prueba añadir la siguiente linea en el archivo wp-config.php de tu sitio web, este archivo puedes localizarlo en tu cPanel -> Administrador de archivos -> public_html -> carpeta donde están los archivos de tu web

define( 'CONCATENATE_SCRIPTS', false );

Te comparto la siguiente guía donde explican de forma mas detallada como añadirlo -> https://www.webempresa.com/blog/dashboard-wordpress-estilos-css-solucionalo.html

Verifica esto y nos comentas como ha ido todo

Un Saludo

 


 
Respondido : 21/04/2021 4:42 pm