Avisos
Vaciar todo

añadir las cabeceras Content-Security-Policy, X-Content-Type, X-Frame, XSS en tu .htaccess  

Página 1 / 4
 
Maria Antonieta
 Maria Antonieta
Usuario experto

Hola, buenas tardes con cada de ustedes.

Después de recibir recomendaciones de usar  https://www.wpdoctor.es/  para analizar mi web, encuentro mucha información de alto valor para mejorar mi web.

Entonces entiendo que es importante implementar en mi sitio web cabeceras como :
Content-Security-Policy, X-Content-Type, X-Frame, Cabecera XSS en tu .htaccess

y aunque el código de cada una de estas cabeceras estan en la guía que web empresa me ofrecio, se dice también que añadir este tipo de cabeceras en nuestro .htaccess ocasione en algunos casos errores de visualización del sitio web por lo que implementarlos puede que no sea viable para nuestro sitio.

Que se recomienda personalizar las cabeceras CSP de acuerdo a las necesidades que la web.

Por ende acudo a ustedes.

Entre vosotros hay algún experto que me luz de como impletarlas estas caberas que me hacen falta ?

yo agrege la cabecera Content-Security-Policy por la mañana a mi archivo .htaccess y lo puse al principio de mi archivo .htaccess

Esperando sus comentarios.

Muchas Gracias.

Captura de pantalla 2022 09 29 a las 14.38.15
WhatsApp Image 2022 09 29 at 11.22.35 AM

Contenido solo visible a usuarios registrados

Citar
Respondido : 29/09/2022 3:27 pm
Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Maria Antonieta, 

En este caso puedes enviarnos algunas capturas de pantalla como estas añadiendo las cabeceras de seguridad en tu sitio web, ten en cuenta que las cabeceras con el siguiente codigo no debe gernar ningun tipo de error

## Cabecera X-Frame-Options para mejorar la seguridad

Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first

Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome

Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos

Header set X-Content-Type-Options "nosniff"

# Disable server signature

Header set ServerSignature "Off"

Header set ServerTokens "Prod"

# Control Cross-Domain Policies

Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Sin embargo las cabeceras para Content Security Policy es la que suele generar algun tipo de problema, prueba añadir primero las cabeceras que te menciono y nos comentas como ha ido todo

De manera general puedes darle un vistazo al siguiente hilo de foro donde se trato un tema similar -> https://www.webempresa.com/foro/administracion-wordpress/error-del-sitio-con-la-cabeceras-de-seguridad#post-426475

Un Saludo 

ResponderCitar
Respondido : 29/09/2022 3:57 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Maria Antonieta
 Maria Antonieta
Usuario experto

Hola   Karen Rios@karen, buenas noches.

 

Como he escrito en mi mensaje :

... entiendo que es importante implementar en mi sitio web cabeceras... aquí quiero decir que después de haber leído la guía ENTENDI la IMPORTANCIA de su uso.

ASI MISMO :

    ....Que se recomienda PERSONALIZAR las cabeceras CSP de acuerdo a las necesidades que la web...

AHORA:

  ....Por ende acudo a ustedes. Hay entre vosotros hay algún EXPERTO que me luz de como impletarlas estas caberas que me hacen falta? 

 

Sin embargo las cabeceras para Content Security Policy es la que suele generar algun tipo de problema, prueba añadir primero las cabeceras que te menciono y nos comentas como ha ido todo

yo he agregado la cabecera Content-Security-Policy por la mañana a mi archivo .htaccess y lo puse al principio de mi archivo .htaccess

agrego imagen.

 

Mi pregunta:

- si agrego el resto de lineas de cabeceras lo subo al principio del archivo .htaccess ?

-y la linea de cabecera de Content Security Policy  que ya he agregado hoy , la quita y la vuelvoa  subir en orden con las demás ?

 

WhatsApp Image 2022 09 29 at 12.57.03 PM

 

 

ResponderCitar
Respondido : 29/09/2022 6:18 pm
Argenis
 Argenis
Soporte CMS Webempresa Moderator

Hola Maria,

Te recomendamos que leas este artículo:

https://www.webempresa.com/blog/como-anadir-las-cabeceras-content-security-policy-x-content-type-x-frame-xss-en-tu-htaccess.html

Como se indica va al final, igualmente puedes colocarlo al inicio, lo que importa es que estén todos, es decir todos los que te compartió Karen aquí, pero lee atentamente porque hay uno que específicamente puede generar conflicto con algunos sitios, toda la información se encuentra en el link de la guía.

Un saludo 🖐️ 

ResponderCitar
Respondido : 29/09/2022 6:26 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Maria Antonieta
 Maria Antonieta
Usuario experto

Gracias @argenis.

La guía esta leída, gracias nuevamente.

 

Pregunto puedo abrir el archivo .htacess y quitar la cabeceras para Content Security Policy Y LUEGO agregarla al final junto con las demás cabeceras ?

ResponderCitar
Respondido : 29/09/2022 7:31 pm
Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Maria Antonieta, 

En este caso si la quieres eliminar y añadir nuevamente si puedes hacerlo, lo que te recomiendo es que agregues las primeras líneas y luego realices un test para revisar este correctamente aplicada las primeras cabeceras, luego de ello puedes añadir la de Content Security Policy siempre con la precaución de revisar que la web funciona de forma correcta luego de añadirla. 

Verifica esto y nos comentas como va todo

Un Saludo  

ResponderCitar
Respondido : 29/09/2022 7:39 pm

Cursos Gratuitos WordPress

Maria Antonieta
 Maria Antonieta
Usuario experto

@karen Muchas gracias por tu respuesta-Guia.

Lo he hecho siguiendo tus instrucciones y hoy mi web sigue funcionando muy bien. Ahora tengo todas cabeceras instaladas en mi web ahora. En un análsiis de mi web vi que hubo un ataque o posible ataque y por esta razón acudi a vosotros de forma urgente.

 

Sin embargo, tengo una consulta y no se si es que tiene que ver con la instalacion de las cabeceras pero la velocidad de carga se ha visto afectada.

Esto dice la web de https://www.wpdoctor.es/

 

x Velocidad de carga

 " 52.5 / 100 "

La nota de velocidad de la web es menor que 70, hay que intentar mejorarla un poco.
 
Igual hago una nueva consulta para escuchar sus consejos.
 
 
Muchas gracias nuevamente.

 

WhatsApp Image 2022 09 30 at 10.06.30 AM

 

 
 
 
ResponderCitar
Respondido : 30/09/2022 8:07 am
Maria Antonieta
 Maria Antonieta
Usuario experto

Hola, hace un rato les dije que mi web estaba perfecta !

Justo acabo de entrar a una URL para hacer unos areglos y a la hora de guardar los cambios todo muy bien.

Pero cuando le di en ir al escritorio la web se volvio loca y aparce como en la imagen.

 

les pongo el link de como se ve junto con la imagen.

Que debo hacer ?

tengo una copia del archivo.htaccess anterior antes de subir las cabeceras. 

 

Gracias y espero urgente sus respuestas.

WhatsApp Image 2022 09 30 at 11.00.20 AM

https://www.alfaseoweb.com/wp-admin/post.php?post=446&action=edit  

 

 

 

ResponderCitar
Respondido : 30/09/2022 9:04 am

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Maria Antonieta
 Maria Antonieta
Usuario experto

Agrego. he quitado el archivo .htaccess que contenia todas las cabeceras y he vuelto a subir el archivo .htaccess con solo las cebezaras "seguras" 

y quitadola la que cabezara que la mas ofensiva para la web.

 

Sin embargo regreso a la web y todas las url que debo editar en wordpress se han dañado. 

 

Esto tarda para que vuelva funcinar ? o que debo hacer ? 

urgente.

 

 

Esta publicación ha sido modificada el hace 2 meses por Maria Antonieta
ResponderCitar
Respondido : 30/09/2022 9:18 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Maria Antonieta.

Veo que la pagina carga sin problemas y por lo que muestras es el administrador de WordPress:

screenshot www.alfaseoweb.com 2022.09.30 10 16 52

Revisa esta entrada del Foro donde trato el tema:

-> https://www.webempresa.com/foro/administracion-wordpress/el-wp-admin-aparece-sin-formato-y-no-puedo-administrar-mi-sitio-he-desactivado-los-plugins-de-cache-y-optimizacion-y-sigue-igual

 

Si después de esto sigues con el problema, por favor abre una nueva entrada con esta nueva consulta y lo revisamos, al ser un tema distinto es mejor separarlo para no liarnos y así nos ayudas en nuestro trabajo.

 

Un Saludo 

ResponderCitar
Respondido : 30/09/2022 9:30 am

wpdoctor-revisa-la-salud-de-tu-wordpress

Maria Antonieta
 Maria Antonieta
Usuario experto

@pepesoler

Gracias.

Comentaba arriba que quite el archivo .htccess y volvi a subir el que tenia antes de las cabeceras. 

ahora volvi a subir las cabeceras y espero que pasa?

Pero mucho temo que tiene que ver con la ultima cabecera de sguridad que es la que suele dar lata.

 

Igual leo y analizo el link.

ResponderCitar
Respondido : 30/09/2022 10:33 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Maria Antonieta.

Prueba lo que te indique antes.

Si después de eso sigues con problemas elimina esta linea del htaccess:


Header always set Content-Security-Policy "upgrade-insecure-requests;"

 

Un saludo

 

ResponderCitar
Respondido : 30/09/2022 10:54 am

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Maria Antonieta
 Maria Antonieta
Usuario experto

@pepesoler te refieres a todo esto

 

## Cabecera Content Security Policy

Header always set Content-Security-Policy "upgrade-insecure-requests;"

 

supongo que deberia eliminar desde ##...hasta requests;" 

o me equivoco?

ResponderCitar
Respondido : 30/09/2022 11:03 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Maria Antonieta.

Probaste lo que te indique antes de añadir la siguiente linea:

define( 'CONCATENATE_SCRIPTS', false );

Puedes añadirlo en al linea 85

 

supongo que deberia eliminar desde ##...hasta requests;" 

La almohadilla indican que esa linea es un comentario y no tiene ningún efecto " ## Cabecera Content Security Policy " la unica linea que tiene efecto es la del Header pero bueno, sí, puedes eliminar las dos lineas.

 

Un Saludo

ResponderCitar
Respondido : 30/09/2022 11:14 am

Cursos Gratuitos WordPress

Maria Antonieta
 Maria Antonieta
Usuario experto

@pepesoler

Gracias por tus respuestas. Siempre tan preciso y rápido.

Bueno después de quitar el archivo y volverlo a subir ...todo funciona como antes. No se si ya debo subir esa linea de codigo al archivo wp-config.php para evitar que se desplome la web?

 

Ahora sobre la linea donde debo subir esa linea de cógido:

- Me dice que es la linea 85 

- entonces eso seria por debajo de define(´WP-Debug, false); y por encima de /* Add any custom values between this line and the "stop editing" line. */   

correcto ?

Gracias, muchas gracias por la paciencia.

ResponderCitar
Respondido : 30/09/2022 11:26 am
Página 1 / 4