Avisos
Vaciar todo

añadir las cabeceras Content-Security-Policy, X-Content-Type, X-Frame, XSS en tu .htaccess  

Página 2 / 4
 
Maria Antonieta
 Maria Antonieta
Usuario experto

Hola, buenas tardes con cada de ustedes.

Después de recibir recomendaciones de usar  https://www.wpdoctor.es/  para analizar mi web, encuentro mucha información de alto valor para mejorar mi web.

Entonces entiendo que es importante implementar en mi sitio web cabeceras como :
Content-Security-Policy, X-Content-Type, X-Frame, Cabecera XSS en tu .htaccess

y aunque el código de cada una de estas cabeceras estan en la guía que web empresa me ofrecio, se dice también que añadir este tipo de cabeceras en nuestro .htaccess ocasione en algunos casos errores de visualización del sitio web por lo que implementarlos puede que no sea viable para nuestro sitio.

Que se recomienda personalizar las cabeceras CSP de acuerdo a las necesidades que la web.

Por ende acudo a ustedes.

Entre vosotros hay algún experto que me luz de como impletarlas estas caberas que me hacen falta ?

yo agrege la cabecera Content-Security-Policy por la mañana a mi archivo .htaccess y lo puse al principio de mi archivo .htaccess

Esperando sus comentarios.

Muchas Gracias.

Captura de pantalla 2022 09 29 a las 14.38.15
WhatsApp Image 2022 09 29 at 11.22.35 AM

Contenido solo visible a usuarios registrados

Citar
Respondido : 29/09/2022 3:27 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Maria Antonieta:

No se si ya debo subir esa linea de codigo al archivo wp-config.php para evitar que se desplome la web?

No, si todo esta cargando bien no hace falta que lo añadas.

Content-Security-Policy suele dar bastantes problemas y la verdad que no es recomendable incluirlo porque puede provocar que la web se venga a bajo.

Si todo carga sin problemas, no te calientes mas la cabeza y como lo tienes esta bien.

 

entonces eso seria por debajo de define(´WP-Debug, false); y por encima de /* Add any custom values between this line and the "stop editing" line. */   

Exacto, pero como te indicaba, si todo esta cargando bien déjalo como esta.

 

 

Un saludo

 

 

ResponderCitar
Respondido : 30/09/2022 11:32 am

Cursos Gratuitos WordPress

Maria Antonieta
 Maria Antonieta
Usuario experto

He hecho el análisis con la web del wp doctor

y aparece como si no tubiera ninguna de la cabeceras :/

sin embargo tengo todas menos Cabecera Content-Security-Policy

agrego imagen.

Image 2022 09 30 at 1.41.26 PM
Image 2022 09 30 at 1.40.52 PM

 

ResponderCitar
Respondido : 30/09/2022 11:43 am
Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Maria Antonieta, 

Probemos lo siguiente, borra todas las líneas que tengas de las cabeceras y guarda los cambios. Luego accede a tu sitio web y ingresa Ajustes -> enlaces permanentes y sin realizar ningún cambio pulsa en el botón de guardar cambios. 

Una vez realices esto, añade nuevamente las cabeceras menos la cabecera de content security policy que suele dar problemas y realiza un nuevo análisis. 

Verifica esto y nos comentas como ha ido todo

PD: siempre realiza una copia de seguridad el sitio web antes de realizar cambios, de esta forma si se genera algún error puedes restaurarla. 

Un Saludo

 

ResponderCitar
Respondido : 30/09/2022 12:21 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Maria Antonieta
 Maria Antonieta
Usuario experto

@karen Hecho ! 

Pero fui a la web de wpdoctor y aun no se que tenga las cabeceras.

Quizas debo esperar un tiempo?

 

Gracias

WhatsApp Image 2022 09 30 at 3.32.16 PM

 

ResponderCitar
Respondido : 30/09/2022 1:32 pm
Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Maria Antonieta, 

Como comentas vamos a esperar un tiempo y revisar que se apliquen los cambios, prueba hacerlo en una hora o dos y comprobar como van los resultados. 

Mientras tanto para verificar todo este en orden envíanos una captura de tu archivo htaccess completo para comprobar todo este de forma correcta

Un Saludo 

ResponderCitar
Respondido : 30/09/2022 1:38 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Maria Antonieta
 Maria Antonieta
Usuario experto

@karen eso es. 🙂

Te comparto el archivo en 2 imagenes.

WhatsApp Image 2022 09 30 at 4.03.14 PM
2022 09 30 at 4.03.14 PM

 Muchisimas gracias

ResponderCitar
Respondido : 30/09/2022 2:05 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Maria Antonieta.

Las cabeceras estan añadidas y funcionado.

Tienes otra opción para añadirlas que es con una función, revisa esta entrada del Blog:

-> https://www.webempresa.com/blog/cabecera-x-content-type-options-problemas-de-seguridad.html

De todas formas no hace falta que las añadas ya que son opcionales y esas capas de protección estan implementadas en el servidor.

 

Un Saludo

 

ResponderCitar
Respondido : 30/09/2022 3:08 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Maria Antonieta
 Maria Antonieta
Usuario experto

@pepesoler Espere un rato para ver el analsis de wpdoctor y entonces toda mi web TENIA la pantalla blanca error 500

fui a filezilla y quite el archivo .htccess  que contenia todas cabeceras y puse el que tenia desde el principio.

WhatsApp Image 2022 09 30 at 5.34.26 PM

ahora regrese a mi web y ya funciona de nuevo. Madre mia que susto con estas cabeceras que no ayudan en NADA.

Mi web ha sido atacada por eso la necesidad de protegerla con esas capas de seguridad. 

ResponderCitar
Respondido : 30/09/2022 3:36 pm
Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Maria Antonieta, 

En este caso es muy extraño que suceda, como te comenta Pepe vemos todo bien a nivel de instalación. Ten en cuenta que estas cabeceras son opcionales, ya que dentro de los servidores de webempresa ya se añaden medidas de seguridad de este tipo, si deseas implementar mayor seguridad en tu sitio web puedes revisar cuáles puedes tener en la siguiente guía que tenemos disponible -> https://guias.webempresa.com/preguntas-frecuentes/medidas-de-seguridad-por-parte-del-usuario/

Ya que no podemos revisar tus archivos en este caso si aún deseas implementar estas cabeceras te recomiendo consultes con nuestro directorio de colaboradores para que revisen tu sitio web y te ayuden a incorporar las configuraciones que necesitas. 

Un Saludo 

ResponderCitar
Respondido : 30/09/2022 3:57 pm

Cursos Gratuitos WordPress

Maria Antonieta
 Maria Antonieta
Usuario experto

@karen gracias.

Pues parece que no todo estaba bien.

sobre la recomendacion de ciber protector es mas a nivel exterior ( claves, nombres de usuarios, etc)

Mi web ha sido atacada por eso la necesidad de protegerla con esas capas de seguridad. 

Entonces no se si deba restaurar la web desde el panel de control de web empresa. 

Ya que algo raro pasa con el archivo .htaccess aunque lo copie en mi computadora y le cambie de nombre. Al quitar el archivo que contenia las cabeceras y subir el que tenia guardado en mi carpeta de computadora y luego abrirlo ...y renombrarlo como debe ser. 

Luego lo abro y aparce las cabeceras que inclui en el archivo que borre.

Esto es raro y no se si al restaurar la web perjudique al posicionamiento web SEO natural que viene teniendo mi web.

la web ha estado posicionada en el primer resultado de Google durante 6 meses hemos venido trabajando duro por el posicionamiento natural sin trampas ni nada que a Google no le guste. Muchisimas semana posicionada con casi todas las URL Y de pronto tuvo un bajon horrible ...verificamos y vimos que fuimos atacados. 

la herramienta que usamos nos indicaba que debiamos subir capas de seguridad a la web, por ende todoooooo lo que venido haciendo desde la mañana. 

 

Gracias.

ResponderCitar
Respondido : 30/09/2022 4:20 pm
Argenis
 Argenis
Soporte CMS Webempresa Moderator

Hola Maria,

Vamos a realizar lo siguiente, ingresas a tus archivos del htaccess, vas a modificar el nombre, es decir, si actualmente tienes dos:

.htaccess

.htaccess2

Cambia el nombre del principal, para que estés sin un htaccess, luego ingresas a tu wordpress y vas a Ajustes > Enlaces permanentes. Una vez dentro actualizas los enlaces solo haciendo clic aqui:

image

Sin hacer algún cambio solo haces clic alli y se te va a generar un nuevo htaccess, el que debes tener por defecto. Antes de volver a probar con los códigos de htaccess, prueba con esto:

https://www.webempresa.com/blog/cabecera-x-xss.html

Vas a agregarlo instalando este complemento > https://es.wordpress.org/plugins/code-snippets/, cuando lo instalas haces click en agregar nuevo código:

image

Por si tienes duda el código que vas a agregar es este que está al final:

image

Lo insertas y haces clic en guardar y activar. Con esto insertado verificas nuevamente, si sigue sin mostrarse en el wpdoctor, agregas a tu htaccess solo esto:

## Cabecera X-Frame-Options para mejorar la seguridad

Header always append X-Frame-Options SAMEORIGIN

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome

Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos

Header set X-Content-Type-Options "nosniff"

Luego verifica si se ve de forma correcta y si toma ya todo bien.

Un saludo 🖐️ 

ResponderCitar
Respondido : 30/09/2022 4:34 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Maria Antonieta
 Maria Antonieta
Usuario experto

@argenis gracias.

Antes de empezar todo lo indicado. Dos anotaciones:

- NO TENGO DOS  .htaccess en mi filezilla

     Pero entiendo o creo entenderte que sumando al que tengo ahora mismoy se ve en Filezilla agrege otro archivo .htaccess  ( es decir el original, que ahora tiene un nombre limpio.htaccess) en una carpeta de mi computadora.

- hace una hora fui a ajustes permanentes y di en guardar ajustes como tu compañera me indico antes. Esta accion de volverlo a hacer acaso puede perjudicar al SEO ) 

 

Por último te consulto sobre esto

         Vamos a realizar lo siguiente, ingresas a tus archivos del htaccess, vas a modificar el nombre, es decir, si actualmente tienes dos:

                  .htaccess

                  .htaccess2

Cambia el nombre del principal, para que estés sin un htaccess, luego ingresas a tu wordpress y vas a Ajustes > Enlaces permanentes. Una vez dentro actualizas los enlaces solo haciendo clic aqui:

           Supongamos que el principal es .htaccess2  a este le cambio de nombre? osea principal.htaccess2 

 

Entonces tendria :

                 .htaccess

                 principal.htaccess2 

Siguiendo tus instrucciones:

Sin hacer algún cambio solo haces clic alli y se te va a generar un nuevo htaccess, el que debes tener por defecto.

        Entonces tendría :

              .htaccess

              principal.htaccess2 

               .htaccess (el que ocasiones al hacer clic en ajustes permanentes) 

 

Haber si me estoy perdiendo de algo y no estoy entiendo correctamente ...antes de seguir por favor me corriges?

Gracias.

 

 

ResponderCitar
Respondido : 30/09/2022 4:55 pm
Maria Antonieta
 Maria Antonieta
Usuario experto

Sobre el plugin que usaria para subir el complemento:

- De instalar el plugin y usarlo, puedo luego quitarlo ? 

- y al agregar el plugin solo se abre alguna ventana donde agregaria esas lineas de codigo y listo?

o es que ahi se ve todo el archivo funtions.php y debo saber por encima o por debajo, principio o final de que codigos subo loq ue tengo que subir ?

- estas lineas de codigo que me haz compartido como imagen equivalen a las 3 capas de seguridad que he intantado subir desde la mañana ? 

ResponderCitar
Respondido : 30/09/2022 5:06 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Argenis
 Argenis
Soporte CMS Webempresa Moderator

Hola Maria,

Comprendo la preocupación y las dudas, no te preocupes, con respecto a lo del archivo .htaccess, la idea es que te quedes sin un archivo htaccess.

Si solo tienes 1 entonces le cambias el nombre a .htaccesss2

Si tienes 4 le cambias el nombre a .htaccess2, .htaccess3, .htaccess4, .htaccess5

De tal forma que el sitio no tome en cuenta un htaccess, para que al momento de continuar con los pasos (da igual que lo hicieras hace unas horas) se te vuelva a generar uno limpio.

El plugin funciona igual que cualquier otro complemento activas y desactivas cuando gustes, pero te indico con este complemento para que en caso de que suceda algo como ya hay un historial de pantallas blancas y errores, puedas recuperar el sitio de forma más fácil que editando directamente en el archivo functions.php

Con respecto a si se ve un panel, si. te comparto captura:

image

Solo es hacer clic donde te indique y sigues los pasos, es muy importante que sigas todos y cada uno de los pasos.

Un saludo 🖐️ 

ResponderCitar
Respondido : 30/09/2022 5:16 pm
Maria Antonieta
 Maria Antonieta
Usuario experto

Muchas gracias. 

Sobre el archivo .htaccess me queda claro.

De tal forma que el sitio no tome en cuenta un htaccess, para que al momento de continuar con los pasos (da igual que lo hicieras hace unas horas) se te vuelva a generar uno limpio. 

Te consulto, en el archivo .htaccess tengo redicciones 301 que hice hace meses y al generar un nuevo archivo, pondria otra vez esas redicciones.

La consulta es acaso Google Search Console puede notificarme que no tengo hechas esas redicciones porque detecto que por unos segundos no estaban?

y eso puede ser perjudicial para el SEO posicionamiento natural que hemos venido trabajando durante 6 meses. ?

 

El plugin funciona igual que cualquier otro complemento activas y desactivas cuando gustes

Sobre esto se nos ha informado que tener un plugin apagado es PEOR que tenerlo encendido.

se nos ha dicho que instalar un plugin y quitarlo deja de alguna forma " rastros " y eso en tanto hace pesado a la base de datos. 

No se cuan pequeño sea este plugin, pero espero sea ligero y que no me deje esos rastros de su exitencia.

De todas formas te lo agradezco muchisimo.

 

sobre el codigo

El codigo que voy a agregar la web es equivalente a las 3 capas de seguridad ?

 

captura de pantalla de comos se ve la caja donde voy a insertar el codigo :

hay una caja donde dice : introduce aqui el titulo 

que es lo debo escribir ahi exactamente?

 

ULTIMA PREGUNTA

Esto de ir a ajustes del sitio y darle guardar cambios podria perjudicar al SEO ? AUN sin haber hecho cambios reales ? 

 

Muchisimassssssss Gracias totales. 

ResponderCitar
Respondido : 30/09/2022 5:52 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Página 2 / 4