Avisos
Vaciar todo
Preguntas sobre WordPress
2
Respuestas
2
Usuarios
0
Reactions
6
Visitas
Topic starter
Muy buenas,
Nos han pedido desde nuestro cliente revisar algunos puntos técnicos que afectan a la web y que necesitamos de vuestra ayuda.
La web en cuestión es: https://asitur.es/
Estos son los puntos en cuestión:
3.- No X-Content-Type-Options, Falta de cabecera nosniff que protege contra sniffing de MIME types
4.- CSP demasiado permisivo, Política CSP con directivas amplias que permiten carga desde orígenes inseguros
5.- No X-Frame-Options, Ausencia de cabecera contra clickjacking (no se impide el uso de iframes externos)
6.- Sin Subresource Integrity, Recursos externos sin verificación de integridad? riesgo de XSS
Nos podríais ayudar a resolver estos puntos?
Muchísimas gracias de antemano!
Contenido solo visible a usuarios registrados
Respondido : 05/09/2025 11:16 am
Hola Borja.
Vamos a ir por partes.
No X-Content-Type-Options, Falta de cabecera nosniff que protege contra sniffing de MIME types
La cabecera X-Content-Type-Options: nosniff evita que los navegadores interpreten incorrectamente el tipo de contenido (MIME type sniffing), para solucionarlo puedes añadir lo siguiente en el archivo htaccess:
<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff" </IfModule>
CSP demasiado permisivo
La Content Security Policy (CSP) define desde qué orígenes se pueden cargar recursos (scripts, imágenes, etc.), paar solucionarlo puedes añadir lo siguinete en el archivo .htaccess:
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.cdn.com; style-src 'self' https://trusted.cdn.com; img-src 'self' data: https://trusted.cdn.com; font-src 'self' https://trusted.cdn.com; connect-src 'self' https://api.tu-sitio.com ;"
</IfModule>
Tienes que ajustar los dominios ( https://trusted.cdn.com) según los servicios que uses (Google Analytics, Cloudflare, etc.
Falta de cabecera X-Frame-Options
La cabecera X-Frame-Options previene ataques de clickjacking al evitar que tu sitio sea cargado en un iframe desde un dominio externo, para solucionarlo, lo mismo puedes añadir lo siguiente:
<IfModule mod_headers.c>
Header set X-Frame-Options "DENY"
</IfModule>
Para estas tres opciones, si no quieres añadir código puedes utilizar el siguiente plugin:
https://wordpress.org/plugins/headers-security-advanced-hsts-wp/
Prueba esto primero y luego vemos lo que falta.
Un saludo
Respondido : 05/09/2025 12:01 pm
