Introducción de cabeceras de seguridad da problemas  

Hola Iciar, 

Si implementarlo mediante código no te funcionó te sugiero probar con el plugin de https://es.wordpress.org/plugins/content-security-policy-pro/, una vez instalado diríogete a WP CSP -> Click en "Click here to load basic configuration" -> Click en "Save Header".

Saludos

@bulmaro-webempresa gracias por la respuesta!

Lo he intentado pero al darle a "save header" me da este error.

:S

Hola Iciar

prueba añadiendolo en el archivo functions.php que encontrarás dentro de wp-content -> themes -> tu_plantilla:

add_action('send_headers', function(){ 
    // Fuerza el uso de HTTPS
    header("Strict-Transport-Security: max-age=31536000; includeSubDomains");
    // Previene el Clickjacking
    header("X-Frame-Options: SAMEORIGIN");
    // Previene ataques por inyeccion de codigo
    header("Content-Security-Policy: default-src 'self';"); // FF 23+ Chrome 25+ Safari 7+ Opera 19+
    header("X-Content-Security-Policy: default-src 'self';"); // IE 10+
    // Bloquea el acceso si se sospecha de un ataque XSS
    header("X-XSS-Protection: 1; mode=block");
    // Previene problemas con el MIME-Type
    header("X-Content-Type-Options: nosniff");
    // Seguimiento
    header("Referrer-Policy: no-referrer-when-downgrade");
}, 1);

Puedes añadirlo al final del archivo.

Un saludo

@pepesoler lo he intentado pero entonces se queda la web blanca (creo que mi web no quiere cabeceras 😆 😆 ). 

Hola Iciar,

En este caso prueba añadir las cabeceras directamente en el htaccess de tu sitio web.

Para ello ingresa a tu cpanel y pincha sobre la opción de Administrar Archivos, luego ve a tu carpeta public_html, dentro de este ubica la carpeta donde tienes los archivos de tu sitio web, ubica el archivo htaccess y editalo

Copia las cabeceras en este archivo y guarda los cambios

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Verifica si tras esto funciona de forma adecuada tu sitio web

Puedes ver más información sobre esto en el siguiente hilo donde se trato un tema similar -> https://www.webempresa.com/foro/administracion-wordpress/como-se-colocan-cabeceras-cont-security-policy-y-otras-relativa-a-la-seguridad-2

PD: Antes de hacer cualquier cambio has una copia de seguridad de tu archivo en el ordenador. 

Nos comentas como ha ido todo

Un Saludo

Hola @karen!

Pero justo esa fue la primera opción que intenté. Las copié al final del todo de mi archivo htaccess. La web iba bien pero el admin empezó a dar problemas (sobre todo en cuanto a la búsqueda y gestión de plugins). Si miras más arriba en el hilo está mi mensaje, te copio lo que puse con los problemas que me daba aquello 🙂

Hola buenas, hace un par de días, a raíz de este hilo introduje las cabeceras de seguridad mencionadas al final del archivo htaccess.

Parecía que iba bien pero la verdad es que desde entonces me ha dado bastantes problemas. 

Primero, se quitaron todos los estilos del Dashboard, problema que solucioné incluyendo en el archivo wp-config:

define( 'CONCATENATE_SCRIPTS', false );

Los estilos se arreglaron, pero el administrador no funcionaba como antes. Problemas que detecté:

- No buscaba plugins nuevos (se quedaba pensando)

- Daba error al borrar un plugin

- Daba error al instalar un plugin e intentar activarlo

De momento, he quitado tanto las cabeceras de seguridad como el "concatenate_scripts" y todo ha vuelto a la normalidad pero la verdad es que me da pena, porque sí me han recomendado bastante el introducir dichas cabeceras,

Gracias por lo que me podáis decir

➜ Dominio:  https://presentiadm.com/

Hola

Prueba con este código, tienes que agregarlo al final del archivo functions.php del tema que tienes activo (o tema hijo):

Con eso debería ser suficiente:

Ref: https://www.webempresa.com/blog/cabecera-x-frame-options-mejorar-seguridad-web.html

Saludos.

Hola @jmarreros! he probado a introducir tu código (captura adjunta) al final del functions y parece que funciona según WPDoctor:

No obstante, en esta otra página que también vigila ese tema no las detecta, no sé si esto puede querer decir algo o mejor ignorarlo xD:

Gracias por vuestra atención a todos, 

Nada, WP Doctor vuelve a decir que no hay 🙁 

Hola

Es extraño, revisa si tienes algún plugin de optimización y prueba desactivarlo temporalmente.

Saludos.

Hola Iciar.

ok es extraño ya que tendria que funcionar.

Añade lo siguiente al archivo htaccess.

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header always append X-Frame-Options SAMEORIGIN
Header Referrer-Policy: no-referrer-when-downgrade

si ves que tienes problemas en el administrador como indicamos vez eliminado las cabeceras pero una a una, es decir eliminas una y pruebas, sives que sigue igual vuelves añadir la cabecera y eliminas la siguiente asi hasta encontrar la que está causando el problema, con eso veremos qué cabecera es la que tien el problema.

Un saludo

Hola @pepesoler!

He hecho la prueba que me indicas, y, efectivamente, la que da problemas con el admin es esta:

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Por lo tanto, de momento he dejado el código en htacces con las demás, que funciona todo bien:

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

No sé cual puede ser el error, no tengo plugins de optimización salvo el WP Super Cache y las siguientes opciones de Divi activadas porque recomiendan tenerlo así. No sé si puede tener algo que ver. Si hace falta las desactivo para probar. Gracias! 

Hola Iciar.

Ok ya encontramos la causante 😉 

Esa codificación solo es para los caracteres si ves que no tienes problemas en los textos o iconos no hace falta, de todas formas puedes probar con lo siguiente:

<IfModule mod_headers.c>
Header set Content-Type "text/html; charset=UTF-8"
</IfModule>

Un saludo 

@pepesoler al introducir ese código en el HTACCESS ocurre lo mismo, el admin se queda pensando cuando busca un plugin. Parece que desencadena lo mismo que la otra codificación. 🤔 

De momento lo he quitado. No sé por qué será.

Gracias por vuestra ayuda!