Pasarela de Pago Redsys  

@karen

Hola buenos dias.

Desde el soporte de webempresa me indican lo siguiente;

Hemos realizado una revisión exhaustiva de los registros del servidor y podemos confirmar que la petición hacia la página de redirección de Redsys está siendo entregada correctamente, con una respuesta HTTP 200, sin errores de PHP ni conflictos registrados a nivel de WordPress. El servidor cumple correctamente con el flujo previsto por la pasarela de pago. Sin embargo, el navegador del usuario está bloqueando la ejecución del último paso, lo que genera el comportamiento que describes como una pantalla en blanco tras hacer clic en el botón “Pagar”.

La causa concreta del problema está en la cabecera HTTP Content-Security-Policy (CSP) que el sitio está enviando. Esta cabecera está mal estructurada: contiene múltiples repeticiones innecesarias de las mismas directivas y, lo más importante, no incluye las excepciones necesarias para permitir la ejecución de scripts inline, que son requeridos tanto por WooCommerce como por la propia plataforma de Redsys para completar el proceso de pago.

Cuando la política CSP es interpretada por el navegador con errores de sintaxis o sin los permisos adecuados, el motor de seguridad del navegador descarta las directivas de carga. Esto provoca que los scripts necesarios no se ejecuten, interrumpiendo el proceso antes de mostrar el mensaje de confirmación o redirigir correctamente al cliente.

Hemos identificado que esta cabecera está siendo añadida por uno de los plugins de seguridad instalados en el sitio. En concreto, plugins como Headers Security Advanced & HSTS WP, AIOS (All-In-One Security) o Really Simple SSL tienen capacidad para modificar o inyectar cabeceras CSP. En este caso, el problema se resuelve al desactivar únicamente la funcionalidad de CSP desde el plugin responsable o, alternativamente, corrigiendo la directiva script-src para incluir las fuentes necesarias.

La directiva mínima para que el proceso de pago de Redsys funcione correctamente debería permitir contenido inline y conexiones hacia Redsys. Una estructura válida sería:

script-src 'self' https://*.redsys.es 'unsafe-inline'

Con esta configuración, el navegador podrá ejecutar los scripts involucrados en el flujo de pago sin bloquearlos.

Si desean mantener activa la política CSP como medida de seguridad, lo recomendable es aplicar una versión de la cabecera en modo Content-Security-Policy-Report-Only. Esto permite monitorear qué elementos serían bloqueados sin afectar el funcionamiento real del sitio.

Pueden encontrar soporte adicional en el foro de Webempresa, donde también abordamos ajustes personalizados relacionados con plugins de seguridad o cabeceras CSP, en la siguiente URL:  https://www.webempresa.com/foro/

Para poder descartar con precisión cualquier conflicto relacionado con la configuración de seguridad en el sitio, necesitamos que realices una desactivación temporal de todos los complementos que estén generando o modificando cabeceras HTTP de seguridad. Nos referimos específicamente a plugins como All-In-One Security (AIOS), Anti-Malware Security and Brute-Force Firewall, Headers Security Advanced & HSTS WP, Really Simple Security, Disable WP REST API, Loggedin – Limit Active Logins y WP Content Copy Protection & No Right Click. Una vez que estos estén completamente desactivados, por favor indícanoslo para que podamos realizar desde nuestro entorno una nueva prueba de proceso de pago a través de Redsys.

El servidor en ningún momento presenta errores en los registros ni se observa comportamiento anómalo a nivel de red o sistema. La incidencia es de carácter puramente aplicacional y está relacionada con cómo se están generando las cabeceras Content-Security-Policy en el front-end. Estas cabeceras están siendo configuradas por alguno de los plugins activos y es muy probable que estén interfiriendo con la redirección final que espera completar la pasarela de pago.

Las questiones que planteo para mitigar e intentar solucionar los problemas generados por estos plugins con las cabeceras de seguridad son los siguiente;

Tambien comentaros que al desconectar el plugin Headers Security Advanced & HSTS WP la visualización de la web se desconfigura y cambia, hace tiempo que pienso en insertar manualmente las cabeceras de seguridad en el htaccess y desconectar y borrar este plugin pero necesito saber exactamente que codigo deberia insertar para el correcto funcionamiento, seguridad, accesibilidad, visualización... de la web.
Adicionalmente queria preguntaros si consideráis necesario y útil mantener el plugin Anti-Malware Security and Brute-Force Firewall o deberia desactivarlo y borrarlo? De igual forma el plugin Loggedin – Limit Active Logins considero que tambien deberia ser inneceserio mantenerlo si ya dispongo de WP Hide Login y WP Limit Login. La misma circunstancia seria aplicable al plugin Disable WP REST API?

¿Que codigos podria insertar para desactivar y eliminar Headers Security Advanced & HSTS WP y que no bloque la visualización y correcto funcionamiento de la pasarela de pago redireccion Redsys y que no desconfigure la correcta visualizacion / apariencia de la web? Ademas si me recomendais desactivar y eliminar los siguientes plugins;Anti-Malware Security and Brute-Force Firewall, Loggedin – Limit Active Logins y Disable WP REST API.

Muchas gracias

Saludos

David

Hola David.

al desconectar el plugin Headers Security Advanced & HSTS WP la visualización de la web se desconfigura y cambia

Si la web se desconfiará, cuando se elimina el o desactiva el plugin, puede venir porque tu .htaccess o wp-config.php aún tienen líneas añadidas por el plugin.

Prueba a desactivarlo y revisa si hay código en esos archivos referente al plugin

Vamos viendo primero esto y ver si solucionamos lo de Redsys y luego ya iremos viendo las demás cosas.

Un saludo

@pepesoler

Hola Pepe buenas tardes.

Si ahora mismo lo que mayor preferencia y urgencia tiene es lo de Redsys. Agradezco vuestra ayuda.

Saludos

David

Hola David, 

¿En este caso has realizado las pruebas que comenta Pepe?, comentanos lo que haz realizado y nos comentas como ha ido todo. 

Un Saludo

@karen

Hola si he realizado las pruebas que me indicaba Pepe pero no soluciona el problema sigue la redireccion en blanco de la pasarela de pago Redsys. De hecho el equipo tecnico de Redsys indica que no consideran que el problema provenga de las cabeceras de seguridad.

Gracias

Saludos

David

Hola David, 

Entiendo, en este sentido es posible que algún plugin siga generando algún tipo de conflicto, intuyo que está muy relacionado con el plugin de firewall, en este caso te recomiendo desactivar todos los plugins y dejar solo los requeridos por el sitio, los cuales serían el de maquetación, WooCommerce y redsys y luego revisar como va todo. 

Una vez realizado puedes ir probando uno por uno mientras detectas cuál está generando este conflicto, ya que entiendo no puedes dejar el sitio inactivo, te recomiendo, hagas un clon de tu sitio web y sea en este donde realices las pruebas. →  https://www.webempresa.com/blog/clonar-wordpress-en-3-clics-sin-perder-tiempo.html

Ten en cuenta realizar las pruebas con las credenciales que proporciona Redsys → https://sis-d.redsys.es/websantander/entornosPruebas.html

De esta forma al detectar lo que está generando este error puedes aplicar los correctivos en tu sitio web en producción. 

Revisa esto y nos comentas como va todo

Un Saludo

@karen

Hola buenas tardes. 

Desde el soporte tecnico de Redsys me indican lo siguiente;

La política CSP no permite realizar acciones a un script inline, que está situado en home/?wc-api=WC_redsys_redirect

La solución más inmediata es añadir la regla 'unsafe-inline' a la cabecera CSP. No es lo mejor a largo plazo, pero permitirá que puedan operar mientras nosotros realizamos unos cambios en el módulo que le permita funcionar en servidores con políticas CSP más restrictivas. Pueden pedir que añadan esta regla a la cabecera CSP a su soporte de Webempresa.

Donde y como añado la regla 'unsafe-inline' a la cabecera CSP? Mediante que codigo y exactamente donde?

Muchas gracias

Saludos

David

Hola David, 

En este caso ya que son reglas adicionales que se deben añadir envía un ticket a soporte, para que revisen lo que comenta el soporte de redsys y te indiquen de forma precisa sea posible añadir esto.

Un Saludo 

@karen

Hola buenas tardes.

Llevamos horas para que el soporte técnico de web empresa inserte un código proporcionado por Redsys, para que pueda funcionar nuestra pasarela de paro con tarjeta.

En una situación urgente como esta es lamentable ver como llevamos horas esperando por una acción o respuesta por parte del soporte técnico de webempresa que queriendo se realiza en minutos. 

Saludos

David

Que tal David,

Podemos entender el nivel de urgencia que puede tener tu solicitud, sin embargo, recuerda que el tiempo aproximado de respuesta desde nuestros compañeros de soporte en tickets es a partir de 30 minutos entre interacciones considerando el flujo de tickets que puedan tener.

Lamentamos el tiempo que tengas en espera pero seguramente ya estan revisando tu solicitud.

De nuestra parte desde este apartado también estamos atentos en cualquier cosa que podamos ayudarte.

Saludos! 

@bruno-vichetti

Hola buenas tardes 

Que curioso que hay que quejarse para que las cosas se muevan. El primer ticket esta abierto a las 10 a.m son las 18 p.m. Pero da igual ya sabemos que nuestra web parece que incomoda a alguna gente.... este tipo de situaciones no son nuevas.

Pero mi pregunta tecnica es la siguiente;

Tengo el plugin Headers Security Advanced & HSTS WP instalado y dados los problemas existentes con las cabeceras CSP que repercuten en la pasarela de pago y su redireccion que codigo podria insertar manualmente en htaccess para poder eliminar este plugin?

Gracias

Saludos

David

Hola buena stardes de nuevo.

Quiero añadir tambien que si el soporte de webempresa no es capaz de resolver en 15 dias un problema con la redireccion de una pasarela de pago como Redsys es mas que sospechoso, por no decir otra cosa....verdad? Desde luego el lamentable la cantidad de zancadillas que hay.... 

Saludos

David

Hola David,

Tengo el plugin Headers Security Advanced & HSTS WP instalado y dados los problemas existentes con las cabeceras CSP que repercuten en la pasarela de pago y su redireccion que codigo podria insertar manualmente en htaccess para poder eliminar este plugin?

Las cabeceras de seguridad HTTP pueden ser incluidas sin necesidad de recurrir a plugins de terceros, sin embargo es un proceso que debe llevarse a cabo con sumo cuidado ya que deben ser agregadas en el archivos de .htaccess

Dejo el artículo donde se explica el paso a paso de como hacer este proceso

https://www.webempresa.com/blog/como-anadir-las-cabeceras-content-security-policy-x-content-type-x-frame-xss-en-tu-htaccess.html

Quiero añadir tambien que si el soporte de webempresa no es capaz de resolver en 15 dias un problema con la redireccion de una pasarela de pago como Redsys es mas que sospechoso, por no decir otra cosa....verdad? Desde luego el lamentable la cantidad de zancadillas que hay....

Como mencioné anteriormente, puedo entender la frustración que puede generar el no obtener una solución inmediata a tu consulta. no obstante, me gustaría resaltar que, tanto en esta como en muchas consultas previas que hemos logrado resolver, siempre hemos estado en la mejor disposición para orientar, apoyar y, sobre todo, encontrar una solución efectiva

Por otro lado, es importante tener en cuenta que los bloqueos específicos que presenta el sitio web han limitado nuestra capacidad para revisar con mayor profundidad lo que podría estar ocurriendo.

Quedamos atentos a la resolución de tickets y si queda alguna duda respecto a las cabeceras de seguridad

Saludos!

@bruno-vichetti

Hola Bruno

Gracias por tu ayuda. No me referia a vosotros al equipo del Foro sino al equipo de soporte técnico de webempresa. Vosotros siempre os mostrais muy atentos y ayudais en todas las consultas, no tenemos ninguna queja con vosotros al contrario. Lo que nos parece muy inefectivo es el soporte tecnico que ante consultas aparentemente sencillas siempre nos acaban remitiendo a vosotros lo que no se entiende. 

Gracias

Saludos

David