Avisos
Vaciar todo

Cabeceras de seguridad  

Página 1 / 2
 
Ariadna
 Ariadna
Usuario eminente

Hola,
He testeado la web www.editorialarrela.cat en wpdoctor y me recomienda instalar tres cabeceras de seguridad. He leído también vuestras recomendaciones en: https://www.wpdoctor.es/cabecera-x-content-type-options/. Allí indicáis la siguiente opción para introducir las tres cabeceras de seguridad:

"Si queremos añadir otras cabeceras de seguridad a partir de cambios en el archivo functions.php, podemos hacerlo usando una única función, en lugar de añadir cada cabecera en una función distinta, aunque el funcionamiento sea similar. En el siguiente código de ejemplo, que habría que colocar al final del archivo functions.php, se añaden las cabeceras X-Content-Type-Options, X-Frame-Options y X-XSS-Protection:

add_action( 'send_headers', 'add_header_seguridad' );
function add_header_seguridad() {
header( 'X-Content-Type-Options: nosniff' );
header( 'X-Frame-Options: SAMEORIGIN' );
header( 'X-XSS-Protection: 1;mode=block' );
}

Ya he localizado el archivo functions.php, pero no me queda claro dónde tengo que poner este código. ¿debajo de todo y antes del corchete, o después?
Gracias

URL del sitio: Contenido solo visible a usuarios registrados

Citar
Respondido : 25/04/2017 4:34 pm
Jhon
 Jhon
Soporte CMS Webempresa Moderator

Hola

Puedes ponerla debajo de todo, no dentro del corchete sino fuera del último corchete que tienes.

Saludos.

ResponderCitar
Respondido : 25/04/2017 11:10 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Ariadna
 Ariadna
Usuario eminente

De acuerdo, gracias. Instalaré un tema hijo de Make, ¿no tengo entonces que hacer nada más? ¿Servirá igual las indicaciones en este archivo del tema?
¿Es mejor hacerlo en este archivo que en .htaccess?

Gracias

ResponderCitar
Respondido : 25/04/2017 11:16 pm
Johnny Heredia Montiel
 Johnny Heredia Montiel
Miembro Moderator

Hola,

No es recomendable tocar los ficheros del tema ya que en alguna actualización se puede sobre-escribir. Puedes insertar los códigos en el fichero .htaccess de tu WordPress que es exactamente lo mismo. Puedes revisar los códigos a insertar en el siguiente enlace: https://www.webempresa.com/foro/administracion-wordpress/como-se-colocan-cabeceras-cont-security-policy-y-otras-relativa-a-la-seguridad

ResponderCitar
Respondido : 26/04/2017 3:40 am

wpdoctor-revisa-la-salud-de-tu-wordpress

Ariadna
 Ariadna
Usuario eminente

De acuerdo! Ya lo probé tal y como me indicas. INtroduje este código al principio de todo del documento .htacces del Wordpress:
## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Todo bien, aunque cuando voy a Wp Doctor me dice que no tengo aún la Cabecera Content-Security-Policy. ¿Falta añadir algún código?
Gracias

ResponderCitar
Respondido : 26/04/2017 1:40 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Adriadna.

Elimina el código que tienes añadido en tu archivo htaccess y añade el siguiente al principio del archivo:

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
 
# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"
 
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"
 
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"
 
# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"
 
# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"
 
## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Comprueba si con esto se soluciona.....

Un Saludo

ResponderCitar
Respondido : 26/04/2017 1:57 pm

Cursos Gratuitos WordPress

Ariadna
 Ariadna
Usuario eminente

Gracias, pero no entiendo: el código que me indicas es el mismo que he puesto. ¿Hay algún cambio?
Muchas gracias

ResponderCitar
Respondido : 26/04/2017 2:02 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Adirana.

ok, discúlpame no lo comprobé y es un fallo mio :blush:

Revisa si tienes algún plugin de seguridad instalado ( iThemes Security, etc.. ) y que pueda estar bloqueando el acceso a WP-Doctor y vacía también la cahe de tu web.

Si tienes plugin de seguridad lo desactivas y comprueba si e soluciona.

un saludo

ResponderCitar
Respondido : 26/04/2017 2:26 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Ariadna
 Ariadna
Usuario eminente

Hola Pepe,
Muchas gracias por tu respuesta.

¿Me puedes indicar cómo se vacía la caché de la web? ¿Hay algún enlace que lo explique? Gracias
Y sí, tengo instalado el pluggin de seguridad All In One WP Security. El hecho de que bloquee la entrada a Wp-doctor, no quiere decir que la cabecera (con el código que indicáis y que he instalado) no funcione, no?

Muchas gracias

ResponderCitar
Respondido : 26/04/2017 3:12 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola adirana.

. El hecho de que bloquee la entrada a Wp-doctor, no quiere decir que la cabecera (con el código que indicáis y que he instalado) no funcione, no?

No, pero cuando pases el wp-doctor para comprobar los datos, esto no aparecerán ya que esta bloqueado, por eso te comentaba que lo deshabilitaras momentáneamente y lo probaras si fuera eso.

De normal no hace falta que tengas ninguna extensión de seguridad ya que todos los servicios que te ofrecen los tenemos aplicados en todos nuestros servidores y somos nosotros los que estamos continuamente monitorizando las cuentas de todos los clientes para evitar cualquier clase de ataque.

¿Me puedes indicar cómo se vacía la caché de la web?
¿ Utilizas alguna extensión de cache ( WP Super Cache, W3 Total Cache, etc..) ?

si utilizas alguna extensión de cache el propio plugin tiene la opcion de vaciarla.

Un saludo

ResponderCitar
Respondido : 26/04/2017 3:27 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Ariadna
 Ariadna
Usuario eminente

Sí, utilizo WPSuper Caché, pero no sé dónde se encuentra la opción que me indicas... ¿Hay alguna manera de saberlo?
Muchas gracias
Saludos

ResponderCitar
Respondido : 26/04/2017 3:45 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Adriadna.

¿Hay alguna manera de saberlo?
Si, si lo tienes activado en la parte superior de tu wordpres veras una opción que pone vaciar cache, pulsas sobre ese botón y eliminara la cahe que tengas cargada.

También puedes eliminarla desde el mismo administrador del plugin:

Un saludo

ResponderCitar
Respondido : 26/04/2017 4:01 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Ariadna
 Ariadna
Usuario eminente

Ya he hecho lo que me indicabas en cuanto a Caché y a desactivar el pluggin de seguridad para ver si era eso. Pero wp doctor me sigue diciendo lo mismo, que no tengo Cabecera Content-Security-Policy...

¿Tengo que hacer alguna cosa al respecto?

Muchas gracias

ResponderCitar
Respondido : 26/04/2017 4:17 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Adirana.

veo que tienes la web en mantenimiento.

Por favor habré la web monentaneamente para que podamos comprobarla en wp-doctor y veamos todos los avisos.

ResponderCitar
Respondido : 26/04/2017 6:13 pm

Cursos Gratuitos WordPress

Ariadna
 Ariadna
Usuario eminente

De acuerdo, pero solo tengo un post y todavía no hemos empezado a configurar el tema make. Así que si me puedes decir más o menos en qué momento la tengo que abrir, mejor. Lo digo porque no está muy presentable, vaya. 🙂
Muchas gracias
Mayca

ResponderCitar
Respondido : 27/04/2017 11:04 am
Página 1 / 2