Avisos
Vaciar todo

[Cerrado] cabeceras de seguridad recomendadas  

 
M Cristina
 M Cristina
Usuario activo

Buenas tardes,

en el estado de salud del sitio aparece el siguiente mensaje, que me manda a modificar el htaccess, debo hacerlo? no soy tan experta, aunque accedo a él desde el cpanel.

Qué me recomendáis?

Muchas gracias,

Cristina

 

 

Tu web no envía todas las cabeceras de seguridad recomendadas.

  • Upgrade Insecure Requests
  • X-XSS protection
  • X-Content Type Options
  • Referrer-Policy
  • Expect-CT
  • X-Frame-Options
  • Permissions-Policy
  • HTTP Strict Transport Security

 

Contenido solo visible a usuarios registrados

Respondido : 05/02/2022 6:30 pm
Bruno
 Bruno
Soporte CMS Webempresa Moderator

Hola 

Estas en lo correcto, es necesario editar el archivo htaccess y para ello puedes hacerlo desde tu cpanel

Al editar debes agregar el siguiente código al final del archivo

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Guarda los cambios en el archivo y con eso debería de bastar

Saludos!

 

Respondido : 05/02/2022 7:00 pm

Cursos Gratuitos WordPress

M Cristina
 M Cristina
Usuario activo

Buenos días, @bruno-vichetti

acabo de incluir los códigos que me indicas en el .htaccess del blog (he renombrado otro como copia) al final del archivo, justo antes de la última línea, donde dice "end of file".

Entro en la trastienda del blog y me da el mismo mensaje. No sé si hay que esperar unas horas.

Comentaré qué pasa.

Buen domingo,

Cristina

Respondido : 06/02/2022 9:51 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Mª Cristina.

Si hay que espera a que actualice los datos, no es automatico

Estoy revisando y la unica que veo que fata es " Content-Security-Policy "

screenshot www.wpdoctor.es 2022.02.06 12 33 13

-> https://www.wpdoctor.es/analisis/?url=cosirirepuntejar.net

 

Añade lo siguiente al archivo htaccess:

<IfModule mod_headers.c> 
Header set Content-Security-Policy "default-src 'self'; img-src 'self' http: https: *.amazon.com;"
</IfModule>

 

Un saludo

Esta publicación ha sido modificada el hace 3 años por Pepe
Respondido : 06/02/2022 11:35 am

M Cristina
 M Cristina
Usuario activo

Buenos días, @pepesoler,

introduzco la orden que me dices:

<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; img-src 'self' http: https: *.amazon.com;"
</IfModule>

Al guardarlo, entro en la trastienda del wordpress y no me deja; me dice que me falta "javascript".
Borro la orden anterior, y sí puedo entrar, pero me da el mismo mensaje de error primero:

Tu web no envía todas las cabeceras de seguridad recomendadas.

  • Upgrade Insecure Requests
  • X-XSS protection
  • X-Content Type Options
  • Referrer-Policy
  • Expect-CT
  • X-Frame-Options
  • Permissions-Policy
  • HTTP Strict Transport Security

 



Què puedo hacer?
Gracias,
Cristina

 

Respondido : 07/02/2022 10:01 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola M Cristina.

Las cabeceras estan instaladas y funcionado, la unica la que te comente pero tampoco es tan importante y es una cabecera que puede dar problemas:

screenshot www.wpdoctor.es 2022.02.07 11 18 05

Puedes revisarlo en este test de WO Doctor:

-> https://www.wpdoctor.es/analisis/?url=cosirirepuntejar.net

 

Un saludo

 

Respondido : 07/02/2022 10:20 am

wpdoctor-revisa-la-salud-de-tu-wordpress

M Cristina
 M Cristina
Usuario activo

Hola de nuevo, @pepesoler

Veo que el test sale correcto en las cabeceras, aunque me da mensaje de error todavía en el wp interno.

Esperaré.

Pero al realizar el test, me da otros mensajes 😱 .

Algunos que debería corregir, según wpdoctor.

Buscaré cómo arreglarlos, si no puedo, pues abriré otro tema. 😯 Creía que terminada.

Gracias por todo,

Cristina

Respondido : 07/02/2022 1:48 pm
Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola M Cristina, 

Gracias a ti, un placer siempre poder ayudarte. Solo ten en cuenta que muchas de las opciones son recomendaciones como indica Pepe no muy importante 

Quedamos atentos sobre futuras consultas

Un Saludo 😊 

Respondido : 07/02/2022 1:58 pm
M Cristina me gusta

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación