Avisos
Vaciar todo
Buenos días,
Hay varias cabeceras de seguridad que me gustaría añadir a mi web... como puedo hacerlo?
Missing security header for ClickJacking Protection. Alternatively, you can use Content-Security-Policy: frame-ancestors 'none'.
Missing security header to prevent Content Type sniffing.
Missing Strict-Transport-Security security header.
Missing Content-Security-Policy directive. We recommend to add the following CSP directives (you can use default-src if all values are the same): script-src, object-src, base-uri, frame-src
Muchas gracias
Contenido solo visible a usuarios registrados
Respondido : 19/04/2021 12:27 pm
Hola Maria.
Edita el archivo htaccess que encontraras en al raíz de la instalación y añade lo siguiente:
## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"
# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"
# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"
## Charset UTF-8
Header set Content-Type "text/html; charset=UTF-8"
Puedes ver más información entrada del blog donde tratamos el tema.
Un saludo
Respondido : 19/04/2021 12:57 pm
ufff Pepe, he añadido el código y se me ha desconfigurado el site administrador de la web.... como lo soluciono? He copiado el código tal cuál me has dicho. Gracias
Respondido : 19/04/2021 2:13 pm
Me falta la cabecera Content-Security-Policy también...
Respondido : 19/04/2021 2:23 pm
Hola Maria.
se me ha desconfigurado el site administrador de la web.... como lo soluciono?
Del código prueba a eliminar la siguiente linea:
## Charset UTF-8
Header set Content-Type "text/html; charset=UTF-8"
Un saludo
Respondido : 19/04/2021 2:43 pm
Ha quedado así y sigo teniendo problemas:
## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"
# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"
# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"
<FilesMatch ".(php4|php5|php3|php2|php|phtml)$">
SetHandler application/x-lsphp73
</FilesMatch>
Respondido : 19/04/2021 2:53 pm
Hola Maria.
Añade el código al final del archivo.
Ha quedado así y sigo teniendo problemas:
Que problemas son? lo del administrador ?
Si es lo del administrador añade el código al final del archivo
Un saludo
Respondido : 19/04/2021 2:59 pm
El admin de la web sigue dando problemas...
El código que tengo en el htacess es este:
<FilesMatch ".(php4|php5|php3|php2|php|phtml)$">
SetHandler application/x-lsphp73
</FilesMatch>
## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"
# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"
# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"
Adicionalmente, me siguen faltando las cabeceras de Content-Security-Policy
Respondido : 20/04/2021 4:51 pm
Hola
Tendrías que ir quitando los bloques de código que añadiste hasta detectar cual te causa el problema.
Ten en cuenta que para añadir algunas cabeceras por ejemplo la de CSP necesitas conocer a profundidad los recursos que cargará tu sito, esto en muchos casos no es necesario ya que te complica la administración. Ya que por ejemplo algún plugin o tu propio theme no puede estar acorde a a política definida.
Saludos.
Respondido : 20/04/2021 5:05 pm
He eliminado todo el código que me habíais dado y mi admin sigue desconfigurado!!!!!!!!!! Como lo puedo arreglar?
Respondido : 21/04/2021 7:35 am
Hola Maria.
Revisa accediendo con el navegador en privado, es posible que el problema venga de la cache del navegador:
-> https://support.google.com/chrome/answer/95464?co=GENIE.Platform%3DDesktop&hl=es
Un saludo
Respondido : 21/04/2021 9:33 am
He accedido en modo incógnito y sigo igual... me puedes enviar exactamente que debería tener en el fichero .htaccess porfavor? Es muy importante que vuelva a funcionar!!!!
Lo copiaré tal cual.
Gracias!
Respondido : 21/04/2021 5:34 pm
Hola Maria,
En este caso prueba añadir la siguiente linea en el archivo wp-config.php de tu sitio web, este archivo puedes localizarlo en tu cPanel -> Administrador de archivos -> public_html -> carpeta donde están los archivos de tu web
define( 'CONCATENATE_SCRIPTS', false );
Te comparto la siguiente guía donde explican de forma mas detallada como añadirlo -> https://www.webempresa.com/blog/dashboard-wordpress-estilos-css-solucionalo.html
Verifica esto y nos comentas como ha ido todo
Un Saludo
Respondido : 21/04/2021 5:42 pm
