Avisos
Vaciar todo

Cabeceras seguridad  

 
Maria
 Maria
Usuario activo

Buenos días,

Hay varias cabeceras de seguridad que me gustaría añadir a mi web... como puedo hacerlo?

Missing security header for ClickJacking Protection. Alternatively, you can use Content-Security-Policy: frame-ancestors 'none'.

Missing security header to prevent Content Type sniffing.

Missing Strict-Transport-Security security header.

Missing Content-Security-Policy directive. We recommend to add the following CSP directives (you can use default-src if all values are the same): script-src, object-src, base-uri, frame-src

Muchas gracias

Contenido solo visible a usuarios registrados

Citar
Respondido : 19/04/2021 12:27 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Maria.

Edita el archivo htaccess que encontraras en al raíz de la instalación y añade lo siguiente:

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Puedes ver más información entrada del blog donde tratamos el tema.

-> https://www.webempresa.com/foro/preguntas-sobre-wordpress/introduccion-de-cabeceras-de-seguridad-da-problemas

 

Un saludo

ResponderCitar
Respondido : 19/04/2021 12:57 pm

Maria
 Maria
Usuario activo

ufff Pepe, he añadido el código y se me ha desconfigurado el site administrador de la web.... como lo soluciono? He copiado el código tal cuál me has dicho. Gracias

 

image
ResponderCitar
Respondido : 19/04/2021 2:13 pm
Maria
 Maria
Usuario activo

Me falta la cabecera Content-Security-Policy también...

ResponderCitar
Respondido : 19/04/2021 2:23 pm

Cursos Gratuitos WordPress

Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Maria.

se me ha desconfigurado el site administrador de la web.... como lo soluciono? 

Del código prueba a eliminar la siguiente linea:

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

 

Un saludo

ResponderCitar
Respondido : 19/04/2021 2:43 pm
Maria
 Maria
Usuario activo

Ha quedado así y sigo teniendo problemas:

 

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

<FilesMatch ".(php4|php5|php3|php2|php|phtml)$">
SetHandler application/x-lsphp73
</FilesMatch>

ResponderCitar
Respondido : 19/04/2021 2:53 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Maria.

Añade el código al final del archivo.

Ha quedado así y sigo teniendo problemas:

Que problemas son? lo del administrador ?

Si es lo del administrador añade el código al final del archivo 

 

Un saludo

ResponderCitar
Respondido : 19/04/2021 2:59 pm
Maria
 Maria
Usuario activo

El admin de la web sigue dando problemas... 

El código que tengo en el htacess es este:

 

<FilesMatch ".(php4|php5|php3|php2|php|phtml)$">
SetHandler application/x-lsphp73
</FilesMatch>

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

 

 

Adicionalmente, me siguen faltando las cabeceras de Content-Security-Policy

 

image
ResponderCitar
Respondido : 20/04/2021 4:51 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Jhon
 Jhon
Soporte CMS Webempresa Moderator

Hola

Tendrías que ir quitando los bloques de código que añadiste hasta detectar cual te causa el problema.

Ten en cuenta que para añadir algunas cabeceras por ejemplo la de CSP necesitas conocer a profundidad los recursos que cargará tu sito, esto en muchos casos no es necesario ya que te complica la administración. Ya que por ejemplo algún plugin o tu propio theme no puede estar acorde a a política definida.

Saludos.

ResponderCitar
Respondido : 20/04/2021 5:05 pm
Maria
 Maria
Usuario activo

He eliminado todo el código que me habíais dado y mi admin sigue desconfigurado!!!!!!!!!! Como lo puedo arreglar?

ResponderCitar
Respondido : 21/04/2021 7:35 am

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Maria.

Revisa accediendo con el navegador en privado, es posible que el problema venga de la cache del navegador:

-> https://support.google.com/chrome/answer/95464?co=GENIE.Platform%3DDesktop&hl=es

 

Un saludo

ResponderCitar
Respondido : 21/04/2021 9:33 am
Maria
 Maria
Usuario activo

He accedido en modo incógnito y sigo igual... me puedes enviar exactamente que debería tener en el fichero .htaccess porfavor? Es muy importante que vuelva a funcionar!!!!

Lo copiaré tal cual.

 

Gracias!

ResponderCitar
Respondido : 21/04/2021 5:34 pm

Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Maria,

En este caso prueba añadir la siguiente linea en el archivo wp-config.php de tu sitio web, este archivo puedes localizarlo en tu cPanel -> Administrador de archivos -> public_html -> carpeta donde están los archivos de tu web

define( 'CONCATENATE_SCRIPTS', false );

Te comparto la siguiente guía donde explican de forma mas detallada como añadirlo -> https://www.webempresa.com/blog/dashboard-wordpress-estilos-css-solucionalo.html

Verifica esto y nos comentas como ha ido todo

Un Saludo

 

ResponderCitar
Respondido : 21/04/2021 5:42 pm