Avisos
Vaciar todo

Como se colocan cabeceras cont security policy y otras relativa a la seguridad  

Página 1 / 2
 
Antonio
 Antonio
Reputable Member

Recientemente he realizado un análisis de mi sitio con el Doctor de Webempresa y me dice que no tengo:
Cabecera Content-Security-Policy No tiene Cabeceras Content-Security-Policy
 Cabecera X-Content-Type  No tiene Cabeceras X-Content-Type
 Cabecera X-Frame  No tiene Cabeceras X-Frame
 Cabecera XSS  No tiene Cabeceras X-XSS
Y si no las tengo es que no se que son y donde se ponen y como se ponen, porfa me podéis ayudar

URL del sitio: Contenido solo visible a usuarios registrados

Citar
Respondido : 09/10/2015 10:36 pm
Luis Mendez Alejo
 Luis Mendez Alejo
Miembro Moderator

Hola Antonio,

Tienes que editar el archivo .htaccess y añadir arriba lo siguiente:

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Guardas los cambios y relanzas wpdoctor.es para que verifique si los has corregido.

Saludos

ResponderCitar
Respondido : 10/10/2015 2:41 am

Antonio
 Antonio
Reputable Member

Gracias Luis

No encontre el archivo .htaaccess y lo inserté en .htaccess del public.html pues pensé que podias haber metido una "a" mas de la cuenta al escribir pero al ponerlo en cabecera, luego la pagina daba error, luego probé a meter el codigo antes del segundo parrafo pues el primero define el apaño que me hicieron en soporte entre los dominios .es y .com pero la pagina tambien daba error y ahí pare por miedo a fastidiarlo todo y para preguntarte si en realidad era en .htaccess donde debo meterlo o debo buscar el .htaaccess y si es asi, donde puedo encontrar este archivo.
Te mando una captura del .htaccess por si es aqui, me digas donde debería meterse el codigo

ResponderCitar
Respondido : 10/10/2015 3:54 pm
Luis Mendez Alejo
 Luis Mendez Alejo
Miembro Moderator

Hola Antonio,

1. Discúlpame, fue un fallo de escritura, era .htaccess.

2. Las redirecciones que tiene sen el .htaccess tuyo deben estar TODAS arriba, al principio del archivo.

3. Debajo de las redirecciones puede pegar los códigos que te indique y guardar cambios.

4. Prueba luego de nuevo desde wpdoctor.es

Saludos

ResponderCitar
Respondido : 11/10/2015 1:38 am

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Antonio
 Antonio
Reputable Member

metí el código y la pagina se calló y lo quité y volvio a funcionar asi que mira igual mejor lo dejamos para no marear mas la perdiz pues en definitiva en realidad no se lo que este codigo pueda aportar ¿no?

ResponderCitar
Respondido : 11/10/2015 3:26 pm
Rafael
 Rafael
Miembro Moderator

Buenas tardes Antonio,

Nunca hay que darse por vencido a la primera de cambio, te recomiendo colocar al principio del documento .htaccess que bien nos muestras por captura el siguiente código:

### Cabeceras para que wpDoctor.es valide en 'Seguridad'
## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

Tienes que colocar al principio del documento .htaccess

Revisa si con ello se validan correctamente y visualizas la página.

He pedido a un compañero del Soporte Técnico que deje una marca en el archivo .htaccess para que sepas donde pegarlo y no tengas dudas.

Saludos

ResponderCitar
Respondido : 11/10/2015 3:57 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Antonio
 Antonio
Reputable Member

asi lo he hecho y de nuevo la pagina se cae, ver captura

y cuando lo quito vuelve a la normalidad, como os digo voy a dejar pendiente es hilo hasta el mes que viene pues llevo mucho gastado en el FORO y ya me han advertido... y voy a meterme en montar una tienda para lo que necesitare ayuda... esto lo dejo para noviembre pues esta claro que algo falla, tened encuenta que este TEMA WORLD WIDE me ha sido imposible trasladarlo a otro dominio en 4 dias de trabajo intensivo, intetandolo mil vecescon el XCloner con AJAX y sin AJAX y por ultimo intentandolo con el traslator que viene en el panel de cliente... y todo fue imposible, la solución me la dieron conservando la web en el mismo sitio y aparcando el domnio aqui y poniendolo como dominio principal... o sea que igual el tema tiene algo que le haga comportatrse de otra forma a lo normal, como es de pago igual yo que se....

ResponderCitar
Respondido : 11/10/2015 8:48 pm
Luis Mendez Alejo
 Luis Mendez Alejo
Miembro Moderator

Hola Antonio,

Me estoy liando, la web afectada es Contenido solo visible a usuarios registrados

Agradezco tu aclaración.

ResponderCitar
Respondido : 11/10/2015 9:17 pm

Cursos Gratuitos WordPress

Antonio
 Antonio
Reputable Member

A ver, la cuenta estaba creada para el .es y ahí desarrollé el wp y cuando quise trasladarlo al .com no fue posible ni con el XCloner ni con el traslator de la pagina de cliente así que desde soporte me hicieron:
Los pasos que hemos realizado son los siguientes:

1º Eliminar la cuenta de su Reseller de elportaluco.com para poder añadir el dominio elportaluco.com a la cuenta cPanel donde tiene elportaluco.es

2º Hemos añadido el dominio elportaluco.com como dominio parqueado a su cPanel.

3º Hemos cambiado las URLs de Wordpress para que se gestionen con el dominio elportaluco.com colocando un código en el archivo wp-config.php

4º Hemos cambiado todas las URLs en la base de datos de Wordpress para cambiar del .es a .com

5º Hemos colocado una redirección 301 con comodín desde su cPanel > Dominios > Redirige desde el .es al .com, de esta forma al entrar al .es irá al .com, así como todos sus enlaces. De esta forma Google no le penalizará por contenido duplicado.

y asi se consiguió lo que quería, o sea que elportaluco.com mostrara este woddpress

ResponderCitar
Respondido : 11/10/2015 10:34 pm
Luis Mendez Alejo
 Luis Mendez Alejo
Miembro Moderator

Hola Antonio,

Me comenta un Técnico de Soporte que tras insertar las cabeceras en tu archivo .htaccess:

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

# Cabecera Content-Security-Policy
Header set X-Content-Security-Policy "allow 'self';"

Ahora wpDoctor.es no devuelve avisos de que faltan cabeceras.

Saludos

ResponderCitar
Respondido : 11/10/2015 11:53 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Antonio
 Antonio
Reputable Member

pero se me ha desconfigurado todo por dentro pues cuando intento crear una pagina me sale esto

y estaba mosqueado pero si han andado por ahí dentro.... bueno me voy a la cama pues no quiero mosquearme a estas horas

ResponderCitar
Respondido : 12/10/2015 3:44 am
Luis Mendez Alejo
 Luis Mendez Alejo
Miembro Moderator

Hola Antonio,

Hace 4 días publique un artículo que explica como resolver eso:

- https://www.webempresa.com/blog/item/1986-dashboard-wordpress-estilos-css-solucionalo.html

No obstante me comenta un Técnico de Soporte que ya añadió por ti el código en el wp-config.php.

Saludos

ResponderCitar
Respondido : 12/10/2015 4:01 am

Antonio
 Antonio
Reputable Member

En mala hora se me ocurrió a mi meterme con este tema del codigo de cabeceras que me indicaba wpDoctor, y eso que yo no he hecho nada, pero desde que se comenzó a enredar ahí.... en la vida real muchas veces cuando vas al doctor y empieza a urgarte en u grano, el grano se revela, se activa y puede generarte algo malo, por muchas veces es mejor, si la cosa no es grave, no ir al doctor... y menos para un simple problema de estética...

Esta mañana el problema de desconfiguración interna sigue como puedes ver...

Y en mi ignorancia total de código, digo yo: ¿si se quitara el código que se introdujo para cabeceras cont security policy y otras relativa a la seguridad? ¿no sería lo mejor? ¿dejarlo todo como estaba?

ResponderCitar
Respondido : 12/10/2015 1:18 pm
Antonio
 Antonio
Reputable Member

DEFINITIVAMENTE RENUNCIO A TOCAR EL CÓDIGO, AUN NO ESTOY CAPACITADO Y PONGO EL TEMA EN MANOS DEL SOPORTE TÉCNICO DE WEBEMPRESA TRAS LA SIGUIENTE COMUNICACION:

En su caso, vemos que el problema de que no cargue correctamente su página es debido a cambios realizado en la carpeta wp-content ya que en el archivo .htaccess no está las líneas de seguridad de la que nos comenta.

No obstante, reportaremos su caso a un responsable de foro para que revise si el código que le hemos facilitado vía foro ha podido ser la causa de su problema.

Tiene disponibles las copias de seguridad de cpRemote que puede recuperar usted mismo de estos días:

-Copia diaria: 12-Oct-2015
-Copia semanal: 11-Oct-2015

Le recomendamos restaurar todos los ficheros de su página web y base de datos a la copia de ayer (día 11 de Octubre)

https://www.webempresa.com/blog/item/1720-restaura-la-carpeta-public-html-completa-con-cpremote-backup-management-en-cpanel.html

Adicionalmente la base de datos debe restaurarla desde la opción Restore Database pero previamente, desde phpMyAdmin debe eliminar todas las tablas de esa base de datos (no eliminar la base de datos) y luego proceder a restaurarla.

La base de datos a restaurar es elportal_pe1

PUES LO DICHO. HASTA AQUI LLEGO, REPITO:
En mala hora se me ocurrió a mi meterme con este tema del codigo de cabeceras que me indicaba wpDoctor con lo bien que iba todo... por eso al medico no hay que ir hasta que la enfermedad exista pues a veces te sacan cosas que no tienes y te obsesionas con ello hasta que se origina el desastre....

ResponderCitar
Respondido : 12/10/2015 2:48 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Antonio
 Antonio
Reputable Member

Mira Luis (en respuesta al mensaje que me escribiste hace 15 horas 43 minutos antes #223901) lo que me han dicho hoy desde SOPORTE:
>>>>>En su caso, vemos que el problema de que no cargue correctamente su página es debido a cambios realizado en la carpeta wp-content ya que en el archivo .htaccess no está las líneas de seguridad de la que nos comenta.

ResponderCitar
Respondido : 12/10/2015 3:36 pm
Página 1 / 2