Avisos
Vaciar todo
Estimados Amigos/as. cordial saludo.
Necesito su valiosa ayuda para implementar las Cabeceras Content-Security-Policy.
Mi pagina es de Afiliados y Partner quienes tendrán facultad para subir y administrar su propia información y material Audio visual
Segui los pasos del Link siguiente y solucione las cabeceras x content, Frame y xss.:
WPDoctor me informa que debo implementar Cabeceras Content-Security-Policy
Adicionalmente me pide Establecer una fecha de caducidad o una edad máxima en las cabeceras HTTP de los recursos estáticos.
Por favor me ayudan con instrucciones para solucionarlo sus compañeros del Área de cliente en soporte de Ticke me enviaron con ustedes.
Quedo atento.
Mil gracias
Respondido : 07/04/2020 2:46 pm
Hola Luis,
Puedes agregar el Content-Security-Policy desde tu archivo .htaccess.
Ingresa a tu cpanel y pincha sobre la opción de Administrar Archivos, luego ve a tu carpeta public_html
Una vez dentro del directorio ubica el archivo .htaccess pincha sobre el y seguidamente clic Editar
Antes de hacer cualquier cambio has una copia de seguridad de tu archivo en el ordenador.
En el documento abierto no borres nada y copia las siguiente lineas de código
## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"
# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"
# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"
## Charset UTF-8
Header set Content-Type "text/html; charset=UTF-8"
Guarda los cambios.
Verifica si con esto todo funciona
Saludos
Respondido : 07/04/2020 3:03 pm
Karen buen dia. gracias por tu valiosa ayuda.
Ese código soluciono las cabeceras x content, Frame y xss. pero no soluciono las Cabeceras Content-Security-Policy.
Adicionalmente necesito Establecer una fecha de caducidad o una edad máxima en las cabeceras HTTP de los recursos estáticos.
Sabes cuales codigos puedo usar para ello ?
Gracias.
Respondido : 07/04/2020 3:43 pm
Hola Luis
Puedes leer en el siguiente articulo se explica como activar las cabeceras para evitar problemas de seguridad https://www.wpdoctor.es/cabecera-x-content-type-options/
Para las opciones de Establecer una fecha de caducidad o una edad máxima en las cabeceras HTTP de los recursos estáticos.
ExpiresActive On
ExpiresByType image/jpg "access 1 year"
ExpiresByType image/jpeg "access 1 year"
ExpiresByType image/gif "access 1 year"
ExpiresByType image/png "access 1 year"
ExpiresByType image/x-icon "access 1 year"
ExpiresByType text/css "access 1 month"
ExpiresByType text/x-javascript "access 1 month"
ExpiresDefault "access plus 1 week"
Recuerda mantener una copia de seguridad de tu archivo 😊
Saludos
Respondido : 07/04/2020 3:56 pm
Karen.
Estos los que adjuntas los inserto al inicio de .htaccess verdad ?
Respondido : 07/04/2020 4:19 pm
Hola Luis,
Prueba agregando al final de la linea sin borrar nada.
Saludos
Respondido : 07/04/2020 4:20 pm
Karen.
Gracias por tu ayuda.
Inserte los códigos que me diste al .htaccess y se soluciono el siguiente error
Establecer una fecha de caducidad o una edad máxima en las cabeceras HTTP de los recursos estáticos.
Ahora solo me falta solucionar el siguiente error:
Cabecera Content-Security-Policy: No tiene Cabeceras Content-Security-Policy (Implementar estas cabeceras puede dañar tu web si no se hace correctamente, si tienes dudas consulta con un experto)
Para solucionar el problema anterior lo intente agregando al código que me compartiste las 2 lineas finales pero no funciono
<IfModule mod_expires.c>
ExpiresActive On
ExpiresDefault "access plus 1 week"
ExpiresByType text/css "access plus 1 week"
ExpiresByType text/plain "access plus 1 week"
ExpiresByType image/gif "access plus 1 month"
ExpiresByType image/jpg "access 1 month"
ExpiresByType image/png "access plus 1 month"
ExpiresByType image/jpeg "access plus 1 month"
ExpiresByType image/x-icon "access plus 3 months"
ExpiresByType application/x-javascript "access plus 1 month"
ExpiresByType application/javascript "access plus 1 week"
ExpiresByType text/javascript "access plus 1 week"
ExpiresByType application/x-icon "access plus 3 months"
</IfModule>
Cache-Control: max-age=2592000
Cache-control: must-revalidate
Esto condujo a el siguiente error:
Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator at webmaster@reserva2.reserva2-cp514.wordpresstemporal.com to inform them of the time this error occurred, and the actions you performed just before this error.
More information about this error may be available in the server error log.
Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator at webmaster@reserva2.reserva2-cp514.wordpresstemporal.com to inform them of the time this error occurred, and the actions you performed just before this error.
More information about this error may be available in the server error log.
Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.
Regrese al archivo .htaccess y le borre esas 2 lineas y recupere mi ingreso.
Puedes ayudarme para implementar :
Cabecera Content-Security-Policy: No tiene Cabeceras Content-Security-Policy ?
Respondido : 07/04/2020 8:16 pm
Hola
Usar CSP Content-Security-Policy es un poco más complejo, de hecho requiere un conocimiento de los recursos que va a cargar tu sitio y de acuerdo a eso establecer estas cabeceras, además requerírás una etapa de pruebas antes de implementarlo.
Puedes revisar el siguiente artículo:
https://decodecms.com/usar-content-security-policy-csp-en-wordpress/
Ten en cuenta que con esta implementación le indicas al navegador sólo los recursos que debe cargar, si en algún momento instalas un plugin adicional o cambias de tema posiblemente tu implementación no funcione.
Te sugiero que lo tomes lo que te indica WPDoctor como sugerencia pero no algo que tengas que seguir estrictamente.
Saludos.
Respondido : 07/04/2020 8:31 pm
Jhon cordial saludo.
Gracias por tu excelente aporte estudiare el enlace y aplicare tu sugerencia.
Bendiciones !
Respondido : 07/04/2020 8:59 pm
@vacacionesynegociosencolombiagmail-com
Hola Luis,
Gracias a ti por tu paciencia y confianza en el foro y en Webempresa.
Quedamos pendientes a cualquier otra consulta o problema que tengas en tus sitios web.
Saludos
Respondido : 07/04/2020 9:06 pm
