Avisos
Vaciar todo

Como se colocan cabeceras cont security policy y otras relativa a la seguridad  

 
luis fernando
 luis fernando
Usuario activo

Estimados Amigos/as. cordial saludo.

Necesito su valiosa ayuda para implementar las Cabeceras Content-Security-Policy.

Mi pagina es de Afiliados y Partner quienes tendrán facultad para subir y administrar su propia información y material Audio visual  

 

Segui los pasos del Link siguiente y solucione las cabeceras x content, Frame y xss.:

https://www.webempresa.com/foro/administracion-wordpress/como-se-colocan-cabeceras-cont-security-policy-y-otras-relativa-a-la-seguridad

 

WPDoctor  me informa que debo implementar Cabeceras Content-Security-Policy

Adicionalmente me pide  Establecer una fecha de caducidad o una edad máxima en las cabeceras HTTP de los recursos estáticos.

 

 

Por favor me ayudan con instrucciones para solucionarlo sus compañeros del Área de cliente en soporte de Ticke me enviaron con ustedes.

 

Quedo atento.

 

 

Mil gracias 

Citar
Respondido : 07/04/2020 2:46 pm
Karen Rios
 Karen Rios
Usuario Moderator

Hola Luis,

Puedes agregar el Content-Security-Policy desde tu archivo .htaccess.

Ingresa a tu cpanel y pincha sobre la opción de Administrar Archivos, luego ve a tu carpeta public_html

 

imagen

Una vez dentro del directorio ubica el archivo .htaccess pincha sobre el y seguidamente clic Editar

 

imagen

Antes de hacer cualquier cambio has una copia de seguridad de tu archivo en el ordenador.

En el documento abierto no borres nada y copia las siguiente lineas de código

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Guarda los cambios.

Verifica si con esto todo funciona

Saludos

 

ResponderCitar
Respondido : 07/04/2020 3:03 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

luis fernando
 luis fernando
Usuario activo

@karenrios

Karen buen  dia.  gracias por tu valiosa ayuda.

Ese código soluciono las cabeceras x content, Frame y xss.  pero no soluciono las Cabeceras Content-Security-Policy.

Adicionalmente necesito  Establecer una fecha de caducidad o una edad máxima en las cabeceras HTTP de los recursos estáticos.

 

Sabes cuales codigos puedo usar para ello ?

 

Gracias.

ResponderCitar
Respondido : 07/04/2020 3:43 pm
Karen Rios
 Karen Rios
Usuario Moderator

Hola Luis

Puedes leer en el siguiente articulo se explica como activar las cabeceras para evitar problemas de seguridad   https://www.wpdoctor.es/cabecera-x-content-type-options/

Para las opciones de Establecer una fecha de caducidad o una edad máxima en las cabeceras HTTP de los recursos estáticos.

ExpiresActive On
ExpiresByType image/jpg "access 1 year"
ExpiresByType image/jpeg "access 1 year"
ExpiresByType image/gif "access 1 year"
ExpiresByType image/png "access 1 year"
ExpiresByType image/x-icon "access 1 year"
ExpiresByType text/css "access 1 month"
ExpiresByType text/x-javascript "access 1 month"
ExpiresDefault "access plus 1 week"

Recuerda mantener una copia de seguridad de tu archivo 😊 

Saludos

ResponderCitar
Respondido : 07/04/2020 3:56 pm

Cursos Gratuitos WordPress

luis fernando
 luis fernando
Usuario activo

Karen.

Estos  los que adjuntas los inserto al inicio de .htaccess verdad ?

ResponderCitar
Respondido : 07/04/2020 4:19 pm
Karen Rios
 Karen Rios
Usuario Moderator

Hola Luis,

Prueba agregando al final de la linea sin borrar nada.

Saludos

ResponderCitar
Respondido : 07/04/2020 4:20 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

luis fernando
 luis fernando
Usuario activo

Karen.

Gracias por tu ayuda.

Inserte los códigos que me diste al .htaccess     y se soluciono el siguiente error

Establecer una fecha de caducidad o una edad máxima en las cabeceras HTTP de los recursos estáticos.

 

Ahora solo me falta solucionar el siguiente error:

Cabecera Content-Security-Policy:  No tiene Cabeceras Content-Security-Policy (Implementar estas cabeceras puede dañar tu web si no se hace correctamente, si tienes dudas consulta con un experto)
 
 
Para solucionar el problema anterior lo intente   agregando al código que me compartiste   las 2 lineas finales pero no funciono 
 

<IfModule mod_expires.c>
ExpiresActive On
ExpiresDefault "access plus 1 week"
ExpiresByType text/css "access plus 1 week"
ExpiresByType text/plain "access plus 1 week"
ExpiresByType image/gif "access plus 1 month"
ExpiresByType image/jpg "access 1 month"
ExpiresByType image/png "access plus 1 month"
ExpiresByType image/jpeg "access plus 1 month"
ExpiresByType image/x-icon "access plus 3 months"
ExpiresByType application/x-javascript "access plus 1 month"
ExpiresByType application/javascript "access plus 1 week"
ExpiresByType text/javascript "access plus 1 week"
ExpiresByType application/x-icon "access plus 3 months"
</IfModule>

Cache-Control: max-age=2592000

Cache-control: must-revalidate

 

Esto condujo a el siguiente error: 

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator at webmaster@reserva2.reserva2-cp514.wordpresstemporal.com to inform them of the time this error occurred, and the actions you performed just before this error.
More information about this error may be available in the server error log.
Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.
 
 
Regrese al archivo .htaccess y le borre esas 2 lineas y recupere mi ingreso.
 
 
Puedes ayudarme para implementar :

Cabecera Content-Security-Policy:  No tiene Cabeceras Content-Security-Policy  ?
 
ResponderCitar
Respondido : 07/04/2020 8:16 pm
Jhon
 Jhon
Soporte CMS Webempresa Moderator

Hola

Usar CSP Content-Security-Policy es un poco más complejo, de hecho requiere un conocimiento de los recursos que va a cargar tu sitio y de acuerdo a eso establecer estas cabeceras, además requerírás una etapa de pruebas antes de implementarlo.

Puedes revisar el siguiente artículo:

https://decodecms.com/usar-content-security-policy-csp-en-wordpress/

Ten en cuenta que con esta implementación le indicas al navegador sólo los recursos que debe cargar, si en algún momento instalas un plugin adicional o cambias de tema posiblemente tu implementación no funcione.

Te sugiero que lo tomes lo que te indica WPDoctor como sugerencia pero no algo que tengas que seguir estrictamente.

Saludos.

ResponderCitar
Respondido : 07/04/2020 8:31 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

luis fernando
 luis fernando
Usuario activo

@jmarreros

Jhon cordial saludo.

Gracias por tu excelente  aporte estudiare el enlace y aplicare tu sugerencia.

 

Bendiciones !

ResponderCitar
Respondido : 07/04/2020 8:59 pm
Bulmaro
 Bulmaro
Soporte CMS Webempresa Moderator

@vacacionesynegociosencolombiagmail-com

Hola Luis,

Gracias a ti por tu paciencia y confianza en el foro y en Webempresa. 

Quedamos pendientes a cualquier otra consulta o problema que tengas en tus sitios web.

Saludos 

ResponderCitar
Respondido : 07/04/2020 9:06 pm