Avisos
Vaciar todo

[Resuelto] Seguridad y CSP efectiva frente a ataques XSS  

Página 1 / 2
 
Tomás
 Tomás
Reputable Member

Buenos días, este hilo va a ir de eso, de seguridad en general.

Cada vez que abro un ticket en cuanto rendimiento lo primero que me recomiendan es que elimine el plugin Wordfender, porque hace cosas redundantes, es decir, aplica la misma seguridad del hosting, pero....., vengo reciente de una tragedia en cuanto seguridad, por lo que iré haciendo alguna consulta por aquí a ver que opináis.

¿Que opináis, elimino el plugin?, WP Doctor me advierte que no tengo protección frente a la política de seguridad de contenido (CSP) y ataques de cross-site scripting (XSS). ¿Puedo obviar este apartado?

Contenido solo visible a usuarios registrados

Respondido : 18/06/2023 8:30 am
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Tomas.

¿Que opináis, elimino el plugin?

Todas la reglas que tiene el plugin las tenemos implementadas en los servidores incluso más reglas de seguridad de las que ofrece por lo que no es necesario.

¿Puedo obviar este apartado?

Lo que comentas son las cabeceras de seguridad.

.- Añade lo siguiente en el archivo htaccess:

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

 

Un saludo

Respondido : 18/06/2023 11:43 am

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Tomás
 Tomás
Reputable Member

@pepesoler Gracias. Implemento el código al final del archivo?

Respondido : 18/06/2023 12:07 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Tomas.

Si, puedes añadirlo al final.

 

Un saludo

Respondido : 18/06/2023 12:19 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Tomás
 Tomás
Reputable Member

@pepesoler Gracias Pepe de nuevo.

Voy a seguir tus recomendaciones, pero.... ¿instalarías algún plugin de seguridad de otro estilo?. por ejemplo, un plugin que impida el ataque por la fuerza bruta o uno que enmascare la url wp-admin?..., no sé, algo que de verdad si fuera conveniente.

Es mi última pregunta 

Respondido : 18/06/2023 12:31 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Tomas.

 uno que enmascare la url wp-admin?.

Si eso si que podrías hacerlo, revisa estas entradas del blog:

-> Cambiar URL de acceso WordPress

-> https://www.webempresa.com/wordpress/tutorial-seguridad-en-wordpress-guia-completa.html

 

Un saludo

Respondido : 18/06/2023 12:41 pm

Cursos Gratuitos WordPress

Tomás
 Tomás
Reputable Member

He añadido las cabeceras de seguridad pero wp doctor me sigue advirtiendo que no las tengo, ¿tengo que borrar caché?

Respondido : 18/06/2023 1:27 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Tomas.

Adjunta una captura para que podamos revisarlo.

 

Un saludo

Respondido : 18/06/2023 1:55 pm

Tomás
 Tomás
Reputable Member

@pepesoler Adjunto captura.

Screenshot 20230618 150633 Chrome

 

Respondido : 18/06/2023 2:07 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Tomas.

Perdona, la captura del archivo htaccess donde estás añadiendo el código.

Revisa esta entrada del Blog donde se trata el tema:

-> Cómo añadir las cabeceras Content-Security-Policy, X-Content-Type, X-Frame, XSS en tu .htaccess

 

Un Saludo

Respondido : 18/06/2023 2:45 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Tomás
 Tomás
Reputable Member

@pepesoler

Cabeceras

 Ahí lo llevas

Respondido : 18/06/2023 4:12 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Tomas.

Ok, no te preocupes que estan implementadas:

screenshot wetools.es 2023.06.18 17 25 01

Puedes revisarlo en esta URL:

-> https://wetools.es/httpheaders/

 

Un Saludo

 

Respondido : 18/06/2023 4:27 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Tomás
 Tomás
Reputable Member

@pepesoler pero...., porque ya las tenía de alguna otra manera o porque he editado correctamente el archivo?

 

Gracias de antemano.

Respondido : 18/06/2023 4:31 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hol Tomas.

Porque las añadiste correctamente.

 

Un saludo

Respondido : 18/06/2023 4:38 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Tomás
 Tomás
Reputable Member

Muchas gracias, tema cerrado.

Respondido : 18/06/2023 4:41 pm
Página 1 / 2