Avisos
Vaciar todo
Página 1 / 2
Siguiente
Buenos días, este hilo va a ir de eso, de seguridad en general.
Cada vez que abro un ticket en cuanto rendimiento lo primero que me recomiendan es que elimine el plugin Wordfender, porque hace cosas redundantes, es decir, aplica la misma seguridad del hosting, pero....., vengo reciente de una tragedia en cuanto seguridad, por lo que iré haciendo alguna consulta por aquí a ver que opináis.
¿Que opináis, elimino el plugin?, WP Doctor me advierte que no tengo protección frente a la política de seguridad de contenido (CSP) y ataques de cross-site scripting (XSS). ¿Puedo obviar este apartado?
Contenido solo visible a usuarios registrados
Respondido : 18/06/2023 8:30 am
Hola Tomas.
¿Que opináis, elimino el plugin?
Todas la reglas que tiene el plugin las tenemos implementadas en los servidores incluso más reglas de seguridad de las que ofrece por lo que no es necesario.
¿Puedo obviar este apartado?
Lo que comentas son las cabeceras de seguridad.
.- Añade lo siguiente en el archivo htaccess:
## Cabecera X-Frame-Options para mejorar la seguridad Header always append X-Frame-Options SAMEORIGIN # Tell the browser to attempt the HTTPS version first Header add Strict-Transport-Security "max-age=157680000" ## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome Header set X-XSS-Protection "1; mode=block" ## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos Header set X-Content-Type-Options "nosniff" # Disable server signature Header set ServerSignature "Off" Header set ServerTokens "Prod" # Control Cross-Domain Policies Header set X-Permitted-Cross-Domain-Policies "master-only" ## Charset UTF-8 Header set Content-Type "text/html; charset=UTF-8"
Un saludo
Respondido : 18/06/2023 11:43 am
Hola Tomas.
Si, puedes añadirlo al final.
Un saludo
Respondido : 18/06/2023 12:19 pm
@pepesoler Gracias Pepe de nuevo.
Voy a seguir tus recomendaciones, pero.... ¿instalarías algún plugin de seguridad de otro estilo?. por ejemplo, un plugin que impida el ataque por la fuerza bruta o uno que enmascare la url wp-admin?..., no sé, algo que de verdad si fuera conveniente.
Es mi última pregunta
Respondido : 18/06/2023 12:31 pm
Hola Tomas.
uno que enmascare la url wp-admin?.
Si eso si que podrías hacerlo, revisa estas entradas del blog:
-> Cambiar URL de acceso WordPress
-> https://www.webempresa.com/wordpress/tutorial-seguridad-en-wordpress-guia-completa.html
Un saludo
Respondido : 18/06/2023 12:41 pm
He añadido las cabeceras de seguridad pero wp doctor me sigue advirtiendo que no las tengo, ¿tengo que borrar caché?
Respondido : 18/06/2023 1:27 pm
Hola Tomas.
Adjunta una captura para que podamos revisarlo.
Un saludo
Respondido : 18/06/2023 1:55 pm
Hola Tomas.
Perdona, la captura del archivo htaccess donde estás añadiendo el código.
Revisa esta entrada del Blog donde se trata el tema:
-> Cómo añadir las cabeceras Content-Security-Policy, X-Content-Type, X-Frame, XSS en tu .htaccess
Un Saludo
Respondido : 18/06/2023 2:45 pm
Hola Tomas.
Ok, no te preocupes que estan implementadas:
Puedes revisarlo en esta URL:
-> https://wetools.es/httpheaders/
Un Saludo
Respondido : 18/06/2023 4:27 pm
@pepesoler pero...., porque ya las tenía de alguna otra manera o porque he editado correctamente el archivo?
Gracias de antemano.
Respondido : 18/06/2023 4:31 pm
Hol Tomas.
Porque las añadiste correctamente.
Un saludo
Respondido : 18/06/2023 4:38 pm
Muchas gracias, tema cerrado.
Respondido : 18/06/2023 4:41 pm
Página 1 / 2
Siguiente
