Hola, buenas tardes con cada de ustedes.
Después de recibir recomendaciones de usar https://www.wpdoctor.es/ para analizar mi web, encuentro mucha información de alto valor para mejorar mi web.
Entonces entiendo que es importante implementar en mi sitio web cabeceras como :
Content-Security-Policy, X-Content-Type, X-Frame, Cabecera XSS en tu .htaccess
y aunque el código de cada una de estas cabeceras estan en la guía que web empresa me ofrecio, se dice también que añadir este tipo de cabeceras en nuestro .htaccess ocasione en algunos casos errores de visualización del sitio web por lo que implementarlos puede que no sea viable para nuestro sitio.
Que se recomienda personalizar las cabeceras CSP de acuerdo a las necesidades que la web.
Por ende acudo a ustedes.
Entre vosotros hay algún experto que me luz de como impletarlas estas caberas que me hacen falta ?
yo agrege la cabecera Content-Security-Policy por la mañana a mi archivo .htaccess y lo puse al principio de mi archivo .htaccess
Esperando sus comentarios.
Muchas Gracias.
Contenido solo visible a usuarios registrados
Hola Maria Antonieta,
En este caso puedes enviarnos algunas capturas de pantalla como estas añadiendo las cabeceras de seguridad en tu sitio web, ten en cuenta que las cabeceras con el siguiente codigo no debe gernar ningun tipo de error
## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"
# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"
# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"
## Charset UTF-8
Header set Content-Type "text/html; charset=UTF-8"
Sin embargo las cabeceras para Content Security Policy es la que suele generar algun tipo de problema, prueba añadir primero las cabeceras que te menciono y nos comentas como ha ido todo
De manera general puedes darle un vistazo al siguiente hilo de foro donde se trato un tema similar -> https://www.webempresa.com/foro/administracion-wordpress/error-del-sitio-con-la-cabeceras-de-seguridad#post-426475
Un Saludo
Hola Karen Rios@karen, buenas noches.
Como he escrito en mi mensaje :
... entiendo que es importante implementar en mi sitio web cabeceras... aquí quiero decir que después de haber leído la guía ENTENDI la IMPORTANCIA de su uso.
ASI MISMO :
....Que se recomienda PERSONALIZAR las cabeceras CSP de acuerdo a las necesidades que la web...
AHORA:
....Por ende acudo a ustedes. Hay entre vosotros hay algún EXPERTO que me luz de como impletarlas estas caberas que me hacen falta?
Sin embargo las cabeceras para Content Security Policy es la que suele generar algun tipo de problema, prueba añadir primero las cabeceras que te menciono y nos comentas como ha ido todo
yo he agregado la cabecera Content-Security-Policy por la mañana a mi archivo .htaccess y lo puse al principio de mi archivo .htaccess
agrego imagen.
Mi pregunta:
- si agrego el resto de lineas de cabeceras lo subo al principio del archivo .htaccess ?
-y la linea de cabecera de Content Security Policy que ya he agregado hoy , la quita y la vuelvoa subir en orden con las demás ?
Hola Maria,
Te recomendamos que leas este artículo:
Como se indica va al final, igualmente puedes colocarlo al inicio, lo que importa es que estén todos, es decir todos los que te compartió Karen aquí, pero lee atentamente porque hay uno que específicamente puede generar conflicto con algunos sitios, toda la información se encuentra en el link de la guía.
Un saludo 🖐️
Gracias @argenis.
La guía esta leída, gracias nuevamente.
Pregunto puedo abrir el archivo .htacess y quitar la cabeceras para Content Security Policy Y LUEGO agregarla al final junto con las demás cabeceras ?
Hola Maria Antonieta,
En este caso si la quieres eliminar y añadir nuevamente si puedes hacerlo, lo que te recomiendo es que agregues las primeras líneas y luego realices un test para revisar este correctamente aplicada las primeras cabeceras, luego de ello puedes añadir la de Content Security Policy siempre con la precaución de revisar que la web funciona de forma correcta luego de añadirla.
Verifica esto y nos comentas como va todo
Un Saludo
@karen Muchas gracias por tu respuesta-Guia.
Lo he hecho siguiendo tus instrucciones y hoy mi web sigue funcionando muy bien. Ahora tengo todas cabeceras instaladas en mi web ahora. En un análsiis de mi web vi que hubo un ataque o posible ataque y por esta razón acudi a vosotros de forma urgente.
Sin embargo, tengo una consulta y no se si es que tiene que ver con la instalacion de las cabeceras pero la velocidad de carga se ha visto afectada.
Esto dice la web de https://www.wpdoctor.es/
x Velocidad de carga
" 52.5 / 100 "
Hola, hace un rato les dije que mi web estaba perfecta !
Justo acabo de entrar a una URL para hacer unos areglos y a la hora de guardar los cambios todo muy bien.
Pero cuando le di en ir al escritorio la web se volvio loca y aparce como en la imagen.
les pongo el link de como se ve junto con la imagen.
Que debo hacer ?
tengo una copia del archivo.htaccess anterior antes de subir las cabeceras.
Gracias y espero urgente sus respuestas.
https://www.alfaseoweb.com/wp-admin/post.php?post=446&action=edit
Agrego. he quitado el archivo .htaccess que contenia todas las cabeceras y he vuelto a subir el archivo .htaccess con solo las cebezaras "seguras"
y quitadola la que cabezara que la mas ofensiva para la web.
Sin embargo regreso a la web y todas las url que debo editar en wordpress se han dañado.
Esto tarda para que vuelva funcinar ? o que debo hacer ?
urgente.
Hola Maria Antonieta.
Veo que la pagina carga sin problemas y por lo que muestras es el administrador de WordPress:
Revisa esta entrada del Foro donde trato el tema:
Si después de esto sigues con el problema, por favor abre una nueva entrada con esta nueva consulta y lo revisamos, al ser un tema distinto es mejor separarlo para no liarnos y así nos ayudas en nuestro trabajo.
Un Saludo
Gracias.
Comentaba arriba que quite el archivo .htccess y volvi a subir el que tenia antes de las cabeceras.
ahora volvi a subir las cabeceras y espero que pasa?
Pero mucho temo que tiene que ver con la ultima cabecera de sguridad que es la que suele dar lata.
Igual leo y analizo el link.
Hola Maria Antonieta.
Prueba lo que te indique antes.
Si después de eso sigues con problemas elimina esta linea del htaccess:
Header always set Content-Security-Policy "upgrade-insecure-requests;"
Un saludo
@pepesoler te refieres a todo esto
## Cabecera Content Security Policy
Header always set Content-Security-Policy "upgrade-insecure-requests;"
supongo que deberia eliminar desde ##...hasta requests;"
o me equivoco?
Hola Maria Antonieta.
Probaste lo que te indique antes de añadir la siguiente linea:
define( 'CONCATENATE_SCRIPTS', false );
Puedes añadirlo en al linea 85
supongo que deberia eliminar desde ##...hasta requests;"
La almohadilla indican que esa linea es un comentario y no tiene ningún efecto " ## Cabecera Content Security Policy " la unica linea que tiene efecto es la del Header pero bueno, sí, puedes eliminar las dos lineas.
Un Saludo
Gracias por tus respuestas. Siempre tan preciso y rápido.
Bueno después de quitar el archivo y volverlo a subir ...todo funciona como antes. No se si ya debo subir esa linea de codigo al archivo wp-config.php para evitar que se desplome la web?
Ahora sobre la linea donde debo subir esa linea de cógido:
- Me dice que es la linea 85
- entonces eso seria por debajo de define(´WP-Debug, false); y por encima de /* Add any custom values between this line and the "stop editing" line. */
correcto ?
Gracias, muchas gracias por la paciencia.