añadir las cabeceras Content-Security-Policy, X-Content-Type, X-Frame, XSS en tu .htaccess  

Hola Maria Antonieta, 

En este caso puedes enviarnos algunas capturas de pantalla como estas añadiendo las cabeceras de seguridad en tu sitio web, ten en cuenta que las cabeceras con el siguiente codigo no debe gernar ningun tipo de error

## Cabecera X-Frame-Options para mejorar la seguridad

Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first

Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome

Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos

Header set X-Content-Type-Options "nosniff"

# Disable server signature

Header set ServerSignature "Off"

Header set ServerTokens "Prod"

# Control Cross-Domain Policies

Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Sin embargo las cabeceras para Content Security Policy es la que suele generar algun tipo de problema, prueba añadir primero las cabeceras que te menciono y nos comentas como ha ido todo

De manera general puedes darle un vistazo al siguiente hilo de foro donde se trato un tema similar -> https://www.webempresa.com/foro/administracion-wordpress/error-del-sitio-con-la-cabeceras-de-seguridad#post-426475

Un Saludo 

Hola   Karen Rios@karen, buenas noches.

Como he escrito en mi mensaje :

... entiendo que es importante implementar en mi sitio web cabeceras... aquí quiero decir que después de haber leído la guía ENTENDI la IMPORTANCIA de su uso.

ASI MISMO :

    ....Que se recomienda PERSONALIZAR las cabeceras CSP de acuerdo a las necesidades que la web...

AHORA:

  ....Por ende acudo a ustedes. Hay entre vosotros hay algún EXPERTO que me luz de como impletarlas estas caberas que me hacen falta? 

Sin embargo las cabeceras para Content Security Policy es la que suele generar algun tipo de problema, prueba añadir primero las cabeceras que te menciono y nos comentas como ha ido todo

yo he agregado la cabecera Content-Security-Policy por la mañana a mi archivo .htaccess y lo puse al principio de mi archivo .htaccess

agrego imagen.

Mi pregunta:

- si agrego el resto de lineas de cabeceras lo subo al principio del archivo .htaccess ?

-y la linea de cabecera de Content Security Policy  que ya he agregado hoy , la quita y la vuelvoa  subir en orden con las demás ?

Hola Maria,

Te recomendamos que leas este artículo:

https://www.webempresa.com/blog/como-anadir-las-cabeceras-content-security-policy-x-content-type-x-frame-xss-en-tu-htaccess.html

Como se indica va al final, igualmente puedes colocarlo al inicio, lo que importa es que estén todos, es decir todos los que te compartió Karen aquí, pero lee atentamente porque hay uno que específicamente puede generar conflicto con algunos sitios, toda la información se encuentra en el link de la guía.

Un saludo 🖐️ 

Gracias @argenis.

La guía esta leída, gracias nuevamente.

Pregunto puedo abrir el archivo .htacess y quitar la cabeceras para Content Security Policy Y LUEGO agregarla al final junto con las demás cabeceras ?

Hola Maria Antonieta, 

En este caso si la quieres eliminar y añadir nuevamente si puedes hacerlo, lo que te recomiendo es que agregues las primeras líneas y luego realices un test para revisar este correctamente aplicada las primeras cabeceras, luego de ello puedes añadir la de Content Security Policy siempre con la precaución de revisar que la web funciona de forma correcta luego de añadirla. 

Verifica esto y nos comentas como va todo

Un Saludo  

@karen Muchas gracias por tu respuesta-Guia.

Lo he hecho siguiendo tus instrucciones y hoy mi web sigue funcionando muy bien. Ahora tengo todas cabeceras instaladas en mi web ahora. En un análsiis de mi web vi que hubo un ataque o posible ataque y por esta razón acudi a vosotros de forma urgente.

Sin embargo, tengo una consulta y no se si es que tiene que ver con la instalacion de las cabeceras pero la velocidad de carga se ha visto afectada.

Esto dice la web de https://www.wpdoctor.es/

x Velocidad de carga

 " 52.5 / 100 "

Muchas gracias nuevamente.

 

 

Hola, hace un rato les dije que mi web estaba perfecta !

Justo acabo de entrar a una URL para hacer unos areglos y a la hora de guardar los cambios todo muy bien.

Pero cuando le di en ir al escritorio la web se volvio loca y aparce como en la imagen.

les pongo el link de como se ve junto con la imagen.

Que debo hacer ?

tengo una copia del archivo.htaccess anterior antes de subir las cabeceras. 

Gracias y espero urgente sus respuestas.

https://www.alfaseoweb.com/wp-admin/post.php?post=446&action=edit  

Agrego. he quitado el archivo .htaccess que contenia todas las cabeceras y he vuelto a subir el archivo .htaccess con solo las cebezaras "seguras" 

y quitadola la que cabezara que la mas ofensiva para la web.

Sin embargo regreso a la web y todas las url que debo editar en wordpress se han dañado. 

Esto tarda para que vuelva funcinar ? o que debo hacer ? 

urgente.

Hola Maria Antonieta.

Veo que la pagina carga sin problemas y por lo que muestras es el administrador de WordPress:

Revisa esta entrada del Foro donde trato el tema:

-> https://www.webempresa.com/foro/administracion-wordpress/el-wp-admin-aparece-sin-formato-y-no-puedo-administrar-mi-sitio-he-desactivado-los-plugins-de-cache-y-optimizacion-y-sigue-igual

Si después de esto sigues con el problema, por favor abre una nueva entrada con esta nueva consulta y lo revisamos, al ser un tema distinto es mejor separarlo para no liarnos y así nos ayudas en nuestro trabajo.

Un Saludo 

@pepesoler

Gracias.

Comentaba arriba que quite el archivo .htccess y volvi a subir el que tenia antes de las cabeceras. 

ahora volvi a subir las cabeceras y espero que pasa?

Pero mucho temo que tiene que ver con la ultima cabecera de sguridad que es la que suele dar lata.

Igual leo y analizo el link.

Hola Maria Antonieta.

Prueba lo que te indique antes.

Si después de eso sigues con problemas elimina esta linea del htaccess:

Header always set Content-Security-Policy "upgrade-insecure-requests;"

Un saludo

@pepesoler te refieres a todo esto

## Cabecera Content Security Policy

Header always set Content-Security-Policy "upgrade-insecure-requests;"

supongo que deberia eliminar desde ##...hasta requests;" 

o me equivoco?

Hola Maria Antonieta.

Probaste lo que te indique antes de añadir la siguiente linea:

define( 'CONCATENATE_SCRIPTS', false );

Puedes añadirlo en al linea 85

supongo que deberia eliminar desde ##...hasta requests;" 

La almohadilla indican que esa linea es un comentario y no tiene ningún efecto " ## Cabecera Content Security Policy " la unica linea que tiene efecto es la del Header pero bueno, sí, puedes eliminar las dos lineas.

Un Saludo

@pepesoler

Gracias por tus respuestas. Siempre tan preciso y rápido.

Bueno después de quitar el archivo y volverlo a subir ...todo funciona como antes. No se si ya debo subir esa linea de codigo al archivo wp-config.php para evitar que se desplome la web?

Ahora sobre la linea donde debo subir esa linea de cógido:

- Me dice que es la linea 85 

- entonces eso seria por debajo de define(´WP-Debug, false); y por encima de /* Add any custom values between this line and the "stop editing" line. */   

correcto ?

Gracias, muchas gracias por la paciencia.