Hola, buenas tardes con cada de ustedes.
Después de recibir recomendaciones de usar https://www.wpdoctor.es/ para analizar mi web, encuentro mucha información de alto valor para mejorar mi web.
Entonces entiendo que es importante implementar en mi sitio web cabeceras como :
Content-Security-Policy, X-Content-Type, X-Frame, Cabecera XSS en tu .htaccess
y aunque el código de cada una de estas cabeceras estan en la guía que web empresa me ofrecio, se dice también que añadir este tipo de cabeceras en nuestro .htaccess ocasione en algunos casos errores de visualización del sitio web por lo que implementarlos puede que no sea viable para nuestro sitio.
Que se recomienda personalizar las cabeceras CSP de acuerdo a las necesidades que la web.
Por ende acudo a ustedes.
Entre vosotros hay algún experto que me luz de como impletarlas estas caberas que me hacen falta ?
yo agrege la cabecera Content-Security-Policy por la mañana a mi archivo .htaccess y lo puse al principio de mi archivo .htaccess
Esperando sus comentarios.
Muchas Gracias.
Contenido solo visible a usuarios registrados
Hola Maria Antonieta:
No se si ya debo subir esa linea de codigo al archivo wp-config.php para evitar que se desplome la web?
No, si todo esta cargando bien no hace falta que lo añadas.
Content-Security-Policy suele dar bastantes problemas y la verdad que no es recomendable incluirlo porque puede provocar que la web se venga a bajo.
Si todo carga sin problemas, no te calientes mas la cabeza y como lo tienes esta bien.
entonces eso seria por debajo de define(´WP-Debug, false); y por encima de /* Add any custom values between this line and the "stop editing" line. */
Exacto, pero como te indicaba, si todo esta cargando bien déjalo como esta.
Un saludo
He hecho el análisis con la web del wp doctor
y aparece como si no tubiera ninguna de la cabeceras :/
sin embargo tengo todas menos Cabecera Content-Security-Policy
agrego imagen.
Hola Maria Antonieta,
Probemos lo siguiente, borra todas las líneas que tengas de las cabeceras y guarda los cambios. Luego accede a tu sitio web y ingresa Ajustes -> enlaces permanentes y sin realizar ningún cambio pulsa en el botón de guardar cambios.
Una vez realices esto, añade nuevamente las cabeceras menos la cabecera de content security policy que suele dar problemas y realiza un nuevo análisis.
Verifica esto y nos comentas como ha ido todo
PD: siempre realiza una copia de seguridad el sitio web antes de realizar cambios, de esta forma si se genera algún error puedes restaurarla.
Un Saludo
@karen Hecho !
Pero fui a la web de wpdoctor y aun no se que tenga las cabeceras.
Quizas debo esperar un tiempo?
Gracias
Hola Maria Antonieta,
Como comentas vamos a esperar un tiempo y revisar que se apliquen los cambios, prueba hacerlo en una hora o dos y comprobar como van los resultados.
Mientras tanto para verificar todo este en orden envíanos una captura de tu archivo htaccess completo para comprobar todo este de forma correcta
Un Saludo
Hola Maria Antonieta.
Las cabeceras estan añadidas y funcionado.
Tienes otra opción para añadirlas que es con una función, revisa esta entrada del Blog:
-> https://www.webempresa.com/blog/cabecera-x-content-type-options-problemas-de-seguridad.html
De todas formas no hace falta que las añadas ya que son opcionales y esas capas de protección estan implementadas en el servidor.
Un Saludo
@pepesoler Espere un rato para ver el analsis de wpdoctor y entonces toda mi web TENIA la pantalla blanca error 500
fui a filezilla y quite el archivo .htccess que contenia todas cabeceras y puse el que tenia desde el principio.
ahora regrese a mi web y ya funciona de nuevo. Madre mia que susto con estas cabeceras que no ayudan en NADA.
Mi web ha sido atacada por eso la necesidad de protegerla con esas capas de seguridad.
Hola Maria Antonieta,
En este caso es muy extraño que suceda, como te comenta Pepe vemos todo bien a nivel de instalación. Ten en cuenta que estas cabeceras son opcionales, ya que dentro de los servidores de webempresa ya se añaden medidas de seguridad de este tipo, si deseas implementar mayor seguridad en tu sitio web puedes revisar cuáles puedes tener en la siguiente guía que tenemos disponible -> https://guias.webempresa.com/preguntas-frecuentes/medidas-de-seguridad-por-parte-del-usuario/
Ya que no podemos revisar tus archivos en este caso si aún deseas implementar estas cabeceras te recomiendo consultes con nuestro directorio de colaboradores para que revisen tu sitio web y te ayuden a incorporar las configuraciones que necesitas.
Un Saludo
@karen gracias.
Pues parece que no todo estaba bien.
sobre la recomendacion de ciber protector es mas a nivel exterior ( claves, nombres de usuarios, etc)
Mi web ha sido atacada por eso la necesidad de protegerla con esas capas de seguridad.
Entonces no se si deba restaurar la web desde el panel de control de web empresa.
Ya que algo raro pasa con el archivo .htaccess aunque lo copie en mi computadora y le cambie de nombre. Al quitar el archivo que contenia las cabeceras y subir el que tenia guardado en mi carpeta de computadora y luego abrirlo ...y renombrarlo como debe ser.
Luego lo abro y aparce las cabeceras que inclui en el archivo que borre.
Esto es raro y no se si al restaurar la web perjudique al posicionamiento web SEO natural que viene teniendo mi web.
la web ha estado posicionada en el primer resultado de Google durante 6 meses hemos venido trabajando duro por el posicionamiento natural sin trampas ni nada que a Google no le guste. Muchisimas semana posicionada con casi todas las URL Y de pronto tuvo un bajon horrible ...verificamos y vimos que fuimos atacados.
la herramienta que usamos nos indicaba que debiamos subir capas de seguridad a la web, por ende todoooooo lo que venido haciendo desde la mañana.
Gracias.
Hola Maria,
Vamos a realizar lo siguiente, ingresas a tus archivos del htaccess, vas a modificar el nombre, es decir, si actualmente tienes dos:
.htaccess
.htaccess2
Cambia el nombre del principal, para que estés sin un htaccess, luego ingresas a tu wordpress y vas a Ajustes > Enlaces permanentes. Una vez dentro actualizas los enlaces solo haciendo clic aqui:
Sin hacer algún cambio solo haces clic alli y se te va a generar un nuevo htaccess, el que debes tener por defecto. Antes de volver a probar con los códigos de htaccess, prueba con esto:
https://www.webempresa.com/blog/cabecera-x-xss.html
Vas a agregarlo instalando este complemento > https://es.wordpress.org/plugins/code-snippets/, cuando lo instalas haces click en agregar nuevo código:
Por si tienes duda el código que vas a agregar es este que está al final:
Lo insertas y haces clic en guardar y activar. Con esto insertado verificas nuevamente, si sigue sin mostrarse en el wpdoctor, agregas a tu htaccess solo esto:
## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN
## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"
## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"
Luego verifica si se ve de forma correcta y si toma ya todo bien.
Un saludo 🖐️
@argenis gracias.
Antes de empezar todo lo indicado. Dos anotaciones:
- NO TENGO DOS .htaccess en mi filezilla
Pero entiendo o creo entenderte que sumando al que tengo ahora mismoy se ve en Filezilla agrege otro archivo .htaccess ( es decir el original, que ahora tiene un nombre limpio.htaccess) en una carpeta de mi computadora.
- hace una hora fui a ajustes permanentes y di en guardar ajustes como tu compañera me indico antes. Esta accion de volverlo a hacer acaso puede perjudicar al SEO )
Por último te consulto sobre esto
Vamos a realizar lo siguiente, ingresas a tus archivos del htaccess, vas a modificar el nombre, es decir, si actualmente tienes dos:
.htaccess
.htaccess2
Cambia el nombre del principal, para que estés sin un htaccess, luego ingresas a tu wordpress y vas a Ajustes > Enlaces permanentes. Una vez dentro actualizas los enlaces solo haciendo clic aqui:
Supongamos que el principal es .htaccess2 a este le cambio de nombre? osea principal.htaccess2
Entonces tendria :
.htaccess
principal.htaccess2
Siguiendo tus instrucciones:
Sin hacer algún cambio solo haces clic alli y se te va a generar un nuevo htaccess, el que debes tener por defecto.
Entonces tendría :
.htaccess
principal.htaccess2
.htaccess (el que ocasiones al hacer clic en ajustes permanentes)
Haber si me estoy perdiendo de algo y no estoy entiendo correctamente ...antes de seguir por favor me corriges?
Gracias.
Sobre el plugin que usaria para subir el complemento:
- De instalar el plugin y usarlo, puedo luego quitarlo ?
- y al agregar el plugin solo se abre alguna ventana donde agregaria esas lineas de codigo y listo?
o es que ahi se ve todo el archivo funtions.php y debo saber por encima o por debajo, principio o final de que codigos subo loq ue tengo que subir ?
- estas lineas de codigo que me haz compartido como imagen equivalen a las 3 capas de seguridad que he intantado subir desde la mañana ?
Hola Maria,
Comprendo la preocupación y las dudas, no te preocupes, con respecto a lo del archivo .htaccess, la idea es que te quedes sin un archivo htaccess.
Si solo tienes 1 entonces le cambias el nombre a .htaccesss2
Si tienes 4 le cambias el nombre a .htaccess2, .htaccess3, .htaccess4, .htaccess5
De tal forma que el sitio no tome en cuenta un htaccess, para que al momento de continuar con los pasos (da igual que lo hicieras hace unas horas) se te vuelva a generar uno limpio.
El plugin funciona igual que cualquier otro complemento activas y desactivas cuando gustes, pero te indico con este complemento para que en caso de que suceda algo como ya hay un historial de pantallas blancas y errores, puedas recuperar el sitio de forma más fácil que editando directamente en el archivo functions.php
Con respecto a si se ve un panel, si. te comparto captura:
Solo es hacer clic donde te indique y sigues los pasos, es muy importante que sigas todos y cada uno de los pasos.
Un saludo 🖐️
Muchas gracias.
Sobre el archivo .htaccess me queda claro.
De tal forma que el sitio no tome en cuenta un htaccess, para que al momento de continuar con los pasos (da igual que lo hicieras hace unas horas) se te vuelva a generar uno limpio.
Te consulto, en el archivo .htaccess tengo redicciones 301 que hice hace meses y al generar un nuevo archivo, pondria otra vez esas redicciones.
La consulta es acaso Google Search Console puede notificarme que no tengo hechas esas redicciones porque detecto que por unos segundos no estaban?
y eso puede ser perjudicial para el SEO posicionamiento natural que hemos venido trabajando durante 6 meses. ?
El plugin funciona igual que cualquier otro complemento activas y desactivas cuando gustes
Sobre esto se nos ha informado que tener un plugin apagado es PEOR que tenerlo encendido.
se nos ha dicho que instalar un plugin y quitarlo deja de alguna forma " rastros " y eso en tanto hace pesado a la base de datos.
No se cuan pequeño sea este plugin, pero espero sea ligero y que no me deje esos rastros de su exitencia.
De todas formas te lo agradezco muchisimo.
sobre el codigo
El codigo que voy a agregar la web es equivalente a las 3 capas de seguridad ?
captura de pantalla de comos se ve la caja donde voy a insertar el codigo :
hay una caja donde dice : introduce aqui el titulo
que es lo debo escribir ahi exactamente?
ULTIMA PREGUNTA
Esto de ir a ajustes del sitio y darle guardar cambios podria perjudicar al SEO ? AUN sin haber hecho cambios reales ?
Muchisimassssssss Gracias totales.