Cesta y checkout bloqueados  

/*Borrado*/

HOla

Pero la recarga de la página lo hace automáticamente y agrega al carrito, si quieres un comportamient Ajax veriica en:

Woocomerce > Ajustes > Productos > Comportamiento de añadir al carrito

Saludos.

En la página de checkout, no puede selecciona método de pago!!

Hola

Supongo que te refieres a que no se habilita la opción de Finaliza pedido a pesar de haber llenado todos los campos.

Veo que estas usando una funcionalidad de One page para el checkout desactiva esto y deja por defecto lo que ofrece Woocommerce y verifica si te sucede lo mismo.

Saludos.

Me refiero a eso, si.
No sé de que funcionalidad hablas, lo busco en el plugin de woo commerce y no la encuentro. Donde esta? Gracias

Hola

Has configurado algún plugin o manualmente alguna opción de seguridad?, te lo comento porque al intentar hacer el proceso de compra aparecen errores javascript referidos a:

Content Security Policy: The page’s settings blocked the loading of a resource at self (“script-src”).

Ver imagen adjunta.

Vale, es el código que puse manualmente para las cabeceras.
He estado probando, y concretamente es esta parte:
## Anular parámetros de consulta innecesarios de peticiones entrantes.

RewriteEngine On
RewriteCond %{QUERY_STRING} !=""
RewriteCond %{QUERY_STRING} !^p=.*
RewriteCond %{QUERY_STRING} !^s=.*
RewriteCond %{REQUEST_URI} !^/wp-admin.*
RewriteRule ^(.*)$ /$1? [R=301,L]

Lo que he hecho es quitarlo. ¿Tendré algún problema de seguirdad o configuración?
De tal forma que el código puesto manualmente se me queda:
# END WP Rocket

# proteger wpconfig.php

order allow,deny
deny from all

# proteger htaccess

order allow,deny
deny from all

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
# Header set X-XSS-Protection "1; mode=block"

Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

# Cabecera Content-Security-Policy
Header set X-Content-Security-Policy "allow 'self';"

# BEGIN WordPress

Hola

Si quitas ese código aún tienes problemas?, puedes ir probando quitando o comentando todo el código que has puesto.

De donde sacaste ese código que indica:
#Anular parámetros de consulta innecesarios de peticiones entrantes.

Ten en cuenta que algunas configuraciones de seguridad no necesariamente son genéricas, algunas configuraciones no te pueden servir porque entran en conflicto, como en tu caso.

Lo mejor para controlar la seguridad de tu sitio es monitorear tu sitio y mantenerlo actualizado, además ten en cuenta que a nivel de tu cuenta de hosting ya tienes mecanismos de seguridad incluídos.

Saludos.

Buenas,
Sí quito el código me funciona perfectamente.
Código que quito:
## Anular parámetros de consulta innecesarios de peticiones entrantes.

RewriteEngine On
RewriteCond %{QUERY_STRING} !=""
RewriteCond %{QUERY_STRING} !^p=.*
RewriteCond %{QUERY_STRING} !^s=.*
RewriteCond %{REQUEST_URI} !^/wp-admin.*
RewriteRule ^(.*)$ /$1? [R=301,L]

El código me lo dio tu compañero Luis Mendez en este post del foro:
https://www.webempresa.com/foro/23-Preguntas-sobre-WordPress/160793-WP-Doctor-Information-Leak-y-Cabecera-Content-Security-Policy.html

Mi duda es, quitando ese código dado por tu compañero. ¿Qué pierdo o dejo de tener? Es decir ¿Estoy haciendo mi web más lenta, más insegura... o algo por el estilo?

Muchas gracias.

Hola

En tu caso este código entra en conflicto porque la pasarela necesita devolverte una respuesta, con esto lo estas restringiendo, si sólo tuvieras un blog sin tienda y sin pasarelas sería válido pero en tu caso no.

En resumen tienes que buscar un equilibrio entre seguridad y funcionalidad, no todo el código que encuentres para temas de seguridad es aplicable en cualquier sitio.

Lo que ganas es que no haya peticiones entrantes a tu sitio a través de código, pero ya te digo en tu sitio no tiene mucho sentido.

Saludos.

Jhon,
Perdona por preguntare pero es que no entiendo muy bien.

Si quito el código de "## Anular parámetros de consulta innecesarios de peticiones entrantes."
Dices que afectaría a mi pasarela.
Acabo de realizar un pago sin el código y la pasarela no me dio ningún error.
¿A qué te refieres exactamente?

Gracias

Te adjunto como quedaría mi .htcaccess para que lo veas más claro,
porque viéndolo ahora si es verdad que he quitado el:
## Anular parámetros de consulta innecesarios de peticiones entrantes.

RewriteEngine On
RewriteCond %{QUERY_STRING} !=""
RewriteCond %{QUERY_STRING} !^p=.*
RewriteCond %{QUERY_STRING} !^s=.*
RewriteCond %{REQUEST_URI} !^/wp-admin.*
RewriteRule ^(.*)$ /$1? [R=301,L]

Pero he visto que hay otro código parecido.
Ya me dices.

Hola

No he visto ningún código con QUERY_STRING en el archivo enviado.

Igual sigue haciendo pruebas por si detectas alguna restricción adicional que podría afectarte.

PD. Si vas a enviar tu .htaccess renombralo por htaccess.txt antes de zipearlo.

Saludos.

Jhon,

QUERY_STRING es justo lo que he eliminado.
Te adjunto el htaccess.txt tal y como lo tengo ahora.
De momento no he encontrado nada mal,
pero me comentaste que al eliminar:
"## Anular parámetros de consulta innecesarios de peticiones entrantes.

RewriteEngine On
RewriteCond %{QUERY_STRING} !=""
RewriteCond %{QUERY_STRING} !^p=.*
RewriteCond %{QUERY_STRING} !^s=.*
RewriteCond %{REQUEST_URI} !^/wp-admin.*
RewriteRule ^(.*)$ /$1? [R=301,L]
"

Tendría problemas en la pasarela de pago,
¿qué problemas?

Gracias