Escaneo en Wpdoctor  

Hola Ane.

Sobre el tema de Leak es porque en la raíz de la web tienes el archivo license.txt.

En la raíz de la web solo deberíamos tener archivos con extensión php y el archivo .htaccess.

El resto de archivos, con extensiones txt o html deberían ser eliminados, a menos que los hayamos añadido nosotros para algún cometido en particular, o se hayan instalado con algún plugin (normalmente ningún plugin debería dejar archivos en la raíz, pero puede que haya excepciones).

Los archivos que deberíamos eliminar son los siguientes (puede que no lo tengas todos):

• license.txt
• licencia.txt
• readme.html

Para las cabeceras:

.- Añade los siguiente en el archivo .htaccess:

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Puedes añadirlo al final del archivo.

Un Saludo

@pepesoler

Hola, 

Y como lo hago? Me das alguna instrucción sencilla?

Gracias. 

Un saludo, 

Hola Ane,

Ingresas a tu wepanel, luego a la aplicación de administrador de archivos > public_html > dominio, aquí dentro verificas lo que te dijo Pepe:

Los archivos que deberíamos eliminar son los siguientes (puede que no lo tengas todos):

• license.txt
• licencia.txt
• readme.html

Solo en esta carpeta, es decir, la de tu dominio, luego en esta misma ubicacion, busca el archivo con nombre .htaccess y agregas lo segundo que te comenta Pepe:

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8

Header set Content-Type "text/html; charset=UTF-8"

Como te indica, puedes agregarlo al final del archivo.

Un saludo 🖐️ 

@argenis

Hola, 

Hice tal cual me comentasteis, pero ahora en wordpress no veo bien los menus, por ejemplo, le doy a actualizaciones y la pagina se carga sin formato. ¿puede ser por haber editado el archivo htaccess? adjunto un pantallazo de como veo la pagina. 

Y por por ultimo preguntar, el otro dia cuando edite el archivo thaccess vi que tengo ademas un archivo de se llama htaccess-2024-06-11-14-09-48, ese segundo archivo debe estar ahí? ¿es normal que haya 2 archivos htaccess?

Gracias. 

Un saludo,

Hola Ana.

Prueba añadir lo siguiente en el archivo wp-config que está en la misma carpeta administrador de archivos > public_html > dominio

define( 'CONCATENATE_SCRIPTS', false );

Añadelo antes de la línea /* Add any custom values between this line and the "stop editing" line. */ 

Revisa si con eso se soluciona y nos comentas.

ese segundo archivo debe estar ahí?

Puedes eliminarlo, es una copia.

Un Saludo

@pepesoler

Solucionado en principio ya carga bien wordpress y he podido hacer la actualización que había pendiente. 

De todas formas volviendo a la consulta de las cabeceras que hice al principio, he realizado todo lo que me habéis dicho en el archivo de htaccess con respecto a las cabeceras. He vuelto a analizar la web con wpdoctor y me sigue saliendo lo siguiente:

Cabecera Content-Security-Policy: No tiene Cabeceras Content-Security-Policy (Implementar estas cabeceras puede dañar tu web si no se hace correctamente, si tienes dudas consulta con un experto).

Gracias. 

Un saludo, 

Hola Ane.

No veo que tengas las cabeceras añadidas en el archivo .htaccess

Ten en cuenta que el .com apunta a la carpeta public_html -> hosting146200eu-270261.webempresa.site  y tienes que añadirlo en el .htaccess de esa carpeta 

Un Saludo

@pepesoler

Hola, 

Es que estoy trabajando también en otra web y me pasa lo mismo. He copiado lo de las cabeceras tal cual al final del archivo htaccess y me sigue saliendo lo de que no hay cabecera de Cabecera Content-Security-Policy. 

Gracias. 

Un saludo, 

Hola Ane.

Ok, puedes decirnos el dominio de l otra web para que podamos revisarlo ?

Un Saludo

@pepesoler

www.nireanformacion.com

Hola Ane.

Ok, añade lo siguiente:

## Cabecera Content Security Policy
Header always set Content-Security-Policy "upgrade-insecure-requests;"

Esta cabecera hay veces que suele dar problemas si ves que la web no carga o tiene algún problema elimina esas líneas.

Un Saludo

@pepesoler

Buenos días,

Despues de añadir lo que me has indicado, he vuelto a hacer el análisis de la web en wpdoctor, en principio lo de las cabeceras está solucionado, espero que no me dé problemas de carga en la web. 

De todas formas, me podrías indicar según lo que pone en el pantallazo que adjunto si está todo bien con las cabeceras. Nota: no entiendo muy bien lo que pone en el apartado de link. 

Gracias. 

Un saludo, 

hola Ane.

Si esta bien ya cargan todas las cabeceras.

Un Saludo