Buenas tardes,
He realizado un escaneo en wpdoctor de la web naianatural.com (la cual todavía estoy desarrollando) y me aparecen una serie de advertencias. Me gustaría recibir recomendaciones para solucionarlo sobre todo respecto a la información Leak y el tema de cabeceras. Pongo aquí el enlace al análisis de wpdoctor.
WP Doctor - Auditoría WordPress gratis en tiempo real
Gracias.
Un saludo,
Contenido solo visible a usuarios registrados
Hola Ane.
Sobre el tema de Leak es porque en la raíz de la web tienes el archivo license.txt.
En la raíz de la web solo deberíamos tener archivos con extensión php y el archivo .htaccess.
El resto de archivos, con extensiones txt o html deberían ser eliminados, a menos que los hayamos añadido nosotros para algún cometido en particular, o se hayan instalado con algún plugin (normalmente ningún plugin debería dejar archivos en la raíz, pero puede que haya excepciones).
Los archivos que deberíamos eliminar son los siguientes (puede que no lo tengas todos):
Para las cabeceras:
.- Añade los siguiente en el archivo .htaccess:
## Cabecera X-Frame-Options para mejorar la seguridad Header always append X-Frame-Options SAMEORIGIN # Tell the browser to attempt the HTTPS version first Header add Strict-Transport-Security "max-age=157680000" ## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome Header set X-XSS-Protection "1; mode=block" ## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos Header set X-Content-Type-Options "nosniff" # Disable server signature Header set ServerSignature "Off" Header set ServerTokens "Prod" # Control Cross-Domain Policies Header set X-Permitted-Cross-Domain-Policies "master-only" ## Charset UTF-8 Header set Content-Type "text/html; charset=UTF-8"
Puedes añadirlo al final del archivo.
Un Saludo
Hola Ane,
Ingresas a tu wepanel, luego a la aplicación de administrador de archivos > public_html > dominio, aquí dentro verificas lo que te dijo Pepe:
Los archivos que deberíamos eliminar son los siguientes (puede que no lo tengas todos):
Solo en esta carpeta, es decir, la de tu dominio, luego en esta misma ubicacion, busca el archivo con nombre .htaccess y agregas lo segundo que te comenta Pepe:
## Cabecera X-Frame-Options para mejorar la seguridad Header always append X-Frame-Options SAMEORIGIN # Tell the browser to attempt the HTTPS version first Header add Strict-Transport-Security "max-age=157680000" ## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome Header set X-XSS-Protection "1; mode=block" ## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos Header set X-Content-Type-Options "nosniff" # Disable server signature Header set ServerSignature "Off" Header set ServerTokens "Prod" # Control Cross-Domain Policies Header set X-Permitted-Cross-Domain-Policies "master-only" ## Charset UTF-8 Header set Content-Type "text/html; charset=UTF-8"
Como te indica, puedes agregarlo al final del archivo.
Un saludo 🖐️
Hola,
Hice tal cual me comentasteis, pero ahora en wordpress no veo bien los menus, por ejemplo, le doy a actualizaciones y la pagina se carga sin formato. ¿puede ser por haber editado el archivo htaccess? adjunto un pantallazo de como veo la pagina.
Y por por ultimo preguntar, el otro dia cuando edite el archivo thaccess vi que tengo ademas un archivo de se llama htaccess-2024-06-11-14-09-48, ese segundo archivo debe estar ahí? ¿es normal que haya 2 archivos htaccess?
Gracias.
Un saludo,
Hola Ana.
Prueba añadir lo siguiente en el archivo wp-config que está en la misma carpeta administrador de archivos > public_html > dominio
define( 'CONCATENATE_SCRIPTS', false );
Añadelo antes de la línea /* Add any custom values between this line and the "stop editing" line. */
Revisa si con eso se soluciona y nos comentas.
ese segundo archivo debe estar ahí?
Puedes eliminarlo, es una copia.
Un Saludo
Solucionado en principio ya carga bien wordpress y he podido hacer la actualización que había pendiente.
De todas formas volviendo a la consulta de las cabeceras que hice al principio, he realizado todo lo que me habéis dicho en el archivo de htaccess con respecto a las cabeceras. He vuelto a analizar la web con wpdoctor y me sigue saliendo lo siguiente:
Cabecera Content-Security-Policy: No tiene Cabeceras Content-Security-Policy (Implementar estas cabeceras puede dañar tu web si no se hace correctamente, si tienes dudas consulta con un experto).
Gracias.
Un saludo,
Hola Ane.
No veo que tengas las cabeceras añadidas en el archivo .htaccess
Ten en cuenta que el .com apunta a la carpeta public_html -> hosting146200eu-270261.webempresa.site y tienes que añadirlo en el .htaccess de esa carpeta
Un Saludo
Hola,
Es que estoy trabajando también en otra web y me pasa lo mismo. He copiado lo de las cabeceras tal cual al final del archivo htaccess y me sigue saliendo lo de que no hay cabecera de Cabecera Content-Security-Policy.
Gracias.
Un saludo,
Hola Ane.
Ok, puedes decirnos el dominio de l otra web para que podamos revisarlo ?
Un Saludo
Hola Ane.
Ok, añade lo siguiente:
## Cabecera Content Security Policy
Header always set Content-Security-Policy "upgrade-insecure-requests;"
Esta cabecera hay veces que suele dar problemas si ves que la web no carga o tiene algún problema elimina esas líneas.
Un Saludo
Buenos días,
Despues de añadir lo que me has indicado, he vuelto a hacer el análisis de la web en wpdoctor, en principio lo de las cabeceras está solucionado, espero que no me dé problemas de carga en la web.
De todas formas, me podrías indicar según lo que pone en el pantallazo que adjunto si está todo bien con las cabeceras. Nota: no entiendo muy bien lo que pone en el apartado de link.
Gracias.
Un saludo,
hola Ane.
Si esta bien ya cargan todas las cabeceras.
Un Saludo
Buenos días,
En octubre escribi aqui en el foro sobre unas consultas con respecto a Cabecera Content-Type y otras cabeceras a raiz de realizar un escaneo en wpdoctor.
En el 13 de noviembre actualice a la nueva version de wordpress 6.7 pero tuve problemas y en ticket lanzado para la consulta me dijeron que podia restaurar la web a una fecha anterior si tenia problemas. Bueno así lo hice, restaure la web a fecha 12 de noviembre. Hoy me ha dado por hacer otro escaneo de la web en wpdoctor y para mi sorpresa todo lo que os habia consultado en octubre y que habia conseguido solucionarlo con vuestras indicaciones se ha vuelto a poner mal. Asi que he entrado en el foro, he consultado lo que me dijisteis en octubre y ya tengo solucionado por segunda el tema de las cabeceras.
El caso es que no entiendo porque se han habian vuelto a quitar las cabeceras, que repito ya he solucionado con las mismas indicaiones que me disteis en octubre, pero me gustaria saber por que ha pasado esto. Si tengo que hacer algo, si podrian haber algo mal con la web...
Gracias.
Un saludo,