[Cerrado] Métricas: Add Expires headers, Use cookie-free domains  

Hola David,

¿Puedes enviarnos la URL de tu consulta? de esta forma podremos verificar con mayor detalle lo que nos comentas.

Un Saludo

Hola,

Vaya, se me ha pasado por alto un dato importante.

La url es: Contenido solo visible a usuarios registrados

Un saludo

Hola David,

He realizado un scan en WP Doctor y efectivamente faltan algunas cabeceras, puedes ver el resultado del scan en este enlace

-> Contenido solo visible a usuarios registrados

Dentro de la herramienta te muestran las indicaciones como puedes resolverlo

Generalmente este tipo de errores puedes resolverlos añadiendo estas lineas de código en tu archivo function.php del tema que uses

add_action( 'send_headers', 'add_header_seguridad' );
function add_header_seguridad() {
header( 'X-Content-Type-Options: nosniff' );
header( 'X-Frame-Options: SAMEORIGIN' );
header( 'X-XSS-Protection: 1;mode=block' );
}

Puedes leer como se implementa en los siguientes artículos

-> https://www.wpdoctor.es/cabecera-x-xss-protection-para-evitar-ataques-xss-en-ie-y-chrome/

Comprueba si al agregarlo ya se soluciona el error que te muestra el análisis

Un Saludo

Hola Karen,

Ese código ya lo tengo agregado en el functions.php.

Un saludo

Hola David,

En este caso prueba añadir el código directamente a tu archivo .htaccess

## Cabecera X-Frame-Options para mejorar la seguridad
Header always append X-Frame-Options SAMEORIGIN

# Tell the browser to attempt the HTTPS version first
Header add Strict-Transport-Security "max-age=157680000"

## Cabecera X-XSS-Protection para evitar ataques XSS en IE y Chrome
Header set X-XSS-Protection "1; mode=block"

## Cabecera X-Content-Type-Options para evitar que se carguen hojas de estilo o scripts maliciosos
Header set X-Content-Type-Options "nosniff"

# Disable server signature
Header set ServerSignature "Off"
Header set ServerTokens "Prod"

# Control Cross-Domain Policies
Header set X-Permitted-Cross-Domain-Policies "master-only"

## Charset UTF-8
Header set Content-Type "text/html; charset=UTF-8"

Luego comprueba si con ello no te muestra el error.

PD: Ya que estas modificando archivos de tu sitio web te recomiendo realices una copia de seguridad de tu archivo en tu ordenador, de esta forma puedes restaurarlo si hace falta

Un Saludo

Buenas noches Karen,

He añadido el código a .htaccess y:

1. En WP Doctor la única cabecera que sigue dando error haciéndolo de esta manera es "Cabecera Content-Security-Policy". Por cierto, además me dice que no tengo plugin de caché, cuando sí tengo (WP Rocket).
2. Tanto en Pingdom como en GTMetrix me siguen saliendo los mismos errores de "Add Expires headers".

Esto es lo que devuelve GTMetrix dentro del error Add Expires headers:

Contenido solo visible a usuarios registrados

Un saludo

Hola David,

Por lo que puedo ver del caso, uno de los errores específicamente el de la cabecera con respecto a las políticas puedes solventarlo agregando este código a .htaccess:

## Cabecera Content Security Policy
Header always set Content-Security-Policy "upgrade-insecure-requests;"

Por otro lado puedes verificar esta guía por parte de worocket donde especifican un poco lop que es este error que estas presentando y como solventarlo

https://docs.wp-rocket.me/article/80-browser-caching

PD: Recuerda realizar una copia de seguridad de tu sitio o del archivo que vas a modificar antes de realizar cualquier ajuste en este caso en el .htaccess de esta forma previenes que tu sitio web se caiga y puedas tener la solución en caso que esto pase

Saludos 

Hola Argenis,

Gracias por la respuesta.

Con el código que me has proporcionado se ha solucionado el error de la cabecera Content-Security-Policy en WP Doctor.

La guía que me comentas ya la había revisado, junto con esta otra: https://docs.wp-rocket.me/article/893-handling-external-resources

Lo que entendí es que para los recursos externos no hay solución directa con WP Rocket, salvo para Analytics, activando el add-on en Rocket. En este caso analytics no es el que da problemas, sino las fuentes y recaptcha sobre todo.

Mis conocimientos son limitados y por más que he revisado en ayuda de WP Rocket y la ayuda de GTMetrix, no sé cómo puedo solucionarlo.

Un saludo

Hola David.

Por lo de WPRocket no tienes que preocuparte es posible qu esea un falso positivo, es decir lo tienes instalado pero como cachea externamente es posible que no lo detecte.

En este caso analytics no es el que da problemas, sino las fuentes y recaptcha sobre todo.

Son recursos externo que no se pueden realizar nada ya que cargan externamente, se podría solucionar bajando los archivos y cargando directamente de tu web pero es una trabajo complicado que requiere conocimientos de código, no es un simple css o alguna función hay que realizar muchos más cambios.

Un saludo

Buenos días,

Entonces, teniendo en cuenta que la solución para que desaparezca dicho error en las métricas puede ser algo complicada, ¿es un error importante que debería intentar corregir o puedo obviarlo?

Por otra parte, ¿cómo soluciono el error de "Use cookie-free domains"?

Un saludo

Hola David.

¿es un error importante que debería intentar corregir o puedo obviarlo?

No, no es un error importante ni par el Seo , ni par el posicionamiento, ni par el funcionamiento de tu web, los aviso son informativos.

 ¿cómo soluciono el error de "Use cookie-free domains"?

Lo que te indica es que uses servidores CDN para servir los estáticos ( CSS, JS, Imágenes, etc... ).

Puedes utilizar servidores de CDN como puede ser CloudFlare -> https://www.cloudflare.com/es-es

Aun así, si no tiene conocimientos técnicos avanzados y tu consumo de ancho de banda no es muy elevado, desaconsejamos el uso de cualquier CDN como CloudFare, CloudFront, etc ya que la mayoría de clientes que lo intentan instalar desisten por no tener conocimientos suficientes para configurarlo correctamente.

Si dispones de personal técnico con conocimientos avanzados sobre web y administración de sistemas, podrás implementar CloudFare u otro CDN, de lo contrario pueden dejar fácilmente tu web inoperativa.

Desde Webempresa ofrecemos servicio de Soporte sobre Wordpress, Joomla y Prestashop pero no damos soporte de servicios de terceros como CDN's.

Tienes plugins que te pueden ayudar en el proceso de configurarlo ->  https://es.wordpress.org/plugins/cloudflare/

Te dejo información de los pasos que tienes que realizar ->  https://hormigasenlanube.com/cloudflare-para-wordpress/

Desde soporte tiene que habilitar la conexión para que el cortafuegos no te la bloquee, eso lo puedes pedir mandando un ticket a soporte.

Un saludo

Buenas tardes Pepe,

Ya utilizo Cloudflare desde hace varios días y el error de "Use cookie-free domains" no desparece.

No utilizo el plugin de Cloudflare ya que WP Rocket tiene un complemento propio para Cloudflare.

¿Tengo que abrir un ticket para indicar que estoy utilizando Cloudflare y que añadan lo que corresponda al cortafuegos? Este paso sí que no lo he realizado.

Un saludo

Hola David.

¿Tengo que abrir un ticket para indicar que estoy utilizando Cloudflare y que añadan lo que corresponda al cortafuegos? 

No ya que lo manejas desde WP Rocket pero según veo en la documentación tienes que crear subdominios para los estáticos:

-> https://docs.wp-rocket.me/article/889-parallelize-downloads-across-hostnames-serve-static-content-from-a-cookieless-domain

-> https://www.reginaldchan.net/serving-static-content-from-cookieless-subdomain/

De todas formas tampoco es un aviso importante que no afecta ni a la carga de tu web ni al posicionamiento.

Un saludo

@karen

Hola Karen! He leído y actuado con detenimiento, pero la corrección no ha eliminado el mensaje de advertencia roja en WP Doctor sobre (No tiene Cabeceras Content-Security-Policy [...]  si tienes dudas consulta con un experto) etc. ANEXO IMAGEN, por favor ¿me puedes dar mas luz? Gracias!