¿Qué son los encabezados de seguridad o Header Security?
Los encabezados de seguridad (Header Security) es un tipo de instrucción de seguridad que los servidores web envían al navegador de un cliente a través de encabezados HTTP. Estos encabezados proporcionan información adicional y configuraciones de seguridad para proteger los sitios web y prevenir diferentes tipos de ataques.
El Header Security ayuda a proteger su sitio web contra amenazas comunes, como inyección de código, Cross-Site Scripting (XSS), robo de identidad (CSRF) y clickjacking. Configurando correctamente el Header Security, se puede mejorar la seguridad de su sitio web y reducir el riesgo de vulnerabilidades potenciales que puedan ser aprovechadas.
Cómo agregar encabezados de seguridad o Header Security HTTP
Vamos a aprender cómo agregar encabezados de seguridad o Header Security a una web creada en WordPress
Utilizaremos dos métodos para agregar los encabezados, en el primero utilizaremos un plugin y el segundo directamente en el archivo htaccess. Este segundo método no requiere un plugin, pero debe tener acceso a los archivos de tu web en el servidor.
Lo primero que tienes que hacer es escanear tu web en la página Security Headers, Una vez escaneada obtendrás una puntuación A, B, C o D, también te mostrará los encabezados que tienes instalado actualmente. En caso de que te falten algunos o no tengas ninguno, sigue los siguientes pasos para obtener una puntuación de A+
Vamos con el primer procedimiento
Utilizar Plugins Para Añadir Header Security
Dirígete al repositorio de plugins en WordPress y busca el siguiente plugin “Headers Security Advanced & HSTS WP”, el plugin es totalmente gratis
Luego tienes que instalar el plugin y activar.
Con esto será suficiente para obtener una puntuación de A+ en Security Headers.
El segundo procedimiento
Añadir Header Security en archivo htaccess
Este procedimiento es un poco más complicado, ya que necesitas acceso al archivo htaccess en tu servidor, pero si puedes acceder es más recomendable, porque, no tiene que instalar un plugin en tu web.
Si quieres puedes ver el siguiente video para el procedimiento o Seguir leyendo la publicación.
Lo primero que vamos a hacer es identificar el archivo htaccess en nuestro panel de archivo y descargaremos una copia, hacemos este paso por si ocurriera algún error, simplemente tenemos que sustituirlo con el descargado.
El siguiente paso es tomar los códigos o comandos que te dejaré aquí abajo y copiarlos antes del final de WordPress así como se ve en la imagen.
Header set Content-Security-Policy "upgrade-insecure-requests"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header set X-Xss-Protection "1; mode=block"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-Content-Type-Options "nosniff"
Header set Referrer-Policy "strict-origin-when-cross-origin"
Header set Permissions-Policy "geolocation=self"
Header set X-Permitted-Cross-Domain-Policies "none"
Header set Feature-Policy "camera 'none'; fullscreen 'self'; geolocation ; microphone 'self' https://tudominio.com/"
Una vez pegado le das a salvar y realiza un nuevo escaneo de tu web y confirma que tienes una puntuación de A+ en Security Headers.
También tienes que verificar tu web que no se haya roto nada, si se ha roto algo tienes que borrar todos los códigos que copiaste y revisa nuevamente, si todo está bien significa alguno de los encabezados tiene algún conflicto con el tema o un plugins.
Para solucionarlo ve pegando una línea de código a la vez y comprobando si se rompe algo, cuando identifique cuál línea está causando el problema puedes consultar la página OWASP Secure Headers Project para ver si puedes sustituir los valores por otro.
Cuando realicé esto habrás avanzado en mejorar la seguridad tu página web, también puedes cambiar la URL de acceso, en el siguiente enlace aprenderás como hacerlo: Cambiar la Url de Acceso a WordPress
