Cómo Añadir las Cabeceras de Seguridad HTTP en WordPress

Las cabeceras HTTP se utilizan para el correcto funcionamiento de una web. Se tratan de una espacie de comunicación entre el servidor y el navegador que un atacante puede utilizar para «conocer» el funcionamiento de nuestro sitio. En WordPress puedes securizar las cabeceras HTTP de una forma muy sencilla editando el archivo .htaccess.

Cuando haces click en un enlace o visitas un sitio WordPress, el navegador y el servidor envían información entre ellos, imágenes, texto, enlaces, etc… de otra forma no se vería el sitio web.

Además del contenido web en si mismo, se envían la información de la cabeceras o headers en ingles.

En las cabeceras se añade información del servidor y la web visitada, como la versión de HTTP que se utiliza, el tipo de servidor web, el control de la caché, los tipos de archivo, etc…

Toda esta información se utiliza para que el navegador pueda mostrar el sitio web de forma correcta, pero tanta información también puede ser utilizada para que un atacante intente hackear nuestro WordPress.

Una forma de evitar esto es securizar las cabeceras o añadir cabeceras http seguras en nuestro WordPress.

En realidad se trata de un proceso muy sencillo pero que no se utiliza mucho, al menos por ahora.

Tampoco significa que si no usamos las cabeceras seguras, un atacante nos puede hackear si o si, pero si las activamos tenemos una capa extra de seguridad que nos puede salvar de un intento de ataque.

También es posible que, al añadir algunas de las cabeceras de seguridad, nuestro WordPress falle, por alguna programación o plugin que tengamos instalado.

Por eso es importante que hagas una copia de seguridad antes de tocar nada, así si algo falla, lo podrás arreglar en pocos minutos.

¿Tengo las Cabeceras HTTP Seguras ya en mi WordPress?

Antes de nada, es posible que tu WordPress ya tenga las cabeceras HTTP seguras, pero no seas consciente de ello.

Igual un plugin de seguridad que hayas instalado tenga esta opción entre sus muchas características o el diseñador/programador que te hizo la web las añadiera.

En cualquier caso, para revisarlo lo mejor es hacer un check externo en alguna de las muchas webs que puedes encontrar haciendo una simple búsqueda en Google, como por ejemplo securityheaders.com

Su funcionamiento es muy sencillo, sólo tienes que poner en tu dominio en el buscador y pulsar en Scan y en unos segundos verás el resultado.

En nuestra prueba no hemos dado ningún positivo y nos faltan todas las cabeceras HTTP de seguridad posibles. ¡Código Rojo!

Si por el contrario el test muestra un bonito color verde, significa que ya estás utilizando las cabeceras seguras y ay puedes pasar a otra cosa, no tienes que hacer nada más al respecto.

Añadir Cabeceras HTTP Seguras en en Archivo .htaccess

La cabeceras seguras HTTP se pueden añadir el en archivo .htaccess de tu WordPress, aunque también puedes añadirlas en el archivo functions.php del theme que estés usando, pero si no estás usando un «Tema Hijo» tendrás que volver a añadirlas cada vez que actualices el theme.

Las cabeceras seguras más comunes son las siguientes:

• – Strict-Transport-Security
  Eso nos garantiza que ningún navegador pueda interactuar con el sitio si no usa https, así evitamos que un atacante intente usar protocolo no seguro (http) en nuestro sitio.
• – Content-Security-Policy
  Se trata de una eficaz medida para evitar los ataques XSS. Se pueden incluir «listas blancas» de contenido para que el navegador no pueda cargar contenido no verificado.
• – X-Frame-Options
  Un frame se utiliza para cargar parte de una página web en otra web, con esta cabecera podemos evitarlo o añadir sólo algunas URL’s permitidas.
• – X-Content-Type-Options
  Con esta cabecera de seguridad podemos evitar que el navegador cargue contenido enmascarado para intentar engañarlo.
• – Referrer-Policy
  Cuando visitas una web el servidor «sabe» de dónde eres. Si quieres evitar esto en tu WordPress puedes usar esta cabecera de seguridad.
• – Permissions-PolicyEsta cabeceras sirve para controlar las funciones que puede usare el navegador web visitar nuestros WordPress. Sirve también para las API.

Un ejemplo del código que puedes usar es el siguiente:

<IfModule mod_headers.c>
  Header always append X-Frame-Options SAMEORIGIN
  Header set X-Content-Type-Options nosniff
  Header set Referrer-Policy: no-referrer-when-downgrade
  Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
  Header set Content-Security-Policy "default-src 'self'"
  Header set X-XSS-Protection "1; mode=block"
</IfModule>

Eso lo tienes que copiar y pegar en el archivo .htaccess de tu sitio web, aunque es sólo un ejemplo, puedes editarlo si lo necesitas y si no tienes los conocimientos necesarios, buscar ayuda de un profesional.

Lo que si es importante es que hagas una copia de seguridad del archivo .htaccess antes de modificarlo, por si algo sale mal.

Debería quedar algo parecido a la siguiente imagen:

Una vez guardes los cambios puedes volver a pasar el test online de antes para ver si todo ha sido correcto.

El bonito color verde debería confirmar que has añadido las cabeceras HTTP seguras de manera correcta.

Cosas a Tener en Cuenta

Una vez añadas las cabeceras HTTTP seguras debes de comprobar que todo tu WordPress funcione correctamente.

Formularios, accesos al panel, carritos de compra, registro de usuarios, envío de correos electrónicos automáticos,…

Comprueba que todo es correcto y que no has dejado sin funcionamiento alguna programación por añadir las cabeceras seguras HTTP en el archivo .htaccess.

En principio no deberías tener problemas, pero cada WordPress es un mundo, así que vale la pena comprobarlo.

Si prefieres hacer todo esto a través de un plugin, una opción es HTTP Headers, aunque tienes más opciones disponible, como casi todo en WordPress.

Hosting WordPress SSD + IP Española