🔐 Cómo Implementar Encabezados de Seguridad en WordPress

Los encabezados de seguridad son una parte crucial de la defensa de tu sitio web contra diversas amenazas. Configurar correctamente estos encabezados puede proteger tu sitio de ataques comunes como clickjacking, cross-site scripting (XSS) y sniffing de contenido. En este artículo, aprenderás qué son los encabezados de seguridad, por qué son importantes y cómo configurarlos en tu sitio de WordPress.

¿Qué Son los Encabezados de Seguridad?

Los encabezados de seguridad son directivas que se envían desde el servidor al navegador del usuario, indicándole cómo debe comportarse con respecto a la seguridad. Estos encabezados ayudan a mitigar riesgos al establecer políticas claras sobre qué contenido se puede cargar y desde dónde, cómo debe manejarse la información sensible y cómo proteger la interacción del usuario con el sitio.

¿Por Qué Son Importantes los Encabezados de Seguridad?

1. Protección Contra XSS (Cross-Site Scripting): Los encabezados como X-XSS-Protection y Content-Security-Policy ayudan a prevenir ataques de scripts maliciosos que pueden robar información sensible o realizar acciones no autorizadas.
2. Mitigación de Clickjacking: X-Frame-Options impide que tu sitio sea incrustado en iframes de otros dominios, protegiendo contra ataques de clickjacking.
3. Refuerzo de HTTPS: Strict-Transport-Security asegura que los navegadores solo se conecten a tu sitio a través de HTTPS, protegiendo contra ataques de intermediarios (MITM).
4. Control de Contenido: X-Content-Type-Options previene que los navegadores interpreten archivos como tipos de contenido incorrectos, evitando posibles vulnerabilidades.

Configuración de Encabezados de Seguridad en WordPress

Para implementar estos encabezados en tu sitio de WordPress, necesitas añadir las directivas correspondientes en el archivo .htaccess. Aquí tienes una configuración recomendada:

# ENCABEZADOS DE SEGURIDAD #

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header set Permissions-Policy "geolocation=(), microphone=(), camera=(), payment=(), magnetometer=(), gyroscope=(), fullscreen=(self), sync-xhr=(self)"
</IfModule>

<IfModule mod_headers.c>
Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'  https://*.mailchimp.com https://*.list-manage.com; style-src 'self' 'unsafe-inline' ; img-src 'self' https://pontudominio.com https://secure.gravatar.com data: https:; font-src 'self' ; connect-src 'self' https://*.mailchimp.com https://*.list-manage.com; frame-src 'self' https://js.stripe.com;"
</IfModule>

# FIN ENCABEZADOS DE SEGURIDAD #

⚠️ Nota importante: debes cambiar en el código donde dice https://pontudominio.com por el que corresponda.

Explicación de los Encabezados

• Strict-Transport-Security: Esta directiva indica a los navegadores que deben comunicarse con tu sitio solo a través de HTTPS. La opción includeSubDomains asegura que todas las subdominios también sean accedidos solo a través de HTTPS.
• X-Frame-Options: Esta directiva evita que tu sitio sea embebido en iframes de otros dominios, protegiéndote contra ataques de clickjacking.
• X-XSS-Protection: Activa el filtro de protección contra XSS del navegador, evitando la ejecución de scripts maliciosos.
• X-Content-Type-Options: Previene que los navegadores interpreten incorrectamente los tipos de contenido, lo que puede evitar ataques basados en contenido.
• Referrer-Policy: Controla la cantidad de información de referencia que se envía al navegar fuera de tu sitio. La opción strict-origin-when-cross-origin envía solo la información necesaria y protege la privacidad del usuario.
• Permissions-Policy: Controla qué funciones del navegador pueden ser usadas, limitando potencialmente el acceso a características sensibles.
• Content-Security-Policy: Define qué recursos pueden ser cargados y desde dónde, permitiendo un control granular sobre el contenido que se ejecuta en tu sitio. Esto es crucial para prevenir ataques de inyección de contenido.

Implementación y Verificación

• Actualizar el Archivo .htaccess: Asegúrate de que tu archivo .htaccess contenga las directivas correctas y esté ubicado en la raíz de tu instalación de WordPress.
• Verificar el Funcionamiento del Sitio: Después de realizar los cambios, revisa que tu sitio funcione correctamente. Asegúrate de probar tanto el frontend como el backend.
• Utilizar Herramientas de Análisis de Seguridad: Herramientas como Security Headers pueden ayudarte a verificar que los encabezados se están aplicando correctamente y a identificar áreas de mejora.
• Monitorear la Consola del Navegador: Utiliza las herramientas de desarrollo del navegador para revisar cualquier advertencia o error relacionado con la CSP u otros encabezados de seguridad.

Implementar encabezados de seguridad en tu sitio de WordPress es una medida esencial para proteger contra diversas amenazas de seguridad. Al configurar correctamente estos encabezados, puedes mejorar significativamente la seguridad de tu sitio y proporcionar una experiencia más segura para tus usuarios. Recuerda revisar y ajustar estas configuraciones regularmente, especialmente cuando introduces nuevos servicios o plugins a tu sitio.