Cómo agregar encabezados de seguridad HTTP en WordPress (Guía para principiantes)

Proteger tu sitio web de WordPress de amenazas en línea es crucial. Una forma en que mejoramos la seguridad en WPBeginner es utilizando encabezados de seguridad HTTP. Estos proporcionan una capa adicional de seguridad, actuando como un escudo contra ataques y vulnerabilidades comunes.

Estos encabezados funcionan detrás de escena, instruyendo a los navegadores web y servidores sobre cómo manejar los datos de tu sitio web y mejorar su seguridad general. Agregar estos encabezados es una forma simple pero efectiva de fortalecer las defensas de tu sitio web y proteger contra actividades maliciosas.

Esta guía para principiantes te mostrará cómo agregar encabezados de seguridad HTTP en WordPress. Cubriremos varios métodos, incluyendo el uso de plugins y la edición manual de archivos de configuración.

¿Qué son los encabezados de seguridad HTTP?

Los encabezados de seguridad HTTP son una medida de seguridad que permite al servidor de tu sitio web prevenir algunas amenazas de seguridad comunes antes de que puedan afectar tu sitio web.

Cuando un usuario visita tu sitio web de WordPress, tu servidor web envía una respuesta de encabezado HTTP a su navegador. Esta respuesta informa a los navegadores sobre códigos de error, control de caché y otros estados.

La respuesta de encabezado normal emite un estado llamado HTTP 200. Después de esto, tu sitio web se carga en el navegador del usuario. Sin embargo, si tu sitio web tiene dificultades, tu servidor web puede enviar un encabezado HTTP diferente.

Por ejemplo, puede enviar un error interno del servidor 500 o un código de error 404 no encontrado.

Los encabezados de seguridad HTTP son un subconjunto de estos encabezados. Se utilizan para proteger los sitios web de amenazas comunes como el click-jacking, cross-site scripting, ataques de fuerza bruta y más.

Echemos un vistazo rápido a algunos encabezados de seguridad HTTP y cómo protegen tu sitio de WordPress:

• HTTP Strict Transport Security (HSTS) le indica a los navegadores web que tu sitio web utiliza HTTPS y no debe cargarse utilizando un protocolo inseguro como HTTP.
• X-XSS Protection te permite bloquear la carga de cross-site scripting.
• X-Frame-Options previene iframes de dominio cruzado o click-jacking.
• X-Content-Type-Options X-Content-Type-Options bloquea la detección de tipos MIME de contenido.

Los encabezados de seguridad HTTP funcionan mejor cuando se establecen a nivel del servidor web, lo que significa tu cuenta de hosting de WordPress. Esto les permite activarse temprano durante una solicitud HTTP típica y proporcionar el máximo beneficio.

Funcionan aún mejor si estás utilizando un firewall de aplicación web a nivel de DNS como Sucuri o Cloudflare.

Dicho esto, veamos cómo agregar fácilmente encabezados de seguridad HTTP en WordPress. Aquí tienes enlaces rápidos a diferentes métodos para que puedas ir al que más te convenga:

1. Agregar encabezados de seguridad HTTP en WordPress usando Sucuri
2. Agregar encabezados de seguridad HTTP en WordPress usando Cloudflare
3. Agregar encabezados de seguridad HTTP en WordPress usando .htaccess
4. Agregar encabezados de seguridad HTTP en WordPress usando AIOSEO
5. Cómo verificar encabezados de seguridad HTTP para un sitio web
6. Guías expertas sobre seguridad de WordPress

1. Agregar encabezados de seguridad HTTP en WordPress usando Sucuri

Sucuri es uno de los mejores plugins de seguridad para WordPress del mercado. Si estás utilizando su servicio de firewall para sitios web, entonces puedes configurar encabezados de seguridad HTTP sin escribir ningún código.

Primero, necesitarás registrarte para obtener una cuenta de Sucuri. Es un servicio de pago que viene con un firewall a nivel de servidor, un plugin de seguridad, CDN y garantía de eliminación de malware.

Durante el registro, deberás responder preguntas sencillas, y la documentación de Sucuri te ayudará a configurar el firewall de aplicaciones web en tu sitio.

Después de registrarte, debes instalar y activar el plugin de Sucuri gratuito. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.

Al activarlo, debes ir a Sucuri Security » Firewall (WAF) e ingresar tu clave API del Firewall. Puedes encontrar esta información en tu cuenta en el sitio web de Sucuri.

Después de eso, deberás hacer clic en el botón verde 'Guardar' para almacenar tus cambios.

A continuación, debes cambiar al panel de control de tu cuenta de Sucuri. Desde aquí, haz clic en el menú 'Configuración' en la parte superior y luego cambia a la pestaña 'Seguridad'.

Desde aquí, puedes elegir tres conjuntos de reglas. La protección predeterminada funcionará bien para la mayoría de los sitios web.

Si tienes un plan Profesional o Empresarial, también tienes opciones para HSTS y HSTS Completo. Puedes ver qué encabezados de seguridad HTTP se aplicarán para cada conjunto de reglas.

Necesitas hacer clic en el botón 'Guardar Cambios en Encabezados Adicionales' para aplicar tus cambios.

Sucuri ahora agregará los encabezados de seguridad HTTP seleccionados en WordPress. Dado que es un WAF a nivel de DNS, el tráfico de tu sitio web está protegido de hackers incluso antes de que llegue a tu sitio.

2. Cómo agregar encabezados de seguridad HTTP en WordPress usando Cloudflare

Cloudflare ofrece un servicio básico gratuito de firewall y CDN para sitios web. Carece de funciones de seguridad avanzadas en su plan gratuito, por lo que deberá actualizar a su plan Pro, que es más caro.

Puede aprender cómo agregar Cloudflare a su sitio web siguiendo nuestro tutorial sobre cómo configurar la CDN gratuita de Cloudflare en WordPress.

Una vez que Cloudflare esté activo en su sitio web, debe ir a la página SSL/TLS en el panel de su cuenta de Cloudflare y luego cambiar a la pestaña 'Certificados de borde'.

Ahora, desplácese hacia abajo hasta la sección 'Seguridad estricta de transporte HTTP (HSTS)'.

Una vez que la encuentre, deberá hacer clic en el botón 'Habilitar HSTS'.

Esto abrirá una ventana emergente con instrucciones que le indicarán que debe tener HTTPS habilitado en su sitio web antes de usar esta función.

Si su blog de WordPress ya tiene una conexión HTTPS segura, entonces puede hacer clic en el botón 'Siguiente' para continuar. Verá las opciones para agregar encabezados de seguridad HTTP.

Desde aquí, puede habilitar HSTS, aplicar HSTS a subdominios (si los subdominios usan HTTPS), precargar HSTS y habilitar el encabezado no-sniff.

Este método proporciona protección básica utilizando encabezados de seguridad HTTP. Sin embargo, no le permite agregar X-Frame-Options, y Cloudflare no tiene una interfaz de usuario para hacerlo.

Aún puedes hacer eso creando un script usando la función Cloudflare Workers. Sin embargo, no recomendamos esto porque crear un script de encabezado de seguridad HTTPS puede causar problemas inesperados para los principiantes.

3. Agregando encabezados de seguridad HTTP en WordPress usando .htaccess

Este método te permite establecer los encabezados de seguridad HTTP en WordPress a nivel del servidor.

Requiere editar el archivo .htaccess en tu sitio web. Este archivo de configuración del servidor es utilizado por el software de servidor web Apache, el más comúnmente usado.

Nota: Antes de hacer cualquier cambio en los archivos de tu sitio web, te recomendamos hacer una copia de seguridad.

A continuación, simplemente conéctate a tu sitio web usando un cliente FTP o el administrador de archivos en el panel de control de tu alojamiento web. En la carpeta raíz de tu sitio web, deberás encontrar el archivo .htaccess y editarlo.

Esto abrirá el archivo en un editor de texto plano. Al final del archivo, puedes agregar código para añadir encabezados de seguridad HTTPS a tu sitio web de WordPress.

Puedes usar el siguiente código de ejemplo como punto de partida. Establece los encabezados de seguridad HTTP más utilizados con configuraciones óptimas:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

No olvides guardar tus cambios y visitar tu sitio web para asegurarte de que todo funcione como esperas.

4. Añadir encabezados de seguridad HTTP en WordPress usando AIOSEO

All in One SEO (AIOSEO) es la mejor herramienta SEO para WordPress y es confiada por más de 3 millones de empresas. El plugin premium te permite añadir fácilmente encabezados de seguridad HTTP a tu sitio web.

Lo primero que deberás hacer es instalar y activar el plugin AIOSEO en tu sitio web. Puedes aprender más en nuestra guía paso a paso sobre cómo configurar All in One SEO para WordPress.

Luego, deberás dirigirte a la página Todo en Uno SEO » Redirecciones para agregar los encabezados de seguridad HTTP. Primero, deberás hacer clic en el botón ‘Activar Redirecciones’ para habilitar la función.

Una vez que las redirecciones estén habilitadas, deberás hacer clic en la pestaña ‘Redirección Completa del Sitio’ y luego desplazarte hacia abajo hasta la sección ‘Configuración Canónica’.

Simplemente habilita el interruptor ‘Configuración Canónica’ y luego haz clic en el botón ‘Agregar Presets de Seguridad’.

Verás una lista preestablecida de encabezados de seguridad HTTP que aparecerán en la tabla.

Estos encabezados están optimizados para la seguridad del sitio web. Puedes revisarlos y cambiarlos si es necesario.

Asegúrate de hacer clic en el botón ‘Guardar Cambios’ en la parte superior o inferior de la pantalla para almacenar los encabezados de seguridad.

Ahora puedes visitar tu sitio web para asegurarte de que todo funcione correctamente.

Cómo verificar encabezados de seguridad HTTP para un sitio web

Ahora que has agregado encabezados de seguridad HTTP a tu sitio web, puedes probar tu configuración utilizando la herramienta gratuita Security Headers.

Simplemente ingresa la URL de tu sitio web y haz clic en el botón ‘Escanear’.

Luego, verificará los encabezados de seguridad HTTP de tu sitio web y te mostrará un informe. La herramienta también generará una etiqueta de calificación, la cual puedes ignorar, ya que la mayoría de los sitios web obtendrán una puntuación B o C sin afectar la experiencia del usuario.

Te mostrará qué encabezados de seguridad HTTP envía tu sitio web y cuáles no están incluidos. Si los encabezados de seguridad que querías configurar están listados allí, entonces has terminado.

Guías expertas sobre seguridad de WordPress

Esperamos que este artículo te haya ayudado a aprender cómo agregar encabezados de seguridad HTTP en WordPress. También puedes consultar otras guías relacionadas con la mejora de la seguridad de tu sitio web de WordPress:

• La guía definitiva de seguridad de WordPress (paso a paso)
• Cómo realizar una auditoría de seguridad de WordPress (Lista de verificación completa)
• Cómo Obtener un Certificado SSL Gratis para tu Sitio Web de WordPress (Guía para Principiantes)
• Principales razones por las que los sitios de WordPress son hackeados (& cómo prevenirlo)
• Cómo Cambiar el Prefijo de la Base de Datos de WordPress para Mejorar la Seguridad
• Los mejores plugins de seguridad para WordPress para proteger tu sitio (Comparado)
• Los mejores escáneres de seguridad de WordPress para detectar malware y hackeos
• Cómo escanear tu sitio de WordPress en busca de código potencialmente malicioso

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.