No es la primera vez que hablamos del tema. Hace ya algún tiempo que escribimos Cómo habilitar cabeceras HSTS en sitios web seguros. En dicha publicación explicábamos lo que hay que hacer para activar este sistema de seguridad en cualquier sitio web.
A continuación proponemos la utilización del plugin Headers Security Advanced & HSTS WP con el fin de activar estas cabeceras en un sitio web creado con WordPress. Con esta extensión se habilitan encabezados de respuesta HTTP centrados en incrementar la seguridad del sitio web.
¿Qué ofrece Headers Security Advanced & HSTS WP?
Con Headers Security Advanced & HSTS WP no tendremos que preocuparnos de activar diferentes cabeceras con el fin de que los navegadores web actuales se encuentren con vulnerabilidades y, como consecuencia de ello, no carguen las páginas web que las muestran.
Características de Headers Security Advanced & HSTS WP
Entre las características que ofrece Headers Security Advanced & HSTS WP destacan las siguientes:
- Protección X-XSS (no estándar)
- Esperar-TC
- Control de acceso Permitir origen
- Métodos de permiso de control de acceso
- Control de acceso: encabezados permitidos
- Política de seguridad de X-Content
- Opciones de tipo de contenido X
- Opciones de X-Frame
- Políticas entre dominios permitidas por X
- Desarrollado por X
- Política de seguridad de contenido
- Política de referencia
- Seguridad de transporte estricta HTTP/HSTS
- Política de seguridad de contenido: sólo informe
- Borrar datos del sitio
- Informe de política de incrustación de origen cruzado únicamente
- Informe de política de apertura de origen cruzado únicamente
- Política de incrustación de origen cruzado
- Política de apertura de origen cruzado
- Política de recursos de origen cruzado
- Política de permisos
- Estricto-dinámico
- Seguridad estricta en el transporte
- FLoC (Aprendizaje federado de cohortes)
A tener en cuenta
Los encabezados de seguridad HTTP son una parte fundamental en la protección de un sitio web. Después de la implementación automática con Headers Security Advanced y HSTS WP, el sitio estará protegido de los tipos de ataques más conocidos que pueden surgir. Estos encabezados protegen contra XSS, inyección de código, clickjacking, etc.
El plugin implementa perfectamente la política de seguridad de contenidos (CSP). Con ello se conseguirá que la inclusión de diferentes scripts y complementos sea perfectamente segura, sin que se cree ningún tipo de problemas ni ningún fallo.
Conclusión
Tras implementar este plugin en nuestra instalación de WordPress lo mejor es acceder a Security Headers. Tras hacerlo sólo debemos escribir la URL del dominio que queremos analizar y pulsar sobre Scan. Tras hacerlo veremos algo similar a lo que mostramos a continuación.
Además de lo que se muestra en la imagen anterior veremos también en la página, más abajo, los Encabezados sin formato (Raw Headers) y una completa Información adicional (Additional Information).
Instalación del plugin
Si tienes dudas de lo que debes hacer para poner en marcha este plugin, te recomiendo que leas Cómo instalar un plugin en WordPress. Utilizando uno de los sistemas recomendados puedes llevar a buen fin lo que quieres. El acceso a la página de información y descarga del plugin es Headers Security Advanced & HSTS WP.