Saltar al contenido

¿Qué cabeceras de seguridad son esenciales para WordPress?

21/02/2021

Nunca se concentra demasiado en la seguridad con WordPress. No es que nuestro CMS favorito sea vulnerable. No. Es solo que funciona con más de un tercio de todos los sitios web. En cuanto a los sitios web creados específicamente por un CMS, incluso se encuentra en dos tercios de los casos. Entonces, es mecánico. Cuando eres popular, te atacan más a menudo . Es así…

 

¡No se preocupe, mi plugin de seguridad se encarga de todo!

Sin embargo, ciertamente ya ha hecho sus arreglos, ¿no es así? Debe haber instalado una extensión de seguridad . ¿Algo así como el Itheme Security realmente bueno ? ¿A menos que haya recurrido a las más famosas Secupress o Wordfence ? ¿Quizás incluso subiste a la cima del Sucuri superior ? Sin embargo, incluso si estos plugins han agregado muchas líneas en su .htaccess, aún puede optimizar este archivo para esto, con algunos encabezados HTTP para incluir.

En primer lugar, si no sabe qué es el archivo .htaccess, ¡le recomiendo este excelente artículo del chef ! De hecho, ¡un error en este archivo no perdona! Además, encontrará algunas líneas útiles allí para optimizar su .htaccess específicamente para WordPress.

¿Qué es un encabezado HTTP?

Su sitio de WordPress se muestra a través de un servidor. Entonces, cuando uno de sus usuarios accede a él, en realidad le pide al servidor que se lo muestre. Para ello, el usuario debe poder comunicarse con el servidor y el propio servidor se comunica con su sitio web. En un entorno de WordPress, es el archivo .htaccess el que ocurre. Este se encuentra en la raíz de su administrador de FTP. En el siguiente ejemplo, estoy usando Filezilla.

En un entorno de WordPress, es el archivo .htaccess el que ocurre. Este se encuentra en la raíz de su administrador de FTP. En el siguiente ejemplo, estoy usando Filezilla.

Un encabezado HTTP es, de hecho, información adicional enviada al servidor que este último debe devolver en el momento de la visualización . Para que todo salga bien, la configuración del sitio web y su estructura debe ajustarse a la información enviada. Por cierto, es posible que haya oído hablar de él antes. Al menos si ha estado interesado en almacenar en caché su WordPress. De hecho, las herramientas de rendimiento le ordenan que incluya encabezados de vencimiento o encabezados de vencimiento en francés. Compartí algunos de ellos con ustedes durante un artículo reciente sobre optimización de imágenes en WordPress .

El encabezado de estricta seguridad de transporte

Para comunicarse con servidores y mostrar sitios web, su navegador usa un protocolo . Hasta 2016-2017, este protocolo era http (Protocolo de transporte de hipertexto). Desde entonces, hemos cambiado a https . «S» para seguro o «securite» en francés. Esto cifra los datos intercambiados entre el navegador y el servidor a través de su sitio web. Esto es para garantizar la confidencialidad.

Sin embargo, el protocolo http no ha desaparecido. Además, es muy probable que su sitio siempre tenga una dirección de correo electrónico que comience con http: //. Y esto incluso si tiene uno que comience con https: //. El encabezado Strict Transport Security o HSTS le permite forzar el uso del protocolo https. Incluso si el usuario ingresa a http://yoursite.com o simplemente a su sitio.com. Para implementar este encabezado, ingrese estas pocas líneas en su .htaccess:

<IfModule mod_headers.c>
El encabezado siempre establece Strict-Transport-Security "max-age = 31536000; includeSubDomains; preload"
</IfModule>

El caso de http redirecciona a https

Quizás me diga que ya ha configurado un redireccionamiento automático. De hecho, la mayoría de plugins de seguridad como Itheme Security o Wordfence lo ofrecen. Sin embargo, esta no es la única forma de implementarlo. De hecho, también puede incluirlo directamente a través del .htaccess gracias a estas líneas.

RewriteEngine On
RewriteCond% {SERVER_PORT} 80
RewriteRule ^ (. *) $ Https://www.yoursite.com/$1 [R, L]

Sin embargo, esto no lo exime de agregar un encabezado de seguridad de transporte estricto . Por qué ? Porque la redirección por sí sola deja una ventana de oportunidad para el «hombre en el medio». Este es el nombre de un ataque que consiste en desviar este redireccionamiento a un sitio malicioso. Para ello, el hacker se sitúa entre http://yoursite.com que se mostrará brevemente y https://yoursite.com al que se redirige el primero. El encabezado de seguridad no es una redirección sino una orden que indica que se muestre su sitio web directamente en https.

El referente: ¿kezaco?

Por supuesto, la web no se construyó en un día. Sin embargo, al principio había algunos fundamentos. Este es el caso de los referentes o referentes . Su principio es muy simple. Esto implica informar a un servidor de los enlaces utilizados para apuntar a un sitio web. Para darle un ejemplo, si me vinculo a https://maximemalfoy.com (;-D) y hago clic en él, se notificará a mi servidor que la solicitud original es de wpformation.com. Este es el BA BA de análisis de tráfico. Sin embargo, el W3C recomienda poner algo de orden en todo esto a través de una política de referencia .

Para ello, los invito a ingresar a las siguientes líneas:

<IfModule mod_headers.c>
Conjunto de encabezados Política de referencia "no-referrer"
</IfModule>

¿Cómo elijo la directiva para mi política de referencias?

Aquí, la directiva dada al servidor es sin referencia . Con él, no se transmitirá información sobre el referente . Pero hay otras siete directivas posibles a su discreción.

También puede ingresar el origen entre las comillas . En este caso, solo se transmite la URL absoluta del sitio, incluso si el enlace seguido está en una página. Entonces, si llego a wpformation.com a través de un enlace en http://yoursite.com/mentions-legales, solo http://yoursite.com se transmitirá a wpformation.com.

El valor no-referrer-when-downgrade es la directiva predeterminada de la política de referencia . Esto significa que en ausencia de una indicación o si no es válida, se aplicará. Garantiza la transmisión de la URL de referencia si el protocolo es equivalente (http a http o https a https) o superior (http a https) pero no al revés (https a http). Con la directiva de origen estricto , solo se transmite la URL absoluta y solo si el protocolo es superior (http a https) o equivalente (https a https). En otros casos, no se transmite nada.

En el caso del mismo origen , el servidor de su sitio será el único en recibir información. De hecho, los datos solo se transmiten en el caso de que la URL de referencia tenga la misma URL absoluta. Por lo tanto, esto excluye todas las URL externas. Por otro lado, origin-when-cross-origin permite enviar la URL completa al servidor si la dirección de referencia absoluta es la misma. En otros casos, solo se transmitirá la URL absoluta. Finalmente, estricto-origen-cuando-origen-cruzado tiene la misma función que origen-cuando-origen-cruzado.Excepto que la URL de referencia absoluta también se transmite si el nivel de seguridad del protocolo también es alto (https a https). Si no, no pasa nada. Tenga en cuenta que esta última directiva probablemente se convertirá en la predeterminada para muchos navegadores en el futuro.

La seguridad también pasa por funcionalidades con la Política de permisos

Quizás hayas oído hablar de este encabezado antes. De hecho, se le llamó política de funciones . Hoy se llama política de permisos . Su finalidad es autorizar o no determinadas funciones del navegador . Porque estos pueden afectar la experiencia del usuario o simplemente capturar datos que no desea intercambiar. Por otro lado, estas herramientas también se pueden utilizar con fines maliciosos. Entonces, si no los está usando en su sitio de WordPress, ¡también puede desactivarlos!

Por lo tanto, se pueden administrar alrededor de treinta opciones a través de los permisos de encabezado de esta política . Sin embargo, tenga en cuenta que no todos son compatibles con estos navegadores. Aquí tienes una lista exhaustiva de las funcionalidades en cuestión, algunas de las cuales seguramente encontrarás más útiles que otras:

  • acelerómetro
  • sensor de luz ambiental
  • auto-reproducción
  • batería
  • cámara
  • captura de pantalla
  • dominio-documento
  • medios-cifrados
  • pantalla completa
  • Ubicación geográfica
  • giroscopio
  • animaciones de diseño
  • formatos de imagen heredados
  • magnetómetro
  • micrófono
  • mediodía
  • anulación de navegación
  • imágenes de gran tamaño
  • pago
  • imagen en imagen
  • publickey-credentials-get
  • sync-xhr
  • USB
  • despertador
  • bloqueo de pantalla
  • compartir web
  • seguimiento-espacial-xr

Sin repetir todas estas directivas, podemos, por tanto, centrarnos en este tipo de líneas para insertar:

<IfModule mod_headers.c>
Encabezado establecido Permisos-Política "reproducción automática '*'; cámara 'ninguna'; pago 'auto'; geolocalización 'ninguna'; micrófono 'ninguna'"
</IfModule>

Por supuesto, agrega tantas funciones como desee. Pero para indicar si deshabilitarlos o no y cómo, se debe asociar un valor con ellos. Esto es lo que ocurre entre los ». Por tanto, tiene la posibilidad de elegir entre tres posibilidades:

  • * que permite activar la funcionalidad independientemente de su origen.
  • self, que permite la función si proviene del mismo dominio que el sitio en cuestión.
  • none para desactivar completamente la función.

Encabezados de tipo de contenido seguro con X-Content-Type-Options

Cuando el navegador intercambia datos con su servidor, solicita la naturaleza de estos datos. Por lo tanto, el servidor le dice al navegador que debe cargar scripts, imágenes, páginas HTML, etc.). Para ello, el servidor envía los llamados tipos MIME al navegador que los interpretará. El problema es que, tal como están, estos tipos MIME no son seguros en absoluto. Y tanto es así que un niño inteligente puede modificarlos por completo. Además, algunas opciones del navegador lo permiten. Esta es una de las lagunas a través de las cuales ocurren los ataques Drive-By-Download . Cambiamos el tipo de datos en un sitio web serio para que su contenido se vincule a otros sitios maliciosos o descargue contenido peligroso.

Por suerte para nosotros, hay una forma de que el servidor le diga al navegador que estos tipos MIME no son editables . Por lo tanto, las funciones en cuestión están desactivadas. Esto significa que reside en un encabezado de seguridad X-Content-Type-Options. Es bastante fácil de configurar y sin riesgos. De hecho, solo es posible una directiva: nosniff . Por lo tanto, puede ingresar estas líneas en su .htaccess:

<IfModule mod_headers.c>
    Conjunto de encabezado X-Content-Type-Options "nosniff"
</IfModule>

Encabezados de política de seguridad de contenido: la gran parte

Llegamos a la cabecera de seguridad. También es el más complicado de configurar porque difiere según cada sitio web. Y tu WordPress no será una excepción. De hecho, la política de seguridad de contenido (o CSP) permite administrar y controlar las fuentes de los elementos que se muestran (o no) en su sitio web .

Antes de continuar, le aconsejo que configure este encabezado al final, una vez que su sitio esté listo para entrar en producción. De hecho, tiende a crear algunas preocupaciones que deben resolverse gradualmente. Es por eso que también le aconsejo que verifique a través de la consola del navegador qué es después de cada adición de directiva.

la política de seguridad de contenido (o CSP) le permite administrar y controlar las fuentes de los elementos que se muestran (o no) en su sitio web.

Además, no te limites a la interfaz. Eche un vistazo a los efectos de este CSP en su panel de administración de WordPress y corrija los errores si los hay.

Eche un vistazo a los efectos de este CSP en su panel de administración de WordPress y corrija los errores si los hay.

¿Un CSP para qué?

El encabezado de seguridad Content-Security-Policy ofrece una treintena de directivas . Sin embargo, no suspires por la tarea. Gracias a ellos, puede controlar todas las fuentes relacionadas con su sitio de WordPress. Porque necesitamos crear relaciones con servicios de terceros. Puede ser Google Analytics o cualquier otro servicio de Google, puede ser el píxel de Facebook, etc. Sin embargo, abrir todos los accesos sin control no es una solución. Y esto incluso si es el que utilizan muchos sitios web en la actualidad.

Sin embargo, permitir que cualquier fuente se vincule a su sitio lo hace vulnerable a ciertos ataques . Se piensa en particular en la inyección de código que puede conducir al robo de datos o la inclusión de programas maliciosos. Malware que puede contener soluciones de secuestro de clics, por ejemplo, y engañar a los usuarios. Comprenderá que estos ataques no solo son un riesgo para la integridad de su WordPress, sino también para su reputación con el público.

¿Cómo configurar este encabezado de seguridad?

En cuanto a los anteriores, vaya al .htaccess. Repito, pero ve muy gradualmente y revisa cada efecto en la consola de tu navegador. Además, este también puede guiarlo en relación con las directivas faltantes o relevantes para incluir. Pero para comenzar, puede ingresar las siguientes líneas que contienen las directivas más importantes:

<IfModule mod_headers.c>
Encabezado establecido Content-Security-Policy "default-src 'none'; frame-src 'self'; object-src 'none'; img-src 'self'; connect-src 'self'; script-src *; script- src-elem *; estilo-src *; estilo-src-elem *; "
</IfModule>

La directiva default-src es, como sugiere el nombre, la predeterminada. Se aplica a todas las directivas no especificadas en el encabezado. Pero puede especificar una gran cantidad de elementos con un valor particular. img-src se aplica a imágenes, script-src a scripts, frame-src a iframes, object-src a objetos, pero también a contenido incrustado (incrustar). Luego, style-src permite cargar elementos gráficos, especialmente CSS. Por otro lado, connect-src permite la carga de URL dentro de elementos. Este control de las fuentes cargadas dentro de los elementos también se encuentra para scripts conscript-src-elem y estilo ( style-src-elem ).

Sin embargo, aquí está la lista de directivas que puede agregar dentro de este encabezado. No dude en probarlos con el valor ‘ninguno’ y verifique los comentarios que recibe de la consola del navegador. Cuanto más específico sea el CSP, más confiable y listo estará para cualquier adición de elemento nuevo de su parte.

  • font-src
  • manifest-src
  • media-src
  • prefetch-src
  • script-src-attr
  • style-src-attr
  • trabajador-src
  • base-uri
  • tipos de plugins
  • salvadera
  • forma-accion
  • marco-ancestros
  • bloquear-todo-contenido-mixto
  • require-sri-for
  • tipos de confianza
  • solicitudes de actualización inseguras

¿Qué valores especificar para WordPress?

Hay dos aspectos de los permisos que otorga en su política de seguridad. Por un lado, está el valor que le indicas a la directiva. Por otro lado, la lista blanca, es decir, las fuentes a las que da acceso «exclusivo» a su sitio.

En el lado del valor, tenemos principalmente 3 :   * , que da acceso a todas las fuentes sin restricción, ninguna que cierra el acceso a todas las fuentes y uno mismo que solo permite el acceso al contenido de su propio sitio web. Le diría sobre los valores inseguro-en línea , inseguro-eval y inseguro-hashes . Pero como sugiere el nombre, estos valores no son seguros. Incluso le hacen perder el beneficio de su Política de seguridad de contenido para la directiva en cuestión. Sin embargo, puede verse obligado a utilizar inseguridad en líneaen algunos casos con determinadas fuentes de scripts y estilos. Por lo tanto, asegúrese de que estos artículos provengan de fuentes confiables para limitar las roturas.

Finalmente, en la lista blanca, puede agregar los elementos bloqueados por su CSP. Consulte la consola de su navegador. Le muestra las URL bloqueadas. Si sabe lo que está haciendo (de lo que no tengo dudas), detectará fácilmente qué URL incluir. Todo esto te llevará un poco de tiempo. Pero vale la pena interesarse.

¿Un encabezado de seguridad para administrar la visualización de su sitio en otros sitios?

Los iframes son útiles . No siempre es muy útil pero sí práctico. Solo que no son seguros en absoluto . Tanto es así que se utilizan para realizar las operaciones de clickjacking de las que os hablé anteriormente. Por lo tanto, es interesante controlar si su sitio puede integrarse o no. O, al menos, si se puede incrustar en otro lugar que no sea su propio WordPress. ¡Esto es exactamente para lo que es el encabezado de Opciones de X-Frame ! A través de dos directivas, le permite evitar la incrustación de los contenidos de su sitio ( denegar ) o servirlos solo en su propio sitio (mismo origen ).

A continuación, le indicamos cómo incluirlo en su .htaccess:

<IfModule mod_headers.c>
El encabezado siempre agrega X-Frame-Options del mismo origen
</IfModule>

¿Vas a quedar obsoleto pronto?

Este encabezado siempre es útil. Sin embargo, corre el riesgo de convertirse rápidamente en un duplicado. De hecho, una directiva de Content-Security-Policy permite esta función con más posibilidades. Estos son ancestros del marco . Con los valores none o self , tiene las mismas virtudes que este encabezado X-Frame-Options. Pero, como se muestra arriba, también puede agregar una lista blanca a este valor si permite que ciertos socios inserten su contenido.

¿Podemos administrar estos encabezados de seguridad con un plugin?

Sí, por supuesto ! Entiendo perfectamente que algunos de ustedes se resisten a alterar el archivo .htaccess. De hecho, es bastante sensible y puede llevarte rápidamente a la infernal página en blanco de la muerte que mata … Por suerte para ti, podemos dejarlo en paz fácilmente. Por lo tanto, les voy a presentar tres extensiones, cada una de las cuales tiene sus especificidades para integrar encabezados de seguridad.

Encabezados HTTP para mejorar la seguridad del sitio web: seguridad, nada más que seguridad

¿Eres un novato? ¿No quieres una tabla complicada con demasiadas opciones? ¡Los encabezados HTTP para mejorar la seguridad del sitio web son la extensión para usted! Sin lujos y eficacia probada. Algunas opciones están a punto de quedar obsoletas, otras tienen un nombre desactualizado pero está bien actualizado y es compatible con la versión actual de WordPress. Por ahora.

Un plugin simple y rápido a primera vista

Una vez que haya descargado la extensión del directorio oficial , actívela desde el menú de extensiones en su administración de WordPress. Luego, es en Configuración → Seguridad HTTP donde debe ir. Encabezados HTTP para mejorar la seguridad del sitio web , estas son cuatro pestañas. Ni más ni menos.

¿Eres un novato? ¿No quieres una tabla complicada con demasiadas opciones? ¡Los encabezados HTTP para mejorar la seguridad del sitio web son la extensión para usted!

Ciertamente, pero ¿para qué? La primera pestaña agrupa la mayoría de los títulos disponibles. Además, el primero puede ser desconocido para ti. De hecho, no les conté sobre el encabezado Expect-CT. Integrado en el encabezado Strict-Transport-Security , ordena al navegador que compruebe el certificado SSL utilizado y, por tanto, su validez. Por un lado, solo funciona si su sitio está en https (que recomiendo encarecidamente). Por otro lado, quedará obsoleto en junio de 2021. Esto se debe a que los navegadores incluyen esta función de forma nativa. Este es el caso, en particular, de Google Chrome.

Los navegadores ahora incluyen la verificación del certificado de seguridad sin pasar el encabezado Expect-CT.

Encabezados de seguridad de envío más rápidos

Sin embargo, las otras opciones disponibles están actualizadas. Por lo tanto, la sección Opciones de X-Frame le permite configurar el encabezado del mismo nombre. En forma de botones de opción, puede decidir asignar una de las tres posibles directivas a este encabezado . Sin embargo, no se puede insistir demasiado en ello. Como se dijo anteriormente, este encabezado está obsoleto. Se reemplaza por la directiva frame-ancestors de la Política de seguridad de contenido . Por supuesto, esto es compatible con la extensión.

Luego pasamos a la política de referencias . Esta vez, es en forma de menú desplegable que ofrece el plugin para asignar una de las siete directivas válidas.

En cuanto a las cuatro casillas de verificación en la parte inferior de la página, se refieren a varias opciones de seguridad. El primero se refiere a la protección X-XSS. La segunda casilla de verificación «Bloquear el rastreo de contenido» en realidad habilita el encabezado X-Content-Type-Options. Solo se le puede asociar una directiva: nosniff . Finalmente, las dos últimas casillas son para ocultar las versiones de WordPress y PHP utilizadas. El segundo seguramente lo gestiona su anfitrión. Para el primero, también puede hacerlo a través del archivo functions.php de su tema. Este es uno de los quince consejos de seguridad que se muestran aquí .

Todo para administrar CSP y la política de permisos

La Política de seguridad de contenido (CSP) y la Política de permisos tienen cada una su propia pestaña dedicada.

En la pestaña Política de seguridad de contenido, encontrará todas las directivas disponibles.

En el primero, encontrará todas las directivas disponibles. Incluyendo los menos útiles que solo permiten recuperar informes sobre interacciones con fuentes externas. Estos se denominan aquí «directrices de documentos». Además, la extensión propone activar el CSP solo para información. Esto es gracias a la casilla «Solo informar».

En cuanto a los valores para asignar a las directivas, no olvide ingresarlos entre » como si lo estuviera haciendo directamente en su .htaccess. De la misma manera, deberá ingresar las URL de su lista blanca posteriormente.

La política de permisos también está presente, pero con su nombre anterior: política de funciones . Funciona exactamente igual. Esto a pesar de que solo están disponibles las nueve directivas más importantes.

La política de permisos también está presente, pero con su nombre anterior: política de funciones. Solo están disponibles las nueve directivas más importantes.

Finalmente, la cuarta pestaña le permite ver las líneas insertadas en su archivo .htaccess. Aunque algunas opciones son obsoletas, se espera una actualización del servicio antes de junio de 2021 y el encabezado Expect-CT desaparece. Esto con el fin de dejar espacio para un encabezado de estricta seguridad de transporte más cercano al que conocemos hoy. A menos que esto sea definitivamente reemplazado a largo plazo por la directiva de bloqueo de contenido mixto de la Política de seguridad de contenido .

Cabeceras de seguridad GD: seguridad reconocida y eficiente

Pero déjame contarte sobre el Rolls Royce de la industria: GD Security Headers . Seguro que ya te has topado con otras ampliaciones de la gama. De hecho, el desarrollador Dev4press es bien conocido por su plugin de clasificación de estrellas GD Rating system . ¡Pero lo es aún más para los usuarios de BBpress gracias a sus plugins GD BBpress Tools y GD BBpress Attachments, entre otros!

El pedigrí del equipo de desarrollo es un activo definitivo. El hecho de que el plugin también cumple todos los requisitos en la prueba de WP Hive . Créame, eso no sucede a menudo. Entonces puedes ir allí sin riesgo. Sin embargo, esta solución es mucho menos ligera que la anterior. De hecho, tiene un impacto ligeramente mayor en el rendimiento que los encabezados HTTP para mejorar el sitio web . Pero GD Security Headers también pesa su base de datos. Esto con la adición de dos tablas y siete filas en la tabla de opciones . Un lujo que su antecesor está haciendo muy bien.

 5 pestañas, 5 paneles muchas (muchas) opciones

GD Security Headers tiene esta ventaja que también es su desventaja: su amplitud. De hecho, a primera vista, la extensión podría parecer inflada. Sin embargo, el plugin no tiene más opciones que su predecesor. Es solo que decide dejar todo a un lado y presentarte cada directiva una por una. Todo con un lugar específico para cada encabezado. Así que se trata más de llevarte de la mano y guiarte en lugar de perderte en una multitud de opciones. Incluso si todavía necesitas dominar el inglés para orientarte …

GD Security Headers tiene esta ventaja que también es su desventaja: su amplitud. Pero es solo que decide dejar todo a un lado y presentarte cada directiva una por una.

De la opción menor a la seguridad avanzada

Por tanto, la pestaña global solo tiene una casilla de verificación. Esto propone reportar sus configuraciones en encabezados en el .htaccess en la raíz de su WordPress. Tenga en cuenta que esta opción solo se puede utilizar si su servidor se ejecuta en Apache. Para saber si este es el caso, deberá comunicarse con su anfitrión. Sin embargo, GD Security Headers también ha pensado en aquellos cuyo servidor se ejecuta bajo Ngnix o Ils. De hecho, en el menú de encabezados , el plugin transcribe su configuración en código para Apache, Ngnix o Ils.

En los encabezados del menú de encabezados de GD Security, el plugin transcribe su configuración en código para Apache, Ngnix o Ils.

En cuanto a la pestaña Protección X-XSS en el menú Configuración , ofrece, como sugiere el nombre, activar el encabezado del mismo nombre. Para ello, dispone de tres casillas de verificación. Uno para activar el encabezado, otro para activar logs y el último para forzar el uso de HTTPS.

En cuanto a la pestaña de más encabezados , agrupa los encabezados X-Content-Type Options , Strict-Transport-Security y X-Frame Options , sin olvidar la política de referente . Por otra parte, se le guía a través de cada paso con una simple casilla de verificación para habilitar estos encabezados. En cuanto a las pautas, un menú desplegable le permite hacer su elección. Todo con una pequeña banda de ayuda a cada paso.

Una política de seguridad de contenido guiada que no es simple

Entonces, solo nos quedan dos pestañas en esta parte de configuración . Estos son aquellos dedicados a la Política de seguridad de contenido y la Política de permisos . Además, estoy haciendo un pequeño paréntesis sobre el hecho de que esta última todavía se denomina Política de consumo . Si a esto le sumamos la tenaz presencia del encabezado X-Frame Options, podemos ver claramente que actualizar los títulos no es garantía de mala calidad. Y esto aunque, seguramente para no perderse (de nuevo), la extensión ofrece activar la Política de Permisos o la Política de Funciones o ambas. ¯ _ (ツ) _ / ¯

Pero tanto para uno como para el otro, tendrá la impresión de encontrarse con páginas con desplazamiento (casi) infinito. No, GD Security Headers no ofrece más opciones que los encabezados HTTP para mejorar la seguridad del sitio web . Sin embargo, te toma de la mano y se detiene en cada directiva. Un panel de desplazamiento los acompaña para que pueda elegir el valor correcto para asignar. Finalmente, aparece un último cuadro para indicar las URL a autorizar. Además, el plugin incluso va tan lejos como para clasificar las directivas de la Política de seguridad de contenido en orden de prioridad. Son tres en total.

GD Security Headers lo toma de la mano y se detiene en cada directiva. Un panel de desplazamiento los acompaña para que pueda elegir el valor correcto para asignar.

¿Centrarse en la política de seguridad del contenido?

Si sigues mis escritos, sabrás que soy fanático de «pocos plugins». Sin embargo, la Política de seguridad del contenido , aunque es muy útil, puede volverse difícil de administrar rápidamente. Especialmente si trabaja en equipo a través de un sitio o si reúne a una comunidad. De hecho, un CSP puede entrar en conflicto con determinadas funcionalidades. Afortunadamente, una extensión ofrece una configuración muy fina para que todo funcione: Content Security Policy Manager .

Administrador de políticas de seguridad de contenido: 3 CSP en un plugin de WordPress

Content Security Policy Manager puede parecer confidencial con sus aproximadamente 30 instalaciones activas. Después de eso, solo tiene cuatro meses … Sin embargo, incluso si WP Hive está haciendo pucheros por la frecuencia de las actualizaciones (!), Tiene sus puntos fuertes. Como el de muy poca influencia en el rendimiento de su WordPress después de la activación. Por otro lado, se limita a configurar tres filas en la tabla de opciones de la base de datos. En términos de ligereza, ahí surge CSP Manager .

Una pantalla, tres pestañas, buena seguridad

Como de costumbre, descarga Content Security Policy Manager del directorio oficial. Una vez hecho esto, vaya a Configuración -> Administrador de CSP. La extensión viene en forma de una pantalla simple formada por tres pestañas.

La extensión viene en forma de una pantalla simple formada por tres pestañas. Ésta es la particularidad de CSP Manager. De hecho, encontrará las mismas opciones dentro de estas tres pestañas.

Ésta es la particularidad de CSP Manager. De hecho, encontrará las mismas opciones dentro de estas tres pestañas. La diferencia ? Se aplicarán a tres áreas separadas de su WordPress. La política de administración solo aplicará la configuración a la administración, mientras que la política de frontend solo la aplicará a la visualización pública de su sitio. Finalmente, como sugiere su nombre, la Política de inicio de sesión le permite aplicar una Política de seguridad de contenidovisualización pública de su sitio solo para usuarios registrados. Este sesgo no es trivial. De hecho, el establecimiento de un CSP puede entrar rápidamente en conflicto con estas diferentes áreas. Para que todo su entorno funcione, es posible que deba tomar atajos en materia de seguridad. Este plugin permite superar este problema.

Sin embargo, a diferencia de los encabezados de seguridad de GD , no espere a que CSP Manager lo lleve de la mano. De hecho, el plugin le brinda todas las directivas una tras otra. Luego, depende de usted activarlos o no e ingresar los valores en cada cuadro de texto. Y esto de la misma manera que lo haría en el .htaccess. Por lo tanto, el valor está entre «», entonces puede agregar una o más URL autorizadas.

¿Listo? ¡A tus encabezados de seguridad!

Listo ! Ahora su WordPress está (casi) listo para enfrentarse a las peligrosas aguas de Internet . Para verificar la validez de sus encabezados de seguridad HTTP, existen algunas herramientas. De hecho, ¡puede probar su sitio web en securityheaders.com ! Él estará encantado de compartir con usted cualquier título válido y áreas de mejora.

¡puede probar su sitio web en securityheaders.com! Él estará encantado de compartir con usted cualquier título válido y áreas de mejora.

También puede completar este análisis consultando el Observatorio de Mozilla, que analiza algunos puntos adicionales. Sin embargo, nunca se puede tener demasiado cuidado . Por lo tanto, puede complementar estas configuraciones con las 15 configuraciones de seguridad que se actualizan regularmente en Studio Ideas . Dicho esto, sepa que, a pesar de todo, nunca estaremos a salvo.

Y tú, ¿estás ya tan avanzado en términos de seguridad?
¿Quizás más? De todos modos, siéntete libre de compartirlos en los comentarios.