Aquí te mostraremos varias formas sencillas de agregar encabezados HSTS en WordPress o encabezados se seguridad HTTP. De manera que conseguirás aumentar la puntuación de tu web y mejorar su seguridad.
¿Qué son los encabezados HSTS?
La definición “formal” dice Seguridad de transporte estricta de HTTP (HTTP Strict Transport Security), pero profundizando un poco más, podemos definirlos como una medida de seguridad que permite al servidor web evitar amenazas de seguridad antes incluso de que afecten a tu página web.
Para entenderlo bien lo mejor es verlo con un ejemplo. Cuando un visitante accede a tu web, el servidor envía una respuesta de encabezado HTTP al navegador del usuario. Dicha respuesta contiene diferentes elementos, pero para este caso nos interesa el código que devuelva, es decir, en caso de que la web esté disponible devuelve el código 200, si da error del servidor código 500 o si no encuentra la página solicitada devuelve el conocido código 404. Es precisamente durante estas comunicaciones en la que los encabezados HTTP de seguridad intervienen.
¿Para qué sirven los encabezados HTTP de seguridad o HSTS?
Como su propio nombre indica, sirven para mejorar la seguridad de la web. Básicamente, evitan que los sitios web reciban amenazas como ataques de fuerza bruta, secuestro de clics, protección X-XSS, secuestros de cookies entre otros.
Agregar encabezados HSTS en WordPress
Hay diferentes maneras de agregar encabezados de seguridad HTTP en WordPress, pero me centraré fundamentalmente en 3 formas para que puedas probar y elegir la que mejor se adapte a tus necesidades y a tu sitio web.
Agregar HSTS con Cloudflare
Partiendo de la base de que estás familiarizado con este CDN y sus diferentes funciones de firewall que ofrece, accede al panel y dirígete a la sección de SSL / TLS. A continuación, ve a la pestaña de Certificados de perímetro y habilita la opción de HTTPS Strict Transport Security (HSTS).
Tras esto, aparecerá una nueva ventana con instrucciones para habilitar HTTPS en tu web.
Y en el paso siguiente, otra ventana con opciones de HSTS.
Este método aporta una protección básica mediante encabezados de seguridad HTTP, pero no permite agregar opciones contra X-Frame por ejemplo. Esto puedes realizarlo manualmente desde la sección de Workers, pero si no eres experto no te recomiendo que lo hagas.
Agregar HSTS con .htaccess
Para este paso necesitas acceso al servidor web mediante FTP o el administrador de archivos de tu hosting, ya que requiere editar el archivo .htaccess de tu web.
Una vez edites el archivo puedes agregar los encabezados de seguridad HTTP con el siguiente código:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
Guarda cambios o sube el fichero ya editado al servidor. A continuación, visita tu web para comprobar que no recibes un error 500 al recargar tu web.
Agregar HSTS con plugin
Este es el método más sencillo de implementar encabezados HSTS en WordPress.
En primer lugar, instala y activa el plugin Redirection. Si tienes dudas, puedes consultar el tutorial de Cómo instalar un plugin en WordPress.
Completa el asistente de la instalación del plugin.
A continuación, Dirígete a Herramientas -> Redirection y accede a la pestaña Sitio
En la siguiente ventana, baja hasta el final y marca la opción de “Añadir preajustes de seguridad” como puedes ver en la imagen.
Tras seleccionarlo, haz nuevamente clic sobre la opción para que se agreguen las opciones, quedando de la siguiente manera.
Actualiza para guardar los cambios y que apliquen.
Comprobar encabezados HSTS de tu web
Existen varias herramientas online para chequear este aspecto. En este caso utilizaré la herramienta gratuita de Security Headers para comprobar mediante la URL de la web que efectivamente están bien configurados los encabezados de seguridad, prestando especial atención a si aparece verificado “Strict-Transport-Security” como puedes ver a continuación.
Conclusión
Como has podido comprobar, agregar los encabezados HSTS en WordPress es muy útil desde el punto de vista de la seguridad. Máxime cuando se trata de uno de los CMS más utilizados a nivel mundial para el desarrollo de páginas web, tiendas online o blogs.
Por favor, cualquier duda en los comentarios.
¡Te espero en el próximo artículo!