homefinance blog
El encabezado de seguridad HTTP es una de las partes más básicas pero fuertes de la seguridad web. Con estas medidas de seguridad, podrá aumentar la seguridad de su aplicación web al siguiente nivel. Defienda su sitio de todos los ataques que su sitio probablemente tenga que cumplir. Estas sedes de seguridad HTTP son tan fuertes que cuando los activa, protegen su sitio web de algunos ataques ordinarios, como clickjacking, inyección de código, secuencias de comandos de sólidos y más. Entonces, en esta publicación, explicaremos todo sobre la lista de encabezados de seguridad HTTP, cómo pueden ser beneficiosos y cómo puede implementarlos.
¡Quédate en el escenario y comienza!
<b class = "lwptoc_title" incluido
¿Qué es el encabezado de seguridad HTTP?
¿Por qué necesita implementar el encabezado de seguridad HTPP?
Ejecutar comprobaciones de encabezado de seguridad
Las listas más importantes de las listas de encabezados de seguridad HTTP
¿Cómo implementar el remedio de los encabezados de seguridad HTTP en su sitio?
resumen
preguntas frecuentes
¿Qué es el encabezado de seguridad HTTP? Básicamente, un encabezado de seguridad HTTP es un conjunto de comandos o directivas que se cambian entre su navegador web (o cualquier cliente web) y un servidor web para especificar detalles de seguridad de comunicación HTTP. Estos intercambios o intercambio de información son parte del protocolo HTTP. Estos comandos o directivas indican a su navegador lo que puede mostrar o no, para su sitio web, para garantizar su seguridad y sin inyección de malware.
Estas órdenes de encabezado de seguridad HTTP ayudan a proteger tanto el navegador web como su sitio de cualquier amenaza de seguridad, como ataque de piratas informáticos o inyección de código malicioso. Entonces, esta estrategia de seguridad actúa como un sistema de defensa general. ¿Por qué necesita implementar el encabezado de seguridad HTPP? Como ya ha notado, varios artículos e informes han circulado en Internet sobre el máximo aumento de los ataques cibernéticos y la violación de los datos en los últimos años. Y uno de los principales culpables de todos estos accidentes son las medidas de seguridad débiles y las configuraciones incorrectas. Estos encabezados de seguridad HTTP ayudan a detener algunos de los ataques de piratas informáticos más comunes, inyecciones de malware, clickjacking, inyección de script maliciosas, etc. Proporcionan una capa de protección adicional al restringir algunas actividades del servidor y el navegador web, mientras que la aplicación web se está ejecutando. Aunque ha habido muchos encabezados HTTP disponibles, la idea es que debe implementar para obtener una mejor protección. Al igual que cualquier tecnología web que cambie con el tiempo, los nuevos encabezados HTTP aparecerán y irán de acuerdo con el soporte del navegador. Por lo tanto, se vuelve esencial para usted decidir qué encabezado HTTP debe implementar y cuál, pero por ahora debe implementar estas 8 listas de encabezados de seguridad HTTP, para que pueda obtener protección contra algunas de las amenazas más comunes.
Además de esto, el encabezado de seguridad HTTP también puede ayudar a mejorar el puntaje SEO de su sitio web. Ejecute las verificaciones de encabezado de seguridad antes de continuar, lo primero que debe hacer es realizar un encabezado de seguridad en su sitio con el que será fácil ver qué le faltan la sede de seguridad esencial en su sitio. Para hacer esto, debe visitar el sitio web de su encabezado de seguridad e ingresar la dirección de su sitio, como se muestra en la imagen a continuación: cuando ingrese la URL de su sitio y presione el botón de escaneo, se generará un informe integral, que muestra todas las sedes de seguridad HTTP que faltan, Si está allí, en color rojo y una nota que muestra qué tan seguro es su sitio.
De la imagen de arriba, puede ver encabezados de seguridad HTTP no detectados. que expliqué y enumeré debajo de la sección. Las listas de encabezados de seguridad HTTP más importantes para ver algunas de las sedes de seguridad HTTP más importantes que necesita implementar en sus aplicaciones web para mejorar la seguridad y activar una capa de protección adicional. 1. Opciones de fotograma X por primera vez, Microsoft ha introducido opciones X-Frame en Microsoft Internet Explorer, que ayuda a proteger contra la inyección de scripts maliciosos o ataques de scripts entre sitios. Este encabezado de seguridad HTTP le protege los iframs de su sitio, pidiéndole a los navegadores que soliciten si procesan iframe en el sitio o no.
Principalmente, protege de todos los ataques de clickjacking en los que un atacante implementa varias capas en un enlace o botón para redirigir a los usuarios a otra página y robar su información vital. Sintaxis a seguir: X-Frame-Opts: Deny
X-frame-opts: Sameorigin
X-Frame-Opciones: Permitir desde URL
!
1
2
3
X – Frame – Opciones: Sameorigin
X – Frame – Opciones: Permitir – Desde URL
Instrucciones Explicación: Denny: Esta directiva no permitirá el mismo Iframe: esta directiva permitirá que el iframe juegue con el mismo origen.
Permitir desde: esta directiva permitirá que el iframe se repita solo desde una determinada URL. 2. El encabezado estricto de la sección de transporte de transporte estricto o HTTPS Strictly Transport Security ayuda a proteger contra ataques MIM y secuestro de cookies cuando se activan. Esta directiva requiere que el navegador use HTTPS en lugar de la comunicación HTTP. Entendamos cómo funciona si está ejecutando algún sitio web en HTTP y migró a HTTPS. Sus viejos visitantes continuarán tratando de acceder a la vieja URL con HTTP. Debido a que ya ha migrado su sitio a HTTPS, la URL anterior la redirigirá al nuevo.
Pero la idea es que sus visitantes aún puedan acceder a la versión ilimitada de su sitio web antes de redirigir a la nueva URL cifrada. Entre el juicio, los piratas informáticos tienen la oportunidad de atacar a Mim o al hombre en el medio. Pero cuando activa la seguridad de transporte estricto, el navegador recibirá instrucciones para no cargar sitios web HTTP, más bien obligará al navegador a comunicarse a través de HTTPS. Sintaxis a seguir: Strict-Transport-Security: max-ag = & lt; expire-time & gt;
Strict-Transport-Security: Max-Age = & lt; expire-time & gt ;; Incluye theubdomains
Strict-Transport-Security: Max-Age = & lt; expire-time & gt ;; precarga
!
1
2
3
Estricto – transporte – seguridad: max – edad = & lt; Expirar – Tiempo y GT; ; Incluye theubdomains
Estricto – transporte – seguridad: max – edad = & lt; Expirar – Tiempo y GT; ; precarga
Instrucciones Explicación máxima de la era = : esta directiva le permite decidir cuánto tiempo (en segundos) el navegador puede acceder a él.
max-edad = ; INCENDERUCHOMOINS: Si se menciona esta directiva, significa que la regla anterior es válida para todos los subdominios del sitio web. max-edad = ; Precaja: esta directiva muestra que el sitio web ha sido enumerado en la lista global de sitios HTTPS. 3. Política de seguridad de contenido Este encabezado de seguridad HTTP instruye al navegador que cargue solo los contenidos que se mencionan en la política. Significa que tendrá el poder de controlar los recursos de su sitio y permitir que los navegadores carguen solo los recursos de contenido que ha registrado en la lista blanca. Escrituras, imágenes o CSS. Si puede implementar con éxito este encabezado de seguridad HTTP, protegerá su sitio de clickjacking, secuencia de comandos entre sitios (XSS) y cualquier inyección de código malicioso. Aunque no garantiza la protección del 100%, ayuda a prevenir y limitar los posibles daños. Incluso, la mayoría de los navegadores ahora identifican este grave problema y han comenzado a apoyarlo. Sintaxis a seguir:
Contenido-Security-Polycy: & lt; Polycy-Directive & gt ;; & lt; Polycy-Directive & GT;
!
1
Explicación de la instrucción : puede incluir cualquier Directiva de Política, como Script-SRC (CSS), IMG-SRC (Imágenes) o Style-SRC (Hoja de estilo) y puede cargarlos. 4. Tipo de X-Tip Este tipo de encabezado le permite restringir o evitar el olor a MIME, diciéndole al navegador que los tipos de MIME están configurados deliberadamente en el servidor. Básicamente, en Mime Sniffing, ofrece a los atacantes la oportunidad de inyectar cualquier guión malicioso. Por ejemplo, un atacante inyectó cualquier recurso malicioso que cambió la respuesta de otro recurso inocente, como las imágenes. Debido al olor de MIME, el navegador dejará de reproducir el tipo de contenido de imagen, en lugar de comenzar a ejecutar los recursos maliciosos que se han inyectado. Al activar este encabezado, confiará y obligará al navegador a seguir solo los tipos de MIME que se han especificado en los encabezados de tipo contenidos. De esta manera, puede proteger y prevenir fácilmente la inyección de guiones maliciosos o ataques de guiones entre sitios. Sintaxis a seguir: X-Contemplate-Type-opts: Nosniff
!
1
Instrucción Explicación: La Directiva NOSNIFF bloqueará inmediatamente una solicitud si el destino de la aplicación de tipo:
estilo
El tipo de mime no es texto/CSS o tipo de script
El tipo MIME no es de tipo JavaScript MIME
5. La política con respecto a esta seguridad de seguridad le permitirá controlar si se debe revelar la información de referencia? Si es así entonces. Sin embargo, para otras solicitudes, el navegador solo compartirá información sobre el origen. Sintaxis a seguir: referente-polycy: origen-when-cross-herogy
Referente-Polycy: No-Refrer-When-Downgrade
!
1
2
Referente – Política: No – Referente – Cuando – Renovado
Explicación de la instrucción: Origin-When-Cross-Origin: El navegador compartirá información de recomendación completa para solicitudes del mismo origen y otras solicitudes, el navegador solo compartirá sobre el origen. No-referente -Cuenta a la derecha: el navegador no compartirá información de recomendación al enviar el encabezado de referencia para solicitudes a destinos menos seguros. 6. Características o permisos políticos Este encabezado de seguridad permite que un sitio web decida si proporciona o no acceso a una característica o API en particular en el navegador. Con este encabezado, puede controlar fácilmente la funcionalidad de cualquier aplicación en el navegador, que puede denigrar su confidencialidad y permitir solo si la encuentra legítima y necesaria. Por ejemplo, si no desea que el sitio web acceda a su micrófono, cámara web o ubicación y desea restringir su funcionalidad siguiendo la sintaxis dada a continuación:
Feature-Polycy: micrófono ‘ninguno’; habitación ‘ninguno’
Feature-Polycy: Geolocation ‘Self’; vibrar ‘ninguno’
Permissions-Polycy: geolocation = (self), vibrate = ()
!
2
3
Característica – Política: Geolocation ‘Self’; vibrar ‘ninguno’
Permisos – Polycy: Geolocation = (self), Vibrate = ()
Sintaxis a seguir:
Feature-Polycy: & lt; directive & gt; & lt; PERMINGLIST & GT;
!
1
Explicación de la instrucción: puede ser cualquier cosa, como acelerómetro, reproducción automática, sensor de luz ambiental, batería, habitación, micrófono o ubicación geográfica.
Mientras que es una lista de orígenes, que puede tomar uno o más valores como “ninguno”, “yo”, etc. poner por separado. Como referencia, puede consultar una lista completa de directivas y la lista de permisos aquí. 7. Dominio cruzado perseguido con este encabezado de seguridad HTTP, puede dar instrucciones al navegador y puede controlar todas las solicitudes que provienen del dominio cruzado. Cuando active este encabezado, limitará su sitio para cargar los activos innecesarios del sitio web que provienen de otros campos. Por lo tanto, los recursos del sitio web se pueden usar de manera eficiente. Este encabezado de seguridad es opcional y no necesita tenerlos, pero es bueno instalarlos y activarlos. Sintaxis a seguir:
X-Policías de dominio de cruce de X: “Ninguno”
!
1
8. Protección XSS La protección XSS o el encabezado protector transversal se introducen para proteger contra los ataques de guiones entre sitios. Estos ataques se consideran muy comunes y eficientes, por lo tanto, la mayoría de los navegadores web han activado implícitamente la protección XSS. Cuando un atacante intenta infectar un sitio web inyectando un código de JavaScript malicioso durante una solicitud HTTP para robar información confidencial, como transacciones, datos personales, etc. Cuando se detecta cualquier ataque de secuencias de comandos entre los sitios, el encabezado protector XSS se filtrará y se apagará inmediatamente. Sin embargo, este filtro solo estaba disponible en navegadores antiguos y ahora se ha vuelto inútil para los navegadores modernos. Especialmente si ya ha implementado una muy buena política de seguridad y es bueno ir más allá y tenerla si sus visitantes todavía están utilizando navegadores antiguos, que no entienden la política de seguridad de contenido. Sintaxis a seguir:
X-XSS-Protección: 0
X-XSS-Protección: 1
X-XSS-Protección: 1; modo = bloque
X-XSS-Protección: 1; Informe = & lt; informes y gt;
!
1
2
3
4
X – XSS – Protección: 1
X – XSS – Protección: 1; modo = bloque
X – XSS – Protección: 1; Informe = & lt; Informes – Uri & GT;
Explicación: 0 – Esto deshabilitará la protección XSS 1 – Activar la protección XSS 1; MODE = BLOCK-STOP Los navegadores para cargar toda la página web cuando se detecta un ataque de secuencias de comandos entre sitios. 1; Report = -Chan se detecta el ataque XSS, el lado incierto será bloqueado por el navegador e informará para implementar el remedio de la vulnerabilidad de los encabezados HTTP en su sitio. Si su proveedor de servicios de alojamiento web le permite tener acceso a cualquiera de los dos archivos .htaccess o al archivo wp-config.php. Entonces puede ser fácil implementar un remedio para el encabezado de seguridad HTTP en su sitio, agregando la sede de seguridad HTTP en cualquier lugar. En WPven proporcionará SSH Access, al que puede acceder fácilmente al Administrador de archivos y editar el archivo .htaccess. Paso 1: Primero debe activar el acceso SSH para el sitio. Para hacer esto, debe acceder al sitio en el tablero de Wpoven. Navegue a la sección “Instrumentos”.
Luego, desde la sección “Herramientas”, debe presionar el botón “Activar acceso SSH” en la parte inferior de la página.
Paso 2: Una vez que se activa el acceso SSH para el sitio, puede conectarse a través de aplicaciones de terceros, como Putty o Penguinet, utilizando sus credenciales de conexión SFTP. Sin embargo, también puede obtener acceso a su archivo. Htaccess o WP-Config. PHP, directamente a través de un cliente FTP conocido como archivos Zalla. Todo lo que tiene que hacer es seguir estos pasos indicados a continuación:
En primer lugar, debe iniciar sesión en su sitio de WordPress utilizando el cliente FTP. Esto le permitirá editar el archivo .htaccess. Este archivo se puede encontrar en el directorio raíz de su sitio de WordPress. Si el archivo .htaccess no es visible, es posible que desee verificar los archivos ocultos.
No necesita tener un editor especial, puede escribir el código en cualquier editor de texto, como el bloc de notas.
Debe escribir este código y agregarlo al archivo .htaccess. Se recomienda agregarlo al final del archivo .htaccess.
Cuando encuentre el sitio, descárguelo a la unidad local y luego ábralo a cualquier editor de texto. La opción más simple es un bloc de notas estándar. Agregue el siguiente código al final del archivo:
X-frame-opts: negar
X-frame-opts: Sameorigin
X-Frame-Opciones: Permitir la URL
Strict-Transport-Security: Max-Age = & lt; expire-time & gt;
Strict-Transport-Security: Max-Age = & lt; expire-time & gt ;; Incluye theubdomains
Strict-Transport-Security: Max-Age = & lt; expire-time & gt ;; precarga
Contenido-Security-Polycy: & lt; Polycy-Directive & gt ;; & lt; Polycy-Directive & GT;
X-Contemplate-type-opts: Nosniff
Referente-Polycy: Origin-When-Cross-Oirin
Referente-Polycy: No-Refrer-When-Downgrade
Feature-Polycy: & lt; directive & gt; & lt; PERMINGLIST & GT;
X-Policías de dominio de cruce de X: “Ninguno”
X-XSS-Protección: 0
X-XSS-Protección: 1
X-XSS-Protección: 1; modo = bloque
X-XSS-Protección: 1; Informe = & lt; informes y gt;
!
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
dieciséis
17
X – Frame – Opciones: Permitir – De URL
Estricto – transporte – seguridad: max – edad = & lt;Expirar – Tiempo y GT;
Estricto – transporte – seguridad: max – edad = & lt;Expirar – Tiempo y GT;;Incluye theubdomains
Estricto – transporte – seguridad: max – edad = & lt;Expirar – Tiempo y GT;;precarga
Contenido – Seguridad – Política: & lt;Política – Directivas y GT;;& lt;Política – Directivas y GT;
X – Contenido – Tipo – Opciones: Nosniff
Referente – Política: Origen – When – Cross – Origin
Referente – Política: No – Referente – Cuando – Renovado
Característica – Polycy: & lt;Directivas y gt;& lt;PENDINSIST & GT;
X – Permitido – Cross – Dominio – Policías: “Ninguno”
X – XSS – Protección: 0
X – XSS – Protección: 1
X – XSS – Protección: 1;modo = bloque
X – XSS – Protección: 1;Informe = & lt;Informes – Uri & GT;
Cambie los atributos, directivas y valores según sea necesario, guárdelos y cargue. Alternativamente, también puede acceder a los archivos de configuración del servidor web y puede aplicar esta sede de seguridad. Sin embargo, si no desea realizar cambios por su cuenta y es un cliente de WPVE, puede abrir un boleto de asistencia y podemos hacerlo rápidamente por usted. Asiento desde la publicación anterior, puede ver lo importante que es tener Un encabezado de seguridad HTTP se activó en su sitio y en qué medida ofrece fortalecer la seguridad del sitio web. Sin embargo, estos valores se han implementado de forma predeterminada en los últimos y avanzados navegadores disponibles. Pero aún así, no hay ninguna razón por la que descubrí que no debes usarlos. Si no tiene acceso a los servidores de su sitio, le resulta difícil. Siempre es mejor pedir ayuda a los profesionales. Es mejor contactar a su proveedor de alojamiento web y pedirles que implementen encabezados de seguridad HTTP en su sitio web. ¿Preguntas de frecuencias http son seguras?
Sí, los encabezados de seguridad HTTP son una de las directivas más importantes para fortalecer la seguridad cibernética. Toda la información de los encabezados HTTP está encriptada.
¿Cuáles son algunas sedes que agregan seguridad?
Algunos de los encabezados que agregan seguridad al sitio web son: 1. Opciones X-Frame 2. Security Strict-Transport-Security 3. Política de seguridad de contenido 4. X-Concert-Tip-Opción -Politics 7. Dominio cruzado de X-Permitido X. Protección XSS
¿Cuál es el encabezado CSP?
