Configuración del encabezado de seguridad HTTP en WordPress

La mayoría de los navegadores modernos aceptan una variedad de sede de seguridad HTTP para mejorar la seguridad de su sitio de WordPress, para proteger mejor a los visitantes de sus navegadores, como clickjacking, scripts entre sitios y otros ataques comunes e incluso para mejorar la confidencialidad de los visitantes de su sitio en la red.Este artículo ofrece una descripción general de cuáles son estos encabezados de seguridad HTTP, explica cómo es su dominio.Además, explique cómo puede agregar estos encabezados de seguridad HTTP a su sitio web para mejorar la seguridad de su sitio de WordPress.
De todos modos, ¿qué es un encabezado de seguridad HTTP? Los encabezados de seguridad HTTP son una serie de encabezados HTTP 1 Cambiado entre un cliente web (navegador) y un servidor web que se utilizan para especificar la configuración de seguridad de comunicación HTTP entre un cliente web y un servidor. Activar encabezados de seguridad en su sitio web de WordPress puede mejorar la resistencia de su sitio, incluida las secuencias de comandos de sitios cruzados (XSS) y Clickjacking. Cómo mejorar el encabezado de seguridad de seguridad de WordPress de seguridad HTTP puede ayudar a mejorar la seguridad de su sitio de WordPress, lo que indica el navegador para activar una variedad de seguridad como resultado. En muchos casos, la implementación de los encabezados correctos es un asunto difícil e incluso puede tener resultados diferentes (o ser totalmente ineficientes) en los navegadores más antiguos, por lo que la mejor práctica es probar cualquier cambio en una prueba o poner un entorno en paso antes de aplicar cualquier Cambios a un sitio de WordPress en vivo.
Los encabezados de seguridad HTTP más utilizados que hacen los encabezados ¿Qué? Tomemos una descripción general de la sede de seguridad HTTP más importante y más comúnmente utilizada. Encabezado HTTP de seguimiento de transporte estricto instruye al navegador que imponga el transporte estricto HTTP (HSTS) <sup>2 . Un encabezado HSTS instruye al navegador que siempre visita el sitio a través de HTTPS (en lugar de HTTP), incluso si el usuario (o un atacante que intenta ejecutar un hombre en el medio) intentará acceder al sitio por HTTP, el navegador Interruptor forzado a HTTPS, incluso si http no está disponible; hasta tal punto, debe activar HSTS solo si tiene https activados y funciona completamente correctamente, sin contenido mixto 3 .the .the. El antebrazo de los cabezales HTTP del transporte estricto HTTP (HST) activa HSTS durante una duración de 1 año (31536000 segundos).
Strict-Transport-Security: Max-Age = 31536000
Cabezal de seguridad-seguridad de contenido HTTP HTTP Content-Security-Polycy es un encabezado HTTP con mucha potencia y configurabilidad. Configura la Política de seguridad de contenido (CSP) del navegador, que es un conjunto de características de seguridad que se encuentran en los navegadores modernos, que ofrece un nivel adicional de seguridad que ayuda a detectar y mitigar ataques como secuencias de comandos cruzados (XSS) e inyección de datos de ataques.
La Política de Seguridad de Contenido (CSP) también es conocida por lograr, porque la configuración correcta de CSP dependerá mucho del sitio web en cuestión y debe probarse intensamente antes de la implementación, tanto tiene una política de seguridad de contenido hermano. -O Informe 4 Encabezado HTTP solo para pruebas CSP. El siguiente es un ejemplo de una política simple simple de política de seguridad de contenido (CSP) que permite que los activos se carguen solo del origen donde se sirve el sitio web.
Sin embargo, la política de seguridad de contenido (CSP) es mucho más configurable de lo que se muestra en este simple ejemplo. El CSP incluye otras directivas como Script-SRC, Style-SRC e IMG-SRC para especificar las fuentes de las cuales el navegador puede cargar activos (por ejemplo, CSS, imágenes y fuentes). Para obtener una lista completa de cómo se puede configurar CSP, consulte las Guías de referencia rápida para la política de seguridad de contenido.
El encabezado de seguridad de las opciones X-tip-options HTTP es un encabezado no estándar respetado por todos los navegadores principales que evitan los ataques de secuencias de comandos de sitios cruzados (XSS) que son causados ​​como resultado del tipo de olfato mime 5 . Cuando está presente, este encabezado le dice al navegador que siga estrictamente los tipos de MIME definidos en el encabezado de tipo de contenido HTTP y que el navegador no debe intentar detectar el MIME adecuado para los datos de respuesta en sí. El encabezado solo tiene una directiva: Nosniff.
X-Contemplate-type-opts: Nosniff
Los encabezados de seguridad HTTP antiguos o no utilizados también son una serie de la sede de seguridad HTTP antigua y no utilizada. Ya no se usan o ya no funcionan porque se han introducido como remedios temporales, experimentos o incluso iniciativas no estándar, que han sido depreciadas o reemplazadas. A continuación se muestra una lista de estas sedes de seguridad HTTP. Los titulares de seguridad HTTP reemplazados por contenido-seguridad-polycy X-frame-options HTTP X-frame-E-E-E-INCEDENCIONES DE SEGURIDAD DE SEGURIDAD DE SEGURIDAD DESPECADAS ES UN AHORA DESPRECIADO ES UNA PARTIR AHORA DEL EN (y adoptado por otros navegadores con diferentes grados de uniformidad y compatibilidad) para proteger los navegadores contra secuencias de comandos de sitios cruzados (XSS), clickjacking y otros ataques que se basan en colocar un sitio para iframe.
Este encabezado ha sido reemplazado por la Directiva sobre la Política de Seguridad (CSP) de los antepasados ​​de los cuadros. Se recomienda utilizar CSP con la Directiva de Ancestros de Frame en lugar de las opciones de Frame X.
El encabezado de seguridad HTTP X-XSS-Protection HTTP X-XSS fue un encabezado no estándar para activar o desactivar la protección del navegador contra ataques de secuencia de comandos de sitios cruzados (XSS). En la práctica, este encabezado a menudo ha sido evitado fácilmente por los atacantes y, por lo tanto, es ignorado por la mayoría de los navegadores modernos. El encabezado de seguridad de Key Publicate Pines HTTP se usa para configurar la función de seguridad de fijación de clave pública (HPKP) que se ha introducido en Google Chrome y Firefox para evitar la falsificación del certificado TLS. HPKP trabajó por el hecho de que el servidor web proporcionó al navegador un conjunto de hashs criptográficos de las claves públicas del certificado TLS que utilizó el sitio web, que el navegador también usaría para compararlos con los certificados que recibe del servidor en las solicitudes posteriores. . El problema era que HPKP era bastante complicado de administrar y con frecuencia condujo a configuraciones incorrectas que podrían desactivar por completo el acceso al sitio; como tal, ya no se recomienda usarlo.
Agregar encabezados de seguridad HTTP a WordPress HTTP Security Header Los cabezales funcionan mejor cuando se configuran en su servidor web o, cuando sea apropiado, en la red de entrega de contenido (CDN) o en el firewall para aplicaciones web. Esto les permite enviar a cada solicitud. Alternativamente, aunque menos ideal, puede usar un complemento de WordPress para establecer estos encabezados ahora que hemos cubierto el propósito de los encabezados de seguridad HTTP, aquí hay algunas formas de activarse en su sitio web de WordPress. Agregar la sede de seguridad HTTP a WordPress usando el servidor HTTP Apache Siguiente es un ejemplo de Apache HTTP Server para activar HTTP Strict Transport Security (HSTS), X-Content-Type-Opciones y una política de seguridad de contenido simple. & LT; IfModule Mod_headers.c & Gt;

Encabezado Conjunto de seguridad de transporte estricto “Max-Age = 31536000”
Encabezado establece X-contenente-opciones “nosniff”
Encabezado Establecer contenido-seguridad-polycy “predeterminado-slf ‘”
& lt;/ifModule & gt;
Agregar encabezados de seguridad HTTP a WordPress usando NGINX de manera similar, el siguiente es un ejemplo de NGINX para activar HTTP Strict Transport Security (HSTS), opciones de tipo X-Content y una política de seguridad de contenido simple.
servidor {
Add_header Strict-Transport-Security “Max-Age = 31536000; siempre;
Add_heer X-Contemplate-type-opts “Nosniff” siempre;
add_headaer Content-Security-Polycy “default-slf ‘” siempre;
}
Agregar la sede de seguridad HTTP a WordPress utilizando un complemento alternativo, aunque menos efectivo (debido a que se basa en WordPress en sí mismo para modificar la sede), el uso de un complemento de WordPress podría ser la forma más fácil de agregar la sede de seguridad HTTP a Sitio: Su WordPress. Los complementos como el complemento de redirección le permiten agregar encabezados HTTP personalizados a su sitio web. Cómo verificar el encabezado de seguridad HTTP Asegúrese de que estén configurados correctamente y funcione como espere. La forma más fácil de probar esto es el uso de una herramienta gratuita llamada Security Headers 6 . El uso de la herramienta de cabezales de seguridad es igual de simple para ingresar a la URL de su sitio y presionar “escanear”. Luego se le dará una nota de A+ a F, junto con una explicación de la forma en que se determinó la nota respectiva.
Referencias utilizadas en este artículo [+]</sup>