• Estoy intentando añadir las cabeceras de seguridad a mi WordPress y quisiera pedir ayuda para poder cofigurarla correctamente para mi caso concreto. Hay alguna herramienta que analice la web y devuelva los valores que se han de añadir a estas cabeceras para que fucionen correctamente con una configuración concreta?

    Uso widgets de anuncios de amazon y fineartamerica, de rss, un widget de facebook… y no quiero romper su funcionamiento.

    Actualmente mis cabeceras son:

    // Evitar que el navegador interprete incorrectamente el tipo de contenido header( 'X-Content-Type-Options: nosniff' ); // Prevenir ataques de clickjacking al especificar la política del frame header( 'X-Frame-Options: SAMEORIGIN' ); // Activar el filtro XSS en modo bloqueo para prevenir ataques header( 'X-XSS-Protection: 1;mode=block' ); // Establecer una política de seguridad de transporte estricta header("Strict-Transport-Security: max-age=31536000; includeSubDomains; preload"); // Establecer una política de seguridad de contenido para los elementos permitidos header( 'Content-Security-Policy: default-src https:; script-src https: \'unsafe-inline\'; style-src https: \'unsafe-inline\'; font-src https: data:; img-src https: data:;' ); // Añadir excepción para las imágenes WebP header( 'Content-Security-Policy: img-src https: data: https://fineartamerica.com *.webp;' ); // Establecer una política de permisos para las funcionalidades del navegador header("Permissions-Policy: accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(self), usb=()");

    La web Webpagetest.org me da el siguiente aviso con el analisis Lighthouse:

    Ensure CSP is effective against XSS attacks

    A strong Content Security Policy (CSP) significantly reduces the risk of cross-site scripting (XSS) attacks. 

    script-src directive is missing. This can allow the execution of unsafe scripts.

    Missing object-src allows the injection of plugins that execute unsafe scripts. Consider setting object-src to ‘none’ if you can.

    Y en la consola de Chrome de desarrollador sale dos veces el siguiente mensaje:

    Error with Permissions-Policy header: Unrecognized feature: ‘ambient-light-sensor’.

    Agradeceré cualquier ayuda que podais prestarme. Saludos

    La página con la que necesito ayuda: [accede para ver el enlace]

Viendo 3 respuestas - de la 1 a la 3 (de un total de 3)
  • Moderador almendron

    (@almendron)

    Iniciador del debate fotov60

    (@fotov60)

    Gracias por la información @almendron . Existe alguna herramienta que me permita ajustar las cabeceras que tengo actualmente? Con el contenido que tengo en la web y los recursos que carga, lo mas lejos que llegado es a la version de mi primer post, pero se que hay que mejorarlas porque elementos como el unsafe-inline no son seguros y recomiendan hashes y nonces, pero no se como aplicarlos en mi caso. Es muy complicado delimitar y parametrizar solo lo estrictamente necesario para bloquear el resto.

    Moderador almendron

    (@almendron)

    No conozco ninguna herramienta.

    Deberías ponerte en contacto con el soporte del hosting porque no siempre es necesario añadir las cabeceras de seguridad.

    Por ejemplo, HTTP Strict Transport Security. Si la redirección automática está implementada a nivel servidor, ya no sería necesaria.

    Por otra parte, algunas cabeceras pueden chocar con lo establecido en el mod security del serviodor.

Viendo 3 respuestas - de la 1 a la 3 (de un total de 3)
  • El debate ‘Cabeceras de seguridad’ está cerrado a nuevas respuestas.