Soporte » Seguridad » Header HTTP – Encabezados de Seguridad

  • Resuelto Hector

    (@hecktoras)


    Hola,
    Espero puedan ayudarme con este problema.
    He configurado los encabezados de seguridad:
    X-Content-Type-Options
    X-Frame-Options
    X-XSS-Protection
    Strict-Transport-Security
    Content-Security-Policy
    Public-Key-Pins
    Referrer-Policy
    Feature-Policy

    Todo funcionaba bien hasta hace unos días, hoy he realizado un análisis con https://securityheaders.com/ y me da como resultado que solo está activo Referrer-Policy.

    Aclaro que no he realizado ningún cambio desde que funcionaba bien.

    Si logro encontrar la solución la publicaré por acá.

    Desde ya muchas gracias.

Viendo 15 respuestas - de la 1 a la 15 (de un total de 15)
  • Moderador almendron

    (@almendron)

    Indica la URl de tu sitio para poder comprobar lo que comentas.

    Iniciador del debate Hector

    (@hecktoras)

    Disculpa por no colocar la URL, la dejo a continuación https://kreathors.com

    Moderador almendron

    (@almendron)

    Pero… ¿dónde has colocado los encabezados? ¿en el htaccess?

    Moderador almendron

    (@almendron)

    De todas formas, te dejo un enlace: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers

    Ahí tienes como se configuran.

    Moderador almendron

    (@almendron)

    Iniciador del debate Hector

    (@hecktoras)

    Gracias @almendron

    Las cabeceras las coloqué en el archivo functions.php

    Moderador almendron

    (@almendron)

    Pon el código aquí para echarle un vistazo. Usa la etiqueta CODE que aparece en la barra superior,

    Moderador almendron

    (@almendron)

    Iniciador del debate Hector

    (@hecktoras)

    Bien, este sería el código que tiene ahora

    /** Cabecera X-Content-TypeOptions, X-Frame-Options, X-XSS-Protection **/
    add_action( 'send_headers', 'add_header_seguridad' );
    function add_header_seguridad() {
    header( 'X-Content-Type-Options: nosniff' );
    header( 'X-Frame-Options: SAMEORIGIN' );
    header( 'X-XSS-Protection: 1;mode=block' );
    header( 'Strict-Transport-Security: max-age=31536000; includeSubDomains; preload' );
    header("Content-Security-Policy: script-src 'self'");
    header( 'Public-Key-Pins: pin-sha256="X3pGTSOuJeEVw989IJ/cEtXUEmy52zs1TZQrU06KUKg="; \
    pin-sha256="MHJYVThihUrJcxW6wcqyOISTXIsInsdj3xK8QrZbHec="; \
    pin-sha256="isi41AizREkLvvft0IRW4u3XMFR2Yg7bvrF7padyCJg="; \
    pin-sha256="aVNttuSMXJLW/fZOCaR/27b8k6ll5VDuoaVZf2rHIFU="; \
    pin-sha256="I/bAACUzdYEFNw2ZKRaypOyYvvOtqBzg21g9a5WVClg="; \
    pin-sha256="Y4/Gxyck5JLLnC/zWHtSHfNljuMbOJi6dRQuRJTgYdo="; \
    pin-sha256="9Eef0hLnaqy+EhIy8HnUCqFOKzTIWlNNZ5iCJlqT01E="; \
    pin-sha256="t3EPvqF+7XoKypCPHyN1b5uey7zTfIGDHn4oBWz2pds="; \
    pin-sha256="zqbcEslrpiH0bA9uhNyl2ovpLEfGJQM/QvZSVumMFJ8="; \
    includeSubdomains; max-age=31536000 always;
    ');
    header( 'Referrer-Policy: strict-origin-when-cross-origin');
    header( 'Feature-Policy: accelerometer "none";ambient-light-sensor "none";autoplay "none";camera "none";encrypted-media "none";fullscreen "self";geolocation "self";gyroscope "none";magnetometer "none";microphone "none";midi "none";payment "self";picture-in-picture "none";speaker "self";sync-xhr "none";usb "none";vibrate "none";vr "none"');
    }
    Moderador almendron

    (@almendron)

    Podría ser cosa del cloudflare o bien del caché. Prueba a vaciar el cache y luego desactiva W3 Total Cache. Después comprueba.

    Iniciador del debate Hector

    (@hecktoras)

    Sisi, estaba pensando lo mismo y al parecer es eso.
    Creo que es problema de W3 Total Cache porque tengo otro sitio con Cloudflare solo y no tiene problemas.

    ¿Debería eliminar W3 Total Cache? Lo tenía porque es bastante bueno comparado con otros y se complementa bastante con Cloudflare.

    Moderador almendron

    (@almendron)

    Antes de tomar la decisión de eliminar W3 Total Cache, yo probaría primero a hacer lo siguiente:

    1) Desactiva todas las características del W3 y comprueba.

    2) Si con todo desactivado funciona bien, ve activando-comprobando opciones hasta ver cuál es la que ocasiona el problema.

    Iniciador del debate Hector

    (@hecktoras)

    Gracias @almendron

    Haré eso y cuento si me fuciona o no.
    En caso de funcionar aclaro cual era el problema.

    Iniciador del debate Hector

    (@hecktoras)

    Hola,

    Finalmente encontre la solución.

    En el plugin W3 Total Cache – Cache del Navegador hay una sección que se llama Security Headers ahí están las opciones para habilitar cada Encabezado de Seguridad, al parecer si no están habilitado y lo agregas en function.php lo anula.

    Espero solucione futuras dudad.

    Gracias @almendron , avisame cuando lo leas así doy por solucionado el tema.

    Moderador almendron

    (@almendron)

    De nada. Un saludo.

Viendo 15 respuestas - de la 1 a la 15 (de un total de 15)
  • El debate ‘Header HTTP – Encabezados de Seguridad’ está cerrado a nuevas respuestas.