Algunos headers (encabezados) HTTP colaboran con la seguridad de las aplicaciones, añadiendo una capa más de protección a los ataques y vulnerabilidades en su navegador.
En este material usted sabrá cuáles son las funcionalidades de cada uno de los headers http indicados abajo y cómo añadirlos en su aplicación WordPress:
X-Content-Type
Esta configuración evita que los navegadores interpreten el contenido de una página decodificando el contenido intercambiado entre ordenadores de una red (sniffing) y ejecutando un código/etiqueta.
Por lo tanto, este header no permite que los archivos no ejecutables de otros usuarios sean leídos y ejecutados por un código javascript o css.
Para ello, es necesario añadir las siguientes líneas al archivo .htaccess - Si es necesario vea cómo editar el archivo .htaccess en cPanel
<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
</IfModule>
X-Frame-Options
Este header proporciona una protección contra clickjacking, conocido como 'golpe de clic', esta vulnerabilidad puede robar información y datos relevantes del usuario.
X-Frame-Options no permite la representación de una página en un frame, garantizando que el contenido de su página no sea incorporado a otros sitios web. Ejemplos de contenidos externos: iconos de redes sociales, Google Maps, publicidad de terceros y etc.
Tipos de directivas
Hay tres tipos de directivas diferentes de este header, siendo estas:
-
x-frame-options: DENY
Esta directiva desactiva completamente el cargamento de la página en un cuadro, independientemente del sitio web que esté intentando acceder, sin embargo, esa opción puede romper algunas funcionalidades.
-
x-frame-options: SAMEORIGIN
Esta directiva permite cargar la página en un cuadro del mismo origen que la página. Con esta directiva, usted todavía puede utilizar la página en frame, siempre y cuando el frame del sitio web, sea el mismo que el que sirve la página. Es un buen equilibrio entre funcionalidad y seguridad.
-
x-frame-options: ALLOW-FROM
Esta directiva permite que la página se cargue en cuadro de origen/dominio especificado. Esto le permite bloquear su sitio web solo para fuentes confiables.
Añadir x-frame-options al tema de Wordpress
Para saber cómo realizar este procedimiento compruebe el paso a paso a continuación:
1En cPanel, en la barra de búsqueda, coloque Administrador de archivos, haga clic en la opción encontrada
2Busque la carpeta del dominio en el cual se encuentra instalado su Wordpress – Si fue en el dominio principal estará en la carpeta public_html
3Después, haga clic en el archivo wp-content
4Luego, haga clic en la carpeta themes
5Ahora, haga clic en el nombre del tema de su WordPress - en el ejemplo, el tema es "twenty nineteen"
6A continuación, busque el archivo functions.php
7Luego, con el botón derecho haga clic en Edit
8En seguida, vuelva hacer clic en Edit
9Ahora, añada las lineas de header X-Frame-Options - Cambie el campo en negrita "directiva" por una de las opciones: DENY, SAMEORIGIN o ALLOW-FROM + dominio
add_action( 'send_headers', 'add_header_xframeoptions' );
function add_header_xframeoptions() {
header( 'X-Frame-Options: DIRECTIVA');
}
10Para finalizar, haga clic en Guardar Cambios