Tu dices Encabezados de seguridad HTTP e inmediatamente piensas en algo extremadamente técnico. En realidad, este aspecto de la estructura de un blog o un sitio web debe estudiarse y abordarse de la mejor manera posible si desea trabajar con miras a la optimización SEO y mantener una alta funcionalidad de su portal. En otras palabras, no puedes estar en línea e ignorar este tema.
Hablamos, como habrás adivinado, de un parámetro relativo a seguridad del sitio web. Una seguridad que ahora forma parte de los parámetros conocidos como Google Page Experience. Esa es una evaluación general de los diversos elementos que componen la experiencia del usuario.
En su interior también encontramos el Core Web Vitals, la optimización para móviles, la presencia de HTTPS y, de hecho, la seguridad de las páginas web. Entonces el Encabezados de seguridad HTTP permanezca en el centro de su atención: aquí encontrará los principales encabezados de seguridad, algunos consejos para implementarlos y los complementos de WordPress que puede usar para configurar mejor este trabajo.
Son simplemente directivas, relativas a la seguridad del sitio web, que se transmiten a través de la respuesta del encabezado HTTP. Esa es la respuesta que el servidor web da al software del navegador que intenta acceder al sitio web.
El cliente, el programa que utilizas para navegar, se conecta a tu espacio web a través de un dominio y recibe información diversa. Como el código de estado (200 si va bien, 404 si va mal). Los encabezados de seguridad relacionados con los encabezados de seguridad HTTP definen límites e instrucciones que evitan acciones no deseadas y peligrosas para su trabajo publicado en Internet.
Estos elementos tienen la función de definir un nivel de seguridad avanzado. Limitar los comportamientos permitidos por el navegador y el servidor (por lo tanto solicitud y respuesta de datos) una vez realizada una acción por parte del usuario. O de un bot. El software automatizado siempre está buscando sitios web para detectar debilidades de seguridad. Por supuesto, también puedes trabajar en otros frentes.
Por ejemplo usando plugins para aumentar la seguridad y montando un buen firewall o usando un hosting de calidad que monte un sistema como bitninja. Pero eso no siempre es suficiente, por lo que entran en juego los encabezados de seguridad HTTP.
Para leer: qué es y cómo arreglar la pantalla blanca de la muerte
Los principales encabezados de seguridad
Algunos encabezados han quedado obsoletos con el tiempo, otros han aparecido y muchos se relacionan según el tipo de navegador utilizado. Hay varios encabezados, ¿cuáles son los más importantes? Aquí encontrarás la lista completa. He hecho una selección que debe tener en cuenta cuando desee aumentar quirúrgicamente y con precisión la seguridad de su sitio web.
Opciones de tipo de contenido X
La configuración de estos encabezados de seguridad HTTP impide que el navegador interprete los archivos de manera diferente a la especificada en el encabezado de tipo de contenido HTTP. Esto es útil para bloquear la técnica de rastreo de tipo MIME. Esta vulnerabilidad ocurre cuando un sitio permite cargar datos en el servidor y un usuario enmascara un archivo HTML como un tipo de archivo diferente.
Esto abre una brecha en su seguridad, pero la buena noticia es solo esa: puede evitar que esto suceda. interpretación maliciosa de archivos. Si todo esto te asusta, puedes configurar el encabezado X-Content-Type-Options de esta manera:
X-Content-Type-Options: nosniffSeguridad de transporte estricta HTTP (HSTS)
Esta instrucción contrarresta los ataques. a través de una rebaja Protocolo HTTPS a una conexión HTTP, lo que le permite aprovechar los redireccionamientos 301 inseguros. De esta forma, los navegadores deben interactuar con su portal solo a través de conexiones HTTPS seguras y nunca a través del protocolo HTTP. El encabezado HSTS evita que esto suceda. ¿Cómo?
Obligar al navegador a no aceptar absolutamente una conexión que no es segura para usted y para el usuario que ingresa los datos. Estos encabezados de seguridad HTTP tiene dos valores: hora de duración de la educación y presencia o ausencia de subdominios. Ejemplo:
Strict-Transport-Security: max-age=31536000 ; includeSubDomainsBorrar datos del sitio (CSD)
El parámetro Clear-Site-Data elimina los datos de navegación (como cookies, caché) relacionados con el sitio web. Permite a los webmasters tener más control sobre la información almacenada por un navegador. Este encabezado es útil durante un proceso de cierre de sesión. Por ejemplo, garantiza que se elimine todo el contenido almacenado en el navegador. En la sintaxis del encabezado, puede indicar los parámetros individuales que se eliminarán o usar el asterisco para comprenderlos todos, incluso los que se agregarán en el futuro. Ejemplo:
Clear-Site-Data: "cache","cookies","storage"Política de seguridad de contenido (CSP)
Esta solución está diseñada para anticipar y desactivar una amplia gama de ataques, incluidos los scripts de sitios cruzados que utilizan una brecha de seguridad del portal. Gracias a estas luminosidadesComo usar complementos inseguros o no actualizar temas, los atacantes pueden ejecutar scripts maliciosos en un sitio web que luego se descargan en el navegador del usuario.
Esto es aburrido para todos, especialmente para el propietario del portal que también puede recibir un prohibición de Google. La Política de seguridad de contenido solicita al navegador que descargue solo recursos de un determinado grupo de dominios. Sin ir más lejos. Por supuesto, tú decides si la política de seguridad de contenidos debe ser más o menos restrictiva. Un ejemplo:
Content-Security-Policy: font-src font.example.com;Política de referencia
¿Quieres aumentar la seguridad de su sitio de WordPress a partir de cosas simples? Cuando un usuario hace clic en un enlace de su sitio web, envía información estructural sobre la fuente a las herramientas de análisis del sitio web de destino.
El propósito de un encabezado de Política de referencia es controlar qué información se envía cuando un visitante abandona sus páginas para visitar otro portal. En resumen, con HTTP Referrer-Policy usted determina qué información debe incluirse con las solicitudes realizadas. Con el comando sin referencia el encabezado se omitirá por completo. Aquí está el ejemplo:
Referrer-Policy: no-referrer
Para obtener un informe completo de estos elementos, puede utilizar una herramienta gratuita: securityheaders.com. Simplemente ingrese la URL del sitio web que desea analizar y haga clic en enviar para obtener un informe completo de su condición. Y recuerda siempre que la seguridad de su sitio web comienza con la elección de un alojamiento de calidad, estructurado y capaz de supervisar en su nombre.
kinobg
Latest posts by kinobg (see all)
- 7 extensiones de Chrome perfectas para bloguear - 16 junio, 2022
- Agregar videos en las páginas de destino: cómo y por qué hacerlo - 16 junio, 2022
- ¿Hosting con CMS ya instalado? ¡Fácil aplicación! - 16 junio, 2022