Hace unas semanas, recibí un informe de auditoría de seguridad de un cliente. Estaban muy preocupados porque, según el informe, su sitio web tenía numerosas vulnerabilidades de alta y media gravedad.
Rápidamente me di cuenta de que la mayoría de los problemas reportados se debían a cabeceras HTTP ausentes o mal configuradas. Fue una buena oportunidad para revisar y resumir las cabeceras de seguridad que cualquier sitio web o aplicación web debería usar.
Las cabeceras HTTP se pueden configurar en el servidor para mejorar la seguridad general del sitio web o la aplicación web. Añadirlas no hará que el sitio o la aplicación sean literalmente más seguros, pero evitará la explotación de posibles vulnerabilidades.
Hay 2 tipos de cabeceras HTTP a las que debemos prestar atención:
- Las cabeceras que protegen contra ataques X-Frame-Options X-Content-Type-Options X-XSS-Protection Content-Security-Policy Strict-Transport-Security Access-Control-Allow-Origin
- Las cabeceras que revelan información Server X-Powered-By
Asegúrate de qué tienes estas líneas en tu .htaccess, puedes añadirlas a mano.
<IfModule mod_headers.c>
# Security Headers
Header set X-XSS-Protection 0
Header always append X-Frame-Options DENY
Header set X-Content-Type-Options nosniff
Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload"
#Header set Content-Security-Policy "default-src * data: 'unsafe-inline' 'unsafe-eval'"
</IfModule>
Content-Security-Policy (CSP) Protege contra ataques de scripting entre sitios (XSS), clickjacking e inyecciones de HTML.
La Content-Security-Policy proporciona una capa adicional para mitigar los ataques XSS al restringir qué scripts pueden ejecutarse en la página. Probablemente sea la cabecera más importante, pero también la más tediosa de configurar.
Por favor, ten en cuenta que no hay una CSP única para todos los casos. Debes generar una política CSP específica para los recursos cargados por tu sitio web.
Php Ninja - Mantenimiento Web
Somos un equipo de programadores web expertos en PHP, WordPress y Prestashop, con más de 15 años de experiencia, 100% especializados en mantenimiento y arreglos, lo que nos permite ofrecer un servicio muy completo y único de mantenimiento y reparación de páginas web. Conoce más sobre nosotros
- Responsable: Ayesa Digital SLU
- Finalidad: Responderte al correo que vas a enviar.
- Legitimación: Consentimiento.
- Destinatarios: tus datos de contacto se almacenarán en nuestra base de datos.
- Derechos: Cambios, rectificaciones, borrados, escríbenos a administracion@phpninja.es
Puedes consultar la información adicional y detallada sobre Protección de Datos en política de privacidad.
![]()
Muy profesionales. Resuelven rápido e informan en todo momento del estado del trabajo. 100% recomendado.
![]()
Conchetta Alonso
CEO at Workcation
4.7/5 Leer opiniones sobre Php Ninja en Google reviews