Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Cómo añadir cabeceras de seguridad HTTP en WordPress (Guía para principiantes)

Proteger tu sitio web WordPress de las amenazas online es crucial. Una forma de mejorar la seguridad en WPBeginner es mediante el uso de cabeceras de seguridad HTTP. Estas proporcionan una capa adicional de seguridad, actuando como un escudo contra ataques y vulnerabilidades comunes.

Estas cabeceras actúan entre bastidores, indicando a los navegadores y servidores cómo gestionar los datos de su sitio web y mejorar su seguridad general. Añadir estas cabeceras es una forma sencilla pero eficaz de reforzar las defensas de su sitio web y protegerlo frente a actividades malintencionadas.

Esta guía para principiantes le mostrará cómo añadir cabeceras de seguridad HTTP en WordPress. Cubriremos varios métodos, incluyendo el uso de plugins y la edición manual de archivos de configuración.

How to Add HTTP Security Headers in WordPress (Beginner's Guide)

¿Qué son las cabeceras de seguridad HTTP?

Las cabeceras de seguridad HTTP son una medida de seguridad que permite al servidor de su sitio web prevenir algunas amenazas de seguridad comunes antes de que puedan afectar a su sitio web.

Cuando un usuario visita su sitio web WordPress, su servidor web envía una respuesta de cabecera HTTP a su navegador / explorador. Esta respuesta informa a los navegadores acerca de códigos de error, control de caché y otros estados.

La cabecera de respuesta normal emite un estado denominado HTTP 200. Después de esto, su sitio web se carga en el navegador / explorador del usuario. Sin embargo, si su sitio web está teniendo dificultades, entonces su servidor web puede enviar una cabecera HTTP diferente.

Por ejemplo, puede enviar un error interno de servidor 500 o un código de error 404 no encontrado.

Las cabeceras de seguridad HTTP son un subconjunto de estas cabeceras. Se utilizan para proteger sitios web de amenazas comunes como el click-jacking, cross-site scripting, ataques de fuerza bruta, etc.

Echemos un vistazo rápido a algunas cabeceras de seguridad HTTP y cómo protegen su sitio WordPress:

  • HTTP Strict Transport Security (HSTS) indica a los navegadores web que su sitio web utiliza HTTPS y no debe cargarse utilizando un protocolo inseguro como HTTP.
  • Laprotección X-XSS le permite bloquear la carga de secuencias de comandos en sitios cruzados.
  • X-Frame-Options evita el cross-domain iframes o click-jacking.
  • X-Content-Type-Options X-Content-Type-Options bloquea el rastreo del tipo mime del contenido.

Las cabeceras de seguridad HTTP funcionan mejor cuando se establecen a nivel del servidor web, es decir, en su cuenta de alojamiento de WordPress. Esto permite que se activen al principio de una petición HTTP típica y proporcionen las máximas ventajas.

Funcionan incluso mejor si utiliza un cortafuegos de aplicaciones de sitios web a nivel de DNS como Sucuri o Cloudflare.

Dicho esto, echemos un vistazo a cómo añadir fácilmente cabeceras de seguridad HTTP en WordPress. Aquí tienes enlaces rápidos a diferentes métodos para que puedas saltar al que más te convenga:

1. Añadir cabeceras de seguridad HTTP en WordPress usando Sucuri

Sucuri es uno de los mejores plugins de seguridad para WordPress del mercado. Si utilizas su servicio de cortafuegos para sitios web, puedes establecer cabeceras de seguridad HTTP sin escribir ningún código.

En primer lugar, tendrás que acceder a una cuenta Sucuri. Es un servicio de pago que viene con un cortafuegos de sitio web a nivel de servidor, plugin de seguridad, CDN y garantía de eliminación de malware.

Durante el registro, tendrá que responder a preguntas sencillas, y la documentación de Sucuri le ayudará a establecer el cortafuegos de aplicaciones web en su sitio web.

Después de registrarte, debes instalar y activar el plugin gratuito de Sucuri. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.

Tras la activación, tienes que ir a Sucuri Security ” Firewall (WAF) e introducir tu clave API del Firewall. Puede encontrar esta información en su cuenta en el sitio web de Sucuri.

Sucuri WAF API key

Después, tendrás que hacer clic en el botón verde “Guardar” para guardar los cambios.

A continuación, debe cambiar al Escritorio de su cuenta Sucuri. Desde aquí, haga clic en el menú “Ajustes” en la parte superior y luego cambie a la pestaña “Seguridad”.

Setting HTTP security headers in Sucuri

A partir de aquí, puede establecer tres conjuntos de reglas. La protección por defecto funcionará bien para la mayoría de los sitios web.

Si tiene un plan Profesional o Business, también tiene opciones para HSTS y HSTS Full. Puedes ver qué cabeceras de seguridad HTTP se aplicarán para cada conjunto de reglas.

Debe hacer clic en el botón “Guardar cambios en las cabeceras adicionales” para aplicar los cambios.

Sucuri añadirá sus cabeceras de seguridad HTTP seleccionadas en WordPress. Como es un WAF a nivel de DNS, el tráfico de tu sitio web está protegido de los hackers incluso antes de que lleguen a tu sitio web.

2. Añadir cabeceras de seguridad HTTP en WordPress usando Cloudflare

Cloudflare ofrece un servicio básico gratuito de cortafuegos y CDN para sitios web. Carece de características de seguridad avanzadas en su plan gratuito, por lo que tendrás que actualizar a su plan Pro, que es más caro.

Puede aprender a añadir Cloudflare a su sitio web siguiendo nuestra guía práctica sobre cómo establecer la CDN gratuita de Cloudflare en WordPress.

Una vez que Cloudflare esté activado en su sitio web, debe ir a la página SSL/TLS del Escritorio de su cuenta de Cloudflare y, a continuación, cambiar a la pestaña “Certificados Edge”.

Setting up HTTPS security headers in Cloudflare

Ahora, desplácese hacia abajo hasta la sección ‘HTTP Strict Transport Security (HSTS)’.

Una vez que lo encuentre, deberá hacer clic en el botón “Activar HSTS”.

Click the Enable HSTS Button

Aparecerá un mensaje / ventana emergente con instrucciones que le indicarán que debe tener activado HTTPS en su sitio web antes de utilizar esta característica.

Si tu blog WordPress ya tiene una conexión segura HTTPS, entonces puedes hacer clic en el botón ‘Siguiente’ para continuar. Verás las opciones para añadir cabeceras de seguridad HTTP.

Enable HTTPS security headers in Cloudflare

Desde aquí, puede activar HSTS, aplicar HSTS a subdominios (si los subdominios utilizan HTTPS), precargar HSTS y activar la cabecera no-sniff.

Este método proporciona protección básica usando cabeceras de seguridad HTTP. Sin embargo, no permite añadir X-Frame-Options, y Cloudflare no tiene una interfaz de usuario para hacerlo.

Aún puede hacerlo creando un script utilizando la característica Cloudflare Workers. Sin embargo, no recomendamos esto porque crear una secuencia de comandos de cabecera de seguridad HTTPS puede causar problemas inesperados para los principiantes.

3. Añadir cabeceras de seguridad HTTP en WordPress usando .htaccess

Este método le permite establecer las cabeceras de seguridad HTTP en WordPress a nivel de servidor.

Requiere editar el archivo .htaccess de su sitio web. Este archivo de configuración del servidor es utilizado por el software de servidor web Apache más utilizado.

Nota: Antes de realizar cualquier cambio en los archivos de su sitio web, le recomendamos que haga una copia de seguridad.

A continuación, simplemente conéctese a su sitio web utilizando un cliente FTP o el gestor de archivos de su panel de control de alojamiento web. En la carpeta raíz de su sitio web, busque el archivo .htaccess y edítelo.

View of Edit the .htaccess File Using an FTP Client

Esto abrirá el archivo en un editor de texto plano. Al final del archivo, puede añadir algún código para añadir cabeceras de seguridad HTTPS a su sitio web WordPress.

Puede utilizar el siguiente código de ejemplo como punto de partida. Establece las cabeceras de seguridad HTTP más utilizadas con ajustes óptimos:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

No olvide guardar los cambios y visitar su sitio web para asegurarse de que todo funciona según lo previsto.

Nota: Tenga cuidado al editar el código de su sitio web. Cabeceras incorrectas o conflictos en el archivo .htaccess pueden desencadenar el error 500 Internal Server Error.

4. Cómo añadir cabeceras de seguridad HTTP en WordPress con AIOSEO

All in One SEO (AIOSEO) es la mejor herramienta SEO para WordPress y cuenta con la confianza de más de 3 millones de empresas. El plugin premium te permite añadir fácilmente cabeceras de seguridad HTTP a tu sitio web.

Lo primero que debe hacer es instalar y activar el plugin AIOSEO en su sitio web. Puedes obtener más información en nuestra guía paso a paso sobre cómo establecer All in One SEO para WordPress.

A continuación, deberá dirigirse a la página Todo en uno SEO ” Redirecciones para añadir las cabeceras de seguridad HTTP. En primer lugar, tendrá que hacer clic en el botón “Activar redirecciones” para activar la característica.

Activating Redirects in All in One SEO

Una vez activados los redireccionamientos, deberá hacer clic en la pestaña “Redireccionamiento de todo el sitio” y, a continuación, desplazarse hasta la sección “Ajustes canónicos”.

Sólo tiene que activar el conmutador “Ajustes canónicos” y, a continuación, hacer clic en el botón “Añadir preajustes de seguridad”.

Add Security Presets in AIOSEO

Verá que en la tabla aparece un preajuste de cabeceras de seguridad HTTP.

Estas cabeceras están optimizadas para la seguridad del sitio web. Puede reseñarlas / cambiarlas si es necesario.

Security Headers are Added in AIOSEO

Asegúrese de hacer clic en el botón “Guardar cambios” situado en la parte superior o inferior de la pantalla para guardar las cabeceras de seguridad.

Ahora puede visitar su sitio web para asegurarse de que todo funciona correctamente.

Cómo marcar / comprobar las cabeceras de seguridad HTTP de un sitio web

Ahora que ha añadido cabeceras de seguridad HTTP a su sitio web, puede probar su configuración utilizando la herramienta gratuita Cabeceras de seguridad.

Sólo tiene que introducir la URL de su sitio web y hacer clic en el botón “Explorar”.

Checking a Website's HTTP Security Headers

A continuación, marcará / comprobará las cabeceras de seguridad HTTP de su sitio web y le mostrará un informe. La herramienta también generará una denominada etiqueta de calificación, que puede ignorar, ya que la mayoría de los sitios web obtendrán una puntuación B o C sin que ello afecte a la experiencia del usuario.

Le mostrará qué cabeceras de seguridad HTTP envía su sitio web y cuáles no. Si las cabeceras de seguridad que quería establecer están en la lista, entonces ya ha terminado.

Guías de expertos sobre seguridad en WordPress

Esperamos que este artículo te haya ayudado a aprender cómo añadir cabeceras de seguridad HTTP en WordPress. Puede que también quieras ver otras guías relacionadas con la mejora de la seguridad de tu sitio web en WordPress:

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Descargo: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, podemos ganar una comisión. Vea cómo se financia WPBeginner , por qué es importante, y cómo puede apoyarnos. Aquí está nuestro proceso editorial .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

El último kit de herramientas de WordPress

Obtenga acceso GRATUITO a nuestro kit de herramientas - una colección de productos y recursos relacionados con WordPress que todo profesional debería tener!

Reader Interactions

18 comentariosDeja una respuesta

  1. Holly Gough

    Grateful for this info. Clear concise easy to follow directions. I spent an hour+ trying to fix the header issues. Thank you!

    • WPBeginner Support

      Glad our guide could help you!

      Administrador

  2. Valerie

    Thanks. Rock solid info, as usual. Thanks for your help, it worked perfectly.

    • WPBeginner Support

      You’re welcome, glad our guide was helpful!

      Administrador

  3. Katrin

    Where in the .htacces do I have to put the code? above, in between # BEGIN WordPress or behind # END WordPress?

    • WPBeginner Support

      You would want to put code between the begin and end WordPress :)

      Administrador

  4. Michelangelo

    Thank you so much for this article! It helped so much.

    I wish you the best and that your sleeves never slip during dishwashing :D

    • WPBeginner Support

      Glad our article was helpful!

      Administrador

  5. Karma Tsheten

    It worked for me but also it destroyed my design. when ever i add security header, design gets spoiled, any help

    • WPBeginner Support

      That sounds like your theme may be having a conflict for some reason. We would recommend reaching out to your theme’s support to see if they can see the root of the issue.

      Administrador

  6. Nigel Mcilwaine

    Hi,
    Unfortunately it didn’t work for me, even after clearing my cache. The site is on an Apache server, shared hosting is that going to affect the success?
    cheers

    • WPBeginner Support

      You would likely want to check with your hosting provider to ensure they do not have caching or a rule on their end that would cause an issue with your security header

      Administrador

  7. Neil Cheesman

    Hi

    I have added the code to the .htaccess file but it hasn’t made any difference… the website redirects okay from HTTP to https but when testing I still get the message “Couldn’t find the HSTS header
    in the response headers.”

    • WPBeginner Support

      Don’t forget to clear any caching on your site as that is the most common reason for that specific error after adding the code to your htaccess.

      Administrador

  8. ed thomas

    did not work. still have:
    Your website does not send all recommended security headers.
    X-Content Type Options
    X-Frame-Options
    Permissions-Policy

    • WPBeginner Support

      You may want to check your caching as that is the most common reason it will not update. If you clear your site’s cache that should allow your headers to be found.

      Administrador

  9. Mark Downing

    Thanks for the very helpful article. Our site went from an “F” to a “B” with no glitches after I pasted your code snippet into .htaccess.

    • WPBeginner Support

      Glad our recommendation was helpful :)

      Administrador

Deja tu comentario

Gracias por elegir dejar un comentario. Tenga en cuenta que todos los comentarios son moderados de acuerdo con nuestros política de comentarios, y su dirección de correo electrónico NO será publicada. Por favor, NO utilice palabras clave en el campo de nombre. Tengamos una conversación personal y significativa.