La seguridad web es un factor clave para proteger a los usuarios y evitar ataques como inyecciones de código, robo de datos o accesos no autorizados. Una forma efectiva de reforzar la seguridad de tu sitio es configurar encabezados de seguridad en el servidor.
En este artículo, te explicaremos qué son los encabezados HTTP de seguridad, por qué son importantes y cómo configurarlos en tu sitio web.
En un entorno de hosting compartido, donde no tenemos acceso a la configuración del servidor, los encabezados de seguridad HTTP se pueden configurar mediante el archivo .htaccess o utilizando plugins en WordPress.
Estos encabezados ayudan a proteger tu sitio de ataques como:
🔹 Cross-Site Scripting (XSS)
🔹 Clickjacking
🔹 Inyecciones de código malicioso
🔹 Ataques de Man-in-the-Middle (MITM)
En esta guía, te explicaremos cómo configurarlos en un servidor LiteSpeed con cPanel, qué opciones tienes disponibles y cómo verificar que están funcionando correctamente.
1️⃣ ¿Qué son los encabezados de seguridad HTTP y por qué son importantes?
Los encabezados HTTP de seguridad son directivas enviadas por el servidor al navegador del usuario, indicando cómo debe comportarse la página web en términos de seguridad.
✅ Beneficios de configurarlos correctamente:
✔️ Evitan que terceros inyecten código malicioso.
✔️ Protegen contra ataques de fuerza bruta y MITM.
✔️ Mejoran la seguridad general de tu sitio web.
⚠️ Antes de Empezar: Haz una Copia de Seguridad
Modificar el archivo .htaccess o configurar los encabezados HTTP en WordPress es una tarea delicada. Un error en la configuración podría:
❌ Bloquear scripts externos
❌ Deshabilitar pasarelas de pago
❌ Evitar la carga de imágenes y estilos
❌ Romper funcionalidades clave del sitio
👉 Antes de hacer cambios, realiza una copia de seguridad de tu sitio y del archivo .htaccess.
Lea la siguiente guía junto con esta para obtener más detalles:
2️⃣ Métodos para configurar los encabezados en un hosting compartido con LiteSpeed
Dado que en un hosting compartido con cPanel y LiteSpeed no tenemos acceso directo a la configuración del servidor, podemos implementar los encabezados de seguridad de dos maneras:
Mediante el archivo .htaccess (Recomendado para cualquier sitio web, incluyendo WordPress).
Usando un plugin en WordPress (para quienes prefieren una solución sin modificar archivos manualmente).
3️⃣ Configurar encabezados de seguridad en .htaccess
El archivo .htaccess es una poderosa herramienta que permite modificar el comportamiento del servidor sin acceso a la configuración global.
📌 Ubicación del archivo .htaccess en cPanel:
1️⃣ Accede a cPanel.
2️⃣ Ve a Administrador de archivos > public_html (o la carpeta de tu sitio web).
3️⃣ Encuentra el archivo .htaccess (Si no lo ves, asegúrate de habilitar "Mostrar archivos ocultos").
4️⃣ Edítalo con un editor de texto y añade las siguientes líneas según los encabezados que quieras activar.
📌 Encabezado 1: Strict-Transport-Security (HSTS)
Evita que los usuarios accedan a tu sitio por HTTP, forzando HTTPS en todas las conexiones.
🔹 Importante: Solo funciona si ya tienes un certificado SSL activo en tu sitio.
🔹 Código para .htaccess:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
🔹 Explicación:
max-age=31536000: Mantiene la política por 1 año (en segundos).includeSubDomains: Aplica a todos los subdominios.preload: Permite incluir el dominio en la lista de precarga de HSTS en los navegadores.
📌 Encabezado 2: X-Frame-Options
Evita ataques de Clickjacking impidiendo que tu sitio se cargue en un iframe malicioso.
🔹 Código para .htaccess:
Header always set X-Frame-Options "SAMEORIGIN"
🔹 Opciones:
"DENY"→ Bloquea la carga en cualquier iframe."SAMEORIGIN"→ Permite solo si el iframe está en el mismo dominio.
📌 Encabezado 3: X-Content-Type-Options
Evita que los navegadores detecten incorrectamente el tipo de archivo, previniendo ataques XSS.
🔹 Código para .htaccess:
Header always set X-Content-Type-Options "nosniff"
🔹 Beneficio:
Evita la ejecución de archivos maliciosos que pretenden ser imágenes o documentos.
📌 Encabezado 4: Content-Security-Policy (CSP)
Esta cabecera ayuda a prevenir ataques como Cross-Site Scripting (XSS) e inyecciones de contenido malicioso.
A continuación, puedes entra en la siguiente guía para ver como configurarlo correctamente:
4️⃣ Configurar encabezados de seguridad en WordPress con un plugin
Si no quieres editar el archivo .htaccess manualmente, puedes usar un plugin de seguridad para WordPress.
✅ Opciones recomendadas:
HTTP Headers (permite configurar encabezados avanzados).
iThemes Security (opción completa con más características).
¡Implementa esta configuración en WordPress y fortalece la seguridad de tu sitio web! 🚀🔐
5️⃣ Cómo verificar que los encabezados están funcionando
Para comprobar que los encabezados están activos, usa herramientas en línea como:
✅ Security Headers
✅ Mozilla Observatory
✅ Chrome DevTools → Pestaña "Network" > "Headers".
🔄 Verificar que Todo Funciona
Después de aplicar los cambios:
✔️ Prueba la web y revisa si todo carga bien. Recomendable borrar la cache del WP.
✔️ Verifica los encabezados.
✔️ Si algo falla, restaura la copia de seguridad y revisa la configuración.
🔚 Conclusión
Configurar los encabezados de seguridad en un hosting compartido con LiteSpeed y cPanel es posible mediante .htaccess o plugins de WordPress.
Los mayores riesgos vienen de restricciones excesivas en Content-Security-Policy, X-Frame-Options y Referrer-Policy.
Configurar los encabezados en .htaccess o con plugins de WordPress puede mejorar la seguridad y el rendimiento de tu web. Sin embargo, cualquier error en la configuración puede afectar la funcionalidad del sitio. Por eso, sigue estas recomendaciones:
🔹 Haz siempre una copia de seguridad antes de modificar .htaccess
🔹 Verifica los cambios con herramientas como Security Headers
🔹 Si algo falla, desactiva el plugin o restaura .htaccess