Actualidad

5 encabezados de seguridad HTTP esenciales para SEO

Estás leyendo la publicación: 5 encabezados de seguridad HTTP que necesita saber para SEO

Los encabezados de seguridad se pasan por alto fácilmente en las auditorías de sitios web.

Si bien algunos pueden decir que la seguridad del sitio web no es una preocupación relacionada con el SEO, sí se relaciona con el SEO cuando un sitio es pirateado y el tráfico de búsqueda se reduce a cero.

Los encabezados de seguridad deberían ser una de las principales preocupaciones de todos los que publican algo en Internet.

La buena noticia es que son relativamente simples de configurar y ayudarán a mantener seguros su sitio web y sus visitantes.

en esta columna, aprenderá qué son los encabezados de seguridad y cómo funcionan, así como los 5 encabezados de seguridad principales, cómo implementarlos, qué complementos de WordPress puede usar para configurar los encabezados de seguridad y más.

¡Empecemos!

¿Qué son los encabezados de seguridad?

Los encabezados de seguridad son directivas que los navegadores deben seguir y que se transmiten a través de la respuesta del encabezado HTTP.

Un encabezado HTTP es una respuesta de un servidor web a un navegador que intenta acceder a una página web.

La respuesta del encabezado comunica cosas como cuando la página web no existe (encabezado de respuesta 400).

O que está bien descargar una fuente de Google pero no confiar en ningún otro dato fuera del dominio del sitio web.

En ese ejemplo, la parte que le dice al navegador que está bien descargar fuentes de Google pero no confiar en ningún archivo que se origine en otro lugar que no sea el sitio web en sí es un directiva de seguridad.

Una directiva de seguridad como esa impedirá que un navegador descargue archivos maliciosos de otro sitio web.

Los encabezados de seguridad introducen restricciones e instrucciones que evitan eventos de seguridad no deseados.

¿Por qué usar encabezados de seguridad?

El software de bot automatizado está constantemente sondeando y probando sitios web en busca de debilidades de seguridad.

Estas vulnerabilidades pueden ser introducidas por el sistema de administración de contenido, por la biblioteca de JavaScript utilizada para agregar funcionalidad y por debilidades de seguridad introducidas por un complemento o un tema.

Se dice que los sitios web que usan encabezados de seguridad están protegidos contra amenazas de seguridad.

Si bien un sitio web puede funcionar sin usar encabezados de seguridad al mantener sus componentes actualizados y usar complementos de seguridad, hacerlo expone innecesariamente al sitio web y a los visitantes del sitio a riesgos de seguridad.

Por ejemplo, los complementos de seguridad no pueden detener las inyecciones de anuncios que roban los ingresos publicitarios al propietario del sitio.

Quizás la mejor razón para usar encabezados de seguridad es que son relativamente fáciles de implementar y garantizan que un sitio web siga funcionando con normalidad.

Los 5 encabezados de seguridad principales

1. Política de seguridad de contenido (CSP)

Una política de seguridad de contenido (CSP) ayuda a proteger un sitio web y a los visitantes del sitio de los ataques de Cross Site Scripting (XSS) y de los ataques de inyección de datos.

Secuencias de comandos entre sitios (XSS)

Los exploits Cross-Site Scripting (XSS) ocurren cuando los piratas informáticos aprovechan un agujero de seguridad para cargar scripts maliciosos en un sitio web que luego se descargan en el navegador de la víctima.

Los ataques XSS se aprovechan de las fallas en un sistema de administración de contenido que permite que se inyecten entradas inesperadas debido a una desinfección insuficiente del archivo de entrada del usuario.

Por ejemplo, normalmente, un formulario de correo electrónico debe codificarse para esperar una entrada restringida.

Un formulario mal codificado puede permitir alguna otra entrada que luego puede conducir a una inyección de archivos maliciosos.

Un ataque XSS se puede utilizar para robar contraseñas o como parte de un evento de piratería de varios pasos.

Ataques de inyección

El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) describe ataques de inyección como un riesgo de seguridad grave:

“La inyección es el intento de un atacante de enviar datos a una aplicación de una manera que cambiará el significado de los comandos que se envían a un intérprete.

Por ejemplo, el ejemplo más común es la inyección SQL, donde un atacante envía “101 O 1 = 1” en lugar de solo “101”. Cuando se incluyen en una consulta SQL, estos datos cambian el significado para devolver TODOS los registros en lugar de solo uno.

…Con frecuencia, estos intérpretes se ejecutan con mucho acceso, por lo que un ataque exitoso puede resultar fácilmente en filtraciones de datos significativas, o incluso en la pérdida de control de un navegador, una aplicación o un servidor. En conjunto, los ataques de inyección representan un gran porcentaje de los riesgos graves para la seguridad de las aplicaciones”.

La política de seguridad de contenido por sí sola no protege al 100 % un sitio de los ataques, pero sí ayuda a disminuir la posibilidad de un ataque de secuencias de comandos entre sitios.

🔥 Recomendado:  General Motors está desarrollando un asistente de inteligencia artificial basado en ChatGPT para sus autos y camiones

Un encabezado CSP le indica al navegador que solo descargue recursos de un grupo determinado de dominios y solo de esos dominios.

Cualquier atacante que descargue scripts maliciosos de otro servidor fuera de ese grupo de confianza será bloqueado.

La creación de una política de seguridad de contenido puede ser tan estricta o indulgente como lo requiera el editor.

Advertencia: Sin embargo, configurar uno puede ser un poco complicado porque debe enumerar todos los scripts y recursos que se descargan desde fuera de su dominio para incluirlos en la lista blanca.

2. Encabezado de seguridad de transporte estricto (HSTS)

El encabezado Strict-Transport-Security también se denomina encabezado HTTP Strict Transport Security (HSTS).

Muchos sitios web solo tienen una redirección 301 de HTTP a HTTPS.

Pero eso no es suficiente para mantener el sitio web seguro porque el sitio web sigue siendo vulnerable a un ataque de intermediario.

HSTS evita que un atacante degrade la conexión HTTPS a una conexión HTTP, lo que luego le permite aprovechar los redireccionamientos inseguros.

Por ejemplo, si una persona escribe ejemplo.com para acceder a un sitio, sin escribir realmente la parte https (o simplemente escribe http por costumbre), entonces existe la oportunidad de un ataque de intermediario.

Ese tipo de ataque puede comprometer la conexión de los visitantes del sitio al sitio web y cualquier información confidencial intercambiada entre el visitante y el sitio web se vuelve visible para el atacante.

Por ejemplo, un atacante puede interceptar cookies que contienen información confidencial, como credenciales de inicio de sesión.

El gobierno de los Estados Unidos enumera tres escenarios donde HTTPS se puede degradar a HTTP y, posteriormente, permitir que un atacante comprometa la seguridad.

Estas son las tres formas en que se puede degradar HTTPS:

  • Cuando un usuario escribe “gsa.gov” en la barra de URLlos navegadores utilizan de forma predeterminada http://.
  • Un usuario puede hacer clic en un enlace antiguo que utiliza por error una URL http://.
  • La red de un usuario puede ser hostil y reescribir activamente los enlaces https:// a http://.

El encabezado HSTS evita que esto suceda al obligar al navegador a no aceptar absolutamente una conexión HTTP.

El encabezado HTTP Strict Transport Security (HSTS) le dice al navegador que solo se debe acceder a todo el sitio web mediante un protocolo HTTPS seguro.

Nota al margen: Cómo precargar HSTS en Chrome

En una nota relacionada, Google Chrome tiene un programa de precarga HSTS donde los editores pueden enviar sus sitios para que Chrome los incluya como solo accesibles a través del protocolo HTTPS.

Muchos navegadores web basados ​​en Chrome precargarán posteriormente estos sitios web con HTTPS y solo a través de HTTPS, codificando ese estándar directamente en el navegador.

Los sitios que califican ya deben estar sirviendo el encabezado de seguridad HSTS.

Estos son los cuatro requisitos necesarios para calificar para la precarga de Chrome HSTS:

  1. “Servir un certificado válido.
  2. Redirigir de HTTP a HTTPS en el mismo host, si está escuchando en el puerto 80.
  3. Servir todos los subdominios a través de HTTPS. En particular, debe admitir HTTPS para el subdominio www si existe un registro DNS para ese subdominio.
  4. Sirva un encabezado HSTS en el dominio base para solicitudes HTTPS:- La edad máxima debe ser de al menos 31536000 segundos (1 año).- Se debe especificar la directiva includeSubDomains.- Se debe especificar la directiva de precarga.- Si está sirviendo un redireccionamiento adicional desde su sitio HTTPS, ese redireccionamiento aún debe tener el encabezado HSTS (en lugar de la página a la que redirige).

Encontrarás más información en hstspreload.org.

3. Opciones de tipo de contenido X

Este encabezado de seguridad detiene ciertos tipos de vulnerabilidades que pueden ocurrir, por ejemplo, a través de contenido malicioso generado por el usuario.

Los navegadores pueden “olfatear” si un contenido es una imagen (.jpg), una película (.mp4) o texto, HTML, JavaScript y otros tipos de contenido que se pueden descargar de un sitio web.

El “olfateo” permite que un navegador descargue los elementos de la página web y los represente correctamente, en particular en situaciones en las que faltan los metadatos que el navegador necesita para representar el elemento.

La exploración permite que el navegador descubra cuál es el elemento (una imagen, texto, etc.) y luego represente ese elemento.

Sin embargo, los piratas informáticos intentarán engañar a los navegadores para que piensen que un archivo JavaScript dañino es en realidad una imagen, lo que permitirá que el navegador descargue el archivo y luego ejecute ese archivo, causando una serie de resultados negativos para el visitante del sitio, especialmente con lo que se conoce como un Ataque de descarga desde el vehículo.

El encabezado X-Content-Type-Options puede detener ese y otros ataques relacionados al deshabilitar la capacidad de los navegadores de “olfatear” el tipo de contenido.

🔥 Recomendado:  Beneficios de datos dobles hasta 168 GB con Vodafone Idea en un plan prepago diario de 2 GB

4. Opciones de X-Frame

El encabezado de seguridad X-Frame-Options ayuda a detener los ataques de secuestro de clics.

Mozilla describe secuestro de clics como:

“…la práctica de engañar a un usuario para que haga clic en un enlace, botón, etc. que no es lo que el usuario cree que es.

Esto se puede usar, por ejemplo, para robar credenciales de inicio de sesión o para obtener el permiso involuntario del usuario para instalar una pieza de malware”.

El encabezado X-Frame-Options funciona al evitar que una página web se represente dentro de un iframe, por ejemplo.

Sin embargo, previene más que solo ataques basados ​​en iframe.

Microsoft define marco olfateando De este modo:

“Framesniffing es una técnica de ataque que aprovecha la funcionalidad del navegador para robar datos de un sitio web.

Las aplicaciones web que permiten alojar su contenido en un IFRAME entre dominios pueden ser vulnerables a este ataque.

El encabezado X-Frame-Options se puede usar para controlar si una página se puede colocar en un IFRAME.

Debido a que la técnica de Framesniffing se basa en poder colocar el sitio de la víctima en un IFRAME, una aplicación web puede protegerse enviando un encabezado de opciones de marco X apropiado”.

El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) proporciona una explicación útil de ataques de secuestro de clics:

“…imagine un atacante que crea un sitio web que tiene un botón que dice “haga clic aquí para obtener un iPod gratis”.

Sin embargo, en la parte superior de esa página web, el atacante cargó un iframe con su cuenta de correo y alineó exactamente el botón “eliminar todos los mensajes” directamente encima del botón “iPod gratis”.

La víctima intenta hacer clic en el botón “iPod gratis”, pero en realidad hizo clic en el botón invisible “eliminar todos los mensajes”.

En esencia, el atacante ha “secuestrado” el clic del usuario, de ahí el nombre “Clickjacking”.

El encabezado X-Frame-Options es importante para proteger a los visitantes de su sitio, así como la reputación de su sitio.

La página web de OWASP sobre secuestro de clics continúa describiendo cómo Adobe Flash fue víctima de un ataque de secuestro de clics que permitió a los piratas informáticos tomar el control de micrófonos y cámaras, consolidando así la reputación negativa de Flash como una pesadilla de seguridad.

Ser conocido en las redes sociales y en Internet como un peligro para la seguridad es malo para los negocios.

El encabezado X-Frame-Options es una medida de seguridad útil para implementar.

5. Política de referencia

El propósito de un encabezado de política de referencia es permitir que el editor de un sitio web controle qué información se envía cuando un visitante del sitio hace clic en un enlace para visitar otro sitio web.

Cuando un visitante del sitio hace clic en un enlace y aterriza en otro sitio, el navegador del visitante proporciona información sobre qué página web envió esa visita.

Cuando observa los registros de su servidor, se envía la información de referencia que indica qué sitios enviaron visitantes.

Sin embargo, hay algunas situaciones en las que la URL del sitio que remite a un visitante a otro visitante podría contener información confidencial que podría filtrarse a un tercero.

La forma en que funciona la Política de referencia es limitando la cantidad de información que se envía después de que un visitante del sitio hace clic en un enlace.

El editor de un sitio web puede optar por no enviar información sobre la referencia, puede optar por enviar solo el nombre de dominio o puede enviar la cadena de URL completa.

Hay ocho directivas que se pueden enviar usando el encabezado Referrer-Policy:

  • Referrer-Policy: sin referente.
  • Referrer-Policy: no-referrer-when-downgrade.
  • Remitente-Política: origen.
  • Referrer-Policy: origin-when-cross-origin.
  • Referrer-Policy: mismo origen.
  • Referrer-Policy: origen estricto.
  • Referrer-Policy: origen estricto cuando origen cruzado.
  • Política de referencia: URL no segura.

Una configuración de política de referencia común es el encabezado “no-referrer-when-downgrade”, lo que significa que la información de referencia se enviará a direcciones URL confiables que están en HTTPS, pero que no se enviará información de referencia a sitios web HTTP que no sean de confianza.

Es importante tener en cuenta que la configuración de la política de referencia no afectará los enlaces de afiliados.

La información de referencia está codificada dentro de la URL de la página de destino, por lo tanto, el comerciante que recibe la referencia de afiliado registra la información de referencia y las ganancias.

Cómo implementar encabezados de seguridad

Hay varias formas de establecer encabezados de seguridad, y una forma popular es con un archivo .htaccess.

Una ventaja de usar el archivo .htaccess es que evita que un editor descargue otro complemento.

Los complementos mal codificados pueden convertirse en un riesgo de seguridad, por lo que puede ser útil minimizar la cantidad de complementos instalados.

Importante: Cada implementación de encabezado de seguridad será diferente según las características específicas de cada sitio web, especialmente la Política de seguridad de contenido (CSP).

🔥 Recomendado:  Divisor Ethernet vs Switch vs Hub – Diferencia

Complementos de WordPress para configurar encabezados de seguridad

Hay algunos complementos populares que ya están instalados en millones de sitios web que vienen con la opción de configurar encabezados de seguridad.

Si ya tiene estos complementos instalados, entonces la opción de usar un complemento en lugar de preocuparse por un archivo .htaccess está ahí para aquellos que prefieran la comodidad.

SSL Pro realmente simple

Más de cinco millones de sitios web ya tienen SSL realmente simple instalado.

La actualización a la versión pro a un precio razonable brinda la opción de configurar hasta ocho encabezados de seguridad de manera fácil.

Redirección

El complemento de redirección de WordPress 100% gratuito existe desde hace más de diez años y está instalado en más de 2 millones de sitios web.

este complemento le permite elegir entre muchos encabezados de seguridad preestablecidos diferentes además de los cinco principales enumerados en este artículo.

Preestablecido significa que puede elegir entre las directivas estándar.

Según la página de descarga de Redirección de WordPress:

“AÑADIR CABECERA HTTP
Los encabezados HTTP se pueden agregar a los redireccionamientos o a todo su sitio para ayudar a reducir el impacto de los redireccionamientos o ayudar a aumentar la seguridad. También puede agregar sus propios encabezados personalizados”.

Además, el complemento de redirección le permite crear sus propios encabezados de seguridad personalizados si hay algo que no encuentra.

El complemento de redirección facilita la instalación exitosa de los cinco principales encabezados de seguridad:

  • Opciones de X-Frame.
  • Opciones de tipo de contenido X.
  • Política de referencia.
  • Estricto-Transporte-Seguridad.
  • Contenido-Seguridad-Política.

Establecer encabezados de seguridad con Cloudflare

Cloudflare tiene un forma de establecer encabezados de seguridad usando sus trabajadores de Cloudflare.

Cloudflare también tiene otra página de soporte con direcciones:

“Adjuntar encabezados
Para adjuntar encabezados a las respuestas de las páginas de Cloudflare, cree un archivo de texto sin formato _headers en la carpeta de salida de su proyecto.

Por lo general, es la carpeta que contiene los archivos HTML listos para implementar y los activos generados por la compilación, como los favicons.

El archivo _headers no siempre debe estar en el directorio raíz del repositorio. Los cambios en los encabezados se actualizarán en su sitio web en el momento de la compilación, así que asegúrese de confirmar y enviar el archivo para activar una nueva compilación cada vez que actualice los encabezados.

Las reglas de encabezado se definen en bloques de varias líneas.

La primera línea de un bloque es la URL o el patrón de URL donde se deben aplicar los encabezados de la regla. En la siguiente línea, se debe escribir una lista sangrada de nombres de encabezados y valores de encabezados…”

Cómo comprobar los encabezados de seguridad

Los encabezados de seguridad son fáciles de verificar.

SecurityHeaders.com ofrece un servicio gratuito de comprobación de encabezados de seguridad.

El software de auditoría web Screaming Frog también tiene la opción para comprobar los encabezados que está disponible en la pestaña Seguridad.

Haga que los encabezados de seguridad formen parte de sus auditorías de SEO

Los encabezados de seguridad son algo que muchos editores o expertos en SEO podrían no considerar.

Pero los encabezados de seguridad son importantes y deben tenerse en cuenta en todas las auditorías de sitios, ya sea que la auditoría se realice internamente o mediante una auditoría de sitios de SEO de terceros.

La seguridad del sitio web es un problema relacionado con el SEO porque la falta de mitigación de los problemas de seguridad negativos puede revertir todos los éxitos relacionados con la clasificación.

Una reputación negativa puede dañar las clasificaciones y las ventas.

La pérdida de visibilidad de búsqueda provoca pérdidas devastadoras.

Implementar encabezados de seguridad es relativamente fácil, debe estar entre los cuadros superiores para verificar al publicar cualquier sitio web.

Más recursos:

Otros temas interesantes: