Generador de cabeceras de seguridad HTTP

Genera la configuración de cabeceras de seguridad HTTP para tu WordPress en .htaccess, Nginx o PHP. Elige un preajuste según tu tipo de sitio o personaliza cada cabecera.

Preajuste según tipo de sitio

Cada preajuste está optimizado para un tipo específico de sitio WordPress, con las configuraciones de seguridad adecuadas que no rompen la funcionalidad.

Configuración de cabeceras

Define qué recursos pueden cargarse en tu sitio. Previene ataques XSS controlando de dónde pueden venir los scripts, estilos, imágenes, etc.

Las violaciones se registran pero no se bloquean. Perfecto para probar sin romper el sitio.

No aplica CSP en wp-admin ni wp-login.php. El editor de bloques necesita directivas muy permisivas que reducirían la seguridad. Si usas el editor clásico, puedes desactivar esta opción.

Importante para WordPress:

  • Una CSP muy estricta puede romper plugins y temas
  • Los maquetadores (Elementor, Divi) necesitan 'unsafe-inline'
  • El editor de bloques necesita excluir el admin para funcionar
  • Empieza con el modo reporte y ajusta según necesites

Previene ataques de clickjacking impidiendo que tu sitio se cargue dentro de un iframe en otros dominios.

frame-ancestors es el sucesor moderno de X-Frame-Options dentro de CSP. Usar ambas da máxima compatibilidad.

Impide que los navegadores "adivinen" el tipo MIME de los archivos. Evita que un archivo de texto sea interpretado como JavaScript malicioso.

Fuerza a los navegadores a usar HTTPS siempre. Actívalo únicamente si ya tienes SSL/HTTPS configurado correctamente.

Actívalo solo si todos tus subdominios tienen HTTPS.

Difícil de revertir. Úsalo solo si estás 100% seguro.

Controla cuánta información se envía en la cabecera 'Referer' cuando alguien hace clic en un enlace de tu sitio.

Controla qué funciones del navegador puede usar tu sitio. Bloquea acceso a cámara, micrófono, geolocalización, etc.

Bloquear acceso a:

Activa el filtro anti-XSS integrado en navegadores antiguos. Los modernos ya no lo usan.

Controla qué recursos de otros dominios se pueden cargar. Puede romper imágenes y scripts externos.

Aísla tu sitio en su propio contexto de navegación. Útil frente a ataques tipo Spectre.

Controla quién puede cargar recursos de tu sitio. Impide que otros sitios usen tus imágenes, scripts, etc.

Configuración generada

# Completa el formulario y pulsa generar para ver el código

¿Quieres comprobar qué cabeceras te faltan? Usa el análisis de seguridad WordPress.

También te puede interesar

Generador

Generador de wp-config.php

Configura todos los parámetros de tu wp-config.php con opciones avanzadas de debug, rendimiento y seguridad.

 Generador

Generador de .htaccess

Crea reglas .htaccess personalizadas con seguridad, redirecciones y caché para Apache.

 Generador

Generador de consultas SQL

Genera consultas SQL útiles para WordPress y WooCommerce sin escribir código.