Los HTTP Security Headers son instrucciones que el servidor envía al navegador indicándole cómo debe comportarse al mostrar tu sitio. Son invisibles para el usuario, pero protegen contra ataques como XSS (Cross-Site Scripting), clickjacking e inyección de contenido malicioso.

La herramienta SecurityHeaders.com analiza gratis cualquier sitio. La mayoría de los sitios WordPress en Chile obtienen calificación D o F. Estos son los 7 headers que deberías tener.

Los 7 headers esenciales

Strict-Transport-Security (HSTS)
Obliga al navegador a usar siempre HTTPS, incluso si el usuario escribe "http://" en la barra de direcciones. Previene ataques de "downgrade" donde un atacante intenta interceptar la conexión en texto plano.
Riesgo sin este header: ALTO — conexiones interceptables
Content-Security-Policy (CSP)
Define desde qué fuentes puede cargar recursos tu sitio (scripts, imágenes, fonts). Si alguien inyecta un script malicioso en tu sitio, el CSP puede bloquear su ejecución. Es el header más complejo de implementar pero el más poderoso.
Riesgo sin este header: ALTO — vulnerable a XSS y data injection
X-Frame-Options
Impide que tu sitio sea mostrado dentro de un iframe en otra página. Protege contra "clickjacking", donde el atacante superpone tu sitio invisible sobre otro para que el usuario haga clic sin saberlo (por ejemplo, en un botón de pago).
Riesgo sin este header: ALTO — clickjacking en páginas de pago
X-Content-Type-Options
Evita que el navegador intente "adivinar" el tipo de contenido de los archivos. Sin este header, un atacante puede engañar al navegador para que ejecute un archivo de texto como si fuera JavaScript.
Riesgo sin este header: MEDIO — MIME-sniffing attacks
Referrer-Policy
Controla qué información de la URL actual se envía cuando el usuario hace clic en un enlace hacia otro sitio. Sin este header, URLs con tokens de sesión, parámetros de búsqueda internos o rutas admin pueden filtrarse a sitios de terceros.
Riesgo sin este header: MEDIO — fuga de información en referrers
Permissions-Policy
Controla qué APIs del navegador puede usar tu sitio (cámara, micrófono, geolocalización, etc.). Si tu WordPress fue comprometido, este header puede limitar lo que el código malicioso puede hacer.
Riesgo sin este header: MEDIO — acceso innecesario a APIs sensibles
X-XSS-Protection
Activa el filtro XSS incorporado en navegadores más antiguos. En navegadores modernos está deprecado en favor de CSP, pero su presencia cubre compatibilidad hacia atrás con navegadores legacy todavía en uso en Chile.
Riesgo sin este header: BAJO en modernos, MEDIO en IE/Edge legacy

Cómo agregarlos en WordPress

Hay dos formas principales: mediante el archivo .htaccess (para hosting Apache) o mediante un plugin de seguridad.

Opción 1: Plugin (recomendado para no técnicos)

Plugins como "Security Headers" o las configuraciones avanzadas de Wordfence o iThemes Security permiten activar estos headers desde el panel de WordPress sin tocar archivos de servidor.

Opción 2: .htaccess (para Apache)

Agrega estas líneas a tu archivo .htaccess en la raíz de WordPress:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" Header always set X-Frame-Options "SAMEORIGIN" Header always set X-Content-Type-Options "nosniff" Header always set Referrer-Policy "strict-origin-when-cross-origin" Header always set X-XSS-Protection "1; mode=block" Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"

El CSP es más complejo porque cada sitio carga scripts diferentes. Requiere análisis personalizado para no romper funcionalidades legítimas de tu sitio.

¿Qué calificación tiene la seguridad de tu sitio?

Auditamos los headers de seguridad y todas las vulnerabilidades de tu WordPress como parte del informe completo.

💬 Auditar mi seguridad

Conclusión

Configurar estos headers toma menos de una hora una vez que sabes qué hacer. El impacto es inmediato: tu sitio pasa de calificación D o F a B o A+ en SecurityHeaders.com, y más importante, estás protegido contra ataques comunes que afectan a miles de sitios WordPress cada mes.

Si no tienes acceso técnico al servidor o no sabes por dónde empezar, una auditoría te entrega exactamente qué headers faltan y cómo agregarlos en tu configuración específica.

Escrito por el equipo de WebAudit · Marzo 2026

← Volver al blog Ver auditoría WordPress →