Añadir cabeceras HTTP
Esta guía te mostrará cómo añadir encabezados HTTP a tu sitio web de WordPress.com para manejar varias solicitudes y respuestas.
Esta función está disponible en WordPress.com con un plan Business o Commerce.
Acerca de las cabeceras HTTP
Las cabeceras HTTP pasan información adicional junto con una solicitud o respuesta HTTP de tu web. Las cabeceras HTTP le indican a tu sitio cómo debe gestionar ciertas solicitudes y recopilar información según la fuente, servicio o red social de la que provenga el código de la cabecera.
La mayoría de las cabeceras HTTP están optimizadas en WordPress.com y no necesitan ningún cambio, pero otras se pueden aplicar o modificar en tu web si lo necesitas. Ten en cuenta que algunos códigos de cabeceras HTTP no son modificables en WordPress.com si presentan una amenaza de seguridad o si entran en conflicto con otras funciones en la plataforma de WordPress.com.
Lista de cabeceras HTTP comunes
A continuación puedes ver una tabla que muestra las cabeceras HTTP más habituales que se pueden aplicar a tu web, con notas sobre las cabeceras HTTP que no se pueden modificar en WordPress.com. También puedes consultar más información sobre diferentes cabeceras HTTP en MDN.
| Cabecera | Descripción |
|---|---|
| X-Robots-Tag | Indica cómo se indexará una página web dentro de los resultados de búsqueda públicos. La cabecera HTTP es equivalente a <meta name="robots" content="...">. |
| Access-Control-Allow-Headers | Se utiliza en respuesta a una solicitud de preflight, que incluye los Access-Control-Request-Headers para indicar qué cabeceras HTTP se pueden usar durante la solicitud real. |
| Access-Control-Allow-Methods | Especifica uno o más métodos permitidos al acceder a un recurso en respuesta a una solicitud de preflight. |
| Access-Control-Allow-Credentials | Indica a los navegadores si deben exponer la respuesta al código JavaScript del front-end cuando el modo de credenciales de la solicitud (Request.credentials) es include. |
| Access-Control-Allow-Origin | Indica si la respuesta se puede compartir con el código solicitante del origen dado. |
| Access-Control-Expose-Headers | Permite a un servidor indicar qué cabeceras de respuesta deben estar disponibles para los scripts que se ejecutan en el navegador en respuesta a una solicitud de origen cruzado. |
| X-Frame-Options | Indica si se debe permitir o no que un navegador renderice una página en un <frame>, <iframe>, <embed> o <object>. Los sitios pueden usar esto para evitar ataques de clickjacking, asegurando que su contenido no esté insertado en otros sitios. |
| X-XSS-Protection | Una característica de Internet Explorer, Chrome y Safari que detiene la carga de páginas cuando detectan ataques de scripting entre sitios reflejados (XSS). Estas protecciones normalmente son innecesarias en navegadores modernos cuando los sitios implementan una política de seguridad de contenido estricta que desactiva el uso de JavaScript inline (‘unsafe-inline’). |
| X-Content-Type-Options | Indica que los tipos MIME anunciados en las cabeceras Content-Type deben ser seguidos y no deben ser cambiados. La cabecera HTTP te permite evitar la detección de tipos MIME al decir que los tipos MIME están deliberadamente configurados. |
| Strict-Transport-Security | Informa a los navegadores que el sitio solo debe ser accedido usando HTTPS y que cualquier intento futuro de acceder a él usando HTTP debe ser convertido automáticamente a HTTPS. Nota: No modificable en WordPress.com |
| Referrer-Policy | Controla cuánta información de referido (enviada con la cabecera Referer) debe incluirse en las solicitudes. Aparte de la cabecera HTTP, puedes establecer esta política en HTML. |
| Content-Security-Policy | Permite a los administradores web controlar los recursos que el agente del usuario puede cargar en una página específica. Con algunas excepciones, las políticas implican principalmente especificar orígenes de servidor y endpoints de script. Esto ayuda a proteger contra ataques de scripting entre sitios. Nota: No implementado y no modificable en WordPress.com |
Añadir cabeceras HTTP a una web
Hay dos métodos que puedes usar para añadir una cabecera de respuesta HTTP a tu web.
Añadir cabeceras HTTP con el plugin Redirection
Aunque hay varias formas de añadir cabeceras HTTP a una web habilitada para plugins, nuestra mejor recomendación es usar el plugin Redirection.
Aunque el nombre del plugin Redirection sugiere que es solo para redirecciones, puedes usar este plugin de forma segura para aplicar cabeceras HTTP sin utilizar ninguna redirección. Si decides aplicar solo cabeceras HTTP, tus páginas no se verán afectadas por ninguna redirección.
Después de instalar el plugin Redirection, sigue los siguientes pasos para añadir una cabecera HTTP:
- Ve a los ajustes del plugin navegando a Herramientas → Redirection.
- Haz clic en la pestaña «Sitio».
- Desplázate hacia abajo hasta la sección «Cabeceras HTTP» en la parte inferior de la pantalla. Aquí, encontrarás una tabla que muestra una fila para cada cabecera HTTP de tu web.
- Haz clic en el botón «Añadir cabecera» para añadir una fila a la tabla para otra cabecera HTTP.
- Elige la siguiente información:
- Ubicación: ¿Dónde debería aplicarse esta cabecera HTTP? Por lo general,
sitees la opción adecuada para la mayoría de las cabeceras HTTP. - Cabecera: Al hacer clic en esta opción, se desplegará una lista de cabeceras HTTP comunes.
- Si la opción que quieres usar no está disponible, puedes añadir una cabecera personalizada, que abrirá un nuevo cuadro para añadir la cabecera HTTP personalizada y el valor.
- Aunque la opción aparezca en la selección del menú desplegable, puede que no esté disponible para usarla en la plataforma de WordPress.com, como mencionamos anteriormente.
- Valor: Esto mostrará las opciones disponibles de una cabecera HTTP. En el caso de cabeceras personalizadas, puede aparecer como un campo en blanco para que lo rellenes.
- Ubicación: ¿Dónde debería aplicarse esta cabecera HTTP? Por lo general,
- Haz clic en el botón «Actualizar», y las cabeceras HTTP se añadirán a las solicitudes y respuestas de tu web.
Puede pasar algo de tiempo hasta que los cambios en las cabeceras HTTP se apliquen a tu web activa. Aunque con el paso del tiempo los cambios se irán actualizando, también puedes borrar la caché de tu navegador y borrar la caché de tu sitio web.
Añadir cabeceras HTTP con código PHP
Si buscas una solución más avanzada o si prefieres evitar el uso de plugins, también puedes establecer cabeceras HTTP a través de un archivo custom-redirects.php. Esto se puede añadir a la carpeta raíz del sitio usando SFTP.
Cualquier modificación que realice utilizando SFTP se considera personalización avanzada del sitio. No debes editar archivos a menos que sepas exactamente qué hará el cambio, y te recomendamos que solo utilices este método si manejas con soltura el uso de SFTP.
A continuación, te mostramos una visión general de cómo añadir cabeceras HTTP a los archivos de tu web usando SFTP:
- Ve al escritorio de tu sitio y navega a Alojamiento → Resumen (o Ajustes → Configuración del alojamiento si usas el estilo de interfaz predeterminado).
- Haz clic en la pestaña de Ajustes del servidor.
- En «Credenciales SFTP/SSH», haz clic en el botón Crear credenciales para generar tus credenciales FTP.
- Elige tu propio cliente SFTP, como FileZilla o Cyberduck, para acceder a los archivos de tu web.
- Navega a la carpeta raíz de los archivos de tu sitio (esto se identifica como la carpeta
htdocsen los sitios de WordPress.com). En esa carpeta, crea un nuevo archivo llamadocustom-redirects.php - Usa un editor de texto de tu dispositivo (como TextEdit o Notepad) para editar el archivo con tus preferencias.
- Guarda el archivo en el servidor.
Este es un ejemplo de un archivo custom-redirects.php válido:
<?php
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('X-Frame-Options: SAMEORIGIN');
header('Referrer-Policy: no-referrer-when-downgrade');
?>Última actualización: noviembre 26, 2024
Recursos para desarrolladores de WordPress.com 