WordPress Directo
  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting
No Result
View All Result
WordPress Directo
  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting
No Result
View All Result
WordPress Directo
No Result
View All Result

Cómo permitir actualizaciones en el escritorio de WordPress sin desactivar la protección contra clickjacking

David Carrero Fernández-Baillo by David Carrero Fernández-Baillo
22 mayo 2025
in Noticias
Reading Time: 4 mins read
0

El clickjacking es una vulnerabilidad de seguridad frecuente en sitios web que puede mitigarse fácilmente mediante cabeceras HTTP como X-Frame-Options o Content-Security-Policy. En nuestro artículo anterior sobre cómo proteger WordPress contra clickjacking, explicamos cómo implementar estas medidas.

Sin embargo, si aplicas estas cabeceras de forma global, puede que el escritorio de WordPress no te permita actualizar plugins, temas o el propio core desde el navegador, debido a que esas operaciones utilizan iframes internamente.

Este artículo detalla cómo permitir solo esas rutas específicas sin comprometer el resto de la seguridad de tu sitio WordPress.

Artículos relacionados

WordPress 6.7.2: La última actualización que mejora rendimiento, accesibilidad y diseño

13 febrero 2025

Morpheus: La nueva solución para mantener actualizados los sitios de WordPress

18 diciembre 2024

Ataques DDoS vs. Velocidad Web: Por qué la optimización del rendimiento es clave

22 febrero 2025

Optimiza la velocidad de carga de tu WordPress: Consejos y técnicas

18 diciembre 2024

1. Solución condicional en wp-config.php

Edita el archivo wp-config.php y añade lo siguiente:

// Permitir iframe solo para rutas de actualización del admin
if (
    strpos($_SERVER['REQUEST_URI'], '/wp-admin/update.php') !== false || 
    strpos($_SERVER['REQUEST_URI'], '/wp-admin/admin-ajax.php') !== false
) {
    header('X-Frame-Options: SAMEORIGIN');
    header("Content-Security-Policy: frame-ancestors 'self'");
} else {
    header('X-Frame-Options: DENY');
    header("Content-Security-Policy: frame-ancestors 'none'");
}
Lenguaje del código: PHP (php)

👉 Esto permitirá que el escritorio admin se cargue correctamente durante actualizaciones, manteniendo a la vez una política estricta en el resto del sitio.


2. Usar un plugin de seguridad (alternativa sin código)

Plugins como HTTP Headers o Redirection te permiten configurar cabeceras HTTP de forma selectiva:

  • Ve a Ajustes → HTTP Headers.
  • Configura:
    • X-Frame-Options: SAMEORIGIN
    • Content-Security-Policy: frame-ancestors 'self' https://tudominio.com

Asegúrate de que estos ajustes se apliquen solo a rutas del admin (/wp-admin/), si el plugin lo permite.


3. Configurar .htaccess con excepciones (para servidores Apache)

Edita tu archivo .htaccess:

# Bloqueo por defecto
<IfModule mod_headers.c>
  Header always set X-Frame-Options "DENY"
  Header always set Content-Security-Policy "frame-ancestors 'none'"
</IfModule>

# Excepción para wp-admin/update.php
<FilesMatch "update.php|admin-ajax.php">
  Header set X-Frame-Options "SAMEORIGIN"
  Header set Content-Security-Policy "frame-ancestors 'self'"
</FilesMatch>
Lenguaje del código: PHP (php)

4. Verificación con herramientas CLI o online

Puedes comprobar si los encabezados están bien configurados con:

curl -I https://tudominio.com/wp-admin/update.php
Lenguaje del código: JavaScript (javascript)

Deberías ver algo como:

X-Frame-Options: SAMEORIGIN
Content-Security-Policy: frame-ancestors 'self'
Lenguaje del código: HTTP (http)

También puedes utilizar herramientas como:

  • SecurityHeaders.com
  • Clickjacker.io – Visita Clickjacker para probar si tu web es vulnerable

5. Precaución: conflictos con otros plugins

Plugins como WP Rocket, Wordfence, Sucuri, o incluso configuraciones del servidor CDN (como Cloudflare), pueden sobrescribir estas cabeceras. Asegúrate de:

  • Borrar caché del navegador y plugins.
  • Validar cabeceras activas después de cada cambio.
  • Revisar los .htaccess personalizados o reglas Nginx adicionales.

Conclusión

Si estás aplicando políticas de seguridad estrictas en WordPress para protegerte del clickjacking, es fundamental que no interfieran con funciones básicas del escritorio como las actualizaciones. Afortunadamente, puedes hacerlo con condicionales, ajustes en el servidor o plugins especializados, sin renunciar a la protección del sitio.

Tags: clickjackingprotecciónseguridad
ShareTweetSendSharePin
David Carrero Fernández-Baillo

David Carrero Fernández-Baillo

Experimentando con un sitio web sobre WordPress, este popular gestor de contenidos, entre otros muchos proyectos.

Te puede interesar...

Noticias

Elementor celebra su noveno aniversario con descuentos de hasta el 75 % en toda su plataforma

22 junio 2025

La popular herramienta de creación web para WordPress lanza una campaña especial con importantes...

Noticias

Actualizar o arriesgar: El talón de Aquiles de la seguridad en WordPress está en los plugins y temas

12 junio 2025

WordPress sigue siendo el sistema de gestión de contenidos más popular del mundo, impulsando...

Noticias

PHP cumple 30 años: el lenguaje que hizo posible WordPress y la web moderna

12 junio 2025

Hoy se cumplen 30 años desde que Rasmus Lerdorf lanzó la primera versión pública...

Código fuente

¿Por qué actualizar a PHP 8.4 en tu WordPress? Ventajas y comparativa con PHP 7.4

10 junio 2025

WordPress y la importancia del motor PHP WordPress depende directamente de PHP para funcionar....

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

No Result
View All Result
Plugin Imagify, optimizar imágenes
wordpress hosting NVME
Elegant Themes WordPress
elementor editor plugin




Últimos artículos

Descubren nueva vulnerabilidad crítica en el popular complemento LiteSpeed Cache para WordPress

18 diciembre 2024

Ataques DDos: 7 sencillos consejos para ponérselo difícil a los hackers

27 septiembre 2013

Actualización crítica de WordPress SEO by Yoast, versión 1.7.4

12 marzo 2015

Newzeo un diseño gratis y dinámico para WordPress

2 agosto 2012

Cómo insertar un vídeo de YouTube o Vimeo en WordPress

17 septiembre 2015
WordPress Directo

WPDirecto.com es una revista especializada en WordPress y WooCommerce que ofrece una amplia gama de recursos, incluyendo tutoriales, análisis de plugins y plantillas, consejos de optimización y estrategias de SEO, para ayudar a los usuarios a mejorar y personalizar sus sitios web, manteniéndolos informados sobre las últimas novedades y tendencias en el mundo de WordPress.

Menu

  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting

Información

WPDirecto es un medio de Medios y Redes:
  • Artículos patrocinados
  • Servicio de diseño web
  • Contacto
  • Acerca de MyR
  • Política de privacidad y cookies
  • Aviso Legal

© 1995-2025 Color Vivo Internet, SLU (Medios y Redes Online).. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.

No Result
View All Result
  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting

© 1995-2025 Color Vivo Internet, SLU (Medios y Redes Online).. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.