El plugin HTTP Headers permite a los administradores de sistemas configurar con precisión las cabeceras de seguridad HTTP directamente desde el panel de WordPress.

Uno de los vectores de ataque más comunes en aplicaciones web es el clickjacking, una técnica que explota iframes para engañar al usuario y ejecutar acciones maliciosas sin su conocimiento. En WordPress, este riesgo se puede mitigar fácilmente configurando correctamente las cabeceras X-Frame-Options y Content-Security-Policy. El plugin HTTP Headers es una herramienta ligera y efectiva que facilita esta tarea sin necesidad de modificar .htaccess o código PHP directamente.

¿Qué es HTTP Headers?

Desarrollado como un plugin gratuito y de código abierto, HTTP Headers permite gestionar más de 40 cabeceras de seguridad y control, como:

• X-Frame-Options
• Content-Security-Policy
• Strict-Transport-Security
• X-XSS-Protection
• Cross-Origin-Opener-Policy
• Access-Control-*
• Permissions-Policy

El objetivo es ofrecer un control granular sobre los encabezados HTTP, algo esencial para fortalecer la seguridad sin depender exclusivamente del servidor web (Apache, Nginx, etc.).

Protección contra clickjacking

Recomendaciones para prevenir embebido malicioso de tu sitio WordPress:

Opción 1: X-Frame-Options

Esta cabecera clásica tiene soporte amplio en todos los navegadores modernos.

• DENY: impide por completo que tu sitio sea cargado en un iframe.
• SAMEORIGIN: solo permite el embebido si el iframe proviene del mismo dominio.

En el plugin, ve a:

Ajustes → HTTP Headers → Seguridad y añade:

X-Frame-Options: SAMEORIGIN
Lenguaje del código: HTTP (http)

Opción 2: Content-Security-Policy: frame-ancestors

Más moderna y flexible, permite definir orígenes específicos autorizados a cargar tu sitio en un iframe. También obsoleta a X-Frame-Options cuando está presente.

Ejemplo:

Content-Security-Policy: frame-ancestors 'self'
Lenguaje del código: JavaScript (javascript)

O incluso más restrictivo:

Content-Security-Policy: frame-ancestors 'none'
Lenguaje del código: JavaScript (javascript)

Ambas se pueden configurar fácilmente desde el panel del plugin, con validación de sintaxis.

Casos avanzados: permitir el iframe en rutas específicas

A veces, como mencionamos en nuestro artículo previo sobre la protección clickjacking y WordPress, es necesario permitir iframes en ciertas rutas internas, como /wp-admin/update.php.

En estos casos, el plugin no permite aún excepciones por ruta directamente, pero puedes combinarlos con reglas .htaccess o funciones PHP condicionales en wp-config.php como solución híbrida.

Ventajas clave del plugin HTTP Headers

✅ Control total sin tocar archivos del sistema
✅ Amplio soporte de cabeceras modernas y legacy
✅ Compatible con Apache y Nginx
✅ Interfaz simple y sin sobrecarga innecesaria
✅ Perfecto para entornos multisitio o entornos bloqueados

¿Quién lo usa?

Según su propia documentación, cabeceras configuradas por este plugin son similares a las utilizadas por gigantes como Google, Facebook, Twitter, LinkedIn y Amazon para proteger sus servicios web.

Recomendación para administradores

El plugin HTTP Headers es ideal si:

• Necesitas reforzar la seguridad HTTP sin depender del servidor.
• Quieres implementar CSP, XFO, STS y otras cabeceras clave.
• Buscas una solución estable, ligera y compatible con futuras versiones de WordPress y PHP.

👉 Puedes descargarlo desde el repositorio oficial:
🔗 wordpress.org/plugins/http-headers