Headers Security Advanced & HSTS WP es uno de los plugins más completos para reforzar la seguridad de WordPress mediante la gestión avanzada de cabeceras HTTP. Su enfoque «todo en uno» automatiza buenas prácticas reconocidas por OWASP para mitigar ataques como clickjacking, XSS, inyecciones de código, CSRF y otras amenazas modernas. A diferencia de otros plugins, este permite una personalización total de cabeceras como Content-Security-Policy (CSP), X-Frame-Options, Strict-Transport-Security (HSTS), entre muchas otras.
¿Qué lo diferencia?
A diferencia de plugins más genéricos o centrados en hardening, Headers Security Advanced & HSTS WP:
- Aplica automáticamente las mejores prácticas de seguridad web
- Integra el estándar OWASP CSRF para proteger incluso si otros plugins son vulnerables
- Permite personalizar CSP según servicios de terceros comunes como Google Fonts, YouTube, Stripe, Facebook, Cloudflare, entre otros
- Integra monitorización avanzada vía Sentry, Report URI, Datadog y URIports
- Bloquea FLoC de Google para maximizar la privacidad del usuario
Protección contra Clickjacking
Uno de los pilares del plugin es proteger contra clickjacking. Este ataque se produce cuando tu sitio es incrustado en un iframe malicioso para engañar al usuario. Las medidas que el plugin ofrece incluyen:
1. X-Frame-Options
Valor recomendado:
X-Frame-Options: SAMEORIGIN
Lenguaje del código: HTTP (http)Esto evita que cualquier otro dominio incruste tu web en un iframe, salvo el mismo dominio.
2. Content-Security-Policy: frame-ancestors
Valor más moderno, usado por navegadores actuales:
Content-Security-Policy: frame-ancestors 'self'
Lenguaje del código: JavaScript (javascript)El plugin permite especificar excepciones como:
Content-Security-Policy: frame-ancestors 'self' https://tudominio-secundario.com;
Lenguaje del código: JavaScript (javascript)Este tipo de control granular es clave si usas iframes legítimos (por ejemplo, en portales de administración o integraciones con terceros).
👉 Si necesitas permitir temporalmente iframes en rutas de WordPress como
/wp-admin/update.php, puedes combinar este plugin con excepciones mediante código o ajustes personalizados. Consulta nuestra guía sobre excepciones para iframes en WordPress.
Compatibilidad con servicios comunes
El plugin ofrece plantillas de configuración para más de 40 servicios populares usados en WordPress, como:
- Google Tag Manager / Analytics
- Gravatar, Facebook, Twitter SDKs
- Stripe, PayPal, Mailchimp
- Cloudflare, jsDelivr, Bootstrap CDN
- Vimeo, YouTube, Hotjar, HubSpot, New Relic
De este modo, puedes activar políticas CSP seguras sin bloquear servicios externos clave para el funcionamiento de tu web.
Monitorización de seguridad avanzada
Headers Security Advanced & HSTS WP se integra con plataformas líderes para notificaciones de seguridad:
- Sentry: reportes CSP en tiempo real + errores JavaScript
- Report URI: análisis avanzado de políticas CSP, HPKP y referrer
- Datadog: métricas de seguridad + rendimiento del sitio
- URIports: detección de excepciones y vulnerabilidades en cabeceras
Esto permite que tu sitio envíe informes de seguridad estructurados para su revisión en tiempo real.
¿Cómo instalarlo?
- Desde tu WordPress, ve a Plugins → Añadir nuevo
- Busca Headers Security Advanced & HSTS WP
- Instálalo y actívalo
- Ve a Ajustes → Headers Security Advanced & HSTS WP
- Personaliza tus cabeceras HTTP o aplica las configuraciones predefinidas
¿Cuál es el resultado?
Con este plugin correctamente configurado puedes lograr puntuaciones A+ en herramientas como:
Verifica tu web
🔐 Visita clickjacker.io para probar si tu sitio es vulnerable a clickjacking.
Headers Security Advanced & HSTS WP es una herramienta esencial para sysadmins y usuarios WordPress avanzados que desean implementar una seguridad real basada en cabeceras HTTP modernas. Su enfoque modular, compatibilidad con servicios externos y capacidad de monitorización lo posicionan como una solución altamente recomendable en entornos productivos, tanto en sitios corporativos como en proyectos personales.
