Analizador de encabezados de seguridad

Los encabezados de seguridad son instrucciones que un servidor web envía con cada respuesta que indican a los navegadores cómo comportarse a la defensiva: Content-Security-Policy restringe desde dónde se pueden cargar los scripts, Strict-Transport-Security fuerza HTTPS, X-Frame-Options bloquea el clickjacking, etc. Son uno de los pasos de fortalecimiento más baratos y de mayor impacto que puede tomar un sitio.

La calificación cuenta cuántos de los seis encabezados principales están presentes (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy). Los seis obtienen una A; una A+ además requiere al menos un encabezado de aislamiento de origen cruzado (COOP/CORP/COEP) y ningún indicador de debilitamiento como unsafe-inline en su CSP.

No directamente: Google no clasifica según los encabezados de seguridad. Sin embargo, HSTS protege la experiencia HTTPS que Google sí mide, y es menos probable que un sitio reforzado sea pirateado y incluido en una lista negra, lo que destruye por completo las clasificaciones. Trate los encabezados como un seguro para su inversión en SEO.

Cada encabezado que falta en su informe incluye un fragmento de corrección de nginx listo para pegar. En Apache, use Header siempre establezca directivas en .htaccess; en WordPress con nginx, agregue los fragmentos al bloque de su servidor y vuelva a cargar. Comience con X-Content-Type-Options y HSTS (menor riesgo), primero pruebe CSP en modo de solo informe.

Encabezados como Servidor: nginx/1.24.0 o X-Powered-By: PHP/8.3 revelan versiones exactas del software, lo que permite a los atacantes buscar exploits específicos de la versión. El informe los marca para que usted pueda eliminarlos o generalizarlos.