Las cabeceras de seguridad son la primera línea de defensa de tu web. Llevan años disponibles, cuestan cero euros y la mayoría de sitios WordPress todavía no las tiene bien configuradas.
Cuando hablamos de seguridad en WordPress, la conversación suele girar en torno a contraseñas fuertes, actualizaciones al día o plugins de seguridad. Todo eso está bien. Pero hay una capa de protección que pasa completamente desapercibida y que puede marcar la diferencia entre un sitio seguro y uno vulnerable: las cabeceras de seguridad HTTP.
En Planea Soluciones llevamos años auditando sitios web de empresas y organizaciones, y el patrón se repite constantemente: sitios con buen diseño, buen contenido… y cabeceras HTTP que dejan la puerta abierta a ataques evitables.
En este artículo
¿Qué son las cabeceras HTTP de seguridad?
Cada vez que un navegador carga una página web, el servidor envía una serie de instrucciones invisibles llamadas cabeceras HTTP. Algunas de ellas indican al navegador cómo debe comportarse en materia de seguridad: qué recursos puede cargar, cómo proteger las cookies, si puede mostrar la página dentro de un iframe o no.
El navegador obedece esas instrucciones. Si no existen, hace lo que puede por defecto — y los atacantes saben exactamente cómo aprovechar ese vacío.
En pocas palabras
Las cabeceras HTTP de seguridad son instrucciones que tu servidor le da al navegador para que no haga cosas peligrosas. No cuestan nada y se configuran en minutos. No tenerlas en 2026 es como instalar una alarma y no conectarla a la corriente.
Por qué importan especialmente en 2026
Los buscadores, empezando por Google, llevan años favoreciendo los sitios seguros. Pero más allá del posicionamiento, hay razones de peso para tomárselas en serio ahora mismo:
Los ataques de inyección siguen creciendo. Los scripts maliciosos (XSS), el clickjacking y los ataques de tipo MITM son más sofisticados que nunca. Las cabeceras de seguridad son la defensa específica del navegador contra todos ellos.
Google penaliza los sitios inseguros. El indicador «No seguro» en Chrome ya no es solo una advertencia: afecta directamente a la tasa de rebote y, por tanto, a tus señales de comportamiento de usuario en el ranking.
El cumplimiento normativo lo exige. La normativa de protección de datos (RGPD, ENS en España) considera las medidas técnicas de seguridad como obligación, no sugerencia. Una auditoría de seguridad web que encuentre cabeceras ausentes puede ser un problema en caso de incidente.
Las 6 cabeceras esenciales para cualquier WordPress
Strict-Transport-Security (HSTS) Crítica
Obliga al navegador a comunicarse siempre por HTTPS, incluso si el usuario escribe la URL sin el protocolo. Elimina por completo la posibilidad de que alguien intercepte la conexión en redes inseguras (cafeterías, aeropuertos).
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadContent-Security-Policy (CSP) Crítica
La cabecera más potente y también la más compleja. Define exactamente desde qué dominios puede cargar scripts, estilos, imágenes o fuentes tu página. Un atacante que consiga inyectar código malicioso verá cómo el navegador lo bloquea antes de ejecutarlo.
En WordPress requiere algo de trabajo inicial para no romper plugins, pero la protección que ofrece contra XSS no tiene equivalente.
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' https://www.googletagmanager.com; img-src 'self' data: https:;X-Content-Type-Options Recomendada
Evita que el navegador «adivine» el tipo de archivo cuando el servidor no lo especifica correctamente. Sin esta cabecera, un archivo de texto podría ejecutarse como un script. Con un solo valor, el problema desaparece.
X-Content-Type-Options: nosniffX-Frame-Options Recomendada
Impide que tu web se cargue dentro de un iframe de otra página, bloqueando los ataques de clickjacking. En estos ataques, el usuario cree hacer clic en un botón de tu web pero en realidad está interactuando con una página maliciosa superpuesta.
X-Frame-Options: SAMEORIGINReferrer-Policy Recomendada
Controla qué información de la URL de tu web se envía cuando un usuario hace clic en un enlace hacia otro sitio. Sin esta cabecera, rutas privadas o parámetros de URL pueden filtrarse a servicios de terceros.
Referrer-Policy: strict-origin-when-cross-originPermissions-Policy Opcional pero recomendada
Controla a qué APIs del navegador puede acceder tu página: cámara, micrófono, geolocalización, pantalla completa. Si tu web no usa la cámara, ¿por qué dejar abierta esa posibilidad? Útil especialmente si tienes terceros con acceso al código (plugins, scripts de analítica).
Permissions-Policy: camera=(), microphone=(), geolocation=(self)Cómo implementarlas en WordPress
Opción 1: Mediante el archivo .htaccess (Apache)
Si tu hosting utiliza Apache — que es el caso de la mayoría de alojamientos compartidos y de los servidores que gestionamos en Planea — puedes añadir las cabeceras directamente en el archivo .htaccess de la raíz de tu WordPress:
# Cabeceras de seguridad HTTP para WordPress
# Añadir dentro de <IfModule mod_headers.c>
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=(self)"
# Content-Security-Policy: personaliza según tu instalación
# Empieza en modo report-only para no romper nada
Header always set Content-Security-Policy-Report-Only "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.googletagmanager.com https://www.google-analytics.com; img-src 'self' data: https:; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com"
</IfModule>Importante con la CSP: empieza siempre con Content-Security-Policy-Report-Only en lugar de Content-Security-Policy. Así el navegador reporta violaciones en la consola pero no bloquea nada. Esto te permite ajustar la política sin romper tu web antes de activarla en modo estricto.
Opción 2: Mediante un plugin de WordPress
Si no tienes acceso al servidor o prefieres una solución sin tocar archivos de configuración, plugins como Headers Security Advanced & HSTS WP o la configuración de cabeceras en Wordfence te permiten gestionar todo desde el panel de administración. Es una solución válida para la mayoría de casos, aunque algo menos eficiente que hacerlo directamente en el servidor.
Opción 3: Nginx (servidores dedicados o VPS)
Si tu sitio corre sobre Nginx, el bloque equivalente va en el archivo de configuración del virtual host:
# Dentro del bloque server {}
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=(self)" always;Cómo verificar que están bien configuradas
Una vez implementadas, puedes comprobar el resultado con estas herramientas gratuitas:
- securityheaders.com — La referencia. Analiza tu URL y te da una nota de A+ a F con explicación detallada de cada cabecera presente y ausente.
- Mozilla Observatory (observatory.mozilla.org) — Análisis más completo que incluye TLS, cookies y otras configuraciones de seguridad.
- Google Chrome DevTools — Pestaña Network → click en cualquier respuesta → sección «Response Headers». Inmediato y sin salir del navegador.
- curl desde terminal —
curl -I https://tudominio.commuestra las cabeceras en crudo, ideal para comprobar desde el servidor.
Objetivo realista
No hace falta llegar a A+ desde el primer día. Prioriza HSTS, X-Content-Type-Options y X-Frame-Options — son las más fáciles y las que más impacto tienen. La CSP puede ir después, con tiempo y pruebas.
Conclusiones y próximos pasos
Las cabeceras HTTP de seguridad no son una medida opcional para «sitios grandes». Son una capa fundamental que cualquier WordPress debería tener, independientemente de su tamaño o sector.
El coste de implementarlas es mínimo. El coste de no tenerlas puede ser enorme: desde un hackeo que arruine tu posicionamiento hasta una fuga de datos que implique responsabilidad legal.
Si has llegado hasta aquí y no sabes por dónde empezar, el primer paso es sencillo: entra en securityheaders.com, analiza tu dominio y mira qué nota obtienes. Si el resultado no es al menos una B, tienes trabajo pendiente.
¿Quieres saber cómo está tu web en materia de seguridad?
En Planea Soluciones realizamos auditorías web completas que incluyen el análisis de cabeceras HTTP, seguridad del servidor, configuración SSL y mucho más. Sin tecnicismos, con recomendaciones claras y priorizadas.
#WordPressSecurity #CabecerasHTTP #SeguridadWeb #SEOtécnico #HSTS #CSP