Si enviamos la cabecera X-Content-Type-Options en la respuesta con el valor «nosniff», los navegadores que soportan esta cabecera (IE y Chrome), no cargan las hojas de estilos, ni los scripts (Javascript), cuyo Myme-type no sea el adecuado.

El aspecto de la cabecera es el siguiente:

X-Content-Type-Options: nosniff

La mejor forma de añadir esta cabecera sería añadiendo unas líneas de código al archivos functions.php del tema de WordPress que estemos usando.

Este archivo se encuentra en la ruta wp-content/themes/NOMBRE_TEMA, en donde NOMBRE_TEMA es el nombre del tema que tenemos activado. En primer lugar, haremos una copia de seguridad del archivo functions.php. Después lo editamos y añadimos el siguiente código al final del mismo:
Leer más

La cabecera X-XSS-Protection se utiliza para activar el filtro XSS que tienen habilitado IE y Chrome.

Se trata de una capa de seguridad adicional que bloquea ataques XSS. Internet Explorer lo implementa desde la versión 8.

Puedes leer más sobre el filtro XSS de IE en el IEBlog de Microsoft.

Puedes leer más información sobre esta cabecera en el blog IEInternals de MSDN.
Leer más

La cabecera X-Frame-Options sirve para prevenir que la página pueda ser abierta en un frame, o iframe. De esta forma se pueden prevenir ataques de clickjacking sobre tu web.

Por ejemplo si la web https://wpdoctor.es contiene la cabecera X-FRAME-OPTIONS con el valor Allow-From https://www.facebook.com, entonces la web https://wpdoctor.es, solo podrá ser «enmarcada» desde el dominio www.facebook.com.

Otra opción sería denegar siempre en enmarcado (DENY), o decirle que solo pueda ser enmarcada desde el mismo origen (SAME-ORIGIN).
Leer más