Una de las medidas más efectivas para proteger tu página contra ataques, es la implementación de HTTP Strict Transport Security (HSTS). Habilitar HSTS garantiza que los navegadores solo se conecten a tu sitio a través de HTTPS, lo que previene ataques y mejora la seguridad del tráfico web.
Veamos paso a paso como habilitarlo:
- Accede al Archivo .htaccess: Lo más sencillo es que hacerlo via FTP. Una vez conectado, podrás localizar el archivo .htaccess en el directorio raíz de tu sitio(www) y descargarlo. Si no lo encuentras, asegúrate de que puedes ver los ficheros ocultos y si aun así, no lo localizas, lo que haremos será crear un nuevo fichero con un editor de texto.
- Edita el Archivo .htaccess: Abre el archivo .htaccess con tu editor de texto favorito. Agrega las siguientes líneas al principio del archivo:
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>
Estas líneas le indican al servidor web que aplique la política HSTS. El valor “max-age” especifica la duración en segundos durante la cual el navegador recordará que tu sitio solo se puede acceder a través de HTTPS. En este caso, se establece en un año (31536000 segundos). La directiva “includeSubDomains” asegura que la política se aplique a todos los subdominios, y “preload” permite incluir tu sitio en la lista de pre-carga de HSTS en los navegadores.
- Guarda y sube de nuevo el fichero al Servidor: Guarda los cambios en el archivo .htaccess y súbelo de nuevo a tu servidor vía FTP.
Con este sencillo cambio habremos habilitado HSTS en la web a través del archivo .htaccess, proporcionando una capa adicional de seguridad contra posibles amenazas. Recuerda siempre hacer una copia de seguridad antes de realizar cambios en archivos importantes y verifica que todo funcione correctamente después de la implementación.