WordPress Hosting

security headers http generator free gratis

Generador y comprobador de cabeceras de seguridad HTTP (Security Headers), automático, personalizable, especializado en WordPress y GRATIS

Por / 02-02-2026 / 5 minutos de lectura

Las cabeceras de seguridad HTTP son una de esas cosas que todo el mundo sabe que debería configurar pero que casi nadie hace. Y no es por pereza, es que resulta bastante lioso saber qué cabeceras necesitas, qué valores poner y, sobre todo, cómo hacerlo sin romper tu web en el proceso.

Por eso he añadido al generador de código de AyudaWP una nueva herramienta que te lo pone muy fácil: un generador y comprobador de cabeceras de seguridad HTTP pensado específicamente para WordPress.

¿Qué son las cabeceras de seguridad HTTP y por qué importan?

Aunque ya he hablado de ello en el artículo que te he enlazado en el primer párrafo (ahí arriba), te resumo un poco.

Las cabeceras de seguridad HTTP son instrucciones que tu servidor envía al navegador del visitante para indicarle cómo debe comportarse. Sirven para prevenir ataques como:

  • Cross-Site Scripting (XSS): cuando alguien inyecta código malicioso en tu web.
  • Clickjacking: cuando tu web se carga dentro de un iframe en otro sitio para engañar a tus usuarios.
  • Sniffing de contenido: cuando el navegador interpreta archivos de forma incorrecta.
  • Ataques man-in-the-middle: cuando alguien intercepta la conexión entre tu servidor y el visitante.

El problema es que configurarlas mal puede romper cosas. Una Content-Security-Policy demasiado estricta puede hacer que tu page builder deje de funcionar, que los vídeos de YouTube no se carguen o que tu pasarela de pago deje de procesar transacciones.

Lo que hace diferente a este generador

Hay otras herramientas online para generar cabeceras de seguridad pero ninguna está pensada para WordPress ni ofrece lo que vas a encontrar en este.

Preajustes configurados para cada tipo de web

En lugar de tener que investigar qué configuración necesitas, he creado 10 preajustes optimizados para los tipos de web más habituales:

  • Tienda online / WooCommerce: incluye excepciones para Stripe, PayPal, Redsys, Google Analytics y píxeles de Facebook.
  • Sitio con maquetadores: compatible con Elementor, Divi, Beaver Builder y otros constructores que necesitan unsafe-inline
  • Blog con publicidad: preparado para AdSense y otras redes publicitarias.
  • Sitio corporativo: equilibrio entre seguridad y funcionalidad con mapas de Google y vídeos incrustados.
  • Membresías / LMS: compatible con Sensei LMS, LearnDash, LifterLMS, MemberPress, Vimeo privado y Wistia.
  • Landing pages / Marketing: permite HubSpot, Mailchimp, chats en vivo, Hotjar y herramientas de tests A/B.
  • Sitio multilingües: compatible con WPML, Polylang, TranslatePress y Google Translate.
  • Porfolio / Fotógrafos: optimizado para galerías con muchas imágenes y cajas de luz.
  • Foro / Comunidad: compatible con bbPress, BuddyPress, Gravatar e embeds de redes sociales.
  • Podcast / Audio: permite reproductores de Spotify, Apple Podcasts, SoundCloud y Anchor.

Solo tienes que seleccionar el tipo de web que tienes y el generador crea una configuración que funciona sin romper nada.

Modo personalizado para un control bestia total

Si prefieres configurar cada cabecera a mano, el modo personalizado te permite activar o desactivar cada una y ajustar sus valores:

  • Content-Security-Policy: define qué recursos externos puede cargar tu web. Incluye modo solo reporte para probar sin riesgos antes de activarlo de verdad.
  • X-Frame-Options + frame-ancestors: protección contra clickjacking con doble capa. X-Frame-Options para navegadores legacy y frame-ancestors (su sucesor en CSP) para los modernos.
  • X-Content-Type-Options: impide que el navegador «adivine» el tipo de archivo y lo interprete de forma incorrecta (MIME sniffing).
  • Strict-Transport-Security (HSTS): fuerza el uso de HTTPS en todas las conexiones. Configurable con duración, subdominios y opción de preload.
  • Referrer-Policy: controla qué información de la URL de origen se envía al navegar a otros sitios. Varias opciones según el nivel de privacidad que necesites.
  • Permissions-Policy: restringe el acceso a funciones del navegador como geolocalización, micrófono, cámara, USB y API de pagos.
  • Cross-Origin (cabeceas COEP, COOP, CORP): aíslan tu sitio de otros contextos de navegación para evitar ataques de canal lateral como Spectre.

verificar generar cabeceras seguridad http security headers

Analizador de cabeceras de seguridad

¿No sabes qué cabeceras tiene tu web actualmente? El comprobador de security headers HTTP te lo dice.

Introduce la URL de tu sitio y obtendrás:

  • Una puntuación de la A+ a la F según tu nivel de protección.
  • Un listado de todas las cabeceras presentes y ausentes.
  • Recomendaciones específicas para cada cabecera que falta.
  • El código exacto que necesitas añadir para mejorar tu seguridad.

Es como una auditoría de seguridad instantánea y gratis, solución incluida.

Código listo para usar en tres formatos

El generador te da el código en dos formatos para que elijas el que mejor te venga:

  • Para .htaccess: para añadir directamente a tu archivo de configuración de Apache.
  • Para nginx.conf: para añadir directamente a tu archivo de configuración de NGINX.
  • Código PHP: un snippet que puedes añadir a tu functions.php o convertir en un plugin.

Ambos con comentarios explicativos y listos para copiar con un clic o descargar como archivo.

cabeceras seguridad http descargadas htaccess php

Cómo usarlo

Es bastante sencillo, se explica por sí solo:

  1. Ve al generador de Security Headers
  2. Si quieres saber qué cabeceras tiene tu web, usa el analizador introduciendo tu URL, si falta alguna genera el código propuesto para mejorar tu seguridad
  3. Para generar cabeceras de seguridad HTTP, selecciona un preajuste que se adapte a tu web, o configura manualmente las opciones que quieras
  4. Pulsa en el botón de generar la configuración y copia el código con las cabeceras de seguridad HTTP o descárgalo, lo que prefieras
  5. Añade las security headers HTTP a tu .htaccess, nginx.conf o functions.php

Consejo: si nunca has tocado las cabeceras de seguridad, empieza por analizar tu web para ver cómo está. Luego selecciona el preajuste que corresponda a tu tipo de web y prueba primero en un entorno de desarrollo o staging antes de aplicarlo en producción.

Un detalle importante sobre Content-Security-Policy

La cabecera CSP es la más potente pero también la más delicada. Una configuración demasiado estricta puede romper tu web de formas inesperadas.

Por eso, cuando usas el modo personalizado, tienes la opción de activar el modo solo reporte. En este modo, el navegador registra las violaciones pero no las bloquea, y de este modo puedes ver en la consola del navegador qué recursos se bloquearían antes de activar la política de verdad.

Los preajustes vienen configurados con los permisos necesarios para que cada tipo de web funcione correctamente, así que no deberías tener problemas si seleccionas el adecuado.

Pruébalo

El generador y analizador de Security Headers ya está disponible junto con el resto de herramientas del generador de código y optimizador de prompts.

Todo gratis, sin registro, en español y pensado para WordPress.

Si tienes dudas o sugerencias para mejorarlo, ya sabes dónde encontrarme.

Compartir en redes
Resumir con IA

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en las estrellas para valorarlo!

Promedio de puntuación 5 / 5. Total de votos: 10

¡Todavía no hay votos! Sé el primero en valorar este contenido.

Ya que has encontrado útil este contenido...

¡Sígueme en las redes sociales!

Puede que también te interese…

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!


Sobre el autor

Apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y dos perritas. Vasco de nacimiento, español de corazón y ciudadano de donde me quieran. Mi último libro es WordPress - Web gratis para todos. Mi blog personal es este, donde hace años ofrezco mis visiones acerca de la Web. Sígueme en Twitter

5 comentarios en “Generador y comprobador de cabeceras de seguridad HTTP (Security Headers), automático, personalizable, especializado en WordPress y GRATIS”

  2. Gustavo Coirini

    Estimado Fernando.
    Como siempre gracias por estos grandiosos aportes.
    Si bien el test inicial paso con un A+ en mi sitio, no tenia las cabeceras Cross-Origin, pero al integrarlas al htaccess las tuve que sacar porque me bloqueaba algunas imágenes como las banderitas del plugin GTranslate, Google Maps y YouTube.

    1. Fernando Tellado

      Es que la Cross-Origin es puñetera, hay que probar varias configuraciones hasta dar con una que logre un compromiso entre seguridad y funcionalidad. También, además, puedes añadir excepciones, así no dejas la puerta abierta del todo.

      Gracias a ti 🙂

  3. Alejandro Catalán

    Fernando, ahora que estamos en la era de las IAs, clónate o conviértete en una especie de androide / humanoide / o llámalo como quieras.
    De esa forma te tendremos a perpetuidad para crear todas estas herramientas tan súper útiles y que nunca desaparezca https://ayudawp.com.
    Infinitas gracias.
    Un abrazo.

    1. Fernando Tellado

      Es que no sé, no tengo tiempo de crear el androide, prefiero pasar el rato haciendo estas cosillas.

      Pero ya sabes que esto tiene truco, en realidad no lo hago por vosotros, lo hago para mi. Lo que pasa es que luego me gusta compartir estas cosas y así quedo bien 😀

      Abrazo 🙂

Los comentarios están cerrados.

Scroll al inicio