Agregar encabezados HTTP
Este texto fue traducido usando IA. Si deseas ver el texto original en inglés, haz clic aquí.
Esta guía te mostrará cómo añadir encabezados HTTP a tu sitio web de WordPress.com para gestionar diversas solicitudes y respuestas.
Acerca de los encabezados HTTP
Los encabezados HTTP transmiten información adicional junto con una solicitud o respuesta HTTP en tu sitio web. Los encabezados HTTP indicarán a tu sitio cómo manejar ciertas solicitudes y recopilar información, dependiendo de la fuente, el servicio o la red social de la que proviene el código del encabezado.
La mayoría de los encabezados HTTP están optimizados en WordPress.com y no requerirán cambios, pero muchos también pueden aplicarse o modificarse en tu sitio web si lo necesitas. Ten en cuenta que algunos códigos de encabezados HTTP no son modificables en WordPress.com si representan una amenaza de seguridad o si entran en conflicto con otras funciones de la plataforma WordPress.com.
Lista de encabezados HTTP comunes
A continuación se muestra una tabla con los encabezados HTTP comunes que pueden aplicarse a tu sitio, con notas sobre cuáles no pueden modificarse en WordPress.com. También puedes obtener más información sobre los diferentes encabezados HTTP en MDN.
| Encabezado | Descripción |
|---|---|
| X-Robots-Tag | Indica cómo se indexará una página web en los resultados de los motores de búsqueda públicos. El encabezado HTTP es efectivamente equivalente a <meta name="robots" content="...">. |
| Access-Control-Allow-Headers | Se utiliza en respuesta a una solicitud de verificación previa (preflight), que incluye Access-Control-Request-Headers para indicar qué encabezados HTTP pueden usarse durante la solicitud real. |
| Access-Control-Allow-Methods | Especifica uno o más métodos permitidos al acceder a un recurso en respuesta a una solicitud de verificación previa (preflight). |
| Access-Control-Allow-Credentials | Indica a los navegadores si deben exponer la respuesta al código JavaScript del frontend cuando el modo de credenciales de la solicitud (Request.credentials) es include. |
| Access-Control-Allow-Origin | Indica si la respuesta puede compartirse con el código solicitante desde el origen dado. |
| Access-Control-Expose-Headers | Permite a un servidor indicar qué encabezados de respuesta deben estar disponibles para los scripts que se ejecutan en el navegador en respuesta a una solicitud de origen cruzado. |
| X-Frame-Options | Indica si un navegador debe o no permitir renderizar una página en un <frame>, <iframe>, <embed> o <object>. Los sitios pueden usar esto para evitar ataques de clickjacking, asegurándose de que su contenido no se incruste en otros sitios. |
| X-XSS-Protection | Una característica de Internet Explorer, Chrome y Safari que detiene la carga de páginas cuando detectan ataques de scripting entre sitios (XSS) reflejados. Estas protecciones son en gran medida innecesarias en los navegadores modernos cuando los sitios implementan una Content-Security-Policy sólida que deshabilita el uso de JavaScript en línea (‘unsafe-inline’). |
| X-Content-Type-Options | Indica que los tipos MIME anunciados en los encabezados Content-Type deben respetarse y no modificarse. El encabezado HTTP te permite evitar el rastreo de tipos MIME indicando que los tipos MIME están configurados deliberadamente. |
| Strict-Transport-Security | Informa a los navegadores que el sitio solo debe ser accedido mediante HTTPS y que cualquier intento futuro de acceder a él mediante HTTP debe convertirse automáticamente a HTTPS. Nota: Contacta con soporte para añadir las directivas includeSubdomains y preload. |
| Referrer-Policy | Controla cuánta información de referencia (enviada con el encabezado Referer) debe incluirse con las solicitudes. Además del encabezado HTTP, puedes establecer esta política en HTML. |
| Content-Security-Policy | Permite a los administradores de sitios web controlar los recursos que el agente de usuario puede cargar para una página determinada. Con algunas excepciones, las políticas implican principalmente especificar orígenes de servidor y puntos finales de scripts. Esto ayuda a proteger contra ataques de scripting entre sitios. Esto puede modificarse con un plugin como Redirection o usando custom-redirects.php. |
Añadir encabezados HTTP a un sitio web
Hay dos métodos que puedes usar para añadir un encabezado de respuesta HTTP a tu sitio.
Añadir encabezados HTTP con un plugin de redirección
Aunque hay varias formas de añadir encabezados HTTP a un sitio web con plugins habilitados, nuestra mejor recomendación es usar el plugin Redirection.
Aunque el nombre del plugin Redirection sugiere que es únicamente para redirecciones, puedes usar este plugin de forma segura para aplicar encabezados HTTP sin usar redirecciones en absoluto. Si eliges aplicar solo encabezados HTTP, tus páginas no se verán afectadas por ninguna redirección.
Después de instalar el plugin Redirection, puedes seguir los siguientes pasos para añadir un encabezado HTTP:
- Visita los ajustes del plugin navegando a Herramientas → Redirection.
- Haz clic en la pestaña «Site».
- Desplázate hacia abajo hasta la sección «HTTP Headers» en la parte inferior de la pantalla. Allí encontrarás una tabla que muestra una fila por cada encabezado HTTP en tu sitio.
- Haz clic en el botón «Add Header» para añadir una fila a la tabla para otro encabezado HTTP.
- Elige la siguiente información:
- Location: ¿Dónde debería aplicarse este encabezado HTTP? Generalmente,
sitees la opción correcta para la mayoría de los encabezados HTTP. - Header: Al hacer clic en esta opción se muestra un desplegable con los encabezados HTTP más comunes.
- Si la opción que deseas usar no está disponible, también puedes añadir un encabezado personalizado, lo que abrirá un nuevo campo para añadir el encabezado HTTP personalizado y su valor.
- Incluso si una opción aparece en la selección del desplegable, puede que no esté disponible para su uso en la plataforma WordPress.com como se explicó anteriormente.
- Value: Esto mostrará las opciones disponibles para un encabezado HTTP determinado. Sin embargo, en el caso de encabezados personalizados, puede aparecer como un campo en blanco para que lo completes.
- Location: ¿Dónde debería aplicarse este encabezado HTTP? Generalmente,
- Haz clic en el botón «Update», y los encabezados HTTP se añadirán a las solicitudes y respuestas de tu sitio web.
Puede que los cambios en los encabezados HTTP tarden un tiempo en aplicarse a tu sitio web en producción. Aunque los cambios se actualizarán eventualmente con el tiempo, también puedes considerar vaciar la caché de tu navegador y vaciar la caché de tu sitio web.
Añadir encabezados HTTP con código PHP
Si buscas una solución más avanzada o si deseas evitar el uso de plugins, también puedes establecer encabezados HTTP mediante un archivo custom-redirects.php usando la función PHP header(). Este archivo se puede añadir a la carpeta raíz del sitio usando SFTP.
Cualquier modificación mediante SFTP se considera una personalización avanzada del sitio. No deberías editar archivos a menos que sepas exactamente qué hará el cambio, y te aconsejamos que solo uses este método si estás familiarizado con el uso de SFTP.
A continuación se presenta una descripción general de cómo añadir encabezados HTTP a los archivos de tu sitio usando SFTP:
- Conéctate a tu sitio de WordPress usando tu cliente SFTP preferido.
- Por defecto, deberías estar en la carpeta raíz. Verifica que te encuentras en la carpeta
htdocs(raíz) para sitios de WordPress.com. En esa carpeta, crea un nuevo archivo llamadocustom-redirects.php - Usa un editor de texto de tu dispositivo (como TextEdit o Notepad) para editar el archivo según sea necesario.
- Guarda el archivo en el servidor.
A continuación se puede ver un ejemplo de un archivo custom-redirects.php válido:
<?php
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('X-Frame-Options: SAMEORIGIN');
header('Referrer-Policy: no-referrer-when-downgrade');Última actualización: mayo 25, 2026
Recursos para desarrolladores de WordPress.com 
