John Mueller de Google respondió una pregunta sobre los encabezados de seguridad en el contexto de las auditorías técnicas de SEO de los clientes. Aunque destacó que uno de los encabezados tiene un efecto SEO, muchos de los otros encabezados de seguridad, si no se usan, pueden tener un efecto SEO negativo.
¿Qué son los encabezados de seguridad?
Los encabezados de seguridad son instrucciones enviadas desde los servidores web a los navegadores (directivas HTTP). Indican a los navegadores cómo manejar el contenido de forma segura y ayudan a protegerse contra ataques comunes basados en la web, como secuencias de comandos entre sitios, clickjacking e inyección de secuencias de comandos maliciosas.
Algunos ejemplos de contra qué protegen los encabezados de seguridad:
- Robo de datos:
Robar información confidencial del usuario - Secuestro de sesión:
Robar sesiones de inicio de sesión - Ataques de intermediario:
Interceptar el tráfico del navegador-servidor
¿Qué encabezados de seguridad pertenecen a una auditoría SEO?
La persona en Reddit que hizo la pregunta quería saber qué encabezados de seguridad deberían agregar en una auditoría técnica de SEO.
Ellos preguntaron:
“Quería realizar una auditoría completa de revisión de encabezados de seguridad para mi sitio web y algunos clientes y considero que csp, x frame, x content y la política de permisos son importantes, pero ¿hay otros que debería considerar?”
John Mueller de Google respondió que el encabezado de seguridad X-Frame-Options era el que podría ser útil en una auditoría técnica de SEO y dio una breve explicación de por qué. Su respuesta es en realidad una respuesta bastante común, pero los encabezados de seguridad y el SEO implican más de lo que Mueller explicó.
Su respuesta:
“Los únicos encabezados de seguridad que puedo imaginar que tienen un efecto en SEO es bloquear el iframe de otros sitios, ya sea con el antiguo encabezado x-frame-options o con los ancestros del marco CSP. De lo contrario, según tengo entendido, los encabezados de seguridad tienen más que ver con, bueno, seguridad”.
John Mueller tiene razón en que el encabezado de seguridad X-Frame-Options es el que es más directamente relevante para el SEO. Pero omite los encabezados de seguridad que están indirectamente relacionados con el SEO.
Por qué el encabezado de seguridad X-Frame-Options es relevante para SEO
El encabezado X-Frame-Options existe desde hace casi veinte años, pero sigue siendo relevante hoy en día porque impide que otros sitios utilicen un iframe para mostrar el contenido de su sitio. Por eso es útil utilizar este encabezado de seguridad, ya que evita que otros sitios se clasifiquen en Google con su contenido.
¿Cuál es el problema con los encabezados de seguridad?
Hay seis encabezados de seguridad principales y cinco más que son para casos de uso específicos. ¿Son útiles para SEO? En mi opinión, sí, son útiles para SEO porque, si son pirateados, un sitio dejará de clasificarse según sus palabras clave. Entonces, sí, algunos de los encabezados de seguridad deberían ser parte de una auditoría SEO, al igual que una revisión de los complementos de WordPress utilizados debería ser parte de ella.
Encabezados de seguridad no opcionales
Estricta seguridad en el transporte (HSTS)
Esto obliga a los navegadores a conectarse al sitio web con conexiones HTTPS seguras.
Opciones de tipo de contenido X
La configuración de la Directiva nosniff en este encabezado de seguridad ayuda a evitar secuencias de comandos entre sitios (XSS). No es una solución total, pero es útil.
Opciones de X-Frame
Como ya se mencionó, esto evita que otros sitios incrusten su contenido en iframes y se clasifiquen con él.
Altamente recomendado
Política de seguridad de contenido (CSP):
Esto restringe qué fuentes de contenido puede cargar un navegador para evitar ataques de inyección de datos y secuencias de comandos entre sitios (XSS).
Encabezados de seguridad opcionales
Política de referencia
Esto controla la cantidad de datos de referencia que se comparten con otros sitios web cuando un usuario hace clic en un enlace saliente. Esto también se puede configurar con HTML. Por ejemplo, se puede configurar con la metaetiqueta: y se puede utilizar en un enlace:
Política de permisos
Esto restringe qué funciones del navegador y API de hardware se pueden utilizar en un sitio web. Este encabezado de seguridad no funciona en muchos navegadores populares. Hay más información disponible en Mozilla Developer Network.https://developer.mozilla.org/en-US/docs/Web/HTTP/Guides/Permissions_Policy
¿Encabezados de seguridad para SEO?
Todo lo que se pueda hacer para evitar que un sitio web pierda su clasificación es un imperativo de SEO. Aunque John Mueller limitó su recomendación de encabezados de seguridad para agregarlos a una auditoría SEO al encabezado X-Frame-Options, también es importante usar muchos de los otros encabezados de seguridad principales.
Si bien la mayoría de los encabezados de seguridad no afectan directamente al SEO de ninguna manera, sí ofrecen protección que puede ayudar a mantener la visibilidad de la búsqueda. Los encabezados de seguridad también pueden ayudar a mantener la confianza y la experiencia del usuario al evitar la exposición a scripts maliciosos, proteger datos confidenciales y reforzar la privacidad.
Los sistemas de gestión de contenidos privados como Wix configuran ellos mismos los encabezados de seguridad. Los sitios que usan WordPress pueden configurar estos encabezados con complementos.
Por ejemplo, los siguientes complementos de WordPress tienen la funcionalidad de agregar encabezados de seguridad:
- SEO todo en uno (AIOSEO)
- Caché total W3 (W3TC)
- Seguridad realmente simple,
- y el popular complemento de redirección
Sorprendentemente, ni Sucuri Security ni Wordfence ofrecen funcionalidad de encabezado de seguridad. AIOSEO aparentemente reconoce el valor de los encabezados de seguridad, por lo que es curioso que los complementos de SEO populares como Yoast SEO y Rank Math no lo hagan.
Volviendo a las auditorías de sitios SEO, en mi opinión es lógico que los encabezados de seguridad pertenezcan a una auditoría SEO, al igual que una revisión ligera de seguridad de un sitio web en general. Verificar los encabezados de seguridad es fácil, me gusta SecurityHeaders.com pero hay muchos otros sitios que ofrecen verificadores de encabezados de seguridad gratuitos.
Imagen destacada de Shutterstock/Titima Ongkantong
