Si llevas un blog, una tienda online o cualquier proyecto web, seguro que has oído hablar de las cabeceras de seguridad sin saber muy bien para qué sirven. Pues bien, John Mueller, portavoz de Google, ha aclarado en Reddit cuál de todas ellas tiene realmente relación con el posicionamiento. Según la fuente, Mueller respondió a una pregunta sobre auditorías técnicas de SEO señalando que la cabecera X-Frame-Options es la única que, en su opinión, puede tener un efecto directo sobre el SEO. El resto, según explicó, están más orientadas a la seguridad pura y dura que a las búsquedas. Aun así, como veremos, la cosa no es tan sencilla como parece a primera vista.
Qué son las cabeceras de seguridad y por qué importan
Las cabeceras de seguridad son instrucciones que el servidor envía al navegador (lo que en inglés se conoce como HTTP directives). De acuerdo con la información facilitada, su función es indicarle al navegador cómo manejar el contenido de forma segura, evitando ataques habituales como el cross-site scripting o el clickjacking. Dicho de otra forma: son una capa de protección que actúa antes de que el usuario vea nada raro en pantalla. Sin estas cabeceras bien configuradas, una web queda más expuesta a ataques que pueden acabar afectando también a su reputación online.
Entre los riesgos que ayudan a frenar, según los datos facilitados, destacan tres especialmente conocidos:
- Robo de datos: sustracción de información sensible de los usuarios.
- Secuestro de sesión: robo de sesiones de inicio de sesión activas.
- Ataques man-in-the-middle: interceptación del tráfico entre navegador y servidor.
Aunque suene a tema puramente técnico, este tipo de fallos de seguridad puede acabar pasando factura al posicionamiento si la web termina hackeada o penalizada por malas prácticas detectadas por Google.
La pregunta en Reddit que lo desató todo
Todo arrancó cuando un usuario de la comunidad r/TechSEO en Reddit preguntó qué cabeceras de seguridad merecía la pena revisar en una auditoría SEO completa para su web y la de varios clientes. Según la fuente, la persona ya tenía claro que CSP, X-Frame-Options, X-Content-Type-Options y Permissions Policy eran importantes, pero quería saber si se le escapaba alguna más en su lista.
La respuesta de John Mueller fue bastante directa: según los datos facilitados, el único encabezado de seguridad que, según su entendimiento, podría tener un efecto sobre el SEO es el que bloquea el iframing por parte de otros sitios, ya sea con la clásica X-Frame-Options o con la directiva CSP frame-ancestors. El resto, añadió, tiene que ver más con seguridad que con posicionamiento. Es una respuesta habitual entre los portavoces de Google, aunque, según se apunta en la nota, deja fuera matices importantes sobre la relación indirecta entre seguridad y SEO.
Por qué X-Frame-Options sí afecta al posicionamiento
Esta cabecera lleva casi veinte años existiendo y, según la fuente, sigue siendo relevante hoy en día porque impide que otras webs muestren tu contenido dentro de un iframe. Esto es clave porque, si no se bloquea, cualquier sitio podría «robarte» visibilidad mostrando tu contenido como si fuera suyo, llegando incluso a posicionar en Google con material que no le pertenece.
En la práctica, es una forma sencilla de proteger tu trabajo de copias automatizadas o de prácticas de scraping disfrazadas de integración. De acuerdo con la información disponible, configurar bien esta cabecera debería formar parte de cualquier checklist técnico, junto con otras revisiones básicas de seguridad.
Las demás cabeceras de seguridad, una por una
Según los datos facilitados, existen seis cabeceras de seguridad consideradas básicas, además de otras cinco para casos de uso más específicos. Entre las que se califican como no opcionales están:
- Strict-Transport-Security (HSTS): obliga al navegador a conectarse siempre mediante HTTPS.
- X-Content-Type-Options: con la directiva nosniff, ayuda a prevenir ataques de cross-site scripting.
- X-Frame-Options: evita que otras webs incrusten tu contenido en iframes.
Por otro lado, la Content-Security-Policy (CSP) aparece como altamente recomendable, ya que restringe qué fuentes de contenido puede cargar el navegador, reduciendo el riesgo de inyección de scripts maliciosos. Ya en el terreno de lo opcional están Referrer-Policy, que controla cuánta información se comparte al hacer clic en un enlace externo, y Permissions-Policy, que limita qué funciones del navegador o del hardware puede usar una web. Según la fuente, esta última todavía no funciona en muchos navegadores populares.
¿Deberían las cabeceras de seguridad formar parte de toda auditoría SEO?
“El único encabezado de seguridad que se me ocurre que tiene efecto en el SEO es el que bloquea el iframing por parte de otros sitios”, explicó John Mueller, según recoge la fuente.
Más allá de la respuesta concreta de Mueller, el autor de la nota original defiende que cualquier medida que evite que una web pierda posiciones es, de facto, un asunto de SEO. Si un sitio sufre un hackeo, lo normal es que deje de posicionar para sus palabras clave habituales, así que revisar estas cabeceras tendría sentido dentro de cualquier auditoría técnica, igual que se revisan los plugins de WordPress instalados.
Según se indica en la nota, aunque la mayoría de estas cabeceras no influyen de forma directa en el ranking, sí contribuyen a mantener la confianza del usuario y una buena experiencia de navegación, evitando exposición a scripts maliciosos o filtraciones de datos sensibles.
Cómo añadir estas cabeceras si usas WordPress
La nota señala que gestores de contenido privados como Wix configuran estas cabeceras de forma automática. En el caso de WordPress, en cambio, hace falta recurrir a algún plugin específico. Según los datos facilitados, algunos de los que permiten añadir cabeceras de seguridad son:
- All in One SEO (AIOSEO)
- W3 Total Cache (W3TC)
- Really Simple Security
- Redirection
Resulta llamativo que, según se apunta en la nota, plugins de seguridad muy populares como Sucuri Security o Wordfence no ofrezcan esta funcionalidad, mientras que sí lo hace AIOSEO. También se destaca como curioso que otros plugins de SEO muy usados, como Yoast SEO o Rank Math, tampoco incluyan esta opción pese a su relevancia.
Cómo comprobar si tu web tiene bien configuradas las cabeceras
La buena noticia es que comprobar el estado de estas cabeceras es bastante sencillo y gratuito. Según la fuente, una herramienta recomendada para hacerlo es SecurityHeaders.com, aunque existen otras alternativas similares disponibles de forma gratuita en la red.
En definitiva, aunque Google solo reconozca de forma explícita el impacto SEO de X-Frame-Options, conviene no perder de vista el resto de cabeceras al hacer una auditoría técnica. Al final, una web más segura es una web con menos probabilidades de perder visibilidad por culpa de un hackeo o una mala práctica detectada, así que merece la pena dedicarle un rato a revisarlas, sobre todo si gestionas varios sitios o trabajas con clientes.
Fuente: https://www.searchenginejournal.com/google-says-x-frame-options-matters-for-seo/580126/