Problemas Técnicos Seguridad

«Conexión insegura» a pesar de tener instalado un certificado SSL

El navegador muestra mi web como insegura, a pesar de tener HTTPS

Cada día que pasa es más importante que tu web use el protocolo HTTPS en lugar del tradicional HTTP. No ya únicamente por la seguridad de los datos, sino porque además Google lo premia en el SEO.

La pega está clara, hay que migrar la web y, en muchos casos, pagar el certificado SSL a parte.

Pero, ¿qué pasa si después de pagar el certificado, configurarlo, redireccionar el contenido de tu site para no perder SEO, y reconfigurar el sitemap, Search Console, htaccess… sigue apareciendo que tu web es insegura?

¡No te preocupes! Normalmente tiene fácil arreglo y, en apenas unos minutos, podremos volver a «ser seguros». En este artículo de Loopeando.com repasamos los dos errores más frecuentes y te comentamos cómo solucionarlos.

 

 

¿Se puede Doctor? Adelante adelante.

Lo primero es lo primero: Diagnostiquemos al paciente. Y para ello hay herramientas online bastante útiles.

En este tutorial nos centraremos en una en concreto: «Why No Padlock?«. Pero hay otras muchas como:

En el caso de Why No Padlock, nos aportará la siguiente información:

  1. ¿Tienes el certificado SSL correctamente instalado y en vigor (¡recuerda que caducan!)?
  2. ¿Redirecciona tu web todas sus urls de HTTP a HTTPS?
  3. ¿Hay algún contenido referenciado que proceda de una url HTTP en lugar de un HTTPS? ¿Imágenes, scripts?

Y, en esencia, esos son los tres problemas más comunes de porqué tu certificado puede dar problemas. A continuación te explicamos cómo resolverlos.

 

Redireccionar tus HTTP a HTTPS sin CMS

Debemos ir a nuestro FTP y localizar el archivo .htaccess

Se encuentra en la raíz del site y, en el caso de que no aparezca, debemos mostrar los archivos ocultos, ya que dada su extensión, es posible que algunos clientes FTP lo oculten por defecto.

Una vez localizado el archivo, haremos una copia de seguridad, pues cualquier cambio incorrecto en este archivo, puede inutilizar nuestra web.

Tras ello lo editamos y añadimos las siguientes línea:

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Si ya tuvieses la línea

RewriteEngine On

Añadimos las restantes justo debajo.

 

¿Y si no tengo el archivo .htaccess? Abro un bloc de notas o cualquier otro documento en texto plano, pego esas líneas, guardo y renombro el archivo con ese nombre.

 

Redireccionar tus HTTP a HTTPS con WordPress

Como de costumbre, en el repositorio hay plugins que nos pueden solucionar rápidamente la papeleta. Algunos de ellos son:

Pero si lo deseas hacer a mano, aprender por el camino y no lastrar tu instalación con plugins que realizan tareas que puedes hacer tú perfectamente, tan sólo tienes que ir al FTP, buscar el archivo .htaccess, hacer una copia de seguridad, y poner el siguiente código:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /

RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# BEGIN WordPress
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

 

Contenido de urls no protegidas por HTTPS

Este suele ser el fallo más habitual.

Trabajamos en local, en un subdominio o sencillamente en la url de la web pero, tras ello aplicamos el certificado SSL y redireccionamos las urls pero… ¿y las imágenes? Es bastante probable que algunas se queden con la url antigua, y eso para el navegador supone un gran problema, puesto que es una vulnerabilidad: Alguien podría usar el protocolo HTTP no encriptado para insertar contenido malicioso en la url encriptada.

La web que hemos sugerido al principio de este post (Why no Padlock), nos indica también este tipo de errores:

La solución es tan sencilla como identificar estos archivos e ir corrigiéndolos uno a uno ubicándolos dentro del HTTPS.

Cuando terminemos, realizamos nuevamente el test y probamos suerte de nuevo.

 

Cuando se hayan corregido todos los fallos, al acceder a la web, directamente nos aparecerá «Sitio seguro«, sin necesidad de esperar un tiempo a que se apliquen los cambios.

Así que ya sabéis, si sigue apareciendo «Sitio inseguro», es que aún os quedan cosillas por revisar.

 

 

Cristian Sarabia Martínez

Desde que a principios de los 90 mi padre desempolvó su Spectrum, no he dejado de probar y experimentar con la tecnología.

Enamorado del mundo web, Full Stack Developer de profesión y diseñador por devoción.

Ahora hago mis pinitos en esto del blogging para compartir con vosotros un poquito de todo lo que la comunidad me ha dado.

Escribir comentario

Haz clic aquí para dejar tu comentario