Explorá

Seguridad en WordPress / 11 min de lectura

¿Por qué tu sitio de WordPress está “No Seguro”? Lo que necesitás saber

En julio de 2018, Google Chrome comenzó a marcar los sitios sin un certificado SSL como “no seguros”. Cualquier sitio web que aún use HTTP en lugar de HTTPS para intercambiar información con los usuarios ha sido “no seguro” durante varios años. Si te estás preguntando por qué tu sitio de WordPress es “no seguro”, es muy probable que todavía estés usando HTTP en lugar de HTTPS.

HTTPS aplica el protocolo de seguridad SSL, y por eso Chrome lo prefiere. 

Todos los otros navegadores principales tomaron medidas similares para hacer la web más segura y evitar que intrusos capten datos. Si bien esto es excelente para todos, también obliga a los propietarios de sitios web de WordPress a adquirir un certificado SSL o a que sus sitios sean marcados como inseguros, incluso si no están haciendo nada malicioso.

Este artículo explora los certificados SSL, por qué los necesitas, cómo instalarlos y cómo configurarlos para hacer desaparecer la advertencia y proteger la privacidad de tus usuarios.

¿Por qué tu sitio de WordPress es “no seguro”?

La causa de la advertencia de “no seguro” que aparece cuando los usuarios visitan tu sitio de WordPress se relaciona con los certificados SSL. La mayoría de las veces, indica que tu sitio web no tiene un certificado SSL, ha expirado o está mal configurado.

La advertencia se ve diferente en cada navegador, pero generalmente se ve algo así:

pantalla de sitio no seguro

Además, verás un texto o un ícono junto a la barra de direcciones de tu navegador que indica que el sitio web no es seguro para usar. Puede verse algo así:

aviso de barra de direcciones de sitio no seguro

Certificados SSL

Un certificado de Capa de Conexión Segura (SSL) es un certificado digital que autentica la identidad de un sitio web y habilita conexiones cifradas entre el sitio web y el navegador del usuario mediante el uso del protocolo de seguridad SSL. Los certificados SSL aseguran que los datos intercambiados entre navegadores y sitios web permanezcan privados y seguros.

Cuando un certificado SSL protege tu sitio web, verás un ícono de candado al lado de la barra de direcciones, como este:

aviso de barra de direcciones de sitio seguro con un candado cerrado

Ahora ya sabés por qué tu sitio de WordPress es “no seguro” para los usuarios. Vamos a pasar a cómo podés solucionarlo explorando soluciones para las causas más comunes del problema.

Nota: Técnicamente, el SSL ha sido obsoleto desde 2015 debido a fallas de seguridad. Cuando adquirís un certificado SSL moderno, TLS 1.3 es el protocolo que protege el tráfico de tu sitio web. TLS es una versión mejorada de SSL. El nombre “SSL” simplemente se mantuvo debido a su uso prolongado.

Hacé una copia de seguridad de tu sitio primero

Necesitás hacer una copia de seguridad de tu sitio antes de realizar cualquier cambio significativo. Podés respaldar tu sitio manualmente, con un plugin o con tu proveedor de hosting. Lee nuestra guía si no sabés cómo hacer una copia de seguridad de tu sitio.

Solucionando la advertencia de “sitio no seguro”

Como mencionamos, la advertencia de “sitio no seguro” es causada por problemas con SSL, así que te guiaremos paso a paso para instalar un certificado SSL y configurarlo para que los navegadores dejen de marcar tu sitio como inseguro.

Verificá si ya tenés un certificado SSL

Algunos proveedores de hosting configuran certificados SSL tan pronto como tu sitio se activa, por lo que puede que ya tengas un certificado SSL y no lo sepas. Podés verificar manualmente si tenés uno o usar un verificador de certificados SSL en línea.

  • Para verificar manualmente, abrí una pestaña de incógnito e ingresá a tu sitio web. Si ves un ícono de candado al lado de la barra de direcciones, tenés un certificado SSL y podés omitir la guía de instalación a continuación.
  • También hay múltiples verificadores de SSL en línea. Podés usar el verificador de GoDaddy o cualquier otro. Pegá la URL de tu sitio y esperá unos segundos para ver los resultados. Si ya tenés un certificado, esto es lo que obtendrás.
pantalla de éxito al verificar si un sitio tiene un certificado SSL instalado

Instalar un certificado SSL

Si las pruebas anteriores determinan que no tenés un certificado SSL, la solución es obtener uno a través de tu proveedor de hosting. Antes de continuar, recordá que es esencial hacer una copia de seguridad de tu sitio cuando realices cambios significativos. Deberías respaldarlo antes de cada paso a partir de ahora.

Para instalar tu certificado SSL a través de tu proveedor de hosting, debés seguir los pasos específicos de ese proveedor.

Los pasos difieren ligeramente para cada proveedor, pero el proceso es en general el mismo. Usamos WPEngine siempre que es posible, así que proporcionaremos los pasos para instalar un certificado SSL a través de este host.

Podés usar el Certificate Manager si usás AWS, certificados SSL gestionados por Google con Google Cloud Platform (GCP), o un certificado Let’s Encrypt con Digital Ocean.

Así es como va el proceso con WPEngine:

  • Primero, asegurate de que agregaste tu dominio al portal de usuario y que apuntaste los DNS a tu dominio, permitiendo que el tráfico provenga de tu dominio a tu sitio de WordPress alojado en WP Engine. No podés obtener un certificado SSL con WPEngine sin estos dos pasos.
  • Ahora, abrí tu portal de usuario.
  • Seleccioná el nombre de tu entorno de producción y hacé clic en SSL, luego en Agregar certificados.
  • Verás dos opciones: Obtener certificados SSL Let’s Encrypt gratis e Importar un nuevo certificado SSL de terceros o existente.
  • En la mayoría de los casos, Obtener certificados SSL Let’s Encrypt gratis es la mejor opción a menos que necesites un certificado más específico como uno de Multi-Dominio. De lo contrario, los certificados de Let’s Encrypt son gratuitos y duran 90 días. WPEngine renueva el certificado 22 días antes de que expire.
  • Después de elegir tu certificado, seguí los pasos para instalarlo y activarlo.
  • Recibirás un correo electrónico de confirmación cuando tu certificado esté disponible.

Ahora que instalaste el certificado, aún faltan algunos pasos para que esté debidamente configurado.

Redirigir todos los enlaces HTTP a HTTPS

Instalar un certificado SSL no protege de inmediato todas las páginas de tu sitio. Muchas páginas todavía usarán HTTP inseguro en lugar de HTTPS. Para que cada página se sirva con HTTPS, necesitarás realizar una redirección forzada de HTTP a HTTPS.

La forma más sencilla de hacer esto es usando el plugin Really Simple SSL. Para configurarlo y forzar a tu sitio a usar HTTPS, seguí estos pasos:

  • Instalá y activá Really Simple SSL en tu sitio de WordPress.
  • Después de la activación, se te enviará a una nueva pantalla que dice: “¡Casi listo para migrar a SSL!” 
  • Hacé clic en el botón azul ¡Adelante, activar SSL! debajo. Y eso es todo.

Este plugin redirige todos tus enlaces HTTP a HTTPS con un solo clic al actualizar todos los enlaces internos. Así, tus visitantes siempre acceden a la versión HTTPS de tu sitio en lugar de la insegura.

También podés lograr esto manualmente agregando el siguiente código a tu .htaccess archivo:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Problemas de contenido mixto

Incluso después de redirigir forzosamente las solicitudes HTTP a HTTPS, es posible que parte del contenido todavía se sirva usando HTTP, lo que lleva a una advertencia como esta cuando los visitantes ingresen a tu sitio:

pantalla de contenido mixto del sitio

Este problema se conoce como “contenido mixto” porque parte del contenido, como imágenes, scripts y hojas de estilo, se está sirviendo con HTTP y otros con HTTPS. La forma más sencilla de solucionarlo es utilizar el plugin SSL Insecure Content Fixer.

Primero, instalá y activá el plugin SSL Insecure Content Fixer. Después de la activación, andá a Configuraciones > Contenido inseguro SSL desde tu panel de control. Se te enviará a una pantalla que proporciona múltiples soluciones al problema. Deberías elegir la configuración adecuada a tus necesidades. Estas son las opciones y lo que hacen:

  • Sencillo. La solución más rápida y amigable para principiantes, solucionando automáticamente problemas de contenido mixto en scripts, hojas de estilo e imágenes.
  • Contenido. Este método aplica todas las correcciones que la opción “Sencillo” aplica pero agrega correcciones a los recursos de contenido de la página y widgets de texto. Usalo si “Sencillo” no resuelve el problema.
  • Widgets. Aplica todas las correcciones de “Contenido” más las correcciones a los recursos de todos los widgets de WordPress.
  • Captura. Este método cambia todos los enlaces en cada página a HTTPS y puede afectar el rendimiento del sitio web.
  • Capturar todo. La solución más completa pero también la que más afecta el rendimiento.

Después de seleccionar un método, desplazate hacia abajo hasta la sección Detección de HTTPS y elegí el método que se usará para detectar que una página debería cargarse como HTTPS. Función estándar de WordPress funciona para la mayoría de los sitios web, pero también hay métodos específicos para servidores NginX o Azure y más.

Al configurar todos los métodos, hacé clic en Guardar cambios al final.

Actualizar Google Search Console y Google Analytics

Google Search Console

Ahora que todas las correcciones están hechas, necesitás enviar tu sitio a Google Search Console para que Google deje de recopilar datos de la versión HTTP de tu sitio, que se volverá menos activa a partir de ahora.

Para hacer eso, seguí estos pasos:

  • Andá a Google Search Console e iniciá sesión para tu sitio web o ingresá a la cuenta asociada con tu sitio.
  • Hacé clic en Agregar una propiedad e ingresá la URL de tu sitio. Hacé clic en Continuar.
  • Elegí la opción Dominio y hacé clic en Continuar.
pantalla de bienvenida a google search console

Ahora tendrás que verificar que sos el propietario del sitio web para continuar. La forma más sencilla de hacerlo es con el plugin Yoast SEO, que probablemente ya tengas instalado. Con el plugin instalado, seguí estos pasos para terminar el proceso:

  • Desplegá la etiqueta HTML. Dentro, verás un cuadro con una meta etiqueta. Presioná Copiar para copiar su contenido.
  • En otra pestaña del navegador, andá a tu panel de administración de WordPress y hacé clic en SEO. Andá a la pestaña Herramientas para webmasters. Buscá el cuadro que dice Código de verificación de Google y pegá el código que copiaste anteriormente. Guardá los cambios.
  • Volvé a la pestaña de Google Search Console y hacé clic en Verificar. Si seguiste los pasos correctamente, verás un mensaje que indica que la configuración fue exitosa.
pantalla que verifica que tu sitio ha sido verificado en Google Search Console

Google Analytics

Tendrás que actualizar la propiedad y la vista de tu Google Analytics. Asociar tus cuentas de Google Analytics y Google Search Console facilita este proceso. Una vez hecho esto, seguí estos pasos:

  • Hacé clic en Ajustes de la propiedad > URL predeterminada. Desplegá el menú y seleccioná “https://”.
  • Hacé lo mismo para la vista. Hacé clic en Ajustes de la vista > URL del sitio web. Desplegá el menú y seleccioná “https://”.

¿Qué pasa si tus cuentas de Search Console y Analytics no están asociadas?

Si tus cuentas de Google Analytics y Search Console no están asociadas, seguí estos pasos antes de realizar los cambios en la cuenta de Analytics:

  • Iniciá sesión en tu cuenta de Analytics.
  • Hacé clic en Administrador, y navegá a la propiedad para la cual querés habilitar el intercambio de datos de Search Console.
  • En la columna Propiedad, hacé clic en Ajustes de la propiedad.
  • Desplazate hacia abajo hasta Configuraciones de Search Console
  • Deberías ver la URL de tu sitio web, confirmando que el sitio web está verificado en Search Console y que tenés permiso para hacer cambios. Si no ves la URL, seguí el paso anterior para asociar tus cuentas (Search Console y Analytics).
  • En Search Console, seleccioná la vista de informes en la que deseas ver los datos de Search Console.
  • Hacé clic en Guardar.

Recordá que una propiedad de Analytics solo puede asociarse con un sitio y viceversa. Si creás una nueva asociación, eliminarás la anterior.

¿Por qué tu sitio de WordPress es “no seguro”? Es probable que sea por problemas con el certificado SSL

La principal razón por la que tu sitio de WordPress es “no seguro” son problemas con SSL, redirecciones y contenido mixto.

Hemos explicado varios pasos para resolver estos problemas, pero tené la seguridad de que cuando los sigas tu sitio será mucho más seguro para los visitantes. HTTPS y los protocolos SSL/TLS cifran los intercambios de datos entre navegadores y servidores para proteger la información. Esto es especialmente importante al manejar información sensible como cuentas bancarias y datos médicos.

Además, tu posicionamiento SEO mejorará porque Google y otros motores de búsqueda penalizan a las páginas inseguras. Confiar en HTTP no es seguro, pero ahora tu sitio solo sirve contenido a través de HTTPS. Esperamos que esto haya sido útil y que ya estés libre del aviso de “sitio de WordPress no seguro”. 

Si encontraste útil este artículo, considerá leer nuestro blog para más guías, consejos e ideas sobre WordPress.