Cómo corregir la advertencia o el error de contenido mixto de HTTPS en WordPress

Las advertencias de contenido mixto ocurren cuando solo parte del contenido de su sitio web está protegido y encriptado con un certificado SSL.

Esto genera problemas de seguridad, así como un mensaje de error que sus visitantes pueden ver indicando que su sitio web no es seguro.

En esta publicación, compartiré más detalles sobre las advertencias de contenido mixto, qué significan, cómo solucionarlas y cómo se pueden evitar en su sitio web de WordPress.

¿Qué es el contenido mixto?

Su sitio web se compone de muchos tipos diferentes de contenido: un archivo HTML, imágenes, videos, hojas de estilo, scripts y más. Cuando un usuario escribe una URL en un navegador, el navegador solicita al servidor que devuelva los archivos.

Debido a la cantidad de contenido en un sitio web, es posible que su navegador deba realizar varias solicitudes a un servidor para cargar todo correctamente.

Si bien el archivo HTML inicial se cargará con una conexión segura (siempre que tenga un certificado SSL), es posible que las últimas solicitudes de subrecursos no se devuelvan de manera segura.

El resultado de que los recursos HTTPS y HTTP se carguen en una sola página es contenido mixto.

Esto sucede cuando algunas URL no están configuradas para ser entregadas a través de HTTPS. La actualización de las URL de HTTP a HTTPS resolverá la advertencia. Esto se explica en detalle más adelante.

Como se mencionó anteriormente, la mayoría de los navegadores mostrarán una advertencia de contenido mixto para que el usuario sepa que los recursos que ha cargado no son seguros.

Tipos de contenido mixto

No todo el contenido inseguro tiene el mismo nivel de peligro si su sitio está comprometido. El contenido mixto se puede dividir en dos categorías: pasivo y activo.

Pasivo

El contenido mixto pasivo no interactúa con otro contenido de la página. Esto incluye recursos como imágenes, videos y contenido de audio. Debido a que los recursos son estáticos, los atacantes están limitados en lo que pueden lograr si se apoderan de su sitio.

La posible piratería podría incluir cambiar imágenes, insertar anuncios, desfigurar el sitio y cambiar elementos para confundir a los usuarios, como las imágenes de los botones Guardar y Eliminar.

Además, incluso si el pirata informático no modifica el contenido de su sitio, aún puede rastrear los patrones de los usuarios y ver qué páginas, recursos y productos vieron.

Activo

El contenido mixto activo interactúa con la página como un todo e incluye contenido como hojas de estilo, scripts, iframes y recursos flash. Un pirata informático puede hacer mucho en su sitio web si se apodera de estos.

El atacante podría cambiar cualquier cosa en la página, incluso insertar contenido diferente, robar contraseñas o incluso redirigir a los usuarios a un sitio malicioso.

Si tiene contenido activo que algunos navegadores bloquean por completo del sitio, puede impedir la experiencia del usuario y la confianza de su visitante en su sitio web.

Por qué el contenido mixto es malo

El uso del protocolo HTTPS y el cifrado de la comunicación entre el navegador y el servidor es importante para proteger su sitio y a sus usuarios de ataques.

Las páginas con contenido mixto solo están encriptadas parcialmente, lo que deja el contenido sin encriptar susceptible a los piratas informáticos.

Dependiendo de si el contenido es pasivo o activo, es posible que entregues el control de todo tu sitio web sin darte cuenta.

Cómo se comportan los navegadores

Idealmente, todos los navegadores bloquearían todo el contenido peligroso. Pero esto no es realmente factible ya que millones de personas confían en Internet para ejercer la libertad de expresión. Pero no todos tienen la capacidad de mantenerse actualizados sobre las últimas prácticas de seguridad.

En cambio, los navegadores bloquean el contenido peligroso y permiten que un usuario solicite el contenido menos peligroso. Decide el nivel de peligro usando las especificaciones de contenido mixto y determina si el contenido es opcionalmente bloqueable o bloqueable .

El contenido se puede bloquear opcionalmente "cuando el riesgo de permitir su uso como contenido mixto es superado por el riesgo de romper partes significativas de la web", según la Especificación de contenido mixto de W3C.

Todo el contenido mixto que no se considera opcionalmente bloqueable es bloqueable . Por lo tanto, los navegadores que se actualizan para seguir la Especificación de contenido mixto lo restringen.

Puede ser importante tener en cuenta que no todos los visitantes utilizan navegadores actualizados. Al desarrollar un sitio, se pueden encontrar comportamientos específicos del navegador que involucran contenido mixto en el sitio web de cada navegador.

Desmezclar el contenido

Si ha estado recibiendo estas advertencias de contenido mixto, hay algunos pasos que puede seguir para ayudar a proteger su sitio web y su contenido.

Haz una copia de seguridad

Antes de realizar cambios drásticos en su sitio, asegúrese de tener una copia de seguridad en caso de que algo salga mal. También querrá hacer una copia de seguridad después de estos cambios para bloquear su nuevo contenido seguro.

Si necesita algún consejo sobre cómo elegir un complemento de copia de seguridad, eche un vistazo a los 5 mejores y gratuitos complementos de copia de seguridad de WordPress: la lista definitiva.

Algunos complementos incluso tienen escáneres de seguridad incorporados para mantener su contenido seguro.

Jugando al detective

Cada navegador tiene una forma diferente de notificarle sobre su advertencia de contenido mixto. Pero, por lo general, se encuentra en la barra de URL con un icono de candado alterado.

Chrome versión 21 o posterior tiene un escudo gris con un cuadro rojo en el lado derecho de la barra de URL.

Firefox tiene un pequeño candado con un icono de advertencia. Las versiones de Safari 9.0.1 o posteriores no muestran una advertencia de contenido mixto, pero el contenido aún puede estar bloqueado.

Método de consola

Una vez que haya visto la advertencia de contenido mixto para su sitio, puede determinar qué contenido no es seguro consultando la consola de JavaScript en su navegador.

El método para llegar a la consola varía de un navegador a otro y puede consultar la documentación de su navegador para obtener más detalles.

En Chrome, haga clic derecho en la ventana y seleccione Inspeccionar .

En la parte superior de la ventana del Inspector hay una serie de pestañas. Haga clic en Consola .

Si algún contenido se cargó en la página y activó una advertencia de contenido mixto, aparece en la consola.

La notificación le dirá qué pasó con el protocolo HTTPS y qué se consideró opcionalmente bloqueable o bloqueable por su navegador. Luego puede tomar nota de todo su contenido inseguro para poder protegerlo más tarde.

Tenga en cuenta : la consola de JavaScript solo carga advertencias de contenido mixto para la página en la que se encuentra. Por lo tanto, deberá visitar cada página manualmente para probar el contenido de su sitio.

Método de código fuente

También puede ver el contenido inseguro que tiene su sitio web mirando su código fuente.

En Chrome y Firefox, haga clic derecho en su sitio web y seleccione Ver código fuente de la página . En Safari, la opción se llama Mostrar código fuente de la página .

Aparecerá el código fuente de toda la página. Luego, puede hacer una búsqueda de "http://" para ver qué recursos en su sitio no están usando el protocolo HTTPS.

Verificación de su contenido

También puede colocar la URL del contenido no seguro que encuentre en la barra de direcciones de su navegador. Pero reemplace "http://" con "https://" para asegurarse de que el recurso aún esté disponible a través de una conexión segura.

Si su sitio web se carga sin errores, puede acceder a sus archivos y configuraciones. Luego, cambie permanentemente cada URL al prefijo seguro "https://".

Buscar y reemplazar complementos

Hay una serie de complementos y herramientas que lo ayudarán a encontrar contenido inseguro y luego reemplazarlo con unos pocos clics.

Las opciones del complemento se pueden eliminar una vez que se hayan actualizado sus URL.

¿Por qué no hay candado?

Why No Padlock es un sitio web que le permite conectar una URL segura y el sitio le dará un informe sobre su certificado SSL, así como cualquier contenido mixto en su sitio.

También verifica la prueba del algoritmo SHA-1, la prueba POODLE y las llamadas de formulario inseguras.

Es una excelente alternativa a un complemento si desea mantener los archivos de su sitio reducidos. Pero, es solo una herramienta de diagnóstico y no hará ningún reemplazo real.

Solucionador de contenido inseguro SSL

SSL Insecure Content Fixer es un complemento que verificará y encontrará su contenido inseguro y lo arreglará por usted.

Hay una serie de diferentes niveles de profundidad que utilizan para buscar contenido inseguro desde URL hasta verificar cada elemento de su sitio web.

Puede comenzar con contenido estático y avanzar desde allí si aún aparecen las advertencias de contenido mixto.

Mejor Buscar Reemplazar

El complemento Better Search Replace le permite ejecutar una búsqueda de una cadena de texto y luego actualizar el contenido en un sitio web para asegurarse de que se está ejecutando correctamente después de la transferencia de un sitio web.

Puede buscar el prefijo "https://". Luego, reemplace automáticamente cualquier URL que lo contenga para que tenga el prefijo "https://".

Una de las características interesantes del complemento Better Search Replace es la capacidad de hacer una ejecución en seco para asegurarse de que no haya cambiado nada accidentalmente o sin querer.

Este complemento también viene con soporte multisitio.

Contenido: Sin mezclar

Una advertencia de contenido mixto puede no ser obvia, pero ayuda a señalar un problema importante con su sitio. Vale la pena tomar algunos pasos para modificar sus recursos inseguros. Especialmente para la tranquilidad de tus usuarios, por no hablar de la tuya.

¿Encontró la advertencia de contenido mixto en su sitio web de WordPress? ¿Pudiste resolverlo o tuviste problemas? ¿Cuál es tu solución favorita para corregir la advertencia de contenido mixto? Siéntase libre de compartir su experiencia con nosotros en los comentarios a continuación.