Cómo encontrar y corregir advertencias de contenido mixto en sitios HTTPS

como encontrar y corregir advertencias de contenido mixto en sitios https nodored hosting dominios web

Instalar un Certificado SSL no siempre es suficiente: también debe saber cómo identificar y corregir errores de contenido mixto

Si recientemente migró su sitio web desde una conexión insegura HTTP a una conexión segura HTTPS, puede encontrarse con el problema de recibir advertencias de contenido mixto. Peor aún, su sitio puede mostrarse inseguro para los visitantes del sitio, haciendo que hagan clic rápidamente en el botón «Atrás» y busquen otro lugar para explorar.

Dicho esto, el problema real con las advertencias de contenido mixto en las conexiones HTTPS está surgiendo con la última versión de Google Chrome: Chrome 79. Con esta nueva versión, parte del contenido que continúa cargándose a través de una conexión insegura se bloqueará automáticamente. Marcará los sitios web que usan TLS 1.0 o 1.1 como «No seguro» y ya no mostrará el icono de bloqueo para ellos.

Más adelante con Chrome 81, que se lanzará en algún momento de marzo, Google eliminará por completo la compatibilidad con el protocolo TLS heredado, lo cual bloqueará todo el contenido no seguro de forma predeterminada. En otras palabras, el contenido de su sitio que no se carga a través de HTTPS no se cargará en absoluto, y los visitantes de su sitio no verán este contenido.

Si desea asegurarse de que todo el contenido de su sitio se cargue a través de una conexión segura y los visitantes del sitio lo vean todo, siga leyendo este articulo. Hoy explicamos qué es el contenido mixto o inseguro, por qué es un problema y cómo encontrar y corregir las advertencias de contenido mixto si las ve en su sitio web HTTPS.

¿Qué es el contenido mixto?

Según Google, el contenido mixto ocurre cuando el HTML en un sitio web se carga a través de una conexión HTTPS segura (gracias a un certificado SSL instalado recientemente) pero otro contenido, como imágenes, videos, hojas de estilo y scripts, continúan cargándose a través de un protocolo inseguro HTTP. Esto hace que parte del contenido web se cargue de forma segura y parte del contenido web se cargue de forma insegura. De ahí el nombre de «contenido mixto».

Lo que ocurre con el contenido mixto o inseguro es que todo se carga a través de una conexión segura HTTPS, ya sea que el contenido sea seguro o no. Y cuando esto sucede, los navegadores modernos como Google Chrome muestran advertencias a los usuarios que intentan ver el contenido web, de que el sitio contiene contenido inseguro.

Los sitios web que se cargan a través de conexiones seguras HTTPS brindan los siguientes beneficios:

  • Autenticación. Asegura a los visitantes de su sitio que están seguros cuando interactúan con el y se relacionan con su contenido, especialmente si tiene una tienda en línea donde se comparte información financiera. Además, verifica para los visitantes del sitio que están en el sitio web que desean estar y que no han sido redirigidos a un sitio malicioso.
  • Integridad de los datos. Indica visualmente a los visitantes del sitio que su información personal y financiera está segura y protegida de los piratas informáticos. Además, brinda a los navegadores la capacidad de detectar si un hacker ha cambiado los datos que recibe un navegador. En otras palabras, ayude a los usuarios a confiar en que un hacker no ha redirigido el dinero pagado a través de su tienda en línea a otra cuenta.
  • Anonimato. Garantiza a los visitantes del sitio que su comportamiento mientras están en su sitio no está siendo interceptado por otros y utilizado de manera maliciosa.

En resumen, el protocolo HTTPS permite a los propietarios de sitios web proteger sus datos y generar confianza con aquellos que visitan su sitio para que puedan continuar interactuando con su marca y negocio.

¿Por qué el contenido mixto es un problema de seguridad?

Error de contenido mixto
Fuente de la imagen: https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content

Si el contenido mixto se carga a través de una conexión segura, es posible que se pregunte por qué es importante. Después de todo, la conexión HTTPS debería asegurar los demás recursos digitales independientemente de si es mixto o no, ¿verdad?

Incorrecto.

Cada vez que hay contenido mixto o inseguro en una página web, todo el sitio web se vuelve vulnerable a los ataques. Si bien no abre la página web a todos los tipos de delitos informáticos, debilita la seguridad general del sitio. Esto significa que si un pirata informático detecta un sitio web que carga contenido mixto, podría tomar el control de toda la página, no solo del recurso que es inseguro.

Si bien la mayoría de los navegadores modernos muestran advertencias de contenido mixto para que las personas sepan antes de visitar un sitio web, la verdad es que muchas de estas advertencias llegan demasiado tarde. De hecho, a menudo los piratas informáticos ya han entrado en sitios web de contenido mixto y han comenzado a hacer daño sin que los propietarios del sitio o los visitantes sepan lo que ocurrió.

Aquí hay otras formas en que el contenido mixto o inseguro en su sitio HTTPS puede convertirse en un problema de seguridad:

  • Los hackers pueden interceptar las solicitudes HTTP para cargar una imagen e intercambiar la imagen de su sitio por otra que el hacker prefiera.
  • Las imágenes de los botones «Guardar» y «Eliminar» se pueden cambiar, lo que hace que los visitantes del sitio guarden o eliminen accidentalmente contenido.
  • El front-end de su sitio puede ser desfigurado, lo que es especialmente malo cuando se trata de imágenes o texto obscenos o inapropiados.
  • Un hacker puede interceptar contenido escrito y reescribirlo por completo. Las contraseñas, las cookies de sesión y otras credenciales de inicio de sesión pueden verse comprometidas y caer en manos de ciberdelincuentes.
  • Los visitantes de su sitio pueden ser redirigidos a otro sitio.

Los navegadores hacen todo lo posible para bloquear los tipos más peligrosos de contenido mixto en los sitios web. Sin embargo, es imposible bloquearlo todo (aunque eso parece una solución obvia) porque muchos sitios web bien establecidos y altamente traficados ofrecen contenido mixto o inseguro para los visitantes del sitio. Bloquear todo esto conducirá a la ruina y causará muchos problemas.

Dicho esto, puede esperar que los navegadores populares como Chrome continúen bloqueando más y más contenido mixto a medida que se lanzan nuevas versiones.

Cómo encontrar y corregir advertencias de contenido mixto en su sitio web HTTPS

Si ha adoptado un enfoque proactivo para la seguridad del sitio y ha instalado un certificado SSL en su sitio, siéntase orgulloso. Los datos del Informe de transparencia de Google indican que los usuarios de computadoras de escritorio cargan más de la mitad de las páginas que visitan a través de conexiones HTTPS y pasan más de dos tercios de su tiempo en páginas web HTTPS.

Reporte de Transparencia de Google
Fuente: https://transparencyreport.google.com/https/overview?hl=es

Desafortunadamente, el cifrado de datos es menos frecuente en los dispositivos móviles, aunque más propietarios de sitios están tomando medidas para asegurar sus sitios móviles a medida que pasa el tiempo y el uso de dispositivos móviles en todo el mundo continúa aumentando.

Sin embargo, el hecho de que haya hecho lo correcto al encriptar los datos de su sitio no significa que el contenido de su sitio web sea completamente seguro. Es por eso que debe trabajar duro para evitar cargar contenido mixto en su sitio web en primer lugar. De lo contrario, ese certificado SSL no sirve de nada.

Veamos cómo encontrar y corregir la carga de contenido mixto en un sitio web HTTPS con Google Chrome.

Paso 1: Visite su sitio web

Visitar su sitio web para encontrar advertencias de contenido mixto o inseguro puede parecer obvio. Pero, en realidad, ¿cuántas veces visita casualmente su propio sitio web como si fuera un visitante del sitio?

Es importante que primero verifique su sitio para ver si está cargando contenido mixto o inseguro a través de su conexión HTTPS segura. Recuerde, si tiene contenido mixto en su sitio web, Google Chrome mostrará advertencias.

Para ver las advertencias de contenido mixto de Chrome, primero haga clic en la página web que desea consultar. Luego, haga clic derecho y de click en la opción «Inspector de Elementos». Cuando lo haga, elija la pestaña «Consola». El navegador detectará contenido mixto y mostrará advertencias como esta:

Advertencia de contenido mixto
Fuente: https://googlesamples.github.io/web-fundamentals/fundamentals/security/prevent-mixed-content/passive-mixed-content.html

Si el contenido mixto es muy serio (lo que significa que abre las puertas a los piratas informáticos para tomar el control total de toda su página web), las advertencias de contenido mixto se mostrarán en rojo:

Fuente: https://googlesamples.github.io/web-fundamentals/fundamentals/security/prevent-mixed-content/active-mixed-content.html

Las herramientas para desarrolladores de Chrome solo mostrarán advertencias de contenido mixto para la página web que está viendo actualmente. Esto significa que tendrá que inspeccionar manualmente cada página web en su sitio web si desea corregir todas las advertencias de contenido mixto en su sitio. Como puede ver, esta puede ser una tarea tediosa y que requiere mucho tiempo si no detecta los problemas desde el principio.

Paso 2: Verifique las URL de su sitio

Además de inspeccionar el código fuente en todo su sitio web, otra forma segura de identificar contenido inseguro en su sitio, a pesar de tener una conexión HTTPS, es verificar las URL de su sitio.

Si observa que algunas de las URL de su sitio son HTTP en lugar de HTTPS cuando sabe que tiene un certificado SSL activo en su sitio, entonces sabe que es probable que haya un problema con la carga de contenido mixto en el front-end para los visitantes del sitio.

Paso 3: Compare las páginas web HTTP vs HTTPS

Una vez que sepa que se está cargando contenido mixto en su sitio web HTTPS, lo siguiente que querrá hacer es comparar su página web HTTP con la página web segura HTTPS (usando la misma URL para ambos). Si las páginas web son idénticas a través de HTTP y HTTPS, continúe con el siguiente paso. Esto significa que Google Chrome no bloquea el contenido y puede continuar.

Verificar contenido mixto http vs https
Fuente: https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content#finding_mixed_content_by_visiting_your_site

Sin embargo, si ve una advertencia o el contenido no se mostrará a través de la conexión HTTP, debe realizar una de las siguientes acciones:

  • Deshágase del recurso por completo (por ejemplo, la imagen, el video, etc.
  • Incluya el recurso de otro host si está disponible
  • Descargue y aloje el recurso en su sitio directamente.

Paso 4: Cambie la URL

Si su sitio web tiene recursos mixtos cargando a través de HTTP y HTTPS, el siguiente paso es forzar la URL de http:// a https://, volver a implementar (cargar) el archivo actualizado.

Luego, haga clic en la página web donde apareció el error de contenido mixto y asegúrese de que esté solucionado y que se procese a través de una conexión HTTPS segura.

Formas de evitar advertencias de contenido mixto en su sitio HTTPS

Puede ser frustrante instalar un certificado SSL en su sitio web y continuar recibiendo advertencias de contenido mixto a pesar de la conexión segura. Es por eso que a veces es necesario tomar algunas medidas adicionales para proteger su sitio web y proteger a los visitantes de su sitio.

1. Utilice siempre HTTPS al cargar sus páginas web

Es importante que aplique su conexión HTTPS (https: //) a todas las páginas web de su sitio web siempre que sea posible. Si observa que sus páginas web se están cargando a través de una conexión insegura, a pesar de tener un certificado SSL activo en su sitio, debe solucionarlo.

2. Use una herramienta en línea para identificar advertencias de contenido mixto

Si tiene un sitio web grande y no tiene el tiempo y la mano de obra para hacer todo lo anterior, siempre puede usar un rastreador web para ayudar a identificar advertencias de contenido mixto en su sitio web:

¿Por que no veo Candado Verde? es una herramienta gratuita de Nodored que le permitirá verificar rápidamente su URL para asegurarse de que no se encuentren enlaces inseguros en su sitio.

En resumen

Al final, tener un sitio web HTTPS es más importante que nunca. Google Chrome será el primero en informar a los visitantes cuando su sitio no es seguro y utiliza una conexión HTTPS. Sus clasificaciones de búsqueda se reducirán si tiene un sitio inseguro, y las personas tardarán en confiar en su marca o negocio si no puede demostrarles que están seguros mientras navega por su sitio.

En Nodored todos los planes de hosting incluyen certificados SSL gratuito, y también ofrece varias opciones de pago para Certificados SSL Premium con mayores niveles de seguridad que van desde unos pocos dólares, así que tener un sitio web seguro es realmente fácil.

Pero como puede ver, habilitar un Certificado SSL en su sitio web no es suficiente. Si carga contenido mixto a través de una conexión HTTPS segura, continuará recibiendo advertencias de contenido mixto o inseguro y alejará a las personas. Por lo tanto, tómese el tiempo para verificar y controlar su sitio en busca de contenido inseguro, ya que los navegadores populares como Chrome continuarán tomando medidas enérgicas contra los sitios inseguros y evitarán que los usuarios interactúen con ellos.

Related Articles