Cómo corregir el mensaje del sitio web "no seguro" en Chrome

El mensaje de sitio web "no seguro" en Chrome parece bastante aterrador para los visitantes, lo suficiente como para despedir a la mayoría de ellos. Como resultado, puedes decir adiós a las conversiones, las ventas, los nuevos suscriptores o cualquier otra cosa que estés intentando lograr.

En otras palabras, no importa cuánto trabajo haya dedicado a optimizar el texto de su anuncio, el diseño de UX o el rendimiento del sitio, un mensaje "no seguro" hace que su sitio sea casi inútil. ¿Suena preocupante? Afortunadamente, tanto la causa como la solución son bastante sencillas.

Este mensaje de error aparece cuando hay un problema con el certificado de capa de sockets seguros (SSL) o la configuración HTTPS de su sitio.

En este artículo, analizaremos todo lo que necesita saber sobre el mensaje de sitio web "no seguro" en Chrome, incluido lo que significa y cómo solucionarlo. También hablaremos sobre otras medidas de seguridad que puede tomar para proteger aún más su sitio, así como qué herramientas debe utilizar (como la suite Jetpack Security).

¿Qué significa el mensaje del sitio web "no seguro"?

El mensaje "no seguro" en Chrome puede aparecer en cualquier sitio web, ya sea que esté creado en WordPress o en cualquier otra plataforma. Indica que el sitio web no utiliza HTTPS o no tiene un certificado SSL activo.

El uso de HTTPS es ahora esencialmente un requisito para todos los propietarios de sitios web. Los motores de búsqueda lo penalizarán (disminuyendo su clasificación y advirtiendo a los visitantes del sitio) si no tiene uno.

Y es seguro decir que si un visitante ve una de estas advertencias, probablemente no permanecerá en el sitio. A veces, su navegador ni siquiera les permite.

Si encuentra este error en su sitio web, debe detener todo y encontrar una solución.

¿Qué es HTTPS?

HTTPS es la versión segura de HTTP. Significa "protocolo seguro de transferencia de hipertexto". Al utilizar HTTPS, un sitio ofrece canales de comunicación más seguros para los datos que envía y recibe.

Es el estándar moderno para proteger a los visitantes, y tanto los navegadores como los motores de búsqueda exigen esencialmente que lo utilices.

Para habilitar HTTPS para su sitio, primero necesitará un certificado SSL. Este es un tipo de certificado digital que verifica la identidad y propiedad de su sitio.

La mayoría de los servidores web de buena reputación ofrecen configuración automática de certificados SSL y lo harán de forma gratuita como parte de su plan de alojamiento. Ellos se encargarán de la mayor parte del trabajo, incluida la renovación del certificado a tiempo.

Esta es sólo una de las muchas razones para elegir un excelente proveedor de hosting.

¿Por qué HTTPS es crucial para la seguridad del sitio web?

Hay muchas cosas que puedes hacer para mejorar la seguridad de tu sitio. Puede mantener su software actualizado, habilitar la autenticación de dos factores, utilizar un complemento de seguridad, realizar copias de seguridad periódicas del sitio y más.

Pero habilitar HTTPS es una de las medidas más básicas, pero impactantes, que puede tomar. Más allá de evitar una advertencia de "no seguro", querrás usar HTTPS porque:

• Facilita el cifrado de datos. Con HTTPS habilitado, todos los datos transmitidos entre los visitantes y el servidor del sitio se cifrarán. Eso significa que, incluso si alguien logra interceptar los datos, no podrá entenderlos.
• Evita la manipulación de datos. Cifrar datos también ayuda a evitar la manipulación. Algunos ciberataques comunes (como ataques de repetición o inyecciones de paquetes) implican realizar cambios en los datos en tránsito para explotar vulnerabilidades.
• Proporciona autenticación de datos. Con HTTPS, puede estar seguro de que se está conectando al sitio web deseado y no a una estafa de phishing o algún otro tipo de contenido falso.
• Permite señales de confianza y seguridad. Configurar un certificado SSL y usar HTTPS hará que algunos navegadores muestren señales de confianza en la barra de navegación. Ver estas señales puede ayudar a los visitantes a estar seguros y darles más confianza para realizar una compra o realizar otra acción importante.

¿Cómo saber si el sitio que estás visitando utiliza HTTPS?

Si está utilizando Chrome, puede hacer clic en el icono en el lado izquierdo de la barra de navegación. Está justo al lado de la dirección del sitio que estás visitando.

Al hacer clic en ese icono, se le mostrará si el sitio utiliza una conexión segura y tiene un certificado SSL válido. Si ve el mensaje "no seguro", significa que hay un problema con la configuración HTTPS o con el certificado SSL.

Para visitantes del sitio web: qué hacer cuando ve un mensaje "no seguro"

Si te encuentras con un mensaje "no seguro" en Chrome, es posible que desees evitar visitar ese sitio web hasta que el propietario lo solucione. Por lo general, indica un problema con el certificado SSL del sitio o la configuración HTTPS.

En algunos casos, esto puede ser un simple descuido. Si el propietario del sitio web olvida renovar su certificado SSL, puede ocurrir que el sitio sea seguro, pero Chrome aún advierte a los usuarios hasta que se solucione el problema.

Como usuario final, tiene algunas formas de intentar determinar si un error "no seguro" es un error. En Chrome, puedes verificar el certificado SSL del sitio y ver si sus detalles coinciden con el sitio y si está vencido:

Puede utilizar su criterio para determinar si debe visitar sitios marcados como "no seguros". Aun así, si visita un sitio web que no es seguro, evite ingresar información confidencial como contraseñas hasta que se solucione el error.

Para propietarios de sitios web: cómo solucionar el mensaje de sitio web "no seguro" en Chrome

Si su sitio web muestra un error "no seguro", debe solucionarlo de inmediato. La mayoría de los visitantes evitarán su sitio y podrían terminar en el sitio de un competidor.

Como mencionamos anteriormente, los mensajes de “no seguro” en Chrome aparecen debido a problemas con el certificado SSL del sitio (como no tener uno) o su configuración HTTPS. Empecemos hablando de certificados.

Compre e instale un certificado SSL (u obtenga uno gratis)

El uso de un certificado SSL para su sitio web no debería ser negociable. Si le preocupan los costos, puede configurar certificados SSL gratuitos de autoridades como Let's Encrypt.

Estos certificados (los certificados de nivel básico se conocen como certificados de dominio validado (DV)) son ideales para sitios web personales y de pequeñas empresas.

Si tiene un sitio web para una gran empresa, una tienda de comercio electrónico con tráfico considerable o un proyecto empresarial, querrá optar por un tipo más sólido, como un certificado SSL con validación de organización (OV) o de validación extendida.

Habrá un costo asociado con esto y la aplicación puede requerir cierto nivel de verificación y pruebas de seguridad, pero a menudo es necesario desde el punto de vista del cumplimiento.

Si está buscando un proveedor de alojamiento web que le instale un certificado SSL y administre las renovaciones, eche un vistazo a nuestros socios de alojamiento.

Actualice su sitio web para ofrecer solo URL HTTPS

Una vez que configure un certificado SSL para su sitio, también deberá configurarlo para que se cargue a través de HTTPS. De lo contrario, recibirá mensajes de error al intentar acceder al sitio web, independientemente del navegador que esté utilizando.

Hay varias formas de configurar su sitio web para que solo proporcione contenido utilizando HTTPS. Si su sitio utiliza un servidor Apache, puede modificar su archivo . htaccess para redirigir todo el contenido HTTP a través de HTTPS.

Si desea utilizar este enfoque, es importante crear primero una copia de seguridad de su sitio, ya que necesitará editar parte de su código. En WordPress, puede hacer esto usando Jetpack VaultPress Backup, que también creará copias de seguridad en tiempo real para su sitio cada vez que realice cambios en él.

Luego, conéctese al sitio mediante el protocolo de transferencia de archivos (FTP). Navegue hasta el directorio raíz del sitio y busque el archivo .htaccess que contiene.

Abra ese archivo usando un editor de texto. Debería parecerse a la captura de pantalla siguiente, quizás con algunas configuraciones personalizadas según la configuración de su sitio:

Ahora, copie el siguiente fragmento de código y agréguelo antes de la línea # END WordPress, asegurándose de no tocar el resto del código:

 RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ese código implementa redirecciones 301 o permanentes para enrutar todo el tráfico HTTP a través de HTTPS. Usamos una redirección 301 porque debería ser un cambio permanente y, de esta manera, estás pasando el valor de tu enlace a las URL HTTPS.

Si tiene un sitio web de WordPress, también puede usar un complemento para atender solo tráfico HTTPS. Por ejemplo, Really Simple SSL le permite instalar un certificado SSL gratuito desde el panel de control, así como agregar redireccionamientos 301 a su sitio sin necesidad de modificar los archivos manualmente.

Compruebe si hay contenido mixto

En ciertos casos, los problemas con la configuración de su sitio pueden hacer que cargue parte del contenido a través de HTTPS, pero no todo. Esto da como resultado un error de contenido mixto, que puede aparecer en forma de mensaje de sitio web "no seguro" en Chrome.

Para comprobar si hay un error de contenido mixto, puede acceder al sitio usando Chrome y abrir las herramientas de desarrollo del navegador inspeccionando una de sus páginas.

Vaya a la pestaña Seguridad y verifique lo que dice en Descripción general de seguridad → Recursos .

Idealmente, verá un mensaje de "seguridad completa". Una advertencia de contenido mixto significa que deberá revisar cómo su sitio usa HTTPS. También podría ser un problema con los recursos de terceros que utiliza su sitio y que se cargan a través de HTTP.

Puede utilizar la consola de la herramienta de desarrollador para ver qué recursos se están cargando para su sitio web. La consola resaltará los recursos de contenido mixto para que puedas identificarlos fácilmente.

El código que compartimos anteriormente sobre cómo enrutar el tráfico HTTP a través de HTTPS para servidores Apache debería funcionar para todo el contenido. Si usó ese código, verifique que se haya agregado correctamente al archivo .htaccess del sitio.

Para los usuarios de WordPress, existen razones adicionales por las que pueden encontrarse con una advertencia de contenido mixto. A veces, los archivos multimedia antiguos se aferran obstinadamente al uso de HTTP. Es posible que deba volver a cargar estos archivos o usar un complemento como Really Simple SSL para forzar que todo el contenido se cargue a través de HTTPS.

Verifique que Chrome reconozca su sitio como seguro

Después de implementar cualquiera de las correcciones anteriores, querrás verificar si el error persiste en Chrome. Si aún ve el mensaje del sitio web "no seguro", significa que la solución que implementó no funcionó.

Dado que los mensajes "no seguros" están vinculados a certificados SSL o problemas HTTPS, querrás asegurarte de que ambos funcionen en tu sitio. Si tiene un certificado válido configurado y todo el contenido está configurado correctamente para cargarse a través de HTTPS, el mensaje de error debería desaparecer por completo.

Medidas de seguridad adicionales importantes para propietarios de sitios web

El uso de un certificado SSL y HTTPS son excelentes medidas de seguridad. Pero hay mucho más que puedes hacer para mantener tu sitio seguro y proteger a los visitantes de actores maliciosos.

Veamos algunas formas efectivas de proteger aún más su sitio web.

1. Instale un complemento de seguridad para brindar protección 24 horas al día, 7 días a la semana

Este consejo es para sitios web de WordPress. Incluso si no usa WordPress, existen muchas herramientas y servicios de seguridad increíbles que puede aprovechar para proteger su sitio; solo es cuestión de encontrar las opciones adecuadas.

Si no está seguro de por dónde empezar, busque herramientas que incluyan algunas de las funciones que analizaremos en esta sección. Como usuario de WordPress, lo mejor que puede hacer es encontrar soluciones de seguridad que protejan su sitio web en múltiples frentes.

Jetpack Security es un conjunto de herramientas de WordPress diseñadas para proteger su sitio web contra atacantes y restaurar su contenido en caso de que algo salga mal. Incluye una solución de respaldo en tiempo real, escaneo y correcciones de malware en tiempo real y protección contra spam, junto con monitoreo del tiempo de inactividad, un registro de actividad y protección contra ataques de fuerza bruta.

También puede elegir productos individuales del paquete si tiene inquietudes de seguridad específicas. Por ejemplo, VaultPress Backup se ofrece como un complemento dedicado. Por sí solo o como parte de Jetpack Security, proporciona copias de seguridad en tiempo real, por lo que cada cambio que realices, comentario que recibas o pedido que realices esté siempre seguro.

Mientras tanto, Jetpack Scan aprovecha la base de datos más grande de vulnerabilidades de WordPress (que recibe actualizaciones periódicas) para verificar si su sitio web es vulnerable de alguna manera. También puedes utilizar el complemento para solucionar la mayoría de los problemas conocidos con sólo unos pocos clics.

La suite Jetpack también incluye Akismet Anti-Spam. Este complemento utiliza el aprendizaje automático para revisar los envíos de texto en su sitio (comentarios, formularios e incluso registros de usuarios) y bloquea automáticamente el spam con una precisión del 99,99 % y sin molestos CAPTCHA .

Akismet Anti-Spam bloquea alrededor de siete millones y medio de envíos de spam por hora en la red de sitios que lo utilizan. También aprende continuamente a detectar nuevas formas de spam, gracias a todos esos datos.

2. Mantenga actualizado el software, los temas y los complementos.

Si utiliza WordPress, querrá asegurarse de que todos sus componentes estén siempre actualizados: el software principal, así como los complementos y temas que instale y active.

Puede verificar rápidamente las actualizaciones disponibles accediendo al panel y navegando a la pestaña Actualizaciones . Esto le brindará una descripción general de todos los elementos de su sitio que requieren actualizaciones.

Las actualizaciones de software son esenciales porque a menudo incluyen correcciones de seguridad. Los desarrolladores pueden encontrar vulnerabilidades que no conocían al principio o pueden cerrar las lagunas de seguridad encontradas por los atacantes.

Cuanto más tiempo pase un complemento o un tema sin actualizarse, más probabilidades habrá de que sea vulnerable. Lo mismo ocurre con WordPress. Si todavía usas WordPress 5.0, por ejemplo, estás expuesto a una larga lista de vulnerabilidades conocidas.

Por supuesto, antes de actualizar algo, querrás realizar una copia de seguridad para poder restaurarla en caso de que la actualización cause un error. Si tiene Jetpack VaultPress Backup, el trabajo ya está hecho por usted.

En cualquier caso, querrás asegurarte de actualizar WordPress con frecuencia. Idealmente, debería buscar actualizaciones cada vez que inicie sesión en el panel.

3. Utilice la autenticación de dos factores (2FA) para el acceso administrativo

Todas las personas con acceso administrativo a su sitio web deberían utilizar 2FA. Esto agrega otro factor de seguridad más allá de las contraseñas y dificulta que los atacantes obtengan acceso al sitio, incluso si obtienen las credenciales de los usuarios.

Probablemente ya utilices 2FA en algunos de los sitios web que visitas. Las implementaciones pueden variar, ya que algunos sitios le pedirán que utilice una aplicación de autenticación, mientras que otros envían códigos de verificación por correo electrónico o SMS.

Si bien 2FA puede dificultar un poco las cosas para algunos usuarios, es esencial para cualquiera que tenga acceso al backend del sitio. Estas son las cuentas de usuario con más privilegios administrativos. Si los atacantes obtienen acceso a ellos, pueden causar mucho daño a su sitio web.

Si usa WordPress, puede aprovechar el complemento Jetpack para solicitar que el administrador inicie sesión con una cuenta de WordPress.com. Luego puede habilitar el requisito de autenticación en dos pasos.

Esta función está disponible con el complemento Jetpack gratuito, por lo que cualquiera puede usarla. Es una forma rápida y sencilla de crear un proceso de inicio de sesión de WordPress más seguro.

4. Instale un firewall de aplicaciones web (WAF)

Un firewall de aplicaciones web es un software que monitorea y bloquea las conexiones a su sitio según un conjunto de reglas. Los mejores productos y complementos WAF logran bloquear una gran cantidad de tráfico malicioso, generalmente porque tienen bases de datos masivas de atacantes conocidos.

Dependiendo del WAF, también podría identificar patrones de ataque o actividades sospechosas de los usuarios. En general, utilizar el WAF adecuado puede aumentar drásticamente la seguridad del sitio web.

Si está utilizando WordPress, el complemento Jetpack incluye un WAF que puede activar para ayudar a proteger su sitio web. Es una opción que puedes activar directamente desde la configuración del complemento.

El uso del firewall Jetpack le permite aprovechar una base de datos masiva de atacantes conocidos. Para habilitar reglas automáticas, necesitará una licencia Jetpack Scan o Jetpack Security.

5. Haga una copia de seguridad de su sitio web periódicamente

Tener copias de seguridad recientes de su sitio es una de las mejores formas de evitar problemas y vulnerabilidades de seguridad. Si los atacantes logran obtener acceso, a menudo puedes solucionar el problema restaurando una copia de seguridad reciente e implementando medidas de seguridad adicionales a partir de ese momento.

El mayor problema con las copias de seguridad es que a menudo perderás datos al restaurar tu sitio a un estado anterior. Esto es particularmente cierto si la última copia de seguridad que realizó fue hace semanas.

Jetpack VaultPress Backup ofrece copias de seguridad en tiempo real para sitios web de WordPress. Esto significa que cada vez que realiza un cambio en el sitio, el complemento lo guarda.

VaultPress Backup elimina el problema de no tener acceso a copias de seguridad recientes. También almacena copias de seguridad fuera del sitio, por lo que si algo le sucede a su servidor, las copias de su sitio aún estarán seguras.

Jetpack Seguridad para sitios de WordPress

Jetpack Security ofrece un conjunto completo de productos que pueden ayudarlo a proteger su sitio de WordPress. Estos incluyen Jetpack Scan, VaultPress Backup, Akismet Anti-Spam y más.

Puede utilizar Jetpack Scan para ejecutar análisis automáticos de malware y vulnerabilidades en su sitio web y solucionar rápidamente la mayoría de los problemas con solo unos clics. El complemento aprovecha la base de datos más grande conocida de vulnerabilidades de seguridad de WordPress para mantener su sitio seguro.

Jetpack Scan también le brinda acceso a reglas automáticas para el firewall de aplicaciones web del complemento. Estas reglas ayudan a proteger su sitio contra atacantes gracias a la creciente base de datos de actores maliciosos conocidos de Jetpack.

Con VaultPress Backup, podrá estar tranquilo sabiendo que cada vez que realice cambios en su sitio, el complemento lo mantendrá seguro. Esta tecnología de copia de seguridad en tiempo real hace que nunca pierda datos importantes si necesita restaurar su sitio web a un estado anterior.

Con Jetpack Security, también tiene monitoreo del tiempo de inactividad y un registro de actividad que le permite verificar todo lo que sucede en su sitio web e identificar qué acciones (y quién las tomó) pueden haber causado un problema. Cada vez que alguien inicia sesión en su sitio, actualiza una página, cambia una configuración o agrega código a un archivo principal, todo estará allí en el registro de actividad.

Jetpack Security es la solución de seguridad integral e ideal para WordPress con más de 27 millones de instalaciones y contando.

Preguntas frecuentes

Si todavía le quedan dudas sobre cómo solucionar el mensaje de sitio web "no seguro" en Chrome y cómo proteger su sitio en general, esta sección las responderá.

¿Qué es HTTPS y en qué se diferencia de HTTP?

HTTPS es la versión segura de HTTP. Los datos que envía o recibe a través de HTTPS se cifran para evitar manipulaciones. Un sitio web que utiliza HTTPS también significa que tiene un certificado SSL válido.

¿Cómo protege un certificado SSL la información de un sitio web?

Un certificado SSL es un certificado digital que demuestra que un sitio web es auténtico. Puede proteger la información de un sitio web permitiéndole utilizar HTTPS. Las conexiones HTTPS seguras son menos vulnerables a los ciberataques.

¿Cómo compro un certificado SSL para mi sitio web?

Dependiendo de su sitio y su alcance, es posible que deba pagar por un certificado SSL. Pero muchos sitios pueden utilizar uno gratuito. Algunas autoridades de certificación como Let's Encrypt ofrecen certificados gratuitos que puede configurar fácilmente en su sitio web.

¿Puedo utilizar un certificado SSL gratuito? ¿Es seguro?

Puede utilizar un certificado SSL gratuito para la mayoría de los sitios, aunque no se recomienda para proyectos con mayores necesidades de seguridad, como grandes tiendas de comercio electrónico. Para la mayoría de los sitios, un certificado SSL gratuito satisfará todos sus requisitos.

¿Pueden caducar los certificados SSL? Si es así, ¿puedo automatizar su renovación?

Los certificados SSL caducan. Deben renovarse periódicamente por cuestión de seguridad, para que el propietario del sitio pueda verificar que todavía opera el sitio web. Aun así, puedes automatizar el proceso de renovación de la mayoría de los certificados. Si utiliza un proveedor de alojamiento web que ofrece un certificado gratuito, es probable que también lo renueve.

¿Qué debo hacer si mi sitio web muestra una advertencia de "contenido mixto"?

Si su sitio muestra una advertencia de contenido mixto, verifique que todos sus componentes se estén cargando a través de HTTPS. Es posible que deba implementar una redirección para forzar que las solicitudes pasen por HTTPS o identificar el contenido que está causando el error y reemplazarlo.

¿Qué otras mejores prácticas debo seguir para proteger mi sitio web?

Además de utilizar un certificado SSL y HTTPS, siempre es mejor realizar copias de seguridad periódicas de su sitio. También debe configurar un WAF para bloquear el tráfico malicioso, utilizar herramientas de prevención de spam, habilitar 2FA y mantener actualizados los componentes de su sitio web.

¿Qué tipos de herramientas se recomiendan para mejorar la seguridad del sitio web?

Cuando busque soluciones de seguridad para su sitio, considere opciones que ofrezcan copias de seguridad en tiempo real, escáneres de vulnerabilidades y malware, registros de actividad, 2FA y un WAF. Jetpack Security incluye todas esas funciones y más.

Jetpack Security: la forma rápida y sencilla de proteger su sitio web de WordPress

El mensaje de sitio web "no seguro" en Chrome es uno de los múltiples errores de SSL que puede encontrar. Los certificados SSL y HTTPS son medidas de seguridad esenciales para los sitios web modernos, pero no son las únicas cosas que pueden proteger su sitio.

Una vez que haya configurado un certificado SSL y haya habilitado HTTPS, querrá pasar a otras medidas de seguridad. Con Jetpack Security, puedes implementar múltiples mejoras de seguridad con un único conjunto de herramientas. Esto incluye copias de seguridad en tiempo real y escaneo de malware, monitoreo del tiempo de inactividad, protección contra ataques de fuerza bruta, registros de actividad y mucho más.

Si desea mantener seguro su sitio de WordPress, pruebe la suite Jetpack Security. También puede optar por acceder a funciones seleccionadas a través de complementos individuales, incluidos Jetpack VaultPress Backup, Jetpack Protect y Akismet Anti-Spam. ¡Mejore la seguridad de su sitio hoy!