¿Google está marcando tu sitio como “No seguro”? (& Cómo solucionarlo)

Ver la advertencia de “No seguro” aparecer en tu propio sitio web es una experiencia aterradora. Cuando esto le sucedió a uno de mis sitios de WordPress, por un minuto, pensé que mi sitio había sido hackeado.

Sin embargo, ese sitio era demasiado antiguo y había olvidado moverlo a una conexión HTTPS segura, que ahora es un requisito estándar para todos los navegadores.

Afortunadamente, solucionar esta advertencia de “No seguro” es en realidad bastante sencillo.

En esta guía, te guiaré a través de los sencillos pasos para recuperar ese tranquilizador ícono de candado y asegurarte de que tu sitio sea seguro para todos.

¿Por qué Google muestra "No seguro" en tu sitio web?

Cuando veo la advertencia "No seguro" aparecer en un sitio, sé que generalmente significa una cosa: el sitio no está completamente encriptado. Google muestra esta advertencia cuando un sitio web no usa HTTPS o hay algo mal con su certificado SSL.

Para referencia, HTTPS (Protocolo de Transferencia de Hipertexto Seguro) es la versión segura de HTTP. Utiliza algo llamado un certificado SSL/TLS para cifrar la conexión entre tu sitio web y tus visitantes.

Permíteme guiarte a través de las cuatro razones más comunes por las que he visto aparecer esta advertencia en sitios web de WordPress:

• Tu sitio web no tiene un certificado SSL. Los certificados SSL cifran la conexión entre tu sitio web y los visitantes. Sin uno, los navegadores asumen que tu sitio no es seguro porque cualquier dato que las personas ingresen, como detalles personales, podría ser interceptado. Esta es la razón más común de la advertencia.
• Tu certificado SSL está expirado o es inválido. Se puede instalar un certificado SSL, pero puede haber expirado o no haber sido configurado correctamente. Esta es una de las primeras cosas que reviso. Generalmente puedes detectar este problema de SSL haciendo clic en el ícono del candado en la barra de direcciones de tu navegador.
• Tu sitio web tiene problemas de contenido mixto. Incluso con un certificado SSL válido, tu sitio aún puede mostrarse como “No seguro” si carga contenido (como imágenes o scripts) a través de HTTP. Esto sucede a menudo cuando un sitio se cambia a HTTPS, pero los enlaces antiguos no se actualizan.
• Tu sitio tiene URLs HTTP en la configuración de WordPress. Siempre reviso la Dirección de WordPress y la Dirección del sitio en Ajustes » Generales. Si estas todavía están configuradas como HTTP, tu sitio puede seguir mostrando advertencias de seguridad incluso si el SSL está funcionando correctamente.

Ahora que he cubierto qué causa la advertencia de "No seguro", veamos cómo solucionarla y evitar que regrese.

Cómo solucionar la advertencia de "No seguro" en Google Chrome

Solucionar la advertencia de 'No seguro' implica cuatro pasos clave: instalar un certificado SSL, actualizar las URLs de tu WordPress, corregir errores de contenido mixto y redirigir todo el tráfico de HTTP a HTTPS.

Afortunadamente, la solución generalmente no es complicada. En la mayoría de los casos, se reduce a habilitar un certificado SSL, actualizar algunas configuraciones de WordPress o limpiar lo que se conoce como contenido mixto.

He pasado por este proceso de solución de problemas en docenas de sitios, tanto propios como de otros, y te mostraré exactamente qué hacer para asegurar tu sitio y deshacerte de esa advertencia para siempre.

Aquí están los pasos que cubriré:

• Paso 1. Obtén un certificado SSL gratuito para tu sitio web
• Paso 2. Actualiza las URL de tu WordPress para usar HTTPS
• Paso 3. Soluciona problemas de contenido mixto en WordPress
• Paso 4. Configura una redirección de HTTP a HTTPS en WordPress
• Paso 5. Prueba tu configuración SSL para problemas de seguridad
• Preguntas frecuentes sobre SSL y errores de WordPress
• Recursos adicionales para la seguridad de WordPress

Paso 1. Obtén un certificado SSL gratuito para tu sitio web

Lo primero que hago al solucionar una advertencia de "No seguro" es verificar si hay un certificado SSL instalado. Esta pequeña tecnología de seguridad cifra los datos entre tu sitio web y los visitantes, y es lo que habilita HTTPS.

Hace años, los certificados SSL podían ser caros. Algunas empresas todavía cobran una prima, pero la buena noticia es que no necesitas pagar por uno, especialmente si recién estás comenzando.

La mayoría de los proveedores de hosting de WordPress ahora ofrecen certificados SSL gratuitos con sus planes. He utilizado esta opción en docenas de sitios web y, en la mayoría de los casos, habilitarlo solo toma un par de clics desde tu panel de hosting.

Si estás usando Bluehost, simplemente inicia sesión en tu cuenta y dirígete a la configuración de tu sitio web. Luego, haz clic en la pestaña 'Seguridad'.

Desde allí, verás la opción para habilitar el certificado SSL gratuito. Simplemente actívala y listo.

Nota: El proceso es similar para otros hosts. Si usas un proveedor diferente, la configuración SSL casi siempre se encuentra en la sección de seguridad del panel de control de tu hosting.

Para los proveedores que usan cPanel, deberás iniciarlo desde tu panel de hosting. Desplázate hacia abajo hasta la pestaña 'Seguridad' y haz clic en el ícono SSL/TLS.

Y si tu proveedor no ofrece SSL gratuito, no te preocupes, aún puedes obtener uno a través de Let's Encrypt.

Tenemos un tutorial detallado que te muestra exactamente cómo hacerlo: Cómo agregar SSL gratuito en WordPress con Let’s Encrypt.

Paso 2. Actualiza las URL de tu WordPress para usar HTTPS

Incluso con un certificado SSL, tu sitio aún podría aparecer como "No seguro" si la configuración de WordPress es incorrecta. Puedes solucionar esto actualizando la URL de tu sitio.

Simplemente ve a la página Configuración » General en tu panel de WordPress.

Luego, asegúrate de que tanto los campos ‘Dirección de WordPress (URL)’ como ‘Dirección del sitio (URL)’ usen https:// en lugar de http://.

No olvides hacer clic en el botón ‘Guardar Cambios’ para almacenar tu configuración.

WordPress ahora comenzará a usar https:// para todas las URL en tu sitio web. Sin embargo, es posible que algunas URL HTTP todavía estén almacenadas en tu base de datos de WordPress, lo que podría causar problemas en el futuro.

A continuación, te mostraré cómo solucionar esas URL fácilmente.

Paso 3. Soluciona problemas de contenido mixto en WordPress

Una razón de la advertencia de ‘No seguro’ son los problemas de contenido mixto. Esto sucede cuando algunas partes de tu sitio web se cargan usando una URL HTTP (insegura).

Casi todas estas URL están almacenadas en tu base de datos de WordPress y son agregadas por tu tema o plugins de WordPress. También podrías tener URL http:// en tus entradas y páginas de blog.

Para solucionar esto, necesitarás un plugin de búsqueda y reemplazo para encontrar URL http y reemplazarlas por https://. El mejor plugin para esta tarea es Search & Replace Everything.

Uso Search and Replace Everything porque es rápido, eficiente y desarrollado por el equipo de WPCode, los mismos expertos detrás del plugin de fragmentos de código más popular para WordPress. Lo que es más importante, es súper fácil de usar incluso para principiantes.

Consejo💡: También hay una versión gratuita de Buscar y Reemplazar Todo que puedes usar.

Primero, necesitas instalar y activar el plugin Search and Replace Everything. Para más detalles, puedes ver esta guía sobre cómo instalar plugins de WordPress.

Una vez activado el plugin, ve a la página Herramientas » Buscar y reemplazar para empezar a usar el plugin.

En el campo 'Buscar', necesitas ingresar http:// y en el campo 'Reemplazar con', agrega https://.

Después de eso, necesitas hacer clic en ‘Seleccionar todo’ para asegurarte de que todas las tablas en tu base de datos de WordPress estén incluidas en la búsqueda.

Finalmente, haz clic en el botón ‘Vista previa de búsqueda y reemplazo’.

El plugin realizará la búsqueda y te mostrará una vista previa de los resultados. Esto te permite revisar los datos antes de que se cambien permanentemente.

Revisa cuidadosamente los resultados y, una vez que estés satisfecho, haz clic en el botón ‘Reemplazar todo’.

El plugin realizará los cambios en tu base de datos de WordPress y reemplazará todas las URL HTTP con HTTPS.

Para más detalles, consulta esta guía sobre cómo solucionar el error de contenido mixto en WordPress.

Paso 4. Configura una redirección de HTTP a HTTPS en WordPress

Después de cambiar un sitio a HTTPS, uno de los pasos que nunca me salto es configurar una redirección de HTTP a HTTPS. Sin ella, la gente podría seguir llegando a la versión insegura de tu sitio a través de enlaces antiguos o marcadores.

La forma más confiable de crear una redirección es agregando una regla a tu archivo .htaccess.

Aquí está el fragmento que uso en la mayoría de los sitios web de WordPress:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

El archivo .htaccess se encuentra en la carpeta raíz de tu sitio. Es posible que necesites habilitar ‘Mostrar archivos ocultos’ en el administrador de archivos de tu hosting o cliente FTP para verlo.

Para más detalles, consulta esta guía sobre cómo arreglar el archivo .htaccess de WordPress.

Si tu sitio web se ejecuta en Nginx en lugar de Apache, deberás configurar la redirección de manera diferente.

En lugar de editar un archivo .htaccess, deberás actualizar tu configuración de Nginx.

Aquí está el código que agregaría para redirigir todo el tráfico HTTP a HTTPS en Nginx:

server {
    listen 80;
    server_name yoursite.com www.yoursite.com;
    return 301 https://yoursite.com$request_uri;
}

Querrás colocar este bloque encima del bloque del servidor HTTPS existente en el archivo de configuración Nginx de tu sitio, que generalmente se encuentra en /etc/nginx/sites-available/ o /etc/nginx/conf.d/.

Importante: Recuerda reemplazar ‘tudominio.com’ en el código anterior con el nombre real de tu dominio.

Una vez que hayas agregado la redirección, no olvides recargar Nginx para que los cambios surtan efecto:

sudo nginx -s reload

Si no estás seguro de dónde hacer el cambio, es una buena idea contactar a tu proveedor de hosting.

Paso 5. Prueba tu configuración SSL para problemas de seguridad

Después de realizar estos cambios, deberías probar tu sitio web para asegurarte de que todo funcione correctamente.

Puedes usar la Prueba SSL de SSL Labs para verificar tu certificado. Proporciona un análisis técnico profundo y una calificación (de A+ a F) para tu configuración SSL, lo cual es excelente para una revisión exhaustiva.

Otra herramienta alternativa que he usado a menudo es Why No Padlock? Me gusta esta porque ofrece un informe simple y fácil de entender que es perfecto para identificar rápidamente cualquier problema de contenido mixto restante.

Finalmente, intenta visitar tu sitio en modo incógnito. Si aún ves la advertencia de "No seguro", necesitas borrar la caché de tu WordPress o esperar unos minutos a que los cambios surtan efecto.

Preguntas frecuentes sobre SSL y errores de WordPress

¿Cuánto cuesta un certificado SSL?

Si bien algunos proveedores cobran por ellos, puedes obtener un certificado SSL gratuito. La mayoría de las principales empresas de hosting de WordPress incluyen uno gratis con sus planes. También puedes obtener un SSL gratuito de autoridades de certificación sin fines de lucro como Let’s Encrypt.

¿Puedo ignorar la advertencia de 'No seguro' en mi sitio web?

No se recomienda ignorar la advertencia de 'No seguro'. Erosiona la confianza de los visitantes, lo que puede generar tasas de rebote más altas y pérdidas de ventas. Los motores de búsqueda como Google también utilizan HTTPS como señal de clasificación, por lo que no tenerlo puede afectar negativamente tu SEO.

¿Cuánto tiempo se tarda en solucionar la advertencia de 'No seguro'?

Para la mayoría de los sitios de WordPress, puedes solucionar la advertencia de 'No seguro' en menos de 30 minutos. El proceso implica habilitar tu certificado SSL a través de tu proveedor de hosting, actualizar las URL en la configuración de tu WordPress y configurar una redirección. Usar un plugin puede acelerar el proceso de corrección de enlaces HTTP antiguos en tu contenido.

Recursos adicionales para la seguridad de WordPress

Sigo esta guía de seguridad para WordPress en todos los sitios web en los que trabajo. Esta guía paso a paso ofrece un plan de acción sencillo para asegurar correctamente tu sitio web de WordPress.

Los siguientes son algunos recursos adicionales que creo que te resultarán útiles:

• Cómo renovar un certificado SSL (Paso a Paso para principiantes)
• TLS vs SSL: ¿Qué protocolo debes usar para WordPress?
• Consejos de seguridad para comercio electrónico: cómo asegurar tu tienda de WordPress
• Cómo agregar encabezados de seguridad HTTP en WordPress (Guía para principiantes)
• Los errores más comunes de WordPress y cómo solucionarlos

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.