Partes de esta pagina no son seguras como imagenes

Sólo partes de su sitio están usando https

He instalado el certificado ssl de let’s encrypt, pero mi página de inicio de wordpress tiene un mensaje “Los atacantes podrían ser capaces de ver las imágenes que estás viendo en este sitio y engañarte modificándolas”.

El envío de imágenes a través del protocolo http es lo que desencadena este problema. Utilizar cualquier contenido de una cdn que no utilice https también desencadenará este problema. Esta cita lo explica de forma bastante sencilla (el candado amarillo / aviso de contenido/imágenes no encriptadas):

Comprobar los problemas en la consola de inspección de chrome/opera (ctrl+shift+C) también es una gran idea: yo había configurado todo correctamente y el problema era la imagen del pie de página, no es algo que se compruebe muy a menudo buscando esta solución. He aplicado SSL a muchos sitios web, a veces el problema es un simple enlace y este método ayuda a encontrarlo.

En mi caso, he visto la fuente de la página, haciendo clic con el botón derecho del ratón en la página en el navegador Chrome y buscando la referencia de la url de las imágenes que todavía estaban mostrando http. Yo estaba usando una cabecera deslizante y esas imágenes estaban mostrando http. Así que todo lo que hice fue ir a la cabecera deslizante en el menú de apariencia del wordpress, y volver a asignar cada una de la imagen deslizante de cabecera para cada marco. Volví a comprobar la página de inicio y ahora las urls de las imágenes mostraban https. Bingo el símbolo del candado seguro volvió.

El contenido mixto carga todos los recursos a través de https para mejorar la seguridad de su sitio

Los sitios web utilizan certificados SSL/TLS para asegurar el tráfico y proteger los datos del usuario. Los navegadores muestran un pequeño icono de “candado” para informar a los usuarios sobre la validez de estos certificados. En algunos sitios, es posible que aparezca esta advertencia al hacer clic en este icono de “candado”: “Algunas partes de esta página no son seguras (como las imágenes)”. Buenas noticias. ¡Es fácil solucionarlo!

La situación óptima es ver un icono de “candado” verde cuando visitas un sitio web. El icono verde significa que la conexión es segura. Sin embargo, es posible que veas un icono amarillo o gris dependiendo del navegador que utilices. Estos son algunos de los ejemplos:

Contenido mixto: la página en fue cargada sobre https, pero solicitó un recurso inseguro

¿Cuál es la manera más eficiente de encontrar una lista de todas las URL no HTTPS solicitadas por una página HTTPS? Si este tipo de violación de seguridad ocurre, todos los navegadores alertan al usuario, pero no puedo encontrar una manera fácil de encontrar qué URLs exactas causan la violación.

La forma más fácil que he encontrado hasta ahora es usar Firefox, pero incluso así no es muy conveniente. En primer lugar, puedo hacer clic con el botón derecho del ratón, seleccionar Ver información de la página, hacer clic en la pestaña Medios y desplazarme por una lista de URLs. Sin embargo, parece que esto sólo lista los archivos de imagen, no los CSS o JS que también pueden causar el error. Para esos, tengo que usar la extensión Firebug, seleccionar la pestaña Red y pasar manualmente el ratón por encima de cada elemento para ver la URL completa. Desafortunadamente, esto puede llevar un tiempo si tienes docenas de archivos multimedia. ¿Hay alguna forma mejor?

Si eres el dueño del sitio web, deberías mirar las opciones de la cabecera Content-Security-Policy. Éstas pueden incluir forzar HTTPS en los recursos, o intentar redirigir automáticamente los recursos HTTP a HTTPS, entre otras cosas.

En particular, también hay una directiva report-uri para la cabecera Content-Security-Policy-Report-Only, estrechamente relacionada, que informa de cualquier infracción de su CSP a una uri de su elección. Esto significa que cualquier navegador con soporte1 para report-uri le enviará informes de las páginas de su sitio con HTTPS problemático de forma continua. La Red de Desarrolladores de Mozilla tiene un ejemplo de PHP para manejar los informes.

Imágenes https de wordpress

Para los usuarios de wordpress que no pueden encontrar ningún ‘http:’ en la fuente de la página comprueba si tienes un favicon configurado. WordPress utilizará por defecto su icono W (w-logo-blue.png) y he tenido un par de sitios que siguen sirviéndolo desde http incluso después de convertirlo completamente a ssl.

Firefox arroja un error cuando tienes contenido activo mixto. Esto es tener una combinación de peticiones HTTP y HTTPs; es un problema de seguridad ya que deja espacio para el ataque del hombre en el medio – interceptando las peticiones de contenido HTTP con peticiones maliciosas o no deseadas.