sábado, 18 de marzo de 2017

Consigue de manera sencilla que tu blog sea una web segura pasando de HTTP a HTTPS

Google es el gran impulsor de un cambio masivo, que con toda probabilidad hará que millones de páginas adopten HTTPS en los próximos meses y años.

Ya en 2014, Google anunció que la adaptación a navegación desde móviles pasaría a ser un “factor de valoración” de una web en los resultados de búsqueda. Las webs que aprovecharon para adaptar su página a los dispositivos móviles son las que han acertado.

Ahora sucede algo similar: hace días que vienen saltando diferentes avisos desde Google avisando del potenciales problemas para las páginas que no estén bajo protocolo HTTPS. Y como sucedía con las adaptaciones a móviles, veremos a continuación que es interesante y necesario estar bajo HTTPS,


No en vano, Mozilla y Chrome llevan un tiempo haciendo barridos selectivos por la web, poniendo d elos nervios a muchos bloggers y webmasters que no han actualizado a este protocolo seguro y han comenzado a bloquear páginas y blogs que no tienen activado el protocolo HTTPS, es decir, la versión segura de HTTP.

No nos engañemos, Google no lo hace totalmente por nuestra seguridad, lo hace porque con ello va a generar mucho negocio colateral para él mismo y para sus socios comerciales. Lo cierto es que es el que controla y si no cambian las cosas, es el que está comenzando a determinar esta cuestión.

Si no deseas despertarte una mañana con tu web o blog bloqueado con un anuncio como el de la imagen, quizás te interese seguir leyendo este post.


Recientemente me ha pasado en dos webs en las que participo. Después de volverme loco y dar mil vueltas viendo la posible causa utilizando muchas herramientras de comprobación, he llegado a la conclusión de que


  • En el segundo caso, fue únicamente por no tener activado el protocolo HTTPS en el blog. Lo activé y se terminó rápidamente el problema. 
  • En el primero, fue por tener redirigido el blog que si utilizaba este protocolo a un dominio que no lo hacía. 

Si nuestra web ha sido detectada y nos indican que podría contener código malicioso, puede ser debido a las razones anteriores o a que en ella puede encontrarse algún malware introducido a través de un código que proviene de un complemento externo (plugin) o, incluso, por una imagen.
Chrome y Mozilla están aumentando estas detecciones o posibles detecciones. Por un aparte, resulta lógica, pero cada vez más están bloqueando complementos externos de aplicaciones webs que no son de su propiedad. 


Vamos a ver lo sencillo que es (relativamente)  pasar tu blog de Blogger de un protocolo HTTP a otro HTTPS más seguro.


Únicamente tienes que ir a "Configuración" > Lo básico > Redirigir a HTTPS > elegir "Sí".



  • Si tienes activada la opción "Redireccionar a HTTPS", todo el que visite tu blog irá a https://tublog.blogspot.com.  que será una conexión cifrada y, por tanto, más segura.

  • Si tienes desactivada la opción "Redireccionar a HTTPS, los visitantes de http://tublog.blogspot.com accederán a él a través de HTTP, que es una conexión sin cifrar y, por tanto, menos segura (y ya estamos viendo que los navegadores están obligando por la vía de los hechos a seguir a activar este redireccionamiento).  

Advertencia: Si configuras un dominio personalizado redirigiendo tu blog fuera de blogger, se inhabilitará el protocolo HTTPS (es decir, si pasas tu blog de http://tublog.blogspot.com a http://tublog.com). En este caso, debes contratarlo contratarlo con tu empresa de hosting.

Además, debes saber que Google Analytics considera de importancia el que tu web sea segura (HTTPS) y responsive en la navegación para el posicionamiento web.



Qué debemos hacer si aún no estamos bajo HTTPS

* En general, los docentes, si vamos a crear una nueva web o a renovar la que tenemos, debemos hacerlo ya con HTTPS como se señala en el primer punto a continuación. Si tienes un blog de blogger, lo tienes más sencillo: únicamente debes marcar esa opción como se indica en la imagen anterior y tener cuidad con los códigos de objetos que introduzcas.

Si tienes una web profesional, debes optar sí o sí al protocolo HTTPS.

  • Si tenemos previsto renovar próximamente nuestra web, será el momento de hacerlo bajo HTTPS. Y para evitar quedarnos cortos si Google sigue endureciendo su postura al respecto, recomendaríamos hacer toda la web bajo https. Pero lo haremos siendo conscientes de que es un cambio importante, con un coste significativo si queremos implementar todas las medidas necesarias para salvaguardar todo el posicionamiento anterior. Porque resulta que para Google, la web http://www.miweb.com y la web https://www.miweb.com no son la misma. Y tampoco lo son para las redes sociales, perderemos todos nuestros “likes” a la página web que teníamos hasta ahora.
  • Si no tenemos previsto renovar próximamente nuestra web, lo que deberemos hacer dependerá de nuestro caso concreto:
    • No recopilamos contraseñas ni pedimos datos de tarjeta: calma, no hacer nada de momento, y esperar acontecimientos.
    • Pedimos contraseñas pero no datos de tarjeta: normalmente se trata de acceso a aplicaciones para clientes, seguimientos de pedidos y similares: en principio no debería afectarnos mucho, estaremos vigilantes pero sin que nos quite el sueño. Más preocupante será si el aviso salta en formularios de contacto o de pedido, pero en principio si están bien etiquetados, y a partir de lo que Google ha dicho hasta ahora, no debería afectarnos. Vigilar especialmente el caso de la creación de cuentas previa al checkout, porque ahí sí podría llegar a afectarnos (aunque como decíamos antes, a día de hoy Google Chrome Beta 56 no lo está haciendo)
    • Pedimos datos de tarjeta: si pides datos de tarjeta y no estabas ya bajo HTTPS es que eres un inconsciente, estás en riesgo tú y lo están tus clientes, y eso sin necesidad de que Google haya armado todo este revuelo. Corre a informarte y securiza tu web!

Si usas WorPress, te recomiendo ver este artículo de Joan Boluda al respecto:
Si nuestra web o blog ha sido bloqueado por Chrome o Mozilla debemos trata de identificar el posible plugin o complemento que en forma de código hayamos añadido en los últimos tiempos y eliminarlo.

 

Otra opción, si hemos sido precavidos, sería recurrir a una copia de seguridad que de cuando en cuando debemos realizar de nuestra blog o web y restaurarla.

Puedes hacer una copia de seguridad del contenido del blog e importarlo a otro blog. También puedes hacer una copia de seguridad del blog antes de eliminarlo o por seguridad.
Cómo hacer una copia de seguridad del blog:

Cuando haces una copia de seguridad del blog, obtienes un archivo .xml con las entradas y los comentarios:
  1. Inicia sesión en Blogger.
  2. Haz clic en el blog del que quieres hacer una copia de seguridad.
  3. En el menú de la izquierda, haz clic en Configuración Otros.
  4. En la sección "Importar y hacer copia de seguridad", haz clic en "Hacer copia de seguridad del contenido" > Guardar en tu ordenador.
Guardar una copia del tema de tu blog y restablecerlo.
  1. Inicia sesión en Blogger.
  2. Haz clic en el blog que quieras utilizar.
  3. En el menú de la izquierda, haz clic en Tema.
  4. Haz clic en Crear/Restablecer copia de seguridad arriba a la derecha.
  5. Haz clic en Descargar tema.


Muchos problemas de tu página pueden venir ocasionados por la presencia de contenido mixto. Es decir, si a pesar de tener una web con protocolo HTTPS añades contenido externo (objetos, imágenes copiadas, diferentes plugins...) tu web corre el peligor de ser bloqueada, no porque esos contenidos tuvieran algún problema necesariamente, sino porque no cumplen el protocolo HTTPS.

Evitar los errores de contenido mixto en el editor de entradas de Blogger.


Ya te habrás topado con este mensaje de Google cuando has tratado de embeber algún objeto a través de código. Algunos te permite arreglarlos si haces clic en "Reparar", pero muchos se quedan inservibles y terminas por quitarlos. En caso de dejarlos, tu blog o web corren serio peligro de ser bloqueado.

Esta página contiene recursos HTTP. Si el blog se ve a través de HTTPS, pueden darse errores de contenido mixto que afecten a la seguridad y a la experiencia del usuario.
Reparar    Ignorar    Más información
<iframe frameborder="0" src="http://www.rtve.es/drmn/embed/audio/3947817" name="Dia de Pi, los rios, la física cuántica y su aproximación" scrolling="no" style="width:100%;height:37px;position:absolute;left:0;top:0;overflow:hidden;" allowfullscreen><img style="height:20px;width:auto;background: transparent;padding:0;margin:0;" src="http://img.irtve.es/css/rtve.commons/rtve.header.footer/i/logoRTVEes.png">

Puedes saber si hay contenido mixto en tus entradas y páginas con el editor de HTML de Blogger:



  1. Activa el protocolo HTTPS para tu blog.
  2. Para abrir el editor de Blogger, crea o modifica una entrada o una página.
  3. Selecciona Editar.
  4. Selecciona HTML (arriba a la izquierda).
  5. Haz los cambios que quieras.
  6. Arriba a la derecha, selecciona Publicar o Guardar. Si el contenido tiene errores, los verás en la pantalla del editor y la entrada o página no se guardará.
  7. Para manejar los errores, selecciona:
    1. Solucionar: con esta opción se resuelven los errores detectados por el editor y se guarda la entrada.
    2. Ignorar: con esta opción se ignoran todos los errores detectados en esta sesión.
Nota: Si ignoras los errores, puedes guardar la entrada o la página tal cual está. Sin embargo, al actualizarla los errores volverán a aparecer.

Cómo resolver los problemas de contenido mixto en tu blog:

Si activas el protocolo HTTPS para tu blog, es posible que tengas que cambiar sus contenidos para que funcionen con HTTPS.

Los errores de contenido mixto se producen cuando una página web descarga sus contenidos iniciales en HTML de forma segura a través de HTTPS y luego carga los contenidos siguientes (imágenes, vídeos, hojas de estilo, secuencias de comandos) mediante el protocolo no seguro HTTP. Estos errores del navegador reducen la seguridad de HTTPS y empeoran la experiencia de los usuarios de tu blog.


El error de contenido mixto aparece cuando hay contenidos de JavaScript o marcado HTML en:
  • El código fuente del tema.
  • El código fuente de la entrada y de la página.
  • El código fuente del gadget.

Comprobar que tu blog no tenga errores de contenido mixto


Utiliza la versión más reciente de Chrome.
  1. (Opcional) Quita de tu blog todos los gadgets que no sean de Google. 
  2. Ve a tu blog con el navegador mediante HTTPS. 
  3. En la parte superior del navegador, haz clic en Ver > Desarrollador > Consola JavaScript
  4. Busca los mensajes de error de contenido mixto: 
  5. “Mixed Content: The page at 'https://<your-blog>.blogspot.com/' was loaded over HTTPS, but requested an insecure script 'http://<some-url>/script.js'. This request has been blocked; the content must be served over HTTPS.” 
  6. “Mixed Content: The page at 'https://<your-blog>.blogspot.com/' was loaded over HTTPS, but requested an insecure image 'http://<some-url>/image.jpg'. This content should also be served over HTTPS.” 
  7. Haz una lista de la dirección del blog que estés viendo y de todas las URL no seguras citadas en los mensajes de error. 
  8. (Opcional) Vuelve a añadir los gadgets, de uno en uno, a tu blog. Repite los pasos del 2 al 5 y apunta todos los mensajes de error de contenido mixto que aparezcan. 


Abre las páginas de tu blog de una en una, no tengas varias abiertas a la vez. Los mensajes de error solo se muestran para la página que estás viendo, no para el blog entero. Apunta los mensajes de error que veas y fíjate en si las mismas URL problemáticas aparecen en los errores de otras páginas del blog. 

Dos últimos consejos:

1. ¡No practiques el Hot-Linking!


Hacer HotLink consiste en cargar imágenes en tu blog pero desde otro sitio, esta no solo es una práctica penalizada por Blogger y Google sino que además, es una práctica nada recomendable, ya que el blog puede terminar marcado como un sitio que hace las veces de intermediario de un sitio web infectado con malware y tu web bloqueada.

2. Cuando sospeches algo, pasa VirusTotal.

VirusTotal es un servicio gratuito que analiza archivos y URLs sospechosas facilitando la rápida detección de virus, gusanos, troyanos y todo tipo de malware.

Fuentes:
Google.
Cubic factory
Propias
Publicar un comentario en la entrada