ComplementosGuía para principiantesLa seguridad

¿Cómo hacer que una página sea completamente segura a través de conexiones SSL?

Last updated Nov 10, 2022

Contenido

Si los recursos están alojados en otros dominios

SQL para cambiar la URL de las publicaciones de wordpress

Si está alojando varios sitios web/dominios en la misma dirección IP (VPS o servidor dedicado)

Uso de PHP para redirigir URL no seguras a SSL seguro

URL de doble barra diagonal

reescritura de modificación de URL htaccess

En esta publicación, se muestran las configuraciones necesarias para que un SSL funcione (en el puerto 443) en servidores Ubuntu.

Sin embargo, para algunas páginas (especialmente publicaciones/páginas antiguas), mostrará información ‘no completamente segura’, si está utilizando el navegador Chrome,

ssl-no-tan-seguro

Las causas, como dice, es que la página utiliza algunas conexiones no seguras a archivos de imágenes, css o javascript. Si va a https://www.whynopadlock.com/ (herramienta de verificación de SSL en línea), puede ver las razones detalladas por las que esa página no es completamente segura.

Herramienta de comprobación de SSL

Alternativamente, puede ir a la consola del navegador Chrome y verá las advertencias en detalle.

Detalles SSL/conexiones en la consola del navegador Google Chrome

Si no hacemos que esos recursos image/js/css sean SSL, entonces alguien podría/podría cambiar el aspecto del sitio web, por lo que no tiene sentido usar SSL.

Además, si está utilizando la etiqueta HTML iframe para incluir páginas, también deben usar HTTPS; de lo contrario, la mayoría de los navegadores lo bloquearán debido a posibles riesgos de seguridad.

Además, si tiene formularios que son URLS inseguros (campo de acción ), aún tendrá advertencias. Por ejemplo, debe usar la versión SSL del formulario de búsqueda de Google en lugar de uno que no sea SSL.

Si los recursos están alojados en otros dominios

No hay mucho que hacer si los recursos están alojados en otros dominios. En este caso, podría usar las versiones HTTPS si las proporcionan, pero esto no siempre es posible. Las grandes empresas tienen versiones HTTP y HTTPS, por ejemplo, Google. Si no, puedes descargar una copia y subirla a tu propio FTP y así cambiar la URL, que es segura.

SQL para cambiar la URL de las publicaciones de wordpress

Si está utilizando wordpress, puede usar la siguiente URL para cambiar las URL en la publicación.


UPDATE wp_posts SET post_content = REPLACE (post_content, '

Lo siguiente también cambia el GUID para cada publicación.


UPDATE wp_posts SET guid = REPLACE (guid,  '

Y debe iniciar sesión en el panel de control de wordpress para actualizar la URL del sitio.

configuración del panel de control de wordpress ssl

Alternativamente, puede hacer esto a través de SQL:


UPDATE wp_options SET option_value = replace(option_value, '

Si está alojando varios sitios web/dominios en la misma dirección IP (VPS o servidor dedicado)

Como puede ver en las capturas de pantalla anteriores, si está alojando varios sitios web/dominios en la misma dirección IP y si está utilizando estas imágenes en sus publicaciones, también puede hacer que esos dominios sean seguros (comprando nuevos certificados SSL) o cambiando las URL.

Para el segundo método, puede descargar imágenes/css/js y volver a cargar en el dominio SSL-ed que está utilizando, o puede asignar las URL de recursos que no son SSL a los dominios SSL-ed.

Por ejemplo, puede iniciar sesión en su VPS o servidor dedicado y hacer un enlace simbólico (similar a los accesos directos en Windows).


ln -s  /var/non-ssl-domains/images /var/ssl-domain/images

Luego, puede reemplazar http://non-ssl-domains/images a https://ssl-domain/images usando el SQL anterior.

A veces, los enlaces simbólicos no son seguidos por el servidor Apache y, en este caso, puede, por supuesto, crear enlaces duros en su lugar (sin la opción -s)


ln  /var/non-ssl-domains/images /var/ssl-domain/images

Uso de PHP para redirigir URL no seguras a SSL seguro

La otra solución es crear un archivo PHP basado en los parámetros $_GET de las URL y leer los archivos de recursos de otro dominio, ya que todos están alojados en la misma máquina (VPS o servidor dedicado).


  function hell() {
    header($_SERVER['SERVER_PROTOCOL']. ' 404 Not Found'); 
    die();
  }
  $r = '';
  if (isset($_GET['r'])) {
    $r = trim($_GET['r']);
  }
  if (!strlen($r)) {
    hell();
  }
  $url = '/var/www/codingforspeed.com/images/'.$r;
  if (!is_file($url)) {
    hell();   
  }
  $ext = strtoupper(pathinfo($url, PATHINFO_EXTENSION));
  $type = exif_imagetype($url);
  if (($ext == 'JPG') && ($type == IMAGETYPE_JPEG)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/jpeg");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            $im = imagecreatefromjpeg($url);
            imagejpeg($im);
            imagedestroy($im);
            die();
  }
  else if (($ext == 'GIF') && ($type == IMAGETYPE_GIF)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/gif");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            readfile($url);   
            die(); 
  } 
  else if (($ext == 'PNG') && ($type == IMAGETYPE_PNG)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/png");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            $im = imagecreatefrompng($url);
            imagepng($im);
            imagedestroy($im); 
            die(); 
  }
  else if (($ext == 'BMP') && ($type == IMAGETYPE_BMP)) {
            header('Content-Disposition: inline');
            header("Content-Type: image/bmp");
            header("Content-Length: ". filesize($url));
            header("Content-Transfer-Encoding: binaryn");
            $im = imagecreatefrombmp($url);
            imagebmp($im);
            imagedestroy($im);  
            die();
  }
  else {
    hell();
  }

Guarde el código PHP anterior en su dominio SSL, por ejemplo, https://helloacm.com/ssl y conviértalo en index.php.

Luego, por ejemplo, si la URL no segura anterior es https://codingforspeed.com/images/logo.png, la nueva URL SSL segura es https://helloacm.com/ssl/?rlogo.png

Y, reemplace las URL en consecuencia en wordpress usando el SQL anterior. Estos métodos son un poco temporales ya que si tiene presupuestos, es mejor hacer que todos sus dominios sean SSL.

¡Bienvenido al mundo SSL! Y como recompensa, algunos motores de búsqueda (algoritmos de Google) prefieren páginas SSL sobre HTTP no seguro. Sus páginas SSL tienden a obtener un mejor SEO.

URL de doble barra diagonal

A veces, puede ver que ‘ // helloacm.com/images/logo.png ‘. Las barras diagonales dobles detectarán automáticamente el protocolo de la página actual. Si es HTTP y usará HTTP o si es HTTPS, se accederá a la imagen a través de HTTPS. Puede considerar reemplazar todas las URL por barras diagonales dobles para una mejor compatibilidad, es decir, independientemente del protocolo que esté utilizando, siempre estará en el correcto. ¡Simple como eso!

reescritura de modificación de URL htaccess

Una vez que sus URL SSL estén completamente probadas, debe mover sus URL no seguras anteriores a SSL. Puede hacer esto en .htaccess (reescritura del mod del servidor apache ). Simplemente coloque las siguientes dos líneas en la carpeta raíz de su sitio web, por ejemplo, blog de wordpress.

La redirección 301 le dice al motor de búsqueda que la puntuación de SEO de la URL no segura actual debe transferirse a la de SSL. Ahora, comience a propagar su SSL en lugar del HTTP no seguro.

Fuente de grabación: helloacm.com