Hogar / Auditoría técnica del sitio / Informe de Seguridad del Sitio

Informe de Seguridad del Sitio

Este informe contiene indicadores que afectan la seguridad y que los motores de búsqueda consideran al clasificar un sitio en Google.

Informe de Seguridad del Sitio

Cuando haces clic en el enlace "Descripción", se abrirá una ventana con información sobre estos parámetros y explicará lo que significan.

Informe de Seguridad del Sitio

Estos son algunos de los elementos que revisaremos en nuestro informe de seguridad del sitio:

Certificado SSL

SSL (Secure Sockets Layer) es la tecnología de seguridad estándar para establecer un enlace encriptado entre un servidor web y un navegador. Google ahora usa HTTPS como una señal de clasificación. Los sitios web que usan HTTPS tendrán una ligera ventaja en la clasificación si HTTPS está habilitado.

Válido hasta

Si el certificado SSL ha expirado, emite una advertencia como: "Riesgo de seguridad potencial adelante". Si una persona visita una URL de sitio web "no seguro", será recibida con un mensaje que indica que el sitio no es seguro a través del navegador y que debe abandonar el sitio para mantenerse seguro. Los certificados expirados pueden resultar en una serie de consecuencias negativas para el propietario del sitio web: lo más probable es que muchos clientes potenciales abandonen el sitio debido a estos tipos de mensajes, y por lo tanto, el propietario del sitio probablemente perderá negocios a favor de sus competidores. Si demasiados visitantes del sitio abandonan tu sitio —lo cual es probable en este ejemplo particular— Google inevitablemente degradará tu sitio en los SERPs debido a las malas tasas de rebote y la satisfacción de la intención de consulta.

Certificado autofirmado

Necesitas un Certificado SSL firmado por una CA de confianza para obtener el candado verde y el signo de 'seguro' en Google Chrome. También necesitas esto para obtener el pequeño impulso de clasificación de Google por tener HTTPS. Un certificado autofirmado se puede generar directamente en el servidor web de cualquiera, por lo que no tiene valor para los motores de búsqueda y, por lo tanto, los navegadores mostrarán un error. Los certificados autofirmados no son aceptables ni útiles para sitios públicos porque cada usuario que llegue al sitio verá un aviso que indica que el certificado no es válido debido a que está autofirmado.

¿Cómo solucionar el problema?

Estos certificados no son aceptados por los motores de búsqueda, lo que significa que cuando un usuario ingrese a tu sitio verá una notificación que indica que el sitio puede ser peligroso. También pueden perjudicar tus esfuerzos de SEO ya que:

  1. Los usuarios abandonarán las páginas potencialmente peligrosas.
  2. Los motores de búsqueda degradarán las páginas que no son seguras. Los certificados autofirmados solo deben usarse en la fase de desarrollo de un sitio.

Para solucionar el problema necesitas un certificado SSL firmado por una CA de confianza. Esto te dará el candado verde y el signo de seguro en Google, así como la oportunidad de usar HTTPS. Hay múltiples compañías disponibles en línea que ofrecen el certificado firmado por una CA.

El dominio está listado en el certificado

Los certificados SSL son para un dominio específico. No se pueden usar para otros dominios. El navegador advertirá a los visitantes si se usa en múltiples sitios e informará al usuario que dicho sitio es peligroso. Esto aumentará la tasa de rebote del sitio. Los motores de búsqueda también verificarán el certificado, y si notan que se está usando un certificado SSL sin que el nombre de dominio esté listado, es probable que degraden el sitio hasta que se solucione el problema.

¿Cómo solucionar el problema?

Un certificado SSL solo se puede usar para un dominio específico, por lo tanto, es importante que el dominio esté listado en el certificado SSL, de lo contrario, tu sitio puede ser listado como 'peligroso' afectando la clasificación, las tasas de rebote, etc.

Para solucionar esto, simplemente ingresa el nombre de dominio en el certificado SSL. Ya sea contactando al desarrollador/compañía que hizo esto por ti o haciéndolo tú mismo. Si usas una empresa de terceros como GoDaddy, normalmente te darán pasos sobre cómo hacerlo a través de su panel de control.

Certificado de confianza

Si un certificado SSL no está confirmado por el centro de registro, el navegador mostrará una marca sobre el peligro del sitio y esto probablemente ahuyentará a los usuarios. Los motores de búsqueda también verifican el certificado, y si surge un problema al hacerlo, el sitio web perderá su posición en los resultados de búsqueda rápidamente, ya que será visto como 'no confiable'.

¿Cómo solucionar el problema?

Si un certificado SSL no es de confianza, esto generalmente significa que no ha sido validado por el centro de registro, o no has usado una autoridad certificadora (CA) de confianza. Esto afectará nuevamente la clasificación de tu sitio ya que aparecerá el signo de 'peligro' para tu sitio, causando que los usuarios abandonen la página y una degradación en las clasificaciones.

Para solucionar esto:

  • Asegúrate de estar usando una autoridad certificadora de confianza.
  • Si la instalación no se completó correctamente, repítela, o pide a la empresa que lo hizo, que la repita.
  • Asegúrate de que el certificado no haya expirado. Si ha expirado, necesitarás comprar un nuevo certificado SSL.

Redirección 301 de HTTP a HTTPS

No tiene sentido pagar por SSL si los motores de búsqueda y los usuarios aún visitan el sitio a través de HTTP. Necesitas redirigir todo tu tráfico a través de una redirección 301 en .htaccess desde la versión HTTP de tu sitio (no protegida y no encriptada) a la versión HTTPS de tu sitio web (protegida y encriptada).

Mostrar el puerto 443 en la URL

Si tu servidor está configurado incorrectamente, el puerto 443 puede aparecer en la URL. Esto no se ve bien para los usuarios y puede confundirlos sobre el nombre de tu marca y cómo acceder a tu sitio. Un ejemplo de esto sería https://example.com:443, lo cual es confuso y no se ve tan 'limpio' como https://example.com.

¿Cómo solucionar el problema?

Si el puerto 443 aparece en tu URL, esto indica que tu servidor ha sido configurado incorrectamente, lo que significa que se mostrará una URL incorrecta. Por ejemplo, en lugar de example.com vemos example.com:443. Esto puede confundir a los usuarios y hacerles creer que este código de error es parte de tu URL.

Para solucionar esto:

Agrega el siguiente código a nginx.conf en la sección HTTP:

http { ... proxy_redirect ~^http://([^:]+):443(/.+)$ https://$1$2; ... }

Esto anulará cualquier solicitud de encabezado de ubicación que coincida con la expresión regular en el puerto 443, con el esquema correcto.

Lee más aquí: (enlace: https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_redirect)

Una vez completado, asegúrate de reiniciar nginx para ver los cambios.

Tu dirección IP ha sido incluida en la lista negra

Las bases de datos RBL / DNSBL son listas negras de direcciones IP que se usan comúnmente para participar en tácticas de spam. Un sitio puede ser incluido en la lista negra después de recibir múltiples quejas de spam. Si usas alojamiento compartido con una dirección IP compartida, entonces tu dirección IP podría ser incluida en la lista negra debido a otros spammers maliciosos en tu alojamiento compartido que usan esa dirección IP. Las direcciones IP en la lista negra no son confiables a los ojos de los motores de búsqueda y los servidores de correo pueden marcar los mensajes de correo electrónico entrantes de tu dominio como "spam" o incluso bloquearlos por completo. No quieres que tu IP sea incluida en la lista negra, y si lo es, necesitas arreglar una nueva dirección IP dedicada de tu proveedor de alojamiento.

¿Cómo solucionar el problema?

Si compartes una dirección IP en un alojamiento compartido con otro sitio web que ha estado usando tácticas de spam, existe el riesgo de que tu sitio también sea incluido en la lista negra. Las RBL/DNSBL son bases de datos que contienen direcciones IP en la lista negra. Estar en la lista negra afectará tu capacidad para aparecer en las clasificaciones. Para solucionar esto, necesitarás arreglar una nueva dirección IP dedicada de tu proveedor de alojamiento.

Páginas con <frame>/<iframe>

El elemento HTML <iframe> representa un contexto de navegación anidado, incrustando otra página HTML en la actual. El elemento <iframe> puede ser un riesgo de seguridad si un sitio hostil se incrusta dentro de un iframe en tu sitio también. Si alguien compromete un sitio que está en un iframe, entonces puede comprometer la integridad de tu sitio. Un hacker malicioso puede usar un iframe para explotar un sitio vulnerable a través de CSRF. Y los iframes pueden ser usados por atacantes en un "ataque de redirección de interfaz de usuario". Por lo tanto, necesitas prestar atención al agregar un iframe de un sitio no confiable.