Cómo solucionar errores de contenido mixto en WordPress (Guía paso a paso)

Puntos clave

• Los errores de contenido mixto se producen cuando las páginas HTTPS cargan uno o más recursos a través de HTTP.
• La consola del navegador es la forma más fiable de identificar el archivo exacto que causa la advertencia.
• Las correcciones pueden implicar la actualización de las URL del contenido, el ajuste de plugins o temas, o la aplicación de redireccionamientos HTTPS.
• Resolver el contenido mixto en el origen evita las advertencias recurrentes tras actualizaciones o migraciones.

Espera un cierre seguro una vez que el SSL esté activado. Ese suele ser el momento en que todo debería estar terminado.

En su lugar, el navegador muestra una advertencia.

La página se carga, pero algo no va bien. Puede que aparezcan imágenes. Los formularios pueden seguir funcionando. Sin embargo, Chrome dice que la conexión no es totalmente segura.

Esta situación es común en los sitios de WordPress. Muchos propietarios de sitios se dan cuenta después de activar HTTPS o de mover una instalación de WordPress. Otros se encuentran con ello más tarde, tras una actualización rutinaria que no parecía relacionada con la seguridad.

La razón es el contenido mixto.

WordPress está cargando una página segura mientras sigue solicitando uno o más archivos a través de HTTP. Una sola imagen, script o incrustación es suficiente para activar la advertencia, incluso cuando todo lo demás parece correcto.

Este artículo se centra en el contenido mixto de WordPress y en cómo resolverlo sin correcciones de prueba ni plugins de WordPress innecesarios.

Verás cómo identificar el recurso exacto que causa el problema, por qué los navegadores lo marcan de forma tan agresiva y cómo limpiar el sitio de forma que se mantenga tras futuras actualizaciones.

¿Qué es un error de contenido mixto en WordPress?

Este problema suele aparecer cuando todo parece ir bien, pero el navegador no está de acuerdo.

La página se carga y el sitio funciona, pero Chrome se niega a mostrar el icono del candado. Esto ocurre porque algo en la página todavía se está extrayendo de una dirección antigua y no segura. Puede ser una sola imagen, un script añadido hace tiempo o un archivo procedente de un plugin o tema que nunca se actualizó.

Incluso un archivo HTTP sobrante es suficiente para activar la advertencia.

No se trata de que tu sitio esté roto o pirateado.
Se trata de cómo se escriben y cargan las URL específicas.

En WordPress, esto suele deberse a contenido que se añadió antes de que se activara SSL o a contenido que nunca se actualizó después del cambio.

Las causas más frecuentes son:

• Una imagen subida anteriormente que todavía utiliza un enlace http://
• Un plugin que inserta scripts con una URL HTTP codificada
• Un archivo de tema que hace referencia a estilos o fuentes sin HTTPS
• Un recurso incrustado o de terceros que no se carga de forma segura

El detalle importante es dónde reside el problema.

En la mayoría de los casos, el certificado SSL ya funciona. El problema está en el contenido de la página, en los archivos del tema o en la salida del plugin. Por eso, reinstalar SSL o forzar redireccionamientos a menudo no hace nada para eliminar la advertencia.

Desde la perspectiva del navegador, basta un solo archivo inseguro para que aparezca el mensaje. Desde la perspectiva de WordPress, no parece que haya nada mal.

Ese vacío es lo que hace que los errores de contenido mixto sean frustrantes y fáciles de pasar por alto.

Cómo identificar errores de contenido mixto en WordPress

Encontrar un problema de contenido mixto suele ser la parte que desconcierta a la gente.

El aviso del navegador no apunta a un ajuste o archivo específico. Simplemente aparece y bloquea el icono del candado. Desde fuera, todo parece normal, lo que hace que no esté claro por dónde empezar.

La respuesta no está dentro de WordPress. Está dentro del navegador.

Comprobar la página en Chrome

Abre la página que muestra el aviso.
Haz clic con el botón derecho en cualquier parte de la página y selecciona Inspeccionar.

Se abrirá un panel en el lateral o en la parte inferior de la pantalla. Pulsa en la pestaña Consola y vuelve a cargar la página.

Si algo se está cargando de forma insegura, Chrome lo lista allí. Verás la ruta exacta del archivo, que suele empezar por http://, junto con el tipo de recurso que se está cargando.

Esa línea te dice exactamente a qué se opone el navegador.

📝 Nota: Chrome puede actualizar automáticamente algunas peticiones HTTP a HTTPS. Aunque las actualice, la Consola sigue mostrando la URL insegura original que causó la advertencia.

Por qué algunas advertencias tienen un aspecto diferente

No todos los contenidos mixtos se comportan igual.

A menudo se permite la carga de imágenes, aunque procedan de una dirección insegura. Los scripts y las hojas de estilo se tratan de forma más estricta. Cuando están implicados, es más probable que los navegadores muestren una advertencia clara o bloqueen partes de la página.

Esta diferencia explica por qué un sitio puede parecer correcto y, sin embargo, estar marcado.

Por qué WordPress no saca esto a la superficie por sí mismo

WordPress no te avisa cuando existe contenido mixto.

Desde dentro de WordPress, no hay señales evidentes de que algo vaya mal. Las páginas se cargan, el contenido se publica y el panel de control se comporta como se espera.

La advertencia suele aparecer en otro lugar. Una actualización del navegador lo hace más visible, o un visitante duda tras ver el mensaje en la barra de direcciones.

En el momento en que la consola del navegador muestra qué archivo se está cargando a través de HTTP, la situación cambia. Se acaban las conjeturas y se aclara el origen del problema.

Causas comunes de contenido mixto en WordPress

Una vez que el navegador apunta a un archivo inseguro, empiezan a surgir patrones. Los problemas de contenido mixto en WordPress suelen proceder de un pequeño conjunto de lugares.

Imágenes añadidas antes de HTTPS

Las imágenes antiguas son la causa más frecuente.

Se cargaron cuando el sitio aún funcionaba con HTTP, y sus URL se guardaron así. Activar SSL más tarde no actualiza esos enlaces automáticamente.

Enlaces codificados en entradas o páginas

Algunos enlaces se añaden manualmente. Los bloques HTML personalizados, los botones o las incrustaciones suelen utilizar URL completas. Si esas URL empiezan por http://, el navegador marca la página.

Plugins que cargan activos a través de HTTP

Los plugins pueden introducir archivos inseguros sin hacerlo evidente.

Un script, una fuente o un archivo de seguimiento pueden proceder de una dirección que nunca cambió a HTTPS. Todo lo demás puede parecer correcto mientras que la salida del plugin causa la advertencia.

Archivos temáticos que hacen referencia a recursos inseguros

Los temas pueden ser otra fuente.

Los archivos de diseño a veces llaman a imágenes, fuentes o estilos utilizando enlaces antiguos que nunca se actualizaron después de activar SSL.

Incrustaciones de terceros y servicios externos

El contenido externo añade otra capa de riesgo.

Los widgets, anuncios o incrustaciones extraídos de servicios externos pueden no cargarse de forma segura, incluso cuando tu propio sitio esté configurado correctamente.

Por qué es fácil pasar por alto estas cuestiones

El contenido mixto rara vez rompe una página. El sitio se carga, los diseños se mantienen y el panel de control de WordPress no muestra errores. Nada dentro de WordPress apunta al problema.

El navegador es donde finalmente se hace visible. Una vez identificado el archivo inseguro, la solución pasa a ser deliberada en lugar de experimental.

Cómo solucionar errores de contenido mixto en WordPress

Arreglar el contenido mixto empieza por comprender dónde reside el enlace inseguro. La solución depende de si el problema está en el contenido de la página, en un plugin, en un archivo de tema o en la configuración del servidor.

No hay un único interruptor que sirva para todos los casos. La mayoría de los sitios sólo necesitan uno o dos ajustes.

Empieza con correcciones a nivel de contenido

El contenido mixto suele proceder de URL guardadas dentro de entradas, páginas o widgets. Estos enlaces normalmente se añadieron antes de que se activara SSL y nunca se actualizaron después.

Esto se aplica a:

• Imágenes insertadas usando URLs antiguas
• Botones o incrustaciones añadidos mediante HTML personalizado
• Enlaces copiados de fuentes externas

Cuando sólo se ven afectadas unas pocas URL, basta con editar directamente el contenido. Para sitios más grandes, funciona mejor una búsqueda y sustitución controlada.

Una herramienta de buscar y reemplazar te permite actualizar:

• Antiguos enlaces http://
• En entradas, páginas y metadatos
• Sin editar manualmente cada página

Previsualiza siempre primero los cambios. Una vez aplicados, borra las cachés y vuelve a cargar las páginas afectadas en el navegador.

Para correcciones permanentes en toda la base de datos, consulta Cómo arreglar contenido mixto actualizando las URL en WordPress.

Utiliza un plugin cuando los enlaces estén esparcidos por todas partes

Los plugins ayudan cuando las URL inseguras están dispersas por el sitio y son difíciles de rastrear individualmente. Funcionan reescribiendo los enlaces mientras se carga la página.

Este enfoque ayuda cuando:

• Varias páginas muestran la advertencia
• Las URL están enterradas en contenidos antiguos
• La fuente no es obvia a primera vista

Empieza con la opción menos agresiva. Deja que el plugin corrija los scripts, estilos y archivos multimedia sin tocar el contenido de la base de datos. Si la advertencia persiste, aumenta el nivel de corrección gradualmente.

Los plugins solucionan muchos casos, pero no lo arreglan todo. Si el navegador sigue apuntando al mismo archivo, es probable que la fuente se encuentre fuera del contenido normal.

Si quieres los pasos exactos del plugin, consulta Cómo solucionar errores de contenido mixto utilizando un plugin.

Imponer HTTPS a nivel de servidor

Incluso con SSL activo, pueden seguir existiendo versiones HTTP de las páginas. Si los visitantes llegan primero a esas versiones, el navegador puede marcar la página antes de que las redirecciones surtan efecto.

Para evitarlo:

• Forzar todo el tráfico a HTTPS
• Redirigir peticiones HTTP permanentemente

Esto se gestiona a nivel de servidor, no dentro de WordPress. Una vez aplicado, los navegadores dejan de solicitar versiones inseguras de tus páginas.

Para el contexto del lado del servidor, consulta Forzar HTTPS a nivel de servidor.

Comprueba los archivos de temas y plugins

Si la consola del navegador apunta a un archivo de tema o de plugin, reescribir las URL puede no ayudar. En esos casos, el enlace inseguro está codificado.

Esto suele implicar:

• Hojas de estilo que cargan fuentes a través de HTTP
• Imágenes de fondo referenciadas con URL antiguas
• Scripts añadidos directamente dentro de los archivos del tema

Actualizar el tema o el plugin suele resolver el problema. Si no es así, sustituir el componente es más seguro que forzar una solución.

Para una limpieza más profunda de temas/plugins, consulta: Arreglar contenido mixto causado por temas y plugins.

Revisar los recursos externos

Algunos contenidos mixtos no proceden en absoluto de tu sitio. Los anuncios, las incrustaciones y los widgets de terceros pueden introducir archivos inseguros.

Si un recurso externo no admite HTTPS, no hay una solución limpia. Eliminarlo o sustituirlo suele ser la única forma de borrar la advertencia por completo.

Verifica el arreglo en el navegador

Tras aplicar los cambios, confirma siempre el resultado en el que apareció el problema en primer lugar.

Vuelve a cargar la página con la consola del navegador abierta y compruébalo:

• No aparece ningún archivo http://
• El icono del candado aparece constantemente
• Los formularios y el contenido incrustado se cargan normalmente

Prueba más de una página, especialmente las que contengan imágenes, scripts o formularios.

Cuando el navegador deja de marcar la página, el problema está resuelto. Puede que WordPress nunca reconozca el problema, pero el navegador siempre lo hace.

Cómo solucionar errores de contenido mixto con un plugin

En muchos sitios WordPress, el contenido mixto vive dentro de entradas, páginas o widgets. En esos casos, un plugin puede resolver el problema sin tocar el código ni los archivos del servidor.

Este enfoque funciona mejor cuando:

• Las URL inseguras se almacenan en el contenido o en la base de datos
• El sitio ha pasado de HTTP a HTTPS
• Las imágenes o incrustaciones se añadieron antes de activar SSL

Cuando un plugin tiene sentido

Un plugin ayuda cuando el problema es generalizado pero constante. En lugar de arreglar los enlaces uno a uno, actualiza la forma en que WordPress genera las URL en todo el sitio.

Se suelen utilizar dos plugins:

• Solucionador de Contenidos Inseguros SSL
• SSL realmente sencillo

Ambos se centran en reescribir las URL inseguras en tiempo de ejecución, lo que significa que el contenido original permanece intacto.

Utilizar el Reparador de Contenido Inseguro SSL

Después de instalar y activar el plugin:

• Abre Configuración → Contenido Inseguro SSL

• Empieza con el nivel de arreglo Simple

• Vuelve a cargar la página afectada y comprueba de nuevo el navegador

En muchos casos, la advertencia desaparece en esta fase. Si no lo hace, pueden probarse cuidadosamente niveles de fijación más altos.

Los niveles más altos escanean de forma más agresiva, lo que puede afectar al rendimiento. Sube sólo si persiste la advertencia.

Limitaciones importantes que hay que comprender

Los plugins no lo arreglan todo.

No pueden:

• Actualiza las URLs codificadas en los archivos del tema
• Corrige los recursos de terceros que no soportan HTTPS
• Corrige los problemas de redirección a nivel de servidor

Si la consola del navegador sigue mostrando archivos inseguros después de utilizar un complemento, es probable que el origen esté fuera del contenido habitual.

Es entonces cuando se hace necesaria una reparación manual, de la que trata la siguiente sección.

Cómo arreglar contenido mixto actualizando las URL en WordPress

Cuando un plugin no borra la advertencia, las URL inseguras suelen almacenarse directamente en el contenido o la base de datos del sitio. Esto es habitual en sitios que cambiaron a HTTPS después de publicar páginas, subir archivos multimedia o instalar temas.

En esta fase, el objetivo es sencillo. Sustituir los antiguos enlaces http:// por https://, donde viven realmente.

Empieza con la configuración de WordPress

Antes de tocar el contenido, confirma lo básico:

• Abre Ajustes → General

• Comprueba la dirección de WordPress (URL) y la dirección del sitio (URL)
• Ambos deben utilizar https://

Si siguen apuntando a HTTP, el contenido mixto seguirá apareciendo independientemente de lo que arregles.

Actualizar enlaces almacenados en el contenido

Muchos problemas de contenido mixto provienen de imágenes y enlaces guardados dentro de entradas, páginas o widgets.

Cuando sólo están afectados unos pocos archivos:

• Edita la página o el post
• Sustituye manualmente la URL insegura
• Guarda y recarga la página

Cuando el problema aparece en muchas páginas, las ediciones manuales dejan de ser prácticas.

Usar Buscar y reemplazar para correcciones masivas

Una herramienta de búsqueda y sustitución actualiza las URL directamente en la base de datos.

Antes de hacerlo:

• Crear una copia de seguridad completa
• Haz primero una prueba en seco

El enfoque típico:

• Busca en http://yourdomain.com
• Sustitúyelo por https://yourdomain.com
• Aplica los cambios sólo después de revisar la vista previa

Este paso borra la mayoría de las URL heredadas que quedan después de activar SSL.

Por qué corregir las URL en origen evita futuras advertencias

Los plugins reescriben las URL a medida que se cargan las páginas. Buscar y reemplazar corrige la propia fuente.

Una vez que la base de datos utiliza enlaces seguros, quedan menos piezas móviles. Eso reduce las advertencias futuras y facilita la resolución de problemas.

Si la consola del navegador sigue marcando archivos inseguros después de este paso, es probable que el problema proceda de archivos de temas, plugins o servicios externos. Ahí es donde se centra la siguiente sección.

Arreglar contenido mezclado causado por temas y plugins

Cuando queda contenido mezclado tras actualizar el contenido y los enlaces de la base de datos, el origen suele ser más profundo. Los temas y los plugins pueden cargar archivos que nunca pasan por el editor de WordPress.

Estos archivos suelen incluir:

• Hojas de estilo
• Archivos JavaScript
• Fuentes
• Imágenes de fondo

Como viven en el código, los plugins no siempre pueden reescribirlos.

Comprueba primero los archivos del tema

Los temas pueden hacer referencia a activos utilizando URLs codificadas.

Lugares comunes donde buscar:

• estilo.css
• funciones.php
• Archivos de cabecera o pie de página
• CSS personalizado añadido a través del panel del tema

Cualquier referencia que empiece por http:// debe actualizarse a https:// o cambiarse a una ruta relativa.

Cuidado con los scripts insertados en plugins

Algunos plugins cargan scripts externos directamente.

Algunos ejemplos son:

• Herramientas analíticas
• Bibliotecas de fuentes
• Deslizadores e incrustaciones multimedia
• Plugins antiguos de marketing o seguimiento

Si la consola del navegador apunta a un archivo plugin o a un dominio externo, compruébalo:

• Configuración del plugin para las opciones HTTPS
• Actualizaciones de plugins o changelogs
• Documentación de apoyo a la carga segura

Si un plugin no puede cargar sus activos de forma segura, sustituirlo suele ser más seguro que forzar una solución.

Cuando la causa son los servicios externos

Las incrustaciones de terceros a veces no son totalmente compatibles con HTTPS.

Esto incluye

• Videos antiguos
• Widgets heredados
• Imágenes externas alojadas en otro lugar

En esos casos, la única solución fiable es eliminar o sustituir el recurso.

Por qué persisten los problemas con temas y plugins tras las migraciones

Los problemas de temas y plugins no aparecen en el editor de WordPress. También sobreviven a las migraciones y actualizaciones de contenido.

Una vez corregidos, el aviso del navegador suele desaparecer para siempre.

Si el contenido mixto sigue apareciendo después de esta limpieza, el problema restante suele estar a nivel del servidor o de la redirección. La siguiente sección trata de ello.

Forzar HTTPS a nivel de servidor

Después de limpiar el contenido, los temas y los plugins, pueden seguir apareciendo advertencias de contenido mixto si el sitio permite el acceso a través de HTTP. Cuando existen ambas versiones, los navegadores pueden acceder primero a la insegura.

No es un problema de WordPress. Se sitúa a nivel del servidor.

Por qué importan los redireccionamientos

Un certificado SSL válido no detiene el tráfico HTTP por sí solo.

Si un visitante, bot o marcador antiguo solicita la versión HTTP, el navegador puede marcar la conexión antes de que llegue a HTTPS.

Una redirección adecuada elimina ese punto de entrada.

Cómo es una configuración correcta

• Todas las peticiones HTTP se redirigen a HTTPS
• La redirección se produce antes de que se cargue la página
• Sólo existe una versión canónica del sitio web

Cuando esto está en su sitio, los navegadores dejan de ver señales contradictorias.

Configuración de Apache y Nginx

En los servidores Apache, las redirecciones suelen gestionarse a través del archivo.htaccess.

En Nginx, viven dentro de la configuración del servidor.

El objetivo es el mismo en ambos casos:

• Detectar peticiones HTTP
• Redirigirlos permanentemente a HTTPS

Una vez aplicado, vuelve a cargar la página afectada y comprueba de nuevo la barra de direcciones.

Consideraciones sobre CDN y proxy

Si delante del servidor se encuentra una CDN o un proxy inverso, puede ser necesario aplicar allí las redirecciones.

Ejemplos comunes:

• Cloudflare
• Balanceadores de carga
• Plataformas de alojamiento gestionadas

En estas configuraciones, forzar HTTPS tanto a nivel de CDN como de origen evita conflictos.

Por qué este paso cierra el bucle

La mayoría de las correcciones de contenido mixto se ocupan de lo que se carga en la página. Las redirecciones controlan cómo se llega a la página en primer lugar.

Cuando ambos están alineados, los navegadores dejan de emitir advertencias y el candado seguro aparece de forma consistente.

Si la advertencia sigue apareciendo después de este paso, la comprobación final es ambiental. Eso lo veremos a continuación.

Comprueba las causas a nivel medioambiental

Cuando aparecen advertencias de contenido mixto incluso después de arreglar el contenido, los temas, los plugins y las redirecciones, el problema suele ser local. En estos casos, el sitio en sí puede estar bien, pero el entorno del navegador introduce la advertencia.

Fecha u hora del sistema incorrecta

Los certificados SSL dependen de comprobaciones horarias precisas.

Si el reloj del dispositivo está apagado:

• Los certificados pueden aparecer caducados
• Las conexiones seguras pueden fallar en la validación

Esto es más frecuente en:

• Nuevos dispositivos
• Sistemas que se despiertan de un largo sueño
• Máquinas con la sincronización horaria desactivada

Corregir la hora del sistema puede borrar la advertencia al instante.

Interferencia del software antivirus o de seguridad

Algunas herramientas antivirus inspeccionan el tráfico HTTPS inyectando sus propios certificados.

Cuando ese proceso se rompe:

• Puede que Chrome ya no confíe en la conexión
• Las páginas seguras aparecen como no seguras

Desactivar temporalmente el escaneo HTTPS o revisar la configuración de los certificados puede confirmar si ésta es la causa.

Wi-Fi público y portales cautivos

Las redes públicas suelen interceptar el tráfico antes de permitir el acceso completo.

Hasta que se acepte la página de inicio de sesión o de acceso:

• Las peticiones HTTPS pueden fallar
• Pueden aparecer advertencias de contenido mixto o de certificado

Esto es habitual en:

• Aeropuertos
• Hoteles
• Cafés
• Redes de invitados

Cambiar de red o completar el paso de acceso suele resolverlo.

Sistemas operativos obsoletos

Los sistemas antiguos pueden no reconocer las autoridades de certificación modernas.

Cuando el navegador no puede validar la cadena del certificado, marca la conexión aunque el sitio esté configurado correctamente.

Actualizar el SO o probar en un dispositivo más nuevo ayuda a confirmarlo rápidamente.

Por qué los problemas del entorno pueden parecerse a los del emplazamiento

Los problemas medioambientales pueden imitar los problemas a nivel de emplazamiento.

Antes de rehacer una configuración que ya parece correcta, descartarlas ahorra tiempo y evita cambios innecesarios.

Una vez que desaparezca la advertencia en todos los dispositivos y redes, la corrección se habrá completado.

Lista de comprobación final para eliminar los errores de contenido mixto de WordPress

Utiliza esta lista de comprobación para confirmar que no se ha pasado nada por alto. Cada elemento debe poder verificarse en el navegador, no sólo dentro de WordPress.

• El certificado SSL está activo y es válido
  El certificado coincide con el dominio y no ha caducado.
• Las URL de WordPress utilizan HTTPS
  Tanto la Dirección de WordPress como la Dirección del Sitio están configuradas como HTTPS.
• Se actualizan las URL de los contenidos
  Las imágenes, enlaces e incrustaciones ya no hacen referencia a HTTP.
• Los temas y plugins cargan activos de forma segura
  No quedan archivos HTTP codificados en el código de los temas o plugins.
• Los recursos de terceros admiten HTTPS
  Los scripts, fuentes e incrustaciones externos se cargan de forma segura o se sustituyen.
• El tráfico HTTP se redirige a HTTPS
  Las solicitudes nunca llegan a la versión insegura del sitio.
• La consola del navegador no muestra advertencias de contenido mixto
  La pestaña de la Consola se borra después de recargar toda la página.
• El icono del candado aparece siempre
  Prueba varias páginas, especialmente formularios y pantallas de inicio de sesión.

Si todo lo anterior es correcto, la advertencia de contenido mixto debería desaparecer para siempre.