Inici/ Blog/ HTTP vs HTTPS
Educació

Per què el cadenat verd
de la teva web no impedeix
que et hackejin

18 maig 2026 · 5 min de lectura Educació

"La meva web té el cadenat, així que és segura." És una frase que escoltem amb freqüència — i és incorrecta. El cadenat verd (HTTPS) protegeix una cosa molt concreta, i deixa moltes altres completament sense protecció. T'expliquem exactament què és cada cosa.

Què és HTTP i què és HTTPS?

HTTP (HyperText Transfer Protocol) és el protocol que usen els navegadors per comunicar-se amb els servidors web. Quan visites una web, el teu navegador li diu al servidor "dona'm aquesta pàgina" i el servidor respon amb el contingut. Tot això viatja en text pla — qualsevol que estigui a la mateixa xarxa pot llegir-ho.

HTTPS és exactament el mateix, però amb una capa de xifrat al damunt (TLS, abans anomenat SSL). Aquest xifrat garanteix que la comunicació entre el teu navegador i el servidor no pot ser interceptada ni modificada per tercers.

🔓

HTTP

  • Trànsit en text pla
  • Interceptable en xarxes públiques
  • Sense verificació del servidor
  • Google ho penalitza en SEO
🔒

HTTPS

  • Trànsit xifrat en trànsit
  • Difícil d'interceptar
  • Verifica la identitat del servidor
  • Requerit per Google per a SEO

Què NO protegeix HTTPS?

Aquí hi ha el malentès més perillós. HTTPS protegeix el canal de comunicació — el "tub" per on viatgen les dades. Però no protegeix el que hi ha dins de la teva aplicació. Un lloc HTTPS pot tenir:

🩸
SQL Injection

Un formulari de la teva web pot ser vulnerable a injeccions SQL encara que tingui cadenat. HTTPS no valida les dades que rep el teu servidor.

🔓
Panells d'admin exposats

El teu /wp-admin o /admin continuen sent accessibles per a tothom encara que usis HTTPS.

🪲
Codi amb vulnerabilitats

Plugins desactualitzats, llibreries amb CVEs coneguts, funcions PHP insegures... res d'això ho protegeix HTTPS.

💾
Dades mal emmagatzemades

Si la teva base de dades guarda contrasenyes en text pla o sense xifrat adequat, HTTPS no ho remeia.

🎭
XSS i CSRF

Atacs que s'executen al navegador de l'usuari no estan bloquejats pel xifrat del transport.

Què has de revisar a més del cadenat

1
Headers de seguretat HTTP

Content-Security-Policy, X-Frame-Options, Strict-Transport-Security... Són configuracions del servidor que afegeixen capes de protecció. Pots verificar-los gratis a securityheaders.com.

2
Versió del certificat TLS

No n'hi ha prou de tenir HTTPS — ha d'usar TLS 1.2 o 1.3. Les versions antigues (SSL 3.0, TLS 1.0) tenen vulnerabilitats conegudes.

3
Redirecció completa d'HTTP a HTTPS

Qualsevol URL de la teva web amb http:// ha de redirigir automàticament a https://. Si no ho fa, part del trànsit viatja sense xifrar.

4
HSTS activat

HTTP Strict Transport Security indica al navegador que mai usi HTTP amb el teu domini, ni tan sols la primera vegada.

5
Certificat correcte i vigent

Un certificat caducat o mal configurat fa saltar alarmes al navegador i destrueix la confiança de l'usuari.

Resum en una frase

HTTPS garanteix que ningú intercepta la comunicació entre l'usuari i el teu servidor. No garanteix que el que hi ha al teu servidor sigui segur.

Vols saber l'estat real de seguretat de la teva web?

Analitzem headers, certificats, configuracions i vulnerabilitats d'aplicació. Informe complet en 5-7 dies.

Veure auditoria web →
La teva web està ben configurada?

Revisem headers, certificats i vulnerabilitats

Auditoria web completa amb informe executiu i tècnic. Resposta en menys de 24 hores.

Sol·licitar auditoria Veure preus
Kodia Asistente
En línea
Hola! 👋 Soc l'assistent de Kodia. En què et puc ajudar?