Error de conexión segura cURL en WordPress y arreglo

¿Qué es el error de conexión segura cURL en WordPress?

El error de conexión segura cURL en WordPress aparece cuando el sitio no puede establecer una comunicación segura (HTTPS) con otros servidores mediante la librería cURL. WordPress utiliza cURL de forma interna para conectarse con la API de WordPress.org, servicios externos, pasarelas de pago, proveedores de correo, plugins de seguridad, sistemas de copia de seguridad en la nube y muchas otras integraciones. Cuando algo falla en esa comunicación segura, se muestran mensajes de error relacionados con cURL y SSL.

En la práctica, este problema suele manifestarse como errores del tipo cURL error 60: SSL certificate problem, cURL error 28: Connection timed out u otros códigos similares. Aunque el mensaje puede variar, el origen suele estar relacionado con certificados SSL mal configurados, versiones obsoletas de cURL o PHP, restricciones del servidor o firewalls que bloquean las peticiones salientes.

Síntomas comunes del error cURL en WordPress

El error de conexión segura cURL no siempre se muestra claramente en la parte visible de la web. A menudo se detecta al intentar realizar acciones concretas en el panel de administración o al revisar los registros de errores. Reconocer los síntomas ayuda a identificar el problema rápidamente.

• Fallos al actualizar WordPress, temas o plugins, con mensajes de error relacionados con cURL o SSL.
• Errores al conectar con la API de WordPress.org, como cURL error 7, cURL error 28 o cURL error 60.
• Plugins de seguridad o copias de seguridad que no pueden comunicarse con sus servidores remotos.
• Problemas al activar licencias de plugins premium que requieren verificación externa.
• Pasarelas de pago (por ejemplo, PayPal, Stripe, Redsys) que devuelven errores de conexión o validación.
• Servicios de correo transaccional (SMTP externo, Mailgun, SendGrid, etc.) que no logran conectar mediante HTTPS.
• Mensajes en Herramientas > Salud del sitio indicando problemas con las solicitudes remotas o con la conexión segura.

Causas principales del error de conexión segura cURL

El error de conexión segura cURL puede tener varios orígenes. Entender las causas más habituales permite enfocar el diagnóstico y aplicar la solución adecuada sin perder tiempo en pruebas aleatorias.

• Certificado SSL caducado o mal instalado: si el certificado de tu dominio o el de la API externa no es válido, cURL rechazará la conexión segura.
• Cadena de certificados incompleta: falta de certificados intermedios en el servidor, lo que provoca errores como SSL certificate problem: unable to get local issuer certificate.
• Versión obsoleta de cURL o de OpenSSL: versiones antiguas no soportan protocolos modernos (TLS 1.2/1.3) exigidos por muchos servicios externos.
• Configuración de PHP incorrecta: extensiones desactivadas, rutas CA (autoridades certificadoras) mal definidas o directivas que impiden la verificación adecuada del certificado.
• Firewall o seguridad del servidor: reglas de firewall, mod_security o sistemas IDS/IPS que bloquean las conexiones salientes o ciertos puertos (como el 443 para HTTPS).
• DNS o red del servidor: problemas de resolución de nombres, DNS lentos o restricciones de red que impiden que el servidor contacte con la IP de destino.
• Configuración de proxy: uso de un proxy mal configurado o no soportado por el hosting que interfiere en las peticiones HTTP/HTTPS.
• Plugins o código personalizado: funciones que fuerzan opciones inseguras en cURL, cambian el endpoint de las APIs o manipulan las cabeceras de forma incorrecta.

Cómo diagnosticar el error cURL en WordPress paso a paso

Antes de aplicar cambios en el servidor o en WordPress, conviene seguir un proceso de diagnóstico ordenado. De este modo podrás identificar si el problema está en el sitio, en el hosting o en el servicio externo al que intentas conectarte.

• 1. Anotar el mensaje de error exacto
  Reproduce la acción que genera el fallo (por ejemplo, actualizar un plugin) y copia el mensaje completo. Fíjate en el código de error (como 28, 60, 7, 35) y en la descripción.
• 2. Revisar la salud del sitio en WordPress
  Ve a Herramientas > Salud del sitio y comprueba si aparecen avisos sobre solicitudes de bucle, solicitudes HTTP o conexión segura. WordPress suele indicar si hay problemas con cURL o con la API.
• 3. Activar el modo debug de WordPress
  Edita el archivo wp-config.php y añade o ajusta:

  define( 'WP_DEBUG', true );
  define( 'WP_DEBUG_LOG', true );
  define( 'WP_DEBUG_DISPLAY', false );

  Después, revisa el archivo wp-content/debug.log para localizar entradas relacionadas con WP_Http, wp_remote_get o cURL error.
• 4. Probar la conexión desde el propio servidor
  Si tienes acceso SSH, ejecuta un comando similar:

  curl -I https://api.wordpress.org

  o el dominio concreto al que falla la conexión. Esto te dirá si el problema es global del servidor o solo de WordPress.
• 5. Verificar el certificado SSL del sitio
  Usa herramientas externas (como SSL Labs o el comprobador SSL de tu proveedor) para asegurarte de que el certificado está vigente, bien instalado y con la cadena completa.
• 6. Comprobar la versión de PHP y cURL
  En el panel de hosting o con phpinfo() revisa la versión de PHP, cURL y OpenSSL. Versiones muy antiguas suelen ser incompatibles con muchos servicios modernos.

Solucionar el error cURL desde WordPress

Aunque muchas causas del error de conexión segura cURL se encuentran a nivel de servidor, hay varias acciones que puedes realizar directamente desde el panel de WordPress para descartar conflictos y mejorar la compatibilidad.

• Actualizar WordPress, temas y plugins
  Mantener todo el ecosistema actualizado reduce incompatibilidades con cambios en APIs externas y en protocolos de seguridad.
• Desactivar plugins de forma temporal
  Desactiva todos los plugins y prueba la acción que fallaba. Si el error desaparece, reactiva uno a uno hasta localizar el plugin que provoca el conflicto. Algunos plugins de seguridad o caché pueden modificar las solicitudes HTTP.
• Cambiar temporalmente al tema por defecto
  Activa un tema oficial de WordPress (como Twenty Twenty-Three) para descartar que el tema actual incluya código que interfiera con cURL.
• Revisar plugins de seguridad y firewall
  Plugins como Wordfence, iThemes Security o similares pueden bloquear conexiones salientes sospechosas. Revisa sus registros y configura listas blancas para los dominios necesarios (por ejemplo, api.wordpress.org, dominios de pasarelas de pago, etc.).
• Comprobar la URL del sitio y el uso de HTTPS
  En Ajustes > Generales asegúrate de que las URLs de WordPress y del sitio usan https:// si tu dominio tiene SSL. Inconsistencias aquí pueden generar redirecciones y errores en las peticiones.
• Evitar desactivar la verificación SSL desde código
  Algunas guías recomiendan añadir filtros como:

  add_filter( 'https_ssl_verify', '__return_false' );

  Esto solo debe usarse de forma temporal y en entornos de prueba, ya que desactiva la verificación de certificados y reduce la seguridad.

Ajustes de servidor y PHP para arreglar cURL

La mayoría de errores de conexión segura cURL se solucionan corrigiendo la configuración del servidor y de PHP. Dependiendo de tu nivel de acceso (compartido, VPS, dedicado), podrás aplicar estos cambios directamente o tendrás que solicitarlos al soporte técnico del hosting.

• Actualizar PHP, cURL y OpenSSL
  Asegúrate de usar una versión de PHP soportada (por ejemplo, 8.0 o superior) y una versión reciente de cURL y OpenSSL. Muchos servicios externos requieren TLS 1.2 o superior, no disponible en versiones muy antiguas.
• Verificar que la extensión cURL de PHP está activa
  En php.ini o en el panel de control del hosting, comprueba que la extensión php-curl está habilitada. Sin ella, WordPress recurrirá a otros métodos menos fiables o mostrará errores directos.
• Configurar la ruta de certificados CA
  cURL necesita un archivo de autoridades certificadoras (CA bundle) para validar los certificados SSL. En php.ini puedes definir:

  curl.cainfo = "/ruta/al/cacert.pem"
  openssl.cafile = "/ruta/al/cacert.pem"

  Asegúrate de que la ruta es correcta y de que el archivo cacert.pem está actualizado.
• Revisar el firewall y las reglas de salida
  En servidores con firewall avanzado (iptables, CSF, firewalld, etc.), confirma que se permiten conexiones salientes por el puerto 443 y hacia los dominios necesarios. Un bloqueo aquí generará errores como cURL error 7 o cURL error 28.
• Comprobar la resolución DNS del servidor
  Si el servidor no puede resolver el dominio de destino, cURL fallará. Revisa los DNS configurados en el sistema (por ejemplo, en /etc/resolv.conf) y prueba con servidores DNS fiables (como los de tu proveedor o DNS públicos).
• Desactivar temporalmente módulos de seguridad
  Módulos como mod_security pueden bloquear ciertas peticiones. Desactívalos de forma temporal o añade reglas de excepción para las URLs que WordPress necesita consultar.

Configuración SSL y certificados para cURL

Una de las causas más frecuentes del error de conexión segura cURL en WordPress es una configuración incorrecta del certificado SSL. Esto afecta tanto al certificado de tu propio dominio como a la forma en que el servidor valida los certificados de los servicios externos.

• Comprobar la validez del certificado SSL
  Verifica la fecha de caducidad, el dominio al que está emitido y si coincide exactamente con la URL que usas (incluyendo subdominios y prefijo www si procede).
• Asegurar la cadena de certificados completa
  Muchos errores como unable to get local issuer certificate se deben a que faltan certificados intermedios. En cPanel y otros paneles, asegúrate de instalar el certificado junto con su cadena intermedia.
• Forzar el uso de HTTPS correctamente
  Configura redirecciones de HTTP a HTTPS en el servidor (por ejemplo, en .htaccess o en la configuración de Nginx) evitando bucles de redirección. Un bucle puede provocar errores de tiempo de espera en cURL.
• Verificar compatibilidad de protocolos y cifrados
  Algunos servidores antiguos solo soportan TLS 1.0 o 1.1, ya obsoletos. Asegúrate de que el servidor admite TLS 1.2 o superior y conjuntos de cifrado modernos.
• Evitar desactivar la verificación de certificados
  Aunque es posible configurar cURL para que no verifique certificados (por ejemplo, con CURLOPT_SSL_VERIFYPEER a false), esto solo debe hacerse en entornos de desarrollo. En producción, siempre es recomendable mantener la verificación activa.

Solucionar el error cURL en cPanel y hosting

En entornos de hosting compartido o gestionado, muchas tareas se realizan desde cPanel u otros paneles de control. Aunque el acceso es más limitado que en un servidor dedicado, aún puedes aplicar varias soluciones efectivas al error de conexión segura cURL.

• Reinstalar o renovar el certificado SSL desde cPanel
  Usa el asistente de SSL/TLS o la herramienta de certificados automáticos (como AutoSSL o Let's Encrypt) para reinstalar el certificado y asegurarte de que la cadena de confianza está completa.
• Cambiar la versión de PHP desde el selector de PHP
  Muchos hostings permiten elegir la versión de PHP por dominio. Selecciona una versión estable y reciente (por ejemplo, 8.0 o 8.1) y activa la extensión curl si no lo está.
• Revisar las opciones de PHP (INI Editor)
  En el editor de INI, comprueba si existen directivas relacionadas con curl.cainfo u openssl.cafile. Si tu proveedor lo permite, define una ruta válida al archivo de certificados CA.
• Comprobar herramientas de seguridad del hosting
  Algunos proveedores incluyen firewalls de aplicaciones, bloqueos de IP o sistemas de protección que pueden interferir. Revisa si hay registros de bloqueo relacionados con las IPs o dominios a los que WordPress intenta conectarse.
• Contactar con el soporte técnico con información detallada
  Si no puedes modificar ciertos parámetros, abre un ticket de soporte incluyendo:
  • Mensaje exacto del error cURL (incluyendo el código).
  • Fecha y hora aproximada en que se produce.
  • Dominio o servicio externo al que intentas conectar.
  • Resultados de pruebas desde la herramienta de salud del sitio de WordPress.
  Esto facilitará que el equipo de hosting revise logs de servidor, firewall y configuración SSL.

Buenas prácticas para prevenir errores cURL en el futuro

Una vez resuelto el error de conexión segura cURL en WordPress, es recomendable aplicar una serie de buenas prácticas para minimizar la probabilidad de que vuelva a producirse. La prevención se basa en mantener el entorno actualizado, monitorizar el estado del servidor y evitar configuraciones inseguras o poco mantenibles.

• Mantener WordPress y el servidor actualizados
  Programa revisiones periódicas para actualizar WordPress, temas, plugins, PHP, cURL y OpenSSL. Las actualizaciones corrigen vulnerabilidades y mejoran la compatibilidad con servicios externos.
• Configurar recordatorios para la renovación del SSL
  Asegúrate de que el certificado SSL se renueva automáticamente o establece avisos con suficiente antelación para evitar caducidades inesperadas.
• Evitar hacks rápidos que desactiven la seguridad
  No dejes filtros o configuraciones que desactiven la verificación SSL de forma permanente. Pueden resolver un problema puntual, pero abren la puerta a ataques de intermediario (MITM) y otros riesgos.
• Monitorizar la salud del sitio
  Revisa con frecuencia la sección Herramientas > Salud del sitio para detectar avisos tempranos sobre solicitudes HTTP, módulos de PHP o problemas de seguridad.
• Elegir un proveedor de hosting orientado a WordPress
  Un hosting especializado en WordPress suele mantener versiones actualizadas de PHP y cURL, ofrecer certificados SSL automáticos y disponer de soporte técnico familiarizado con este tipo de errores.
• Documentar cambios en el servidor
  Lleva un registro de las modificaciones importantes (cambios de versión, ajustes de firewall, nuevas reglas de seguridad). Si aparece un error cURL tras un cambio concreto, será más fácil identificar la causa.

Preguntas frecuentes

A continuación se responden algunas de las dudas más habituales relacionadas con el error de conexión segura cURL en WordPress y su solución práctica.