WordPress

La Guía Definitiva de HTTPS y SSL para WordPress

¿Se ha dado cuenta de que la mayoría de sus sitios web favoritos tienen una URL que empieza por HTTPS? Es más probable que se dé cuenta cuando la S, que indica que una URL es segura, no está presente. Esto se debe a que Google ahora marca los sitios web sin un certificado SSL, un componente importante de un sitio web seguro. Dado que la seguridad de los sitios web es tan importante, es fundamental que entienda los conceptos de HTTPS y SSL para WordPress.

Si tiene un sitio web de WordPress, querrá que tenga SSL y HTTPS para mayor seguridad y confianza de los visitantes. Como ventaja adicional, su sitio web tendrá un mayor ranking de búsqueda SEO. Así que si estás preparado para añadir una capa extra de seguridad y protección tanto para tu sitio como para los usuarios que lo visitan, sigue leyendo.

¿Qué es HTTPS y SSL?

HTTPS y SSL para WordPress van de la mano. Por sí solo, HTTP (el prefijo original de la URL) significa protocolo de transferencia de hipertexto. La instalación de un certificado SSL (secure sockets layer) en su sitio web lo protege. Cuando tiene el certificado SSL o TLS adecuado instalado en su sitio web, el prefijo de la URL cambia de HTTP a HTTPS: protocolo de transferencia de hipertexto seguro.

Profundicemos en lo que son HTTPS y SSL y cómo funcionan. Según la Red de Desarrolladores de Mozilla (MDN):

HTTPS (HyperText Transfer Protocol Secure) es una versión cifrada del protocolo HTTP. Utiliza SSL o TLS para cifrar toda la comunicación entre un cliente y un servidor. Esta conexión segura permite a los clientes intercambiar de forma segura datos sensibles con un servidor, como cuando se realizan actividades bancarias o compras en línea.

Básicamente, HTTPS significa que su sitio web está cifrado de extremo a extremo. Esto significa que sólo los dos clientes en cada extremo de la transacción son capaces de leer los datos. Si un usuario o entidad maliciosa interceptara la comunicación, no obtendría más que un lío de caracteres aleatorios y confusos.

Ahora, pasemos a la definición de SSL de la MDN:

Secure Sockets Layer, o SSL, era la antigua tecnología de seguridad estándar para crear un enlace de red encriptado entre un servidor y un cliente, garantizando que todos los datos transmitidos son privados y seguros. La versión actual de SSL es la 3.0, lanzada por Netscape en 1996, y ha sido sustituida por el protocolo Transport Layer Security (TLS).

En lo que respecta a TLS frente a SSL, TLS es esencialmente la continuación de SSL. Al igual que SSL, TLS establece una conexión cifrada entre un servidor y un cliente. Los dos protocolos resultan en una mejor seguridad para su sitio web de WordPress.

¿Necesita HTTPS y SSL?

La respuesta corta es sí: necesita HTTPS y SSL. Aparte de crear confianza con tus visitantes, la seguridad del sitio es una competente de un sólido SEO. En 2018, Google comenzó a marcar los sitios web sin un certificado SSL o TLS. Esto disuade a los usuarios de navegar a sitios que no tienen un certificado SSL.

Hace años, los certificados SSL eran caros: miles de dólares, de hecho. Los grandes sitios web que generaban ingresos, como Facebook y Amazon, mostraban el icono del candado en la ventana del navegador del usuario. Eso es porque tenían el presupuesto para comprar el certificado. Por otro lado, el sitio web de WordPress del usuario medio simplemente tenía un prefijo HTTP. Hoy en día, los certificados SSL son necesarios y asequibles.

Aunque ahora WordPress instala automáticamente los certificados SSL en todos los sitios web nuevos, es posible que usted tenga un dominio antiguo o un sitio establecido desde hace tiempo que necesite seguridad. Es posible obtener un certificado SSL gratuito para su sitio web de WordPress si aún no tiene uno. La mayoría de los alojamientos también ofrecen un certificado SSL gratuito o con descuento como parte de sus paquetes de alojamiento. Ahora que el HTTPS y el SSL para WordPress son tan accesibles, no hay razón para dejar su sitio web vulnerable.

Cómo instalar SSL para WordPress

¿Se pregunta cómo instalar SSL para WordPress? Te guiaremos por los pasos y te mostraremos cómo se hace.

Utilizando un plugin

Empecemos por instalar SSL para WordPress utilizando un plugin. Para este tutorial, vamos instalar el plugin Really Simple SSL. Este plugin mueve automáticamente su sitio web de WordPress a SSL. Así que si su URL todavía muestra HTTP en lugar de HTTPS, este plugin se encargará del problema y le ayudará a asegurar su sitio.

Vamos a ello.

1. Vaya a la página del plugin Really Simple SSL y haga clic en Descargar. 2. Guarde el archivo .zip del plugin en su ordenador.

2. Abra una nueva pestaña del navegador, acceda a su panel de control de WordPress y haga clic en Plugins.

3. En la pantalla de plugins, haga clic en Añadir nuevo.

4. En la página de Añadir Plugins, haga clic en Subir plugin.

5. A continuación, cargue el archivo .zip asociado a su plugin. Elija su archivo y haga clic en Instalar ahora.

6. WordPress mostrará una página que muestra el progreso de la carga. Una vez subido el plugin, sólo tienes que hacer clic en Activar Plugin.

Posibles ajustes del plugin

7. Como puedes ver, ya hay un certificado SSL detectado en el sitio web en el que estoy trabajando. Pero si no tuviéramos ya SSL, los siguientes pasos que tendríamos que cubrir serían:

  • Cambiar cualquier referencia de http:// en los archivos .css y .js a https://
  • Eliminación de cualquier script, hoja de estilo o imagen que se haya originado en un dominio sin SSL
  • Iniciar la sesión de nuevo (porque una vez que active el plugin, WordPress le cerrará la sesión)

Cuando esté listo, haga clic en Activar SSL para finalizar la instalación. Este plugin cambiará tu URL por defecto a HTTPS.

8. Ahora, el SSL está activado. La ventana del plugin me muestra qué pasos hay que dar para asegurar aún más el sitio web. Really Simple SSL proporciona artículos y recursos para ayudarme a ajustar mi configuración de seguridad a un nivel óptimo. Puedo ir a través de ellos uno por uno para optimizar mi seguridad.

Revisar la configuración del plugin SSL

Ahora, es el momento de navegar por la página principal de plugins y comprobar la configuración de su plugin SSL. Sólo tienes que hacer clic en Configuración para empezar. Verás la misma lista de recursos que antes. Simplemente desplázate hacia abajo en la página para ver dónde puedes cambiar la configuración.

La configuración por defecto del plugin debería ser adecuada, pero siempre se pueden hacer ajustes. Principalmente, querrá asegurarse de que el fijador de contenido mixto esté marcado. Lo más probable es que ya esté seleccionado. Si no lo está, márquelo y guarde la página.

Asegúrese de leer la documentación adjunta antes de cambiar la configuración.

Ya está. Ha instalado el plugin SSL para WordPress.

Instalación manual

Ahora, vamos a ver cómo instalar SSL para WordPress manualmente. Empezaremos abriendo una nueva pestaña del navegador y navegando hasta SSL For Free (ZeroSSL).

1. En la página de inicio, introduzca la URL de su sitio en la barra de texto y haga clic en Create Free SSL Certificate (Crear certificado SSL gratuito).

2. Se te pedirá que crees una cuenta. Una vez hecho esto, el sitio te redirigirá a la página de inicio de ZeroSSL. Desde allí, haz clic en New Certificate (Nuevo Certificado).

3. En la página siguiente, puede introducir su dominio en el cuadro de texto y, a continuación, hacer clic en Next Step (Siguiente Paso).

4. Puedes elegir entre crear un certificado gratuito de 90 días o uno de 1 año (de pago). Si eliges uno que dure 90 días, tendrás que volver a generar otro cada 90 días. Una vez que hayas seleccionado la opción que quieres elegir, haz clic en Next Step (Siguiente Paso).

5. A continuación, puede hacer que el programa genere automáticamente una solicitud de firma de certificado (CSR) si lo desea. También puede rellenar manualmente su información. El propósito de esto es verificar su identidad y el hecho de que usted, de hecho, posee el dominio para el que está generando el SSL. A continuación, se le pedirá que seleccione el plan que desee.

Verificación del dominio y SSL para la instalación manual de WordPress

6. Ahora se le pedirá que verifique su dominio. Puede hacerlo de tres maneras:

  • A través de la verificación de correo electrónico
  • Añadiendo un nuevo registro CNAME en su servidor anfitrión
  • A través de la carga de archivos HTTP

Dependiendo de la opción que elija, siga las instrucciones proporcionadas en el sitio.

7. Una vez verificado su dominio, el sitio generará su certificado SSL. Puede descargar su certificado y, a continuación, hacer clic en Next Step (Siguiente Paso).

8. Ahora, tendrá que subir el certificado SSL a su cPanel. Este proceso puede ser un poco diferente dependiendo del host que utilices. Para obtener instrucciones paso a paso, busca tu host en esta lista de ZeroSSL, que te guiará para finalizar tu instalación de SSL para WordPress.

Para los propósitos de este artículo, te mostraré cómo se ve a través de mi cPanel de Bluehost.

9. En primer lugar, navegue a su cPanel y desplácese hacia abajo a la sección de SEGURIDAD. Haga clic en SSL/TLS.

10. Haga clic en «Generar, ver, cargar o eliminar certificados SSL«.

11. Ahora verá una lista de los certificados que hay actualmente en su servidor. Desplácese hacia abajo hasta la sección denominada «Cargar un nuevo certificado«.

12. Ahora, tienes un par de opciones. Usted puede:

  • Descomprime el certificado SSL que has descargado de ZeroSSL y sube el archivo .crt.
  • O bien, puede abrir el archivo .crt en un editor de texto básico. Copie el texto completo del certificado, luego vuelva a su cPanel y péguelo en el cuadro de texto denominado «Cargar un nuevo certificado». Esto incluye el texto de la cabecera y el pie de página que denota el comienzo y el final del certificado.

13. Haga clic en Cargar certificado. Después de esto, querrá volver a comprobar que la instalación se ha realizado correctamente. Puedes comprobar tu certificado en tu panel de control de ZeroSSL. Alternativamente, intente navegar a su URL con el prefijo https:// para ver si le funciona.

¡Eso es todo!

Preguntas frecuentes sobre SSL y HTTPS

Ahora, echemos un vistazo a algunas preguntas frecuentes sobre HTTPS y SSL para WordPress.

¿Cómo puedo saber si mi sitio tiene un certificado SSL?

Abra una nueva ventana del navegador y navegue hasta su sitio web. Mire a la izquierda del prefijo de su URL. La ventana de su navegador debería mostrar un icono de candado junto a la URL. O bien, haga clic en el cuadro de texto y debería ver que se muestra HTTPS.

¿Los sistemas SSL y HTTPS harán que mi sitio sea más lento?

SSL y HTTPS pueden hacer que su sitio sea ligeramente más lento. Sin embargo, si los visitantes de su sitio web se encuentran con la pantalla de error de Google que les impide acceder a su sitio web HTTP en primer lugar, eso es más un problema. O bien vas a sacrificar una pequeña cantidad de velocidad para un sitio web seguro en el que los usuarios confíen, o vas a lidiar con una alta tasa de rebote de un sitio no seguro.

He instalado el certificado SSL, pero mi sitio sigue mostrando que es inseguro. ¿Qué debo hacer ahora?

Compruebe que la instalación se ha realizado correctamente. Puede hacerlo en WordPress accediendo a la página de configuración del plugin o comprobando la instalación manual a través del panel de control de ZeroSSL. Es posible que tengas que cambiar algunos ajustes o que tengas que solucionar el problema.

Si ve errores continuos de SSL en su sitio, es posible que tenga que hacer:

    • Forzar redireccionamientos de HTTP a HTTPS
    • Corregir errores de contenido mixto (imágenes rotas)
    • Inspeccionar los plugins y temas existentes en busca de errores
  • Arreglar un bucle de redirección
  • Solucionar más problemas con su certificado SSL, que puede estar mostrando una advertencia de certificado no válido (en cuyo caso, puede renovarlo)

Para inspeccionar los errores de SSL, puede hacer clic con el botón derecho del ratón en su sitio web y seleccionar Inspeccionar en el menú desplegable. Los errores se resaltan en rojo. Puedes informar de los errores al autor de un plugin o tema, a tu proveedor de alojamiento web o a tu equipo de soporte técnico, dependiendo de dónde y cómo esté alojado y configurado tu sitio.

Si no eres un desarrollador, es mejor que no intentes modificar tus plugins o temas. Es demasiado fácil romper algo de lo que no eres consciente, o que afecta a tu sitio a gran escala.

Dependiendo de la herramienta que hayas seleccionado, deberías poder obtener algún tipo de ayuda. Puedes hacer preguntas en los foros abiertos, seguir las guías de solución de problemas, o contactar con tu hosting para obtener ayuda.

¿Cómo se solucionan los errores de contenido mixto?

Los errores de contenido mixto se producen cuando ha instalado SSL para WordPress, pero su sitio web sigue viendo parte del contenido como inseguro. Por ejemplo, puede notar que faltan imágenes. Para solucionar esto, puede configurar su sitio de WordPress para que muestre contenido mixto.

Puede solucionar los errores de contenido mixto instalando y activando el plugin SSL Insecure Content Fixer. Si continúa recibiendo errores de contenido mixto, es posible que algo esté mal en su base de datos. Tendrás que dar algunos pasos adicionales para solucionar ese problema, incluyendo la instalación y ejecución del plugin Better Search and Replace.

¿Cómo puedo forzar el uso de HTTPS?

Para forzar el uso de HTTPS, es posible que tenga que configurar redireccionamientos automáticos de HTTP a HTTPS. Forzar las redirecciones automáticas evitará que los usuarios puedan abrir la versión HTTP de su sitio web, que técnicamente sigue existiendo.

Aquí tienes un tutorial de Name.com (en inglés) que te guía por el proceso a través de cPanel. Alternativamente, puedes arreglar este problema directamente en el archivo .htacess a través de tu cliente FTP. Este tutorial de Dreamhost (en inglés) le llevará a través de los pasos para forzar su sitio para cargar de forma segura.

¿Cuánto cuestan los certificados SSL?

El precio de los certificados SSL varía mucho, desde los gratuitos hasta los que cuestan aproximadamente 1.000 dólares anuales. En promedio, tienden a ser mucho menos costosos. El precio depende del servicio que elija y del nivel de asistencia que necesite.

¿Hay alguna diferencia entre los certificados SSL gratuitos y los de pago?

No en términos de funcionalidad. Tanto los certificados SSL gratuitos como los de pago ofrecen la misma seguridad a los usuarios finales. Sin embargo, es probable que un certificado SSL de pago cuente con un soporte técnico adicional y una validación más exhaustiva. Si se siente cómodo con la solución de problemas de su SSL, entonces el uso de un certificado gratuito puede funcionar bien para usted. Pero si cree que puede necesitar asistencia técnica continua y no quiere tener que reinstalar un nuevo certificado gratuito cada vez que el actual caduque, un certificado SSL de pago puede ser una mejor opción.

¿Tengo que renovar mi certificado SSL?

La renovación del certificado SSL depende de su anfitrión. Si utiliza un host que incluye un certificado SSL como parte de su plan de alojamiento, puede configurarse para que se renueve automáticamente (y hoy en día, muchos están configurados así para que los usuarios no tengan que tocarlos nunca). Si utiliza la opción de certificado SSL de 90 días o 1 año de ZeroSSL, tendrá que renovar manualmente su certificado SSL cada cierto tiempo.

Conclusión

Ahora que ya sabe cómo instalar y solucionar los problemas de su certificado SSL, es el momento de asegurar su sitio de WordPress. HTTPS y SSL para WordPress son de vital importancia para el éxito de su sitio web y el nivel de confianza de los usuarios (y de Google). Si quieres que tu sitio sea viable no sólo ahora, sino también en el futuro, asegúrate de bloquearlo con HTTPS y SSL.

¿Te has encontrado con problemas con SSL para WordPress? ¿Cómo los resolviste? Déjanos un comentario abajo y haznos saber.

Publicidad

Síguenos en Facebook