Puede que estés familiarizado o no con los certificados SSL, pero definitivamente los has visto en acción. Son lo que se necesita para convertir una URL HTTP en una URL HTTPS.
Se han convertido en un protocolo de seguridad necesario para algunos sitios, particularmente sitios que transfieren y/o almacenan datos personales, como sitios de comercio electrónico. Se han convertido en un componente vital de la máquina que mantiene segura Internet, hasta el punto de que Google anunció Comenzaron a usarlo como factor de clasificación en la conferencia Google I/O de 2014.
Sin embargo, cabe señalar que este factor de clasificación afecta a “menos del 1% de las consultas globales” y tiene “menor peso que otras señales como el contenido de alta calidad”.
Concluyeron diciendo:
Pero con el tiempo, es posible que decidamos fortalecerlo, porque nos gustaría alentar a todos los propietarios de sitios web a pasar de HTTP a HTTPS para mantener a todos seguros en la web.
Respecto a WordPress con SSL y HTTPS, Matt Mullenweg publicó un entrada en el blog el 1 de diciembre de 2016 expresando lo siguiente:
Estamos en un punto de inflexión: 2017 será el año en que veamos funciones en WordPress que requerirán que los hosts tengan HTTPS disponible. Así como JavaScript es casi necesario para una experiencia de usuario más fluida y las versiones PHP más modernas son fundamentales para el rendimiento, SSL tiene sentido como el próximo obstáculo al que se enfrentarán nuestros usuarios.
Según Matt, el futuro de WordPress con SSL comienza asociándose únicamente con servidores web que ofrecen certificados SSL de forma predeterminada para sus servicios de alojamiento de WordPress. El equipo también evaluará qué funciones se beneficiarían más de SSL y las habilitará solo cuando SSL esté presente. Matt usa la autenticación API como ejemplo.
Como puedes ver, los influencers están impulsando este protocolo de seguridad, pero ¿qué es exactamente y cómo se usa con WordPress? Vamos a hablar acerca de.
¿Qué es un certificado SSL?
Primero, debe comprender qué es SSL antes de poder comenzar a comprender qué es un certificado SSL. SSL significa capa de sockets seguros, pero eso no es lo que necesita saber. Aquí está la definición oficial de SSL.comsi tienes curiosidad:
SSL (Secure Sockets Layer) es la tecnología de seguridad estándar para establecer una conexión cifrada entre un servidor web y un navegador. Esta conexión garantiza que todos los datos transmitidos entre el servidor web y los navegadores permanezcan privados e intactos. SSL es un estándar de la industria y lo utilizan millones de sitios web para proteger las transacciones en línea con sus clientes.
Puede pensar en una conexión SSL en la página de pago de un sitio de comercio electrónico como si estuviera conduciendo desde la tienda a su casa durante una fuerte tormenta. Su cuerpo representa los datos personales (información de envío y pago) que envía al sitio web. La tienda representa su navegador, su casa representa el servidor del sitio y la lluvia, el granizo y los escombros voladores representan a los piratas informáticos.
Su coche, sin embargo, representa la conexión SSL. Le protege de toda esa lluvia, granizo y escombros voladores del mismo modo que una conexión SSL protege sus datos personales de los piratas informáticos.
Un certificado SSL es lo que se requiere para establecer esta conexión. Sin esta protección, un pirata informático podría robar o interceptar sus datos antes de que lleguen al servidor. Es por eso que SSL y HTTPS son imprescindibles para cualquier sitio web que procese cualquier tipo de datos personales del usuario, como los sitios de comercio electrónico que aceptan pagos de los clientes.
Como usuario, puedes comprobar si la página que estás visitando está cifrada con SSL comprobando si la URL de la dirección comienza con https. Hablaremos más sobre los diferentes tipos de certificados en la siguiente sección, pero hay un tipo específico de certificado que proporciona el texto verde y el candado. Puede hacer clic en este candado para ver de dónde proviene el certificado.
También puede hacer clic en Información del certificado para ver cuándo caduca.
Un sitio que no esté cifrado con SSL tendrá un simple ícono de papel al lado en Chrome. Esta área estará en blanco en Firefox. Si hace clic en la tarjeta o en el ícono i en uno de estos navegadores, encontrará un mensaje informándole que su conexión al sitio no es segura.
Si una página que el navegador cree que debería estar cifrada no lo está, Firefox mostrará un icono de advertencia amarillo o una línea diagonal roja delante del símbolo de candado.
Esto podría inducir a error a los usuarios de Internet mal informados haciéndoles pensar que su sitio web ha sido pirateado o que contiene spam o datos maliciosos destinados a robar sus datos personales.
¿Cómo se obtiene un certificado SSL?
Hay dos formas principales de obtener un certificado SSL:
- Tu anfitrión.
- Un proveedor de certificados SSL, comúnmente conocido como autoridad de certificación.
Aquí hay una breve lista de servidores web que incluyen certificados SSL en sus planes de alojamiento:
- Alojamiento WPX
- Nubes
- SiteGround (socio oficial de alojamiento de WordPress)
- Motor WP
- Kinsta
- Volano (socio oficial de alojamiento de WordPress)
- Alojamiento en movimiento
- DreamHost (socio oficial de alojamiento de WordPress)
- Bluehost (socio oficial de alojamiento de WordPress)
Esta no es de ninguna manera una lista exhaustiva. La buena noticia es que probablemente encontrará certificados SSL gratuitos incluso en los hosts compartidos más baratos.
Sin embargo, si su proveedor de alojamiento no ofrece certificados SSL o uno no está incluido en su plan, deberá obtener uno de un tercero. Aquí hay una lista de servicios que venden certificados SSL:
También puede recibir un certificado gratuito de una CA de código abierto ciframos. Debe tener acceso de shell (SSH) para usar un certificado Lets Encrypt y debe instalar el certificado manualmente si su host no lo hace por usted. Puedes aprender más sobre cómo hacerlo con esto. Guía de certificados de bot.
Afortunadamente, muchos servidores web, incluidos algunos de los mencionados anteriormente, ofrecen certificados SSL gratuitos a través de Lets Encrypt como característica estándar en sus paquetes de alojamiento, lo que elimina la necesidad de instalar manualmente un certificado Lets Encrypt.
Aquí está una lista corta:
- Tierra del sitio
- Nubes
- Motor WP
- Kinsta
- Alojamiento WPX
- Ellos vuelan
- Anfitrión de sueños
No importa de dónde obtenga su certificado SSL, los precios varían mucho según el tipo de certificado que compre y el nivel de protección que ofrece el certificado. Los precios pueden variar desde tan solo gratis hasta $800+.
¿Cuáles son los diferentes tipos de certificados SSL?
Cuando visite estos sitios o intente instalar un certificado SSL de su proveedor de alojamiento, verá aparecer muchos nombres diferentes. Hay certificados DV, certificados EV, certificados comodín y más.
A continuación se ofrece un resumen rápido de los diferentes tipos de certificados SSL que existen.
Validación de dominio (DV)
Este es el tipo de certificado SSL más económico. Es ideal para blogs y sitios web que no procesan ningún tipo de información personal de los usuarios, ya que solo ofrece cifrado básico. Requiere la validación de la propiedad del dominio, pero el proceso de validación lleva unas pocas horas como máximo.
Validación de la organización (OV)
Los certificados OV son ligeramente más premium que los certificados DV. Constituyen el nivel mínimo de protección requerido por los sitios de comercio electrónico y cualquier tipo de sitio web que procese datos personales de los usuarios.
Los certificados DV se validan por sí mismos. Los certificados OV, en cambio, son validados por las que ya hemos explicado como autoridades certificadoras. DigiCert es un ejemplo de autoridad certificadora. Además, la validación suele tardar más que el proceso de validación asociado con los certificados DV.
Validación extendida (EV)
Este es el tipo de certificado SSL que le muestra el texto verde y el icono de candado, como se indicó anteriormente. Es un certificado más premium que DV u OV. También es el certificado más popular que existe, especialmente entre los sitios de comercio electrónico.
Siguiendo la tendencia de los dos tipos de certificados anteriores, el proceso de validación de un certificado EV es mucho más riguroso que el proceso de validación de los certificados DV u OV.
SAN
Los certificados SAN le permiten cifrar varios dominios con un único certificado. Suelen ser mucho más caros que los certificados DV, OV o EV de dominio único.
comodín
Los certificados comodín le permiten cifrar una cantidad ilimitada de subdominios en un solo dominio.
¿Necesita un certificado SSL?
Puede parecer algo que sólo necesitas si aceptas pagos, pero es mucho más que eso
Como comentamos al principio de esta publicación, SSL es una forma de proteger los datos enviados entre su sitio web y el dispositivo de un usuario.
Esto no hace exactamente que su sitio web sea más seguro, pero sigue siendo importante desde una perspectiva de seguridad.
Por ejemplo, si un usuario navega por Internet utilizando una red Wi-Fi pública o un enrutador comprometido, SSL está diseñado para evitar la interceptación de información. Es un paso importante para proteger a nuestros usuarios y mejorar la confianza.
Luego está la tecnología que mejora el rendimiento del sitio web (http/2 y la compresión Brotli, por ejemplo). Todos queremos sitios web más rápidos, ¿verdad?
Y ahora Chrome etiquetará todos los sitios web sin SSL como inseguros.
Entonces, dado lo fácil y económico que es obtener un certificado SSL hoy en día (¡gracias Lets Encrypt!), no hay una buena razón para evitar cambiar a https.
Dicho esto, si puede obtener un certificado SSL mejor que Lets Encrypt, vale la pena hacerlo.
Instalación de un certificado SSL
Aquí es donde las cosas se vuelven un poco complicadas y tal vez incluso un poco vagas. El proceso para obtener e instalar un certificado SSL en su servidor varía según el host. Por ejemplo, un host como SiteGround le permite instalar un certificado SSL en su sitio a través de cPanel. Todo lo que necesita hacer es iniciar sesión en su panel de cPanel, desplazarse hacia abajo hasta la sección de seguridad, seleccionar Lets Encrypt e instalarlo.
Lea todos los tutoriales y artículos de la base de conocimientos publicados por su proveedor de alojamiento sobre cómo obtener, instalar y configurar un certificado SSL. Pregúnteles directamente si no puede encontrar la información.
Cómo utilizar certificados SSL con WordPress
Bien, entonces has determinado que necesitas un certificado SSL y has comprado uno. Y Lo instalaste en tu servidor. Solo hay un problema. Su sitio no ha cambiado a HTTPS.
Desafortunadamente, se requieren algunos pasos adicionales para habilitar SSL con éxito en un sitio de WordPress. Examinémoslos.
Si el sitio es nuevo
Su trabajo es realmente sencillo si el sitio es nuevo. Todo lo que tienes que hacer es ir a Configuración → Generale ingrese la URL HTTPS de su sitio en los cuadros Dirección de WordPress (URL) y Dirección del sitio (URL). Hacer clic Guarda tus cambios una vez terminado.
Si falla o su sitio no es nuevo
Veremos cómo habilitar SSL en un sitio de WordPress con código en un minuto, pero primero veamos una forma más sencilla. Esto se llama complemento. SSL realmente simple. Después de instalar un certificado SSL en su servidor, todo lo que necesita hacer es instalar y activar este complemento para configurar SSL correctamente en su sitio.
Si no tiene ningún efecto, vaya a Configuración → SSL para ver si el complemento detecta y habilita SSL en su sitio. Habilítelo, si no.
¿Qué hace exactamente este complemento? Aquí hay un resumen:
- Cambie la URL de su sitio y la URL de inicio a HTTPS por usted.
- Redirija las solicitudes entrantes a través de HTTPS mediante .htaccess o JavaScript.
- Corrige contenido inseguro y lo cambia a HTTPS.
- Configure los problemas del servidor que pueden ocurrir cuando habilita SSL por primera vez en un sitio de WordPress.
Si quieres seguir la ruta manual
Si no desea utilizar un complemento y está agregando SSL a un sitio existente, agregue este fragmento de código a su archivo .htaccess archivo:
RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]
Reemplace ejemplo.com con su URL. Además, elimine www si su URL no lo utiliza.
Si desea cifrar sus páginas de administración multisitio
Si tiene una red multisitio y desea cifrar el área de administración y las páginas de inicio de sesión con SSL, agregue este fragmento de código a su wp-config.php archivo:
define('FORCE_SSL_ADMIN', true);
Si usas WooCommerce
Aún necesita usar Really Simple SSL o agregar ese fragmento de código a su archivo .htaccess, pero hay un paso adicional que debe realizar si está ejecutando un sitio WooCommerce.
Ir a WooCommerce → Configuración → PagarPara seleccionar Forzar pago seguroy guarda los cambios. Referirse a Esta página si tienes algún problema después de esto.
Si utilizas Descargas digitales fáciles
Al igual que en WooCommerce, aún necesitas usar Really Simple SSL o agregar ese código al tuyo .htaccess archivo si usa EDD. Sin embargo, aún queda un último paso por dar.
Ir a Descargar → Configuración → Varios → Configuración de pagoPara seleccionar Aplicar SSL al finalizar la compray guarda los cambios.
Pasos adicionales a seguir para asegurar el posicionamiento SEO
Usar un complemento como Really Simple SSL ayuda enormemente, pero a menudo es necesario hacer más para migrar de HTTP a HTTPS sin afectar negativamente la clasificación de su sitio en Google.
Aquí hay algunos pasos adicionales que puede seguir para evitar que la clasificación SEO de su sitio baje demasiado:
- Actualizar enlaces codificados – Es posible que las URL codificadas no redireccionen correctamente. Utilice un complemento como Mejor buscar y reemplazar para buscar “http://tudominio.com” y reemplazarlo por “https://tudominio.com”.
- Migre su CDN de HTTP a HTTPS – Si ofrece parte de su contenido con una CDN, le recomendamos migrarlo de HTTP a HTTPS. Deberá consultar la documentación de su CDN para hacer esto. Una vez hecho esto, abra el área de configuración del complemento de WordPress que está utilizando para la integración de CDN y cambie la URL de CDN a HTTPS.
- Reparar contenido mixto/desprotegido – Parte del contenido de su sitio puede enviar advertencias a los navegadores sobre contenido mixto o contenido desprotegido, que sus usuarios verán. Utilice una herramienta como verificación SSL para escanear su sitio en busca de contenido mixto.
- Actualizar la consola de búsqueda de Google – Cree un nuevo perfil en Google Search Console para la versión HTTPS de su sitio y utilícelo para reenviar el mapa del sitio. Asegúrese de descargar la versión HTTP de cualquier archivo renegado que tenga de una penalización y envíelos bajo el perfil HTTPS.
Esté atento a su clasificación. Es probable que vea una ligera caída durante su primera migración de HTTP a HTTPS, pero debería mejorar con el tiempo. Profundice un poco más para ver si hay algo que se haya perdido si su clasificación nunca mejora.
Pensamientos finales
Con esto concluye nuestro artículo sobre certificados SSL y WordPress. Habilitar este protocolo de seguridad en su sitio puede ser difícil, pero esperamos haberle simplificado el proceso.
Aquí hay un resumen rápido de todo lo que necesita saber sobre los certificados SSL y WordPress:
- Comprenda qué es el cifrado SSL y su importancia para determinados sitios, como los sitios de comercio electrónico.
- Conozca las diferencias entre los diferentes tipos de certificados SSL y determine qué certificado SSL es el adecuado para usted.
- Descubra si su proveedor de alojamiento proporciona certificados SSL o busque una autoridad certificadora si no es así.
- Instale su certificado SSL en su servidor.
- Configure SSL en WordPress mediante un complemento o código manual.
- Configure su plataforma de comercio electrónico si usa una para WordPress.
Ahora es tu turno. ¡Buena suerte!
Lectura relacionada: