Cómo configurar WordPress SSL / HTTPS: 11 cosas importantes que debe saber

SSL de WordPress

Quizás se pregunte por qué tendríamos que implementar WordPress SSL / TLS o habilitar WordPress en HTTPS. Antes de empezar con eso, tenemos que dar un poco de historia.

Con 3.9 millones de usuarios que utilizan Internet (y creciendo cada día) y 1.7 millones de sitios web en Internet, podemos decir con certeza que Internet se ha convertido en nuestro segundo hogar; lo que antes se conocía como "conectarse" ya no es realmente exacto. Siempre estamos conectados, siempre activos. Facebook ha crecido a más de 2.5 mil millones de usuarios activos mensuales. Solíamos hablar de "virtual", pero Internet se ha vuelto todo lo real que puede llegar a ser, parte de nuestra vida cotidiana. 

¡Estas estadísticas son simplemente abrumadoras! Y no hay absolutamente ninguna señal de que se esté desacelerando. A medida que los países emergentes accedan a Internet barato, las cifras seguirán creciendo en el futuro previsible.

Contenido[Mostrar]
 
De esos más de 1.7 millones de sitios web, la friolera de 455,000,000+ (y en aumento) se basan en WordPress.com o WordPress.org
 

WordPress ciertamente ha crecido desde sus humildes comienzos como blog. Y cuando tiene tantas personas que visitan uno de sus sitios de WordPress, se convierte en un deber proporcionar una plataforma altamente segura que no comprometa su seguridad.

En la publicación de hoy, parte de nuestra serie de tutoriales informativos de WordPress (que puede ver en nuestro menú), lo guiaremos a continuación sobre varias formas en las que puede implementar WordPress SSL / TLS o WordPress HTTPS en su sitio web.

Nota al margen: parte de la lectura y el trabajo involucrados en este artículo es muy técnico y requiere conocimientos de desarrollador. Si tu quisieras contratar a un desarrollador de WordPress Consulte el artículo vinculado para conocer todas las cosas que debe considerar antes de contratar a un desarrollador.

¿Necesita ayuda para proteger su sitio web? ¡Prueba estos conciertos asequibles mejor calificados en Fiverr!

logotipo de Fiverr

 

Haz clic aquí para encontrar expertos en configurar certificados seguros de WordPress.

1. Primero lo primero. ¿Es SSL o TLS? ¿O HTTPS?

Real y verdaderamente, hoy debería ser TLS (que es un acrónimo de Transport Layer Security).

Esto se debe a que TLS es la última versión de certificados seguros que debe utilizarse. Sin embargo, originalmente, el nombre del transporte de seguridad utilizado era SSL (Secure Sockets Layer).

Si bien, en realidad, TLS se usa hoy en día, la mayoría de las personas se refieren a los certificados seguros como certificados SSL. Estrictamente hablando, deberíamos llamarlos certificados seguros únicamente.

HTTPS significa HTTP entregado Scomunicación segura. HTTPS se implementa hoy mediante el uso de certificados seguros sobre TLS.

2. Papel de los certificados seguros y cómo encaja con la seguridad de WordPress

SSL es el acrónimo de Secure Sockets Layer y es una tecnología utilizada para realizar comunicaciones seguras a través de una red.

Esta forma segura de transporte se logra mediante la creación de un enlace cifrado entre una máquina cliente y un servidor. En la mayoría de los casos, sería un servidor web y un navegador cliente en el que se mostrará un sitio web; o en el caso de clientes de correo como MS Outlook, se forma una conexión con el servidor de correo electrónico.

El certificado seguro normalmente lo emite una autoridad de certificación como SSL de Comodo. Esto significa que una autoridad central de confianza "garantiza" el servidor. Básicamente, cuando el servidor web cifra un mensaje, lo "firma" para verificar su autenticidad con un certificado de la autoridad.

El navegador luego verifica la firma y verifica que la firma provenga de una autoridad "confiable". Si el certificado es de confianza, se logrará una comunicación segura entre el cliente y el servidor.

A continuación, el certificado se utiliza para descifrar el mensaje y leer su contenido.

como funciona SSL

Esto permite la posibilidad de tener una comunicación segura, que no puede ser leída por terceros. Esto da luz verde a los usuarios para que confíen en que los datos confidenciales que envían a través de Internet, como credenciales bancarias, credenciales de inicio de sesión, números de seguridad social, datos de comercio electrónico, detalles de tarjetas de crédito y otros datos confidenciales, llegarán de forma segura al sitio web donde estarán. procesada.

Porque en realidad, el problema de la "confianza" no está en el sitio web, sino en la comunicación entre el sitio web y el cliente.

Antes de esta tecnología, o cuando un sitio web usaba HTTP solo para su comunicación no tan avanzada, los datos se enviaban como texto sin formato. Esto lo hizo vulnerable a ataques maliciosos - que pudieron leer los datos y, por supuesto, usarlos con fines maliciosos. Por ejemplo, las credenciales de inicio de sesión podrían ser robadas para hacerse cargo de un sitio web, o los datos de la tarjeta de crédito podrían leerse y usarse para comprar cosas de manera fraudulenta.  

3. ¿Por qué debería servir su sitio web de forma segura?

Los propietarios de sitios web que no han implementado HTTPS son susceptibles de "fisgonear".

Dado que el servidor web no puede cifrar el tráfico enviado al navegador, TODAS las comunicaciones de datos, incluidos los datos confidenciales, pueden ser leídas muy fácilmente por los piratas informáticos. Básicamente, se pueden leer todos los datos que pasan entre el cliente y el servidor web. Si está iniciando sesión en un sitio web, se pueden leer sus credenciales. Si está pasando los datos de la tarjeta de crédito, estos pueden ser robados.

Si envía CUALQUIER dato confidencial, puede leerlo si no implementa la seguridad del sitio web a través de certificados seguros.

Si no implementa el cifrado completo, su sitio será susceptible a lo que se conoce como un ataque del hombre en el medio. Leer más sobre esto en Wikipedia . Herramientas como WireShark (herramienta gratuita y disponible para su descarga y uso por cualquier persona) facilitan la lectura del tráfico en Internet, y los piratas informáticos configuran infraestructuras completas para leer datos no cifrados.

La siguiente es una captura de pantalla de Wireshark leyendo una contraseña enviada a través de HTTP:

Wirehark de rastreo de contraseña

Los usuarios malintencionados tienen herramientas como las anteriores que pueden buscar patrones específicos, como números de tarjetas de crédito, detalles de seguridad social, contraseñas y otros datos que son valiosos para ellos.

hombre en el ataque medio 

Por otro lado, si implementa HTTPS en WordPress, ha configurado un sistema de encriptación que brinda varios beneficios de seguridad como integridad, identidad y sobre todo confidencialidad.

Solo permite que el servidor y el navegador descifren el texto que se envía a través del canal de comunicación. Afirma si los datos están intactos y no se modificaron para garantizar la integridad de los datos (es decir, no han sido alterados).  

4. HTTPS y SEO

Los sitios web que implementan HTTP obtienen un aumento de clasificación en los motores de búsqueda.

Google en un blog titulado "HTTPS como señal de clasificación". anunció que dará una ventaja a aquellos sitios web que hagan uso de esta tecnología segura. 

Esto hace que la importancia de implementarlo en su sitio web sea mucho mayor. De lo contrario, su sitio web está en desventaja en comparación con los competidores que han implementado HTTPS.

Google quiere que la seguridad reciba la máxima atención y prioridad. La compañía ha asumido la responsabilidad de asegurarse de que se utilice la seguridad total en toda la industria. Esto garantiza que los usuarios de Internet que utilizan el motor de búsqueda de Google y sus otros servicios podrán tener comunicaciones seguras en todos los servicios.

También han ideado el concepto de "HTTPS en todas partes" para fomentar una sensación de mayor seguridad en Internet.

Sin embargo, esto no fue suficiente para ellos. Dado que tienen tanta influencia, agregaron SSL como una señal de clasificación para SEO y clasificaciones de motores de búsqueda.

Si su sitio web implementa HTTPS, tendrá una ventaja sobre aquellos sitios web que no lo implementan (con todas las demás señales de clasificación siendo iguales).

Más InformaciónLista de verificación de SEO onpage de WordPress: una guía paso a paso de 19 para impulsar el tráfico.

¿La migración de HTTP a HTTPS afectará mi clasificación? 

Mucha gente se pregunta si el cambio de HTTP a HTTPS afectará su clasificación orgánica actual. Dado que las versiones HTTP y HTTPS de un sitio web se consideran diferentes, ¿significa esto que se pierden todos los vínculos de retroceso a la versión http: // del sitio?

Esa es una preocupación muy válida.

Ha trabajado mucho para obtener valiosos backlinks, y perderlos significaría que obtendría un pequeño impulso de clasificación, pero perdería la señal de clasificación más grande que proviene de los enlaces.

Sin embargo, como verá más adelante, realizaremos una redirección 301. Esto significa que el servidor que solía vivir aquí se ha trasladado permanentemente a una nueva ubicación.

Google entiende que un redireccionamiento 301 significa, "Hola Google, todavía soy yo, pero ahora me mudé a una nueva dirección de forma permanente". Lo que eso significa es que no perderá nada de su tráfico, backlinks o link juice.

Es posible que desee leer un poco más sobre Redireccionamiento 301 en el sitio web de Moz. Verá que harán nuestras recomendaciones exactas.

Lo único que nuestro sitio perdió al realizar la redirección a la URL segura de nuestro sitio fue nuestro Recuentos de acciones sociales.

Esto se debe a que Facebook y la mayoría de los contadores de acciones tratan https: // www.collectiveray.com y https: // www.collectiveray.com como dos URL completamente diferentes. Esto es algo con lo que probablemente tendrás que vivir. En realidad, cuanto antes lo haga, más rápido comenzará a adquirir nuevos recuentos de acciones en su dirección segura.

Hemos hecho esto en varios sitios además CollectiveRay, y nunca hubo ningún efecto negativo en las clasificaciones o el tráfico. Siempre que realice una configuración correcta, no debe preocuparse por esto.

ACTUALIZAR: Recientemente, Google ha confirmado que las redirecciones 301 de HTTP a HTTPS no pierden absolutamente ningún jugo de enlace. Esto se debe, por supuesto, a que no tiene sentido recibir una penalización por cambiar a algo que Google está defendiendo.

5. ¿Qué más debo hacer después de habilitar SSL?

Si desea asegurarse de enviar un mensaje contundente a Google de que su sitio realmente se ha movido, la forma ideal es hacerlo a través de la Consola de búsqueda de Google.

Simplemente agregue su sitio como si fuera un sitio nuevo en la Consola de búsqueda de Google.

Por supuesto, esto podría significar que perderás algunos elementos, como los datos estructurados, y tendrás que volver a enviar tus mapas de sitio. No obstante, creemos que este es un indicador muy claro para Google de que se trata de una migración válida y totalmente avalada.

6. Ganar confianza con seguridad

Como probablemente ya esté familiarizado, algunos sitios web mostrarán una barra verde en el navegador. Esto significa que el sitio web ha implementado una comunicación segura.

Puedes ver un ejemplo muy claro de esto en el sitio web de Paypal.

Paypal con icono de capa de sockets seguros

 

¿Cómo puede comprobar si su sitio web está protegido o no?

Para comprobar si un sitio web está protegido por SSL o no, puede comprobar si el prefijo https: // aparece delante de la URL en lugar del http: // normal.

Aparte de esto, también puede encontrar un candado que está presente en el campo de dirección antes de que comience el sitio web.

SSL de creaciones de DART

La imagen que se muestra arriba indica que un sitio web tiene un certificado SSL autorizado; sin embargo, la apariencia del candado varía de un navegador a otro. Aquellos sitios web que hayan comprado un Certificado de Validación Extendida, mostrarán una barra de direcciones completamente verde, o el nombre de la empresa aparecerá antes de la URL.

Los certificados de validación extendida son bastante costosos de comprar e implementar porque requieren una serie de comprobaciones físicas para confirmar que el servidor web pertenece realmente a la empresa que lo está implementando.

Certificado SSL de validación extendida de Elegant Themes

Para aquellos que usan Safari, verán que se usa una fuente verde para indicar que la empresa está usando un certificado EV.

El siguiente ejemplo es un certificado EV utilizado para el navegador Safari. Aquí la barra de direcciones no tiene un fondo verde como otros navegadores. En su lugar, han optado por utilizar una fuente verde.

SSL en Safari

Los certificados de validación ampliada ofrecen una seguridad ampliada que se desprende del nombre.

Se emite un certificado EV a una empresa que ha superado todos los pasos del proceso de validación. Para completar la autorización legal se requieren trámites legales tales como acreditación de su dirección física y acceso a archivos específicos en un servidor. También hay bastantes otras validaciones a las que una empresa debería someterse para obtener un certificado de validación extendida válido, pero esto está más allá del alcance de este artículo.

Puedes leer más sobre la Certificados de validación extendida aquí.

Al implementar WordPress HTTPS, una empresa de terceros esencialmente está confirmando y verificando que el servidor web es quien dice ser. Esta agencia se denomina emisora ​​del certificado, también denominada autoridad certificadora de confianza.

¿Qué sucede cuando los certificados seguros dejan de funcionar?

Usando los indicadores anteriores, uno puede saber si sus certificados seguros están funcionando o no.

Asimismo, los usuarios pueden comprender rápidamente que el tráfico de un sitio web no está encriptado o que su certificado de seguridad ha caducado. Cuando el candado aparece rojo y aparece una línea roja, es una indicación de una de estas cosas:

  • el sitio web utiliza un certificado autofirmado, es decir, emitido por el mismo servidor web. Esto significa que el certificado no es de confianza, porque el certificado no fue emitido por una autoridad de confianza.
  • la fecha de caducidad ha pasado y el certificado ya no es válido
  • el certificado deja de ser de confianza por cualquier otro motivo y se marca como invalidado

Seguridad no implementada correctamente

En la imagen de arriba, puede ver la advertencia antes de visitar un sitio web cuando el navegador reconoce que el certificado de seguridad utilizado por un sitio web sobre el que está visitando ha caducado.

La mayoría de los navegadores modernos tienen esta capacidad para advertir sobre un certificado no válido (por lo tanto, transferencia de datos insegura) antes de que un usuario pueda avanzar hacia un sitio web no seguro.

Después de la expiración del certificado, todo lo que necesita hacer es renovar el certificado desde el lugar de la autoridad (de donde se obtuvo originalmente el certificado). Además, se sugiere que los certificados no puedan caducar en absoluto. Tal lapso crea una mala impresión de un sitio web en los visitantes.

Se dice que un sitio web tiene un certificado autofirmado si el certificado es creado por el mismo servidor web, en lugar de ser emitido por una autoridad certificadora de confianza. Este certificado es NO DE CONFIANZA.

Los navegadores solo confían en los certificados SSL entregados por Autoridades de certificación confiables. Para todos los demás casos, muestran una advertencia para los sitios web que se ejecutan en un certificado autofirmado. 

Lista de verificación de la migración de HTTP a HTTPS

Ahora que entendemos completamente por qué WordPress HTTPS beneficiará a nuestro sitio, explicaremos en detalle a continuación cómo implementarlo en su sitio web. También tenemos una lista de verificación de migración de HTTP a HTTPS que enumeramos a continuación para asegurarnos de que haya cubierto todos los pasos relacionados con la migración a HTTPS.

Antes de lanzar WordPress de forma segura

1.1. Configuración de certificación SSL Obtenga, configure y pruebe el certificado TLS usando SHA-2 para SSL Mesero
1.2. Registro de Google Search Console Registre ambos dominios http y https en Google Search Console, junto con sus versiones con www y sin www. Si también registró subdominios o subdirectorios individuales en Google Search Console, replique ese registro y configuración con su versión https. Google Búsqueda consola
1.3. Monitoreo de clasificaciones Comience a monitorear la clasificación del sitio en paralelo con el dominio https Software de seguimiento de rango
1.4. Identificación de consultas y páginas principales del sitio actual Identificar las páginas principales y las consultas relacionadas que atraen la visibilidad y el tráfico de búsqueda orgánica para priorizarlos al validar y monitorear el rendimiento del sitio. Google Search Console y Google Analytics
1.5. Rastreo del sitio actual Rastree el sitio http para identificar y corregir cualquier enlace interno roto y la estructura web actual antes de moverse. Ambiente de ensayo
1.6. Nueva configuración web HTTPS con enlaces internos actualizados Configure la nueva versión web para realizar los cambios, probar y actualizar los enlaces en un entorno de ensayo, para apuntar a las URL (páginas y recursos como imágenes, js, pdfs, etc. también) con HTTPS Ambiente de ensayo
1.7. Nueva canonicalización web HTTPS Actualice las etiquetas canónicas para incluir URL absolutas usando https en el entorno del escenario Ambiente de ensayo
1.8. Nueva canonicalización web HTTPS Verifique en el entorno de ensayo que todos los comportamientos de reescritura y redirecciones ya existentes (sin www frente a www; barra inclinada frente a no barra inclinada, etc.) también se implementan en la versión web segura como solían trabajar en la versión http Ambiente de ensayo
1.9. Preparación de redirecciones Prepare y pruebe las reglas de reescritura que redireccionarán 301 desde todas las URL existentes identificadas (páginas, imágenes, js, etc.) en el dominio http al https Mesero
1.10. Nueva generación de mapas de sitios XML Genere un nuevo mapa del sitio XML con las URL con seguridad implementada para que se carguen en el perfil de la consola de búsqueda de Google HTTPs una vez que se mueva el sitio. XML Sitemap Generator
1.11. Preparación de Robots.txt Prepare el archivo robots.txt que se cargará en la versión del dominio https cuando se inicie el sitio replicando las directivas existentes para http, pero apuntando a las URL https si es necesario robots.txt
1.12. Prepare cambios en cualquier anuncio, correo electrónico o campañas de afiliados para comenzar a apuntar a las versiones de URL https cuando se realiza la migración Plataformas de campañas Varias plataformas
1.13. Desaprobar configuración Verifique si hubo solicitudes de desautorización enviadas en el pasado que deberán volver a enviarse para las versiones de URL seguras en su propio perfil de Google Search Console. Google Búsqueda consola
1.14. Configuración de geolocalización Si está migrando un gTLD que está geolocalizando a través de la Consola de búsqueda de Google (así como sus subdominios o subdirectorios, en caso de que los esté geolocalizando individualmente), asegúrese de geolocalizarlos nuevamente con la versión de dominio seguro. Google Búsqueda consola
1.15. Configuración de parámetros de URL Si los parámetros de URL se manejan a través de Google Search Console, la configuración existente debe replicarse en el perfil del sitio seguro. Google Búsqueda consola
1.16. Preparación de la configuración de CDN Si se utiliza una CDN, verifique que puedan servir correctamente la versión de dominio seguro del sitio y manejar SSL cuando se realice la migración. Proveedor CDN
1.17. Preparación de anuncios y extensiones de terceros Verifique que cualquier código publicitario servido, extensiones de terceros o complementos sociales utilizados en el sitio funcionen correctamente cuando se mueva a https Plataformas de anuncios y extensiones
1.18. Preparación de la configuración de análisis web Asegúrese de que la configuración de Web Analytics existente también supervisará el tráfico del dominio seguro Plataforma de analítica web

Durante la migración real a un sitio web seguro

2.1. Lanzamiento del sitio HTTPS Publique la versión validada del sitio https en vivo Entorno de producción
2.2. Validación de la estructura web de la nueva versión HTTPS Verifique que la estructura de la URL en la versión del sitio seguro sea la misma que la de HTTP Entorno de producción
2.3. Enlace interno de nueva versión segura Verifique que los enlaces del sitio apunten efectivamente a sus URL HTTPS Entorno de producción
2.4. Nueva canonicalización de la versión HTTPS Verifique que las etiquetas canónicas de las páginas apunten a sus URL HTTPS Entorno de producción
2.5. Nueva canonicalización de la versión HTTPS Implemente las reescrituras y redirecciones de www vs non-www, barra vs sin barra, etc. en la nueva versión web segura Entorno de producción
2.6. Implementación de redireccionamiento de HTTP a HTTPS Implemente los redireccionamientos 301 desde cada URL del sitio desde su versión HTTP a HTTPS Entorno de producción
2.7. Configuración de análisis web Anote la fecha de migración en su plataforma Web Analytics y verifique que la configuración esté configurada para rastrear la versión web segura Plataforma de analítica web
2.8. Validación de la configuración del servidor SSL Verifique la configuración SSL de su servidor web. Puede utilizar servicios como https://www.ssllabs.com/ssltest/ Entorno de producción, prueba SSL
2.9. Actualización de Robots.txt Actualice la configuración de robots.txt en el dominio https con los cambios relevantes. robots.txt

Después de iniciar HTTPS

3.1. Validación de rastreo HTTPS Rastrear el sitio para verificar que las URL seguras son las accesibles, vinculadas y servidas sin errores, sin indexaciones erróneas, canonicalizaciones y redireccionamientos. Entorno de producción
3.2. El nuevo sitio HTTPS redirecciona la validación Verifique que las reglas de redireccionamiento de http frente a https, www frente a no www y barra inclinada frente a no barra inclinada se hayan implementado correctamente Entorno de producción
3.3. Lanzamiento y envío del mapa del sitio XML Cargue y verifique el mapa del sitio XML generado con las versiones de URL seguras en el perfil de https Google Search Console Google Búsqueda consola
3.4. Actualización de enlaces externos oficiales Actualice los enlaces externos oficiales que apuntan al sitio para ir a la versión segura (perfiles de redes sociales, sitios de socios, etc.) Presencia oficial en plataformas externas
3.5. Validación de extensiones de terceros y anuncios Verifique que todos los complementos, como botones sociales, anuncios y código de terceros, funcionen correctamente en las versiones de URL seguras. Puede escanear su sitio web para buscar contenido no seguro con https://www.jitbit.com/sslcheck/ Plataformas de anuncios y extensiones, verificación SSL
3.6. Ejecución de actualización de campañas Implementar los cambios relevantes en anuncios, correos electrónicos y campañas de afiliados para hacer referencia correctamente a la versión web HTTPS Plataformas de campañas
3.7. Monitoreo de rastreo e indexación Supervise la indexación, la visibilidad y los errores de las versiones del sitio HTTP y HTTPS Google Búsqueda consola
3.8. Rankings y monitoreo de tráfico Monitoree el tráfico de las versiones del sitio HTTP y HTTPS y la actividad de clasificación Plataformas de seguimiento de ranking y análisis web
3.9. Validación de la configuración de Robots.txt Verifique la configuración de robots.txt en el dominio seguro para asegurarse de que la configuración se haya actualizado correctamente robots.txt

 

Esta lista de verificación de migración de HTTP a HTTPS se creó amablemente y se compartió con el grupo de Facebook de Advanced WP. 

7. ¿Cómo puede agregar seguridad a su sitio web de WordPress?

Vayamos al meollo de la cuestión y ensuciemos nuestras manos. Hay dos formas de configurar WordPress SSL:

  • Configurar SSL manualmente en su sitio web de WordPress
  • Uso del complemento HTTPS de WordPress

Cómo adquirir un certificado seguro

En primer lugar, deberá adquirir de alguna manera un certificado SSL.

Hay varias formas de hacerlo, pero la forma más sencilla de hacerlo es a través de su servidor de alojamiento.

En InMotion hosting, puede comprar el certificado y todo lo que necesita directamente a través de la consola del Panel de administración de cuentas (AMP). Lo bueno es que te apoyarán muy bien si no quieres ensuciarte las manos.

Comprar certificado SSL

Incluido en el precio de $ 99 / año, estará el precio de la IP dedicada requerida. Hay una tarifa única de $ 25 ya que el certificado debe instalarse en el servidor que alimenta su sitio web.

Esta tarifa puede no aplicarse si tiene acceso directo al servidor y puede instalar el certificado usted mismo.

Si tiene un servidor privado virtual, instalar el certificado manualmente es muy fácil. Hemos documentado los pasos en nuestro VPS en movimiento revisión, por lo que no volveremos a pasar por eso.

Detalles para la compra de un certificado SSL dedicado

Si no está alojado con InMotion, (¿por qué no? ¿No sabe que sus servidores son más rápidos y su soporte mejor?) El procedimiento será similar.

Pruebe InMotion Hosting ahora

Una vez que se haya comprado e instalado el certificado, ahora debe habilitar WordPress SSL / TLS.

Uso de Let's Encrypt como autoridad de certificación

En este artículo, mencionamos que los certificados seguros son emitidos por lo que se llama una autoridad de certificación. Este es un organismo que puede "certificar" que el servidor donde ha instalado su certificado es realmente quien dice ser. Por supuesto, esto implica algo de trabajo y, por lo general, se le cobrará por este trabajo.

Let's Encrypt es un nuevo Autoridad certificada que quiere facilitar a todos la adquisición de un certificado seguro, haciendo que el proceso de adquisición de un certificado sea automatizado y gratuito.

Esta es esencialmente una autoridad dirigida por una serie de empresas llamadas Internet Security Research Group, que incluye nombres tan importantes como Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook y muchos otros que quieren hacer el proceso de adquisición de un certificado de seguridad: Gratis, Automatizado, Seguro, Transparente, Abierto y Cooperativo.

¿Por qué estas empresas querrían darte cosas gratis? Porque una Internet segura y protegida es un objetivo deseable para todos.

Aunque puede ser relativamente fácil, sigue siendo un procedimiento técnico para obtener el certificado. Sin embargo, la mayoría de las empresas de alojamiento web en estos días han integrado la funcionalidad de modo que para la mayoría de las empresas, adquirir un certificado Let's Encrypt es una cuestión de hacer clic en un botón y el certificado se creará y configurará.

Crear un certificado seguro manualmente usando Let's Encrypt

(Puede omitir esta parte si no planea crear su propio Certificado Let's Encrypt y lo adquirirá a través de su servidor de alojamiento)

Necesitará acceso de root directo o de shell a su servidor para poder ejecutar el siguiente procedimiento.

1. Instale la biblioteca Let's Encrypt en su servidor

Ejecute el siguiente comando para instalar la biblioteca Let's Encrypt

$ sudo git clon https://github.com/letsencrypt/letsencrypt / opt / letsencrypt

Este comando descargará y copiará el repositorio LetsEncrypt en su directorio / opt.

2. Genere un certificado seguro

La mejor manera de generar un certificado es usar el método independiente con un tamaño de clave de 4096 (que es muy fuerte).

$ ./letsencrypt-auto certonly --independiente --rsa-key-size 4096

Tan pronto como ejecute este comando, aparecerá una ventana que le pedirá el nombre de dominio. Se sugiere que ingrese tanto su dominio raíz como otros subdominios con los que planea usar el certificado.

permite encriptar generar certificado

El siguiente paso es leer y aceptar los términos de servicio de Encriptemos. Una vez que esté de acuerdo, podrá ver la ruta del archivo .pem. Estará ubicado en / etc / letsencrypt / live / your-domain-name /. Si encuentra algún error al crear el certificado, es posible que desee verificar la configuración de su firewall porque se necesitarán varias conexiones para crear los certificados.

El certificado generado caducará en 90 días y deberá renovarse cada 90 días. Este es un punto un poco negativo y positivo. Puedes encontrar las razones por las que aquí se utilizan certificados de 90 días. Para renovar el certificado, solo necesita ejecutar el script de renovación Let's Encrypt.

Es posible que desee escribir un trabajo cron para automatizar el proceso.

Esto es especialmente importante si tiende a olvidarlo. Una vez que su certificado caduque, verá la advertencia roja extraña que se muestra arriba, por lo que es posible que desee tener esto en cuenta.

Paso 3: generar una sólida seguridad de criptografía de clave pública utilizando un grupo Diffie Hellman

Para aumentar aún más la seguridad, también debe generar un grupo Diffie-Hellman fuerte. Para generar un grupo de 4096 bits, use este comando:

sudo abre ssl dhparam -out /etc/ssl/certs/dhparam.pem 4096

Esto puede tardar unos minutos, pero cuando termine, tendrá un grupo de DH fuerte en /etc/ssl/certs/dhparam.pem

Ahora que tiene un certificado, deberá instalarlo en su servidor web a través de la función SSL / TLS de CPanel o lo que sea que utilice su empresa de alojamiento.

panel ssl tls

Si este procedimiento le asusta, tenga en cuenta que en estos días, la mayoría de estas cosas están completamente automatizadas en la mayoría de los hosts.

 

8. Cómo configurar su WordPress para usar SSL (o TLS) y HTTPS (de forma manual)

Una vez que tenga un certificado seguro y lo haya instalado o puesto a disposición en el servidor donde aloja su sitio web, debe realizar los siguientes pasos para habilitar HTTPS en WordPress.

El primer paso que debe hacerse es incorporar HTTPS en su sitio web para actualizar la URL de su sitio web. Para hacer esto, debe ir a Configuración → General y allí puede actualizar su WordPress y el campo de dirección URL del sitio.


Actualizar URL para usar SSL de WordPress

Si tiene un sitio web existente y está habilitando SSL, también debe configurar una redirección 301 que obligue a que todas las solicitudes HTTP se atiendan de forma segura. Esto también asegurará que ninguno de sus enlaces existentes de sitios web externos se pierda, mientras que tampoco perderá ningún enlace.

Esto se puede hacer agregando el fragmento de código a continuación en el archivo .htaccess de su sitio web, al que puede acceder a través de su Administrador de archivos de CPanel.

RewriteEngine en RewriteCond% {SERVER_PORT} 80 RewriteRule ^ (. *) $ Https://www.yourwebsitehere.com/$1 [R = 301, L]

Puede ver que se trata de una redirección 301, lo que se asegurará de que no pierda ningún enlace. Asegúrese de haber reemplazado yourwebsitehere.com con la URL de su sitio web.

Lo anterior obliga a su servidor a ofrecer contenido de forma segura. Solo como un punto a tener en cuenta, todas y cada una de las URL del dominio principal se convertirán a HTTPS utilizando lo anterior. Entonces, cualquiera de sus enlaces antiguos en, digamos http: // www.collectiveray.com / wordpress / se convertiría automáticamente en https: // www.collectiveray.com / wordpress / 

Para aquellos que están en servidores Nginx, debe agregar el redireccionamiento HTTP a continuación para convertirlo en HTTPS:

servidor {escuchar 80; nombre_servidor websitename.com www.websitename.com; return 301 https: //websitename.com$request_uri; }

Los siguientes pasos le ayudarán a garantizar que todo el contenido del sitio se publique de forma segura.

Configurar un administrador seguro

Puede configurar el forzado de un administrador de WordPress seguro (es decir, la parte de administración de su sitio web o / wp-admin) a través de su archivo wp-config.php. Si desea forzar la seguridad en un sitio web de WordPress que tiene páginas de inicio de sesión de varios sitios o en el área de administración, todo lo que necesita es agregar el siguiente fragmento de código al archivo wp-config.php. 

define ('FORCE_SSL_ADMIN', verdadero);

Eso es todo, ¡ahora debería poder acceder a su administrador de WordPress de forma segura!

9. Implementar HTTPS usando complementos SSL de WordPress

Otra forma fácil de configurar SSL en su sitio web es utilizar un complemento SSL de WordPress.

Usando el Really Simple SSL plugin

really simple ssl plugin

El complemento de elección para habilitar WordPress HTTPS en su sitio es el Really Simple SSL enchufar. Es un complemento muy bien escrito por Rogier Lankhorst. Lo mejor de este complemento es que elimina toda la complejidad asociada con la habilitación de certificados seguros en su sitio.

Realmente, este es un complemento de activación SSL con un solo clic. 

Una vez que haya adquirido el certificado SSL utilizando uno de los métodos descritos anteriormente y lo haya instalado en su servidor, solo necesita instalar y Activar de la forma más Really Simple SSL plugin y hará el resto del trabajo por usted.

En realidad, hace bastante trabajo bajo el capó para resolver la mayoría de los problemas conocidos con la activación de HTTPS en su sitio web. Toma en consideración la configuración del servidor y realiza todos los cambios necesarios para que usted no tenga que meterse con nada.

La siguiente es una captura de pantalla del complemento después de la activación: ha realizado un trabajo y ha detectado que ya hay un certificado instalado en el servidor.

Como puede ver, ahora puede simplemente hacer clic en "Activar SSL" ¡y listo! 

Detección SSL de WordPress del certificado SSL

Una vez que su sitio web se haya convertido a SSL, eche un vistazo a la configuración o busque cualquier problema o problema, como se puede ver en la captura de pantalla a continuación. 

Luego, el complemento intentará solucionar los problemas encontrados.

Este complemento es su ventanilla única para habilitar SSL.

really simple ssl escanear en busca de problemas

 

Otros complementos para habilitar SSL

Por supuesto, el anterior no es el único complemento que puede utilizar para habilitar certificados seguros. Las siguientes son otras opciones que puede que desee utilizar. Ambos logran en última instancia el mismo objetivo, habilitar HTTPS en su sitio de WordPress.

  • Fácil redirección HTTPS
  • SSLZen - este es un nuevo complemento, en realidad le ayuda a crear el certificado Let's Encrypt a través del propio complemento 

10. Probar la configuración correcta del certificado seguro de su sitio web 

Para asegurarse de que su sitio se haya configurado por completo, le recomendamos que pruebe su sitio con este Comprobador de SEO SSL , que comprueba si tiene la configuración SSL de WordPress recomendada.

Una vez que se ejecute la prueba, obtendrá un informe SSL similar al siguiente:

informe ssl collectiveray 

11. No olvide renovar su certificado seguro

Un certificado caducado es un certificado muerto.

Si un certificado caduca, no puede renovarlo.

Necesita volver a emitir uno nuevo y reinstalarlo en su sitio. Eso es, por supuesto, más dolor de cabeza de lo que realmente necesita, así que asegúrese de recordar renovarlo antes de que caduque.

Esto nos sucedió en el aniversario de nuestra primera configuración de certificado seguro. No es una situación agradable ver de repente que TODO su tráfico se reduce a cero. La gente es muy cautelosa a la hora de avanzar más allá de un certificado caducado, por lo que el tráfico que obtendrá será enorme.

Sugerimos configurar un recordatorio un par de semanas antes del vencimiento.

Te has calentado. Los certificados caducados suponen mucho trabajo, así que no olvide renovarlos.

¿Quiere tomar el camino más fácil?

Por supuesto, aunque hacemos que parezca simple, hay ocasiones en las que las cosas no salen como esperabas, así que asegúrate de tener tus números de soporte a mano en caso de que todo salga mal al configurar tu funcionalidad SSL de WordPress. .

Si desea tomar el camino más fácil, simplemente obtenga InMotion para que lo configure todo por usted. Obtendrá un sitio web más rápido, además de que funciona con SSL. También obtendrá un dominio gratis y ellos transferirán el sitio por usted. CollectiveRay los visitantes también obtienen un descuento EXCLUSIVO del 47% sobre el precio normal, así que hazte una ganga AHORA.

Esta es una oferta por tiempo limitado hasta octubre de 2024, así que consígala antes de que expire.

Preguntas frecuentes

¿WordPress tiene SSL?

WordPress admite SSL tanto en el front-end como en el backend. Para habilitarlo, debe adquirir un certificado comprando uno o utilizando Let's Encrypt a través de su empresa de alojamiento e instalarlo en el servidor. Una vez que el certificado está instalado, puede habilitar HTTPS usando uno de los métodos anteriores, como usar el Really Simple SSL .

¿Cómo habilito SSL en WordPress?

Para habilitar SSL en WordPress, el método más fácil es usar un complemento como Really Simple SSL. Esto usa el certificado configurado actualmente para el dominio, así que asegúrese de que el certificado seguro ya se haya instalado antes de activarlo.

¿Cómo obtengo SSL gratis en WordPress?

Para obtener SSL gratis en WordPress, debe utilizar la funcionalidad Let's Encrypt disponible en su servidor de alojamiento. Esto emitirá un certificado seguro gratuito y lo instalará en su dominio. La mayoría de las empresas de alojamiento ofrecen esta funcionalidad en la actualidad, puede usar InMotion para hacer esto.

¿Cuál es la diferencia entre HTTP y HTTPS?

La diferencia entre HTTP y HTTPS es que este último se transmite a través de un canal seguro. El certificado seguro instalado en el servidor cifra los mensajes antes de enviarlos de una manera que solo puede descifrar el navegador que inició la conexión. Esto significa que los datos confidenciales, como iniciar sesión en un sitio web con un nombre de usuario / contraseña, enviar datos confidenciales, como enviar detalles de tarjetas de crédito u otros datos, se pueden enviar de forma segura.

Conclusión: HTTPS es imprescindible

Como habrás visto, aunque la implementación de HTTPS o SSL no siempre es sencilla, es esencial. Google ha anunciado recientemente que etiquetará los sitios web como NO SEGUROS, si no están habilitados para SSL. Así que asegúrese de configurar esto en su sitio web hoy.

 

Sobre la autora
David Atard
David ha trabajado en la industria digital y en línea durante los últimos 21 años. Tiene una amplia experiencia en las industrias de software y diseño web utilizando WordPress, Joomla y los nichos que los rodean. Ha trabajado con agencias de desarrollo de software, empresas de software internacionales, agencias de marketing locales y ahora es Jefe de Operaciones de Marketing en Aphex Media, una agencia de SEO. Como consultor digital, su objetivo es ayudar a las empresas a obtener una ventaja competitiva utilizando una combinación de su sitio web y las plataformas digitales disponibles en la actualidad. Su combinación de experiencia en tecnología combinada con una sólida visión para los negocios aporta una ventaja competitiva a sus escritos.

Una cosa más... ¿Sabías que las personas que comparten cosas útiles como esta publicación también se ven IMPRESIONANTES? ;-)
Por favor, deja un eficiente Comente con sus pensamientos, luego comparta esto en su (s) grupo (s) de Facebook que lo encontrarán útil y cosechemos los beneficios juntos. ¡Gracias por compartir y ser amable!

Divulgación: Esta página puede contener enlaces a sitios externos para productos que amamos y recomendamos de todo corazón. Si compra productos que le sugerimos, es posible que ganemos una tarifa de referencia. Tales tarifas no influyen en nuestras recomendaciones y no aceptamos pagos por reseñas positivas.

Autor (es) destacado en:  Logotipo de la revista Inc   Logotipo de Sitepoint   Logotipo de CSS Tricks    logotipo de webdesignerdepot   Logotipo de WPMU DEV   y muchos más ...