La guía definitiva de HTTPS y SSL para WordPress

¿Alguna vez has notado que la mayoría de tus sitios web favoritos tienen una URL que comienza con HTTPS? Es más probable que note cuando la S, que indica que una URL es segura, no está presente. Eso es porque Google ahora marca los sitios web sin un certificado SSL, un componente importante de un sitio web seguro. Debido a que la seguridad del sitio web es tan importante, es crucial que comprenda HTTPS y SSL para WordPress.

Si ejecuta un sitio web de WordPress, querrá que tenga SSL y HTTPS para una mayor seguridad y confianza de los visitantes. Como beneficio adicional, su sitio web tendrá una clasificación de búsqueda de SEO más alta. Entonces, si está listo para agregar una capa adicional de seguridad y protección tanto para su sitio como para los usuarios que lo visitan, siga leyendo.

¿Qué es HTTPS y SSL?

HTTPS y SSL para WordPress van de la mano. Por sí solo, HTTP (el prefijo de URL original) significa protocolo de transferencia de hipertexto. La instalación de un certificado SSL (capa de conexión segura) en su sitio web lo protege. Cuando tiene instalado el certificado SSL o TLS adecuado en su sitio web, el prefijo de URL cambia de HTTP a HTTPS: protocolo de transferencia de hipertexto seguro.

Profundicemos más en qué son HTTPS y SSL y cómo funcionan. Según la Red de desarrolladores de Mozilla (MDN):

HTTPS (Protocolo seguro de transferencia de hipertexto) es una versión cifrada del protocolo HTTP. Utiliza SSL o TLS para cifrar todas las comunicaciones entre un cliente y un servidor. Esta conexión segura permite a los clientes intercambiar de forma segura datos confidenciales con un servidor, como cuando realizan actividades bancarias o compras en línea.

Esencialmente, HTTPS significa que su sitio está encriptado de extremo a extremo. Eso significa que solo los dos clientes en cada extremo de la transacción pueden leer los datos. Si un usuario o entidad maliciosa interceptara la comunicación, no obtendría nada más que un lío de caracteres confusos y aleatorios.

Ahora, pasemos a la definición de SSL de MDN:

Secure Sockets Layer, o SSL, era la antigua tecnología de seguridad estándar para crear un enlace de red encriptado entre un servidor y un cliente, lo que garantiza que todos los datos transmitidos sean privados y seguros. La versión actual de SSL es la versión 3.0, lanzada por Netscape en 1996 y ha sido reemplazada por el protocolo Transport Layer Security (TLS).

Cuando se trata de TLS vs SSL, TLS es esencialmente el seguimiento de SSL. Al igual que SSL, TLS establece una conexión cifrada entre un servidor y un cliente. Los dos protocolos dan como resultado una mejor seguridad para su sitio web de WordPress.

¿Necesita HTTPS y SSL?

La respuesta corta es sí: necesita HTTPS y SSL. Además de generar confianza con sus visitantes, la seguridad del sitio es competente para un SEO sólido. En 2018, Google comenzó a marcar sitios web sin un certificado SSL o TLS. Esto disuade a los usuarios de navegar a sitios que no tienen un certificado SSL.

Hace años, los certificados SSL eran caros, miles de dólares, de hecho. Grandes sitios web que generaban ingresos, como Facebook y Amazon, mostraban el icono de un candado en la ventana del navegador del usuario. Eso es porque tenían el presupuesto para comprar el certificado. Por otro lado, el sitio web de WordPress del usuario promedio simplemente tenía un prefijo HTTP. En estos días, los certificados SSL son necesarios y asequibles.

Si bien WordPress ahora instala automáticamente certificados SSL en cada sitio web nuevo, es posible que tenga un dominio más antiguo o un sitio establecido desde hace mucho tiempo que necesita protección. Es posible obtener un certificado SSL gratuito para su sitio web de WordPress si aún no tiene uno. La mayoría de los anfitriones también ofrecen un certificado SSL gratuito o con descuento como parte de sus paquetes de alojamiento. Con HTTPS y SSL para WordPress ahora tan accesibles, no hay razón para dejar tu sitio web vulnerable.

Cómo instalar SSL para WordPress

¿Se pregunta cómo instalar SSL para WordPress? Lo guiaremos a través de los pasos y le mostraremos cómo se hace.

Usar un complemento

Comencemos instalando SSL para WordPress usando un complemento. Para este tutorial, estamos usando Really Simple SSL. Este complemento mueve automáticamente su sitio web de WordPress a SSL. Entonces, si su URL aún muestra HTTP en lugar de HTTPS, este complemento se encargará del problema y lo ayudará a proteger su sitio.

Hagámoslo.

1. Vaya a la página del complemento Really Simple SSL y haga clic en Descargar. Guarde el archivo .zip del complemento en su computadora.

2. Abra una nueva pestaña del navegador, inicie sesión en su panel de WordPress y haga clic en Complementos.

3. En la pantalla Complementos, haga clic en Agregar nuevo.

4. En la página Agregar complementos, haga clic en Cargar complemento.

5. A continuación, cargue el archivo .zip asociado con su complemento. Elija su archivo, luego haga clic en Instalar ahora.

6. WordPress mostrará una página que muestra el progreso de su carga. Una vez que se cargue el complemento, simplemente haga clic en Activar complemento.

Posibles ajustes de complementos

7. Como puede ver, ya hay un certificado SSL detectado en el sitio web en el que estoy trabajando. Pero si aún no tuviéramos SSL, los siguientes pasos que tendríamos que cubrir serían:

• Cambiar cualquier referencia http:// en archivos .css y .js a https://
• Eliminación de scripts, hojas de estilo o imágenes que se originaron en un dominio sin SSL
• Vuelva a iniciar sesión (porque una vez que active el complemento, WordPress cerrará su sesión)

Cuando esté listo, haga clic en Activar SSL para finalizar la instalación. Este complemento cambiará su URL predeterminada a HTTPS.

8. Ahora, SSL está activado. La ventana del complemento me muestra qué pasos se deben tomar para asegurar aún más el sitio web. Really Simple SSL proporciona artículos y recursos para ayudarme a ajustar mi configuración de seguridad a un nivel óptimo. Puedo revisarlos uno por uno para optimizar mi seguridad.

¿Está ejecutando Divi en su sitio de WordPress? Algunos usuarios con Divi experimentan problemas con contenido mixto cuando instalan Really Simple SSL. Si ese es el caso, se debe borrar el caché de Divi para solucionar el problema. Obtenga más información sobre cómo resolver el problema aquí.

Revisar la configuración del complemento SSL

Ahora es el momento de navegar a la página principal de Complementos y verificar la configuración de su complemento SSL. Simplemente haga clic en Configuración para comenzar. Verá la misma lista de verificación de recursos que antes. Simplemente desplácese hacia abajo en la página para ver dónde puede cambiar la configuración.

La configuración predeterminada del complemento debería ser adecuada, pero siempre puede hacer ajustes. Principalmente, desea asegurarse de que el solucionador de contenido mixto esté marcado. Lo más probable es que ese ya esté seleccionado. Si no es así, verifíquelo y guarde la página.

Asegúrese de leer la documentación adjunta antes de cambiar la configuración.

¡Eso es todo! Ha instalado SSL para WordPress a través de un complemento.

Instalación manual

Ahora, veamos cómo instalar SSL para WordPress manualmente. Comenzaremos abriendo una nueva pestaña del navegador y navegando a SSL gratis (ZeroSSL).

1. Desde la página de inicio, ingrese la URL de su sitio en la barra de texto y haga clic en Crear certificado SSL gratuito.

2. Se le pedirá que cree una cuenta. Una vez que haya hecho eso, el sitio lo redirigirá a la página de inicio de ZeroSSL. Desde allí, haga clic en Nuevo certificado.

3. En la página siguiente, puede ingresar su dominio en el cuadro de texto y luego hacer clic en Siguiente paso.

4. Puede elegir si desea crear un certificado de 90 días de forma gratuita o un certificado de 1 año (de pago). Si elige uno que dure 90 días, deberá volver y regenerar otro cada 90 días. Una vez que haya seleccionado la opción con la que desea ir, haga clic en Siguiente paso.

5. A continuación, puede hacer que el programa genere automáticamente una solicitud de firma de certificado (CSR) si lo desea. También puede completar manualmente su información. El propósito de esto es verificar su identidad y el hecho de que, de hecho, es propietario del dominio para el que está generando el SSL. Luego se le pedirá que seleccione el plan que desea.

Verificación de dominio y SSL para la instalación manual de WordPress

6. Ahora se le pedirá que verifique su Dominio. Puedes hacer esto de tres maneras:

• A través de la verificación de correo electrónico
• Agregando un nuevo registro CNAME en su servidor host
• A través de la carga de archivos HTTP

Dependiendo de la opción que elija, siga las instrucciones proporcionadas en el sitio.

7. Una vez que se verifique su dominio, el sitio generará su certificado SSL. Puede descargar su certificado y luego hacer clic en Siguiente paso.

8. Ahora, deberá cargar el certificado SSL en su cPanel. Este proceso puede parecer un poco diferente según el host que utilice. Para obtener instrucciones paso a paso, busque su host en esta lista de ZeroSSL, que lo guiará a través de la finalización de su SSL para la instalación de WordPress.

A los efectos de este artículo, le mostraré cómo se ve eso a través de mi Bluehost cPanel.

9. Primero, navegue a su cPanel y desplácese hacia abajo hasta la sección SEGURIDAD. Haga clic en SSL/TLS.

10. Haga clic en "Generar, ver, cargar o eliminar certificados SSL".

11. Ahora verá una lista de certificados actualmente en su servidor. Desplácese hacia abajo hasta la sección denominada "Cargar un nuevo certificado".

12. Ahora, tienes un par de opciones. Tu también puedes:

• Descomprima su certificado SSL que descargó de ZeroSSL, luego cargue el archivo .crt.
• O bien, puede abrir el archivo .crt en un editor de texto básico. Copie el texto completo del certificado, luego regrese a su cPanel y péguelo en el cuadro de texto con la etiqueta "Cargar un nuevo certificado". Esto incluye el texto del encabezado y el pie de página que indica el principio y el final del certificado.

13. Haga clic en Cargar certificado. Después de eso, querrá volver a verificar que la instalación se haya realizado correctamente. Puede comprobar su certificado en su panel de ZeroSSL. Alternativamente, intente navegar a su URL con el prefijo https:// para ver si funciona para usted.

¡Eso es todo!

Preguntas frecuentes sobre SSL y HTTPS

Ahora, echemos un vistazo a algunas preguntas frecuentes sobre HTTPS y SSL para WordPress.

¿Cómo sé si mi sitio tiene un certificado SSL?

Abra una nueva ventana del navegador y navegue a su sitio web. Mire a la izquierda de su prefijo de URL. La ventana de su navegador debe mostrar un icono de candado junto a la URL. Alternativamente, haga clic en el cuadro de texto y debería poder ver HTTPS en pantalla.

¿SSL y HTTPS harán que mi sitio sea más lento?

SSL y HTTPS pueden hacer que su sitio sea un poco más lento. Sin embargo, si los visitantes de su sitio web se encuentran con la pantalla de error de Google que les impide acceder a su sitio web HTTP en primer lugar, eso es más un problema. O va a sacrificar una pequeña cantidad de velocidad por un sitio web seguro en el que los usuarios confíen, o va a lidiar con una alta tasa de rebote de un sitio no seguro.

Instalé el certificado SSL, pero mi sitio aún muestra que no es seguro. ¿Qué hago ahora?

Vuelva a verificar que su instalación haya sido exitosa. Puede hacer esto en WordPress navegando a la página de configuración de su complemento o verificando su instalación manual a través de su panel de ZeroSSL. Puede haber algunas configuraciones que necesite alternar, o puede que tenga que realizar una solución de problemas.

Si ve errores SSL continuos en su sitio, es posible que deba:

• • Forzar redireccionamientos de HTTP a HTTPS
  • Corregir errores de contenido mixto (imágenes rotas)
  • Inspeccione los complementos y temas existentes en busca de errores

• Arreglar un bucle de redirección
• Solucione más los problemas de su certificado SSL, que puede mostrar una advertencia de certificado no válido (en cuyo caso, puede renovarlo)

Para inspeccionar los errores de SSL, puede hacer clic con el botón derecho en su sitio web y seleccionar Inspeccionar en el menú desplegable. Los errores se resaltan en rojo. Puede informar errores al autor de un complemento o tema, su proveedor de alojamiento web o su equipo de soporte técnico, según dónde y cómo esté alojado y configurado su sitio.

Si no es un desarrollador, es mejor no intentar modificar sus complementos o temas. Es demasiado fácil estropear algo que no conoce o que afecta a su sitio a gran escala.

Dependiendo de la herramienta que haya seleccionado, debería poder obtener cierta ayuda. Puede hacer preguntas en foros abiertos, seguir las guías de solución de problemas o ponerse en contacto con su anfitrión para obtener ayuda. Si ejecuta Divi, tenemos un equipo de chat en vivo que también puede ayudarlo. Lo más probable es que pueda obtener ayuda de otra persona que tenga experiencia en el problema que está experimentando.

¿Cómo soluciono los errores de contenido mixto?

Los errores de contenido mixto ocurren cuando ha instalado SSL para WordPress, pero su sitio web todavía ve parte del contenido como inseguro. Puede notar imágenes faltantes, por ejemplo. Para solucionar esto, puede configurar su sitio de WordPress para mostrar contenido mixto.

Puede corregir errores de contenido mixto instalando y activando el complemento SSL Insecure Content Fixer. Si continúa recibiendo errores de contenido mixto, es posible que algo esté mal en su base de datos. Deberá realizar algunos pasos adicionales para solucionar ese problema, incluida la instalación y ejecución del complemento Better Search and Replace. Hemos escrito una publicación para guiarlo a través de la corrección de errores de contenido mixto aquí.

¿Cómo fuerzo HTTPS?

Para forzar HTTPS, es posible que deba configurar redireccionamientos automáticos de HTTP a HTTPS. Forzar los redireccionamientos automáticos evitará que los usuarios puedan abrir la versión HTTP de su sitio web, que técnicamente todavía existe.

Aquí hay un tutorial de Name.com que lo guía a través del proceso a través de cPanel. Como alternativa, puede solucionar este problema directamente en el archivo . htaccess archivo a través de su cliente FTP. Este tutorial de Dreamhost lo guiará a través de los pasos para forzar la carga segura de su sitio.

¿Cuánto cuestan los certificados SSL?

Los certificados SSL varían mucho en precio, desde gratis hasta aproximadamente $1000 al año. En promedio, tienden a ser mucho menos costosos. El precio depende del servicio que elija y del nivel de soporte que necesite.

¿Hay alguna diferencia entre los certificados SSL gratuitos y los de pago?

No en términos de funcionalidad. Tanto los certificados SSL gratuitos como los de pago ofrecen la misma cantidad de seguridad a los usuarios finales. Sin embargo, es probable que un certificado SSL pagado tenga soporte técnico adicional y una validación más completa. Si se siente cómodo con la solución de problemas de su SSL, entonces usar un certificado gratuito puede funcionar bien para usted. Pero si cree que podría necesitar soporte técnico continuo y no quiere tener que reinstalar un nuevo certificado gratuito cada vez que vence el actual, un certificado SSL pago podría ser una mejor opción.

¿Tengo que renovar mi Certificado SSL?

La renovación del certificado SSL depende de su host. Si está utilizando un host que incluye un certificado SSL como parte de su plan de alojamiento, puede configurarse para que se renueve automáticamente (y en estos días, muchos están configurados de esa manera para que los usuarios nunca tengan que tocarlos). Si utiliza la opción de certificado SSL de 90 días o de 1 año de ZeroSSL, deberá renovar manualmente su certificado SSL a intervalos.

Conclusión

Ahora que sabe cómo instalar y solucionar los problemas de su certificado SSL, es hora de proteger su sitio de WordPress. HTTPS y SSL para WordPress son de vital importancia para el éxito de su sitio web y el nivel de confianza de los usuarios (y de Google). Si desea que su sitio sea viable no solo ahora, sino también en el futuro, asegúrese de bloquearlo con HTTPS y SSL.

¿Has tenido problemas con SSL para WordPress? ¿Cómo te acercaste a resolverlos? Déjanos un comentario abajo y cuéntanos.

Imagen destacada del artículo por Eny Setiyowati / shutterstock.com