Presione esto: SSL realmente simple con Rogier Lankhorst
Publicado: 2023-08-19Bienvenido a Press This, el podcast de la comunidad de WordPress de WMR. Cada episodio presenta invitados de toda la comunidad y discusiones sobre los problemas más importantes que enfrentan los desarrolladores de WordPress. La siguiente es una transcripción de la grabación original.
Desarrollado por RedCircle
Doc Pop : Estás escuchando Press This, un podcast de la comunidad de WordPress en WMR. Cada semana destacamos a los miembros de la comunidad de WordPress. Soy su anfitrión, Doc Pop. Apoyo a la comunidad de WordPress a través de mi función en WP Engine y mis contribuciones en TorqueMag.Io, donde puedo hacer podcasts y dibujar caricaturas y videos tutoriales. Mira eso.
Puede suscribirse a Press This en Red Circle, iTunes, Spotify, su aplicación de podcasting favorita o puede descargar episodios directamente en wmr.fm.
Hoy, nos sumergimos en el mundo crítico de la seguridad de sitios web con especial atención a los certificados SSL. El certificado SSL es como un escudo virtual que cifra los datos y protege los datos de su usuario. Ahora, si eso no es suficiente para seguir escuchando, imagina poner tu corazón y tu alma en crear un sitio web hermoso solo para que Google coloque una gran etiqueta de "No seguro" en tu sitio cuando los visitantes intentan acceder a él a través de Chrome, simplemente porque no lo estás. t utilizando HTTPS o SSL.
Aquí para hablar conmigo hoy está Rogier Lankhorst, el desarrollador principal de Really Simple Plugins, los creadores del extremadamente popular complemento de WordPress, Really Simple SSL, Rogier, muchas gracias por acompañarnos hoy.
Me encantaría saber sobre tu historia de origen y cómo llegaste a WordPress.
Rogier Lankhorst: Bueno, gracias por invitarme al programa. Originalmente, creo que en 2016, un cliente me pidió que pusiera su sitio web en SSL lo más rápido posible. Así que instalé un complemento que era popular en ese momento y todo el sitio se cayó. Entonces, en ese momento, pensé que podía hacer esto de manera más liviana y fácil, con solo un clic de instalación.
Y lo publiqué en WordPress y después de eso realmente fue una montaña rusa.
Doc Pop: Absolutamente. Y este no fue tu primer complemento de WordPress, ¿verdad? Este fue el primero que realmente despegó de una manera tan masiva, pero tenías otros complementos Really Simple antes de eso.
Rogier Lankhorst: Algunos experimentos realmente pequeños, cosas en las que pensé en ese momento y las publiqué y realmente no despegaron, como dijiste. Así que Really Simple SSL fue el primer gran éxito, se podría decir.
Doc Pop: Siempre me ha gustado la analogía de comprar muchos billetes de lotería. Por ejemplo, realizó muchos experimentos y uno de ellos se puso de moda y ha podido construir un negocio a partir de él. Y ya que estamos hablando de SSL, ¿puedes decirles a los oyentes qué es un certificado SSL? ¿Y por qué es importante que un sitio de WordPress tenga uno?
Rogier Lankhorst: Con los certificados SSL, el sitio web cifra todos los datos antes de enviarlos al visitante del sitio web y viceversa. Por lo tanto, ayuda a proteger la web y no solo para las tiendas web, sino también para cualquier sitio web que, de lo contrario, podría ser suplantado por los atacantes. Y también es genial para clasificar en Google.
Y se ve mucho mejor en su navegador si hay un bloqueo en su sitio web. SSL es gratuito, ¿por qué no instalarlo?
Doc Pop: mencioné al comienzo de este programa que la primera vez que pensé en SSL fue cuando estaba usando Chrome y encontré un sitio que no era seguro y ese sitio era mío. Así que estaba asustado por mi propio sitio. Y tuve que aprender sobre la instalación de certificados SSL para tener una mejor experiencia cuando los usuarios vengan a mi sitio y lo vean. Una vez que instale SSL y tenga una dirección HTTPS, Google ya no mostrará esa advertencia en las visitas a Chrome, pero ¿también afecta al SEO?
Rogier Lankhorst: Sí, seguro. Google tiene muchas herramientas poderosas para que los usuarios hagan lo que quieran. Y la herramienta más poderosa que tienen es el ranking. Entonces, si quieren que los propietarios de sitios web hagan algo, simplemente lo colocan en el mecanismo de clasificación y el sitio web lo seguirá.
Doc Pop: Y mencionó que los certificados SSL son gratuitos en estos días. Creo que cuando me inscribí por primera vez en ellos, eso apenas comenzaba a suceder, parecía que era un proceso doloroso y tal vez costaba algo de dinero y luego surgieron servicios como Let's Encrypt y realmente lo hicieron más fácil. Además de eso, muchos servidores web, incluido el mío, comenzaron a ofrecer Let's Encrypt gratis, comenzaron a integrarlo en el proceso para hacerlo lo más simple posible, lo cual es realmente útil.
Entonces, con estas alternativas disponibles ahora para poder instalar, tal vez desde mi host, ¿hay alguna razón por la que alguien todavía use Really Simple SSL en lugar de si su host lo ofrece?
Rogier Lankhorst: Bueno, Really Simple SSL no se creó originalmente para generar certificados SSL. Eso es algo que agregamos hace dos años, porque pensé, bueno, si somos Really Simple SSL, también deberíamos poder generar un certificado, pero no es la razón principal por la que la gente instala Really Simple SSL.
Cuando los usuarios tienen SSL, a menudo no saben qué hacer con él. Y en WordPress, necesitas hacer algunas cosas; agregue redireccionamientos, corrija contenido mixto, cosas así, agregue encabezados de seguridad para realmente aprovechar al máximo el SSL seguro que puede obtener. Así que creo que esa sigue siendo la razón principal, la gente instala Really Simple SSL solo como el método más rápido para configurar SSL en su sitio web.
Doc Pop: Sí, y hay algunas funciones de seguridad adicionales que no lo son, no las considero necesariamente relacionadas con SSL y que forman parte de Really Simple SSL. ¿Puede contarnos sobre algunas de las otras características avanzadas que incluye Really Simple SSL?
Rogier Lankhorst: Nos dimos cuenta de que mucha gente ya pensaba en nosotros como un complemento de seguridad. Entonces, ahí fue cuando pensé que teníamos que cumplir con esas expectativas. Comenzamos agregando algunas funciones de refuerzo, como bloquear el registro de usuarios. Muchos propietarios de sitios web no saben que el registro de usuario está abierto y cosas como la ubicación del registro de depuración, que puede contener información importante, como direcciones de correo electrónico de usuario o claves de licencia o cosas por el estilo. Edición de archivos, comentarios en la pantalla de inicio de sesión.
Si inicia sesión y WordPress dice que el nombre de usuario no es correcto, el atacante lo sabe, puedo intentarlo de nuevo. Entonces, todas esas cosas son realmente el comienzo para que eventualmente nos ampliemos a un complemento de seguridad completo. Y la última característica que agregamos fue la detección de vulnerabilidades, que es realmente una gran herramienta para proteger realmente su sitio web, ya que la mayoría de los problemas en los sitios web de WordPress con seguridad son causados por complementos con una vulnerabilidad, que no se actualizan. Entonces, si los usuarios son más conscientes de eso, creo que WordPress se volverá mucho más seguro.
Doc Pop: Todo lo que mencionó, creo, son pequeñas molestias que la gente tiene sobre la seguridad de WordPress. Y es realmente interesante que Really Simple SSL haya evolucionado hasta convertirse en esta manera fácil de instalar un certificado SSL, pero también estas cosas deberían parchearse. Aquí hay una manera realmente fácil de arreglar eso.
Tengo un poco de curiosidad si la hinchazón es una preocupación para usted, cuando tiene un complemento llamado Really Simple SSL. ¿Le preocupa a veces que al agregar estas características adicionales, podría estar haciéndolo un poco más difícil? Y luego supongo que además de eso, ¿también estás pensando en cambiar el nombre del complemento a medida que agregas más funciones?
Rogier Lankhorst: Sí, bueno, eventualmente ese es el objetivo de que se convierta en Really Simple Security. Creo que será a principios del próximo año. Pero hablando de hinchazón, eso es algo difícil. Desea mantener las cosas lo más simples posible. Por lo tanto, hemos trabajado duro para que aún sea posible hacer solo la activación de SSL.
Y todas las demás cosas son modulares y no se cargan cuando no las usas, pero al mismo tiempo, creo que somos muy buenos para hacer que las cosas complejas sean realmente simples.
Creo que ahí es donde nuestro poder es lo que realmente podemos hacer por las personas para que sea realmente simple para los usuarios no técnicos. Y para los usuarios más avanzados, pueden sumergirse un poco más en la configuración.
Doc Pop: Eso es maravilloso. Creo que es un buen lugar para tomar un breve descanso. Y cuando regresemos, seguiremos hablando con Rogier sobre el impulso de Google para SSL. Y supongo que vamos a hablar un poco más sobre cómo es tener uno de los complementos más populares en el repositorio de WordPress.
Así que estad atentos a eso.
Doc Pop: Bienvenido de nuevo a Press This, un podcast de la comunidad de WordPress. Soy su anfitrión Doc Pop. Hoy estoy hablando con Rogier Lankhorst, el desarrollador principal de Really Simple Plugins. Y estamos hablando de SSL porque los complementos Really Simple crean un complemento extremadamente popular llamado Really Simple SSL. Rogier antes, antes de esta pausa, mencioné que una gran razón por la que estamos hablando de certificados SSL en estos días es en gran parte porque Google hizo un esfuerzo en la web para que esto suceda.
También veo que Google está presionando para tal vez acortar el plazo. Por lo tanto, algunos certificados SSL duran como dos años, y Google está hablando de impulsar certificados SSL de 90 días. ¿Tiene alguna idea sobre cómo Google anima a las personas a obtener SSL?
¿Crees que funcionó muy bien para todos?
Rogier Lankhorst: Bueno, creo que es algo bueno. En el momento en que Google comenzó con esto, muchos usuarios todavía pensaban que SSL no era importante para mí porque solo tengo un pequeño blog. No tengo ningún dato de usuario en mi sitio, pero hay muchas otras formas en que los atacantes pueden usar ese tipo de conexión entre sitios web y tal vez mostrar información incorrecta a los usuarios, fingiendo estar allí con otro sitio web.
Así que creo que es muy importante que todos los sitios web tengan eventualmente una conexión SSL. Así que creo que aunque Google siempre tiene sus propias razones para hacer cosas como esta. En este caso. Es algo bueno.
Doc Pop: Y los límites de 90 días, ¿tiene alguna idea al respecto?
Rogier Lankhorst: Bueno, debo admitir que no estoy muy familiarizado con las razones detrás de esto, pero sé un poco al respecto y que es más seguro tener certificados de duración más corta. Y creo que no hará mucha diferencia porque los certificados SSL más utilizados de Let's Encrypt ya tienen una vigencia de 90 días, por lo que no tendría mucho impacto de todos modos.
Doc Pop: Volvamos a hablar de Really Simple SSL. Hay una versión en el repositorio de WordPress, el repositorio de complementos, la versión gratuita con 5 millones. Sé que sigo diciendo eso, pero es un número tan impactante, 5 millones de usuarios activos o más.
¿Cuál es la diferencia entre la versión gratuita de Really Simple SSL y la versión pro que sé que ofrecen?
Rogier Lankhorst: La versión pro contiene principalmente muchos encabezados de seguridad y creo que la mayoría de los usuarios no están muy familiarizados con los encabezados de seguridad. Pero estos son algunos encabezados muy importantes que los usuarios pueden configurar en sus sitios web, lo que también aumentará la seguridad. Y no solo para su propio sitio web, sino también para los visitantes del sitio web, que creo que a menudo se olvida en la seguridad.
Hacemos que sea muy fácil configurar los encabezados de seguridad y actualmente estamos trabajando en la detección de vulnerabilidades, por ejemplo. Tenemos una característica que maneja automáticamente las actualizaciones o la hora actual, si se detecta una vulnerabilidad. También tenemos algunas funciones nuevas e interesantes que evitarán la creación de usuarios administradores por cualquier otro método que no sea la actualización o creación del perfil de usuario de WordPress.
Entonces, si observa las vulnerabilidades recientes, verá que un gran problema es cuando se crean los usuarios administradores. Entonces, si bloquea eso, evita muchas vulnerabilidades.
Doc Pop: Habíamos hablado sobre la clasificación de este complemento y el repositorio de WordPress. Estoy en la página popular en wordpress.org/plugins en este momento, y no sé si estos están clasificados en términos de orden, pero todos estos son complementos con 5 millones de instalaciones activas o más. Veo que solo en esta lista, Really Simple SSL es el noveno hacia abajo. Creo que eso podría significar que es el noveno complemento más popular en este momento en términos de instalaciones activas.
Rogier Lankhorst: Absolutamente. Sí.
Doc Pop: Guau. Eso es increíble. No es una gran sorpresa ver a Yoast, WooCommerce y Akismet aquí. No puedo hablar con personas que crearon complementos tan populares.
No tengo la oportunidad de hablar con ellos muy a menudo. Solo tengo un poco de curiosidad mientras estás aquí, ¿cómo es eso? Quiero decir, creo que mi primera pregunta es cuando tienes un complemento gratuito tan loco y popular, imagino que lo hace realmente difícil, probablemente recibas muchas solicitudes, muchos comentarios, muchas preguntas y solicitudes de ayuda.
¿Cómo manejas eso para un complemento gratuito?
Rogier Lankhorst: Creo que no son tantas solicitudes de soporte como la gente suele pensar. Durante el desarrollo del complemento y en los últimos siete u ocho años, siempre traté de crear un artículo en el sitio web cuando había una pregunta o crear una solución en el complemento en sí, o dejarlo más claro en el complemento. .
Así que ese enfoque realmente ha mantenido bajo el apoyo. Y ahora estamos con una empresa de 10 y con solo dos representantes de soporte. También tenemos otros dos complementos, creo que en total, más de seis millones y medio de instalaciones. Así que creo que la carga de soporte no es tan grande como mucha gente piensa al mirar los números de las instalaciones.
Doc Pop: ¿Puede hablar sobre el modelo de negocio de un complemento gratuito como este? ¿Cómo una empresa como la suya habilita 5 millones de instalaciones activas en Really Simple SSL y sigue siendo una empresa?
Rogier Lankhorst: Bueno, por supuesto, por cada 100 usuarios gratuitos, hay alguien que compra el complemento premium. Ahí es donde podemos construir una empresa a partir de las actualizaciones. A veces, los usuarios gratuitos se quejan de las actualizaciones. Y queremos decirles a los usuarios lo que ofrecemos.
Y siempre dicen, bueno, creo que es una gran oferta porque el complemento premium nos permite desarrollar de forma gratuita para 5 millones de usuarios.
Doc Pop: Y en términos de equilibrar lo que pasa en las versiones gratuitas y profesionales, ¿tiene alguna idea sobre cómo a veces determina cómo se cobran las cosas o cómo se mantienen gratuitas para ayudar a promocionar el producto más grande? ¿Es difícil decidir cuándo se agregan nuevas funciones, si son solo profesionales o si son gratuitas?
Rogier Lankhorst: Sí. Esa siempre es una discusión difícil de pensar, qué debería estar en la versión gratuita y qué debería estar en la versión premium. Y normalmente regalamos mucho, creo. Nuestro enfoque principal es como con las vulnerabilidades, la detección es gratuita y todos pueden ver si tienen un complemento vulnerable, pero las soluciones automáticas para eso son premium.
Así es como se divide. Y con la última de las próximas actualizaciones, creo que agregaremos más en el complemento premium, como protección de inicio de sesión, autenticación de dos factores y límite de intentos de inicio de sesión, cosas así. Eso también se debe a que creemos que ya hay tanto en el complemento gratuito que queremos mantener el equilibrio correcto. Queremos comenzar a poner más en una prima ahora mismo.
Doc Pop: Y creo que ese es un buen lugar para llevar nuestro episodio gratuito del podcast a la pausa comercial, lo que ayuda a mantenerlo libre. Ese es un buen paso.
Estén atentos porque después de este breve descanso, volveremos y concluiremos nuestra conversación con Rogier de Really Simple Plugins sobre algunos de los otros complementos que Really Simple ofrece en este momento.
Así que estad atentos para más.
Doc Pop: Bienvenido de nuevo a Press This, un podcast de la comunidad de WordPress. Soy su anfitrión Doc Pop. Hoy estoy hablando con Rogier Lankhorst, el desarrollador principal de los complementos Really Simple. Hemos estado hablando de los certificados SSL y Really Simple SSL. También hablamos sobre el hecho de que Rogier, tienes varios otros complementos disponibles.
¿Cuáles son algunos de los otros complementos en los que se está enfocando actualmente en los complementos Really Simple?
Rogier Lankhorst: Tenemos Complianz, que es una solución de privacidad. Y es el complemento de más rápido crecimiento aparte de Really Simple SSL. Y ofrece un banner de cookies y también bloquea los servicios que requieren consentimiento, de acuerdo con las leyes locales de privacidad como el RGPD en Europa. Canadá también está creando una ley de privacidad opcional. Muchas cosas están cambiando en la legislación de privacidad. Entonces, el complemento ofrece una forma de manejar eso automáticamente.
Y también tenemos un complemento de estadísticas, que es bastante nuevo. Recientemente alcanzó las 100.000 instalaciones, y el objetivo allí es proporcionar una solución de estadísticas amigable con la privacidad, para que no tenga que usar Google Analytics, que requiere consentimiento en la mayoría de los países, por lo que pierde datos allí.
Doc Pop: Es muy interesante que estés hablando de esto porque he estado pensando mucho últimamente sobre Google y la relación de la web con Google. Y estoy pensando, realmente ya no necesito tener Google Analytics en mi sitio. No necesito que la gente opte por no recibir cookies si lo único que realmente hay es Google Analytics.
Así que estoy como, estás hablando de estadísticas de ráfaga y estás hablando de que es una alternativa a eso. Soy todo oídos. Definitivamente estoy interesado en eso.
Rogier Lankhorst: Sí. Es genial porque creo que la mayoría de los usuarios solo conocen Google Analytics y no saben que hay más soluciones. Y la mayoría de los usuarios tampoco son conscientes de los problemas de privacidad que plantea Google Analytics, especialmente en legislaciones de privacidad más estrictas.
Doc Pop: Bueno, muchas gracias por venir hoy al programa y hablar sobre el trabajo que están haciendo y sobre SSL en general. Ha sido muy interesante charlar contigo. Si la gente quiere obtener más información sobre lo que está trabajando, cuál es una buena manera de realizar un seguimiento de los complementos Really Simple y tal vez en lo que está trabajando.
Rogier Lankhorst: Sígueme en Twitter. O suscríbase a nuestro boletín en ReallySimpleSSL.com. Le enviaremos boletines sobre nuestras últimas noticias cada pocas semanas.
Doc Pop: Bueno, eso es genial. Realmente aprecio tenerte en el programa. Uh, gracias a todos por escuchar Press This, un podcast de la comunidad de WordPress de WMR. Hemos tenido muchos episodios geniales últimamente, y pronto iremos a WordCamp EE. UU., donde esperamos volver con muchas más historias interesantes y entrevistas con la gente.
Doc Pop: Gracias por escuchar Press This, un podcast de la comunidad de WordPress en WMR. Una vez más, mi nombre es Doc y puedes seguir mis aventuras con la revista Torque en Twitter @thetorquemag o puedes ir a torquemag.io donde contribuimos con tutoriales, videos y entrevistas como esta todos los días. Así que echa un vistazo a torquemag.io o síguenos en Twitter. Puede suscribirse a Press This en Red Circle, iTunes, Spotify, o puede descargarlo directamente en wmr.fm cada semana. Soy su anfitrión, Doctor Popular. Apoyo a la comunidad de WordPress a través de mi rol en WP Engine. Y me encanta destacar a los miembros de la comunidad cada semana en Press This.