¿Qué es SSL? Una guía para principiantes sobre certificados SSL y WordPress

Puede o no estar familiarizado con los certificados SSL, pero definitivamente los ha visto en acción. Son lo que se requiere para convertir una URL HTTP en una URL HTTPS.

Se han convertido en un protocolo de seguridad necesario para ciertos sitios, específicamente sitios que transfieren y/o almacenan datos personales, como los sitios de comercio electrónico . Se han convertido en un componente vital en la máquina que mantiene la seguridad de Internet, tanto que Google anunció que comenzó a usarlo como factor de clasificación en la conferencia Google I/O de 2014.

Sin embargo, cabe señalar que este factor de clasificación afecta a «menos del 1% de las consultas globales» y tiene «menos peso que otras señales como el contenido de alta calidad».

Concluyeron diciendo:

Pero con el tiempo, podemos decidir fortalecerlo, porque nos gustaría alentar a todos los propietarios de sitios web a cambiar de HTTP a HTTPS para mantener a todos seguros en la web.

En lo que respecta a WordPress con SSL y HTTPS, Matt Mullenweg publicó una publicación de blog el 1 de diciembre de 2016 que indica lo siguiente:

Estamos en un punto de inflexión: 2017 será el año en que veremos funciones en WordPress que requieren que los hosts tengan HTTPS disponible. Así como JavaScript es casi una necesidad para una experiencia de usuario más fluida y las versiones más modernas de PHP son fundamentales para el rendimiento, SSL tiene sentido como el próximo obstáculo al que se enfrentarán nuestros usuarios.

Según Matt, el futuro de WordPress con SSL comienza solo asociándose con servidores web que ofrecen certificados SSL como valores predeterminados para sus servicios de alojamiento de WordPress. El equipo también evaluará qué características «se beneficiarían más de SSL y las habilitaría solo cuando SSL esté allí». Matt usa la autenticación API como ejemplo.

Como puede ver, los influencers están impulsando este protocolo de seguridad, pero ¿qué es exactamente y cómo se usa con WordPress? Hablemos de eso.

¿Qué es un certificado SSL?

Lo primero es lo primero, debe comprender qué es SSL antes de poder comenzar a comprender qué es un certificado SSL. SSL significa «capa de sockets seguros», pero eso no es lo que necesita saber. Aquí está la definición oficial de SSL.com , si tienes curiosidad:

SSL (Secure Sockets Layer) es la tecnología de seguridad estándar para establecer un enlace encriptado entre un servidor web y un navegador. Este enlace garantiza que todos los datos transmitidos entre el servidor web y los navegadores permanezcan privados e integrales. SSL es un estándar de la industria y lo utilizan millones de sitios web para proteger sus transacciones en línea con sus clientes.

Puede pensar en una conexión SSL en la página de pago de un sitio de comercio electrónico como si estuviera conduciendo de la tienda a su casa durante una tormenta desagradable. Su cuerpo representa los datos personales (su información de envío y pago) que está enviando al sitio web. La tienda representa su navegador, su hogar representa el servidor del sitio y la lluvia, el granizo y los escombros voladores representan a los piratas informáticos.

Su automóvil, sin embargo, representa la conexión SSL. Lo está protegiendo de toda esa lluvia, granizo y escombros voladores al igual que una conexión SSL protege sus datos personales de los piratas informáticos.

Un certificado SSL es lo que se requiere para formar esta conexión. Sin esta protección, un pirata informático podría potencialmente robar o «interceptar» sus datos antes de que lleguen al servidor. Es por eso que SSL y HTTPS son imprescindibles para cualquier sitio web que procese cualquier tipo de datos personales de los usuarios, como los sitios de comercio electrónico que aceptan pagos de los clientes.

Como usuario, puede saber si la página que está visitando está encriptada con SSL al ver si la URL en la dirección comienza con «https». Hablaremos más sobre los diferentes tipos de certificados en la siguiente sección, pero hay un tipo específico de certificado que le da el texto verde y el candado. Puede hacer clic en este candado para ver de dónde proviene el certificado.

Incluso puede hacer clic en Información del certificado para ver cuándo caduca.

Un sitio que no está encriptado con SSL tendrá un ícono de papel simple al lado en Chrome. Esta área estará en blanco en Firefox. Si hace clic en el ícono de papel o “i” en cualquiera de estos navegadores, encontrará un mensaje que le indica que su conexión al sitio no es segura.

Si una página que el navegador considera que debe cifrarse no está cifrada, Firefox mostrará un icono de advertencia amarillo o una línea diagonal roja delante del símbolo del candado.

Esto puede inducir a error a los usuarios de Internet mal informados haciéndoles creer que su sitio web ha sido pirateado o contiene spam/datos maliciosos destinados a robar sus datos personales.

Nota: en julio de 2018, se lanzó una nueva versión de Chrome y ahora muestra la etiqueta «No seguro» para cualquier sitio web que no use SSL. Esto es independientemente de si aceptan pagos o tienen algún formulario.

Desde el punto de vista de la optimización de la conversión , este es un factor serio de «confianza negativa». Entonces, ya sea que esté tratando de hacer crecer su lista de correo electrónico con formularios de suscripción , vender productos en cualquiera de sus páginas o simplemente lanzar un sitio web básico, vale la pena tener SSL.

Aquí están las buenas noticias: la mayoría de los servidores web ahora ofrecen SSL gratis a través de Let’s Encrypt y es más fácil que nunca instalarlo.

¿Cómo se obtiene un certificado SSL?

Hay dos formas principales de obtener un certificado SSL:

  • Tu anfitrión.
  • Un proveedor de certificados SSL, comúnmente conocido como «autoridad de certificación».

Aquí hay una lista rápida de servidores web que incluyen certificados SSL en sus planes de alojamiento:

  • Alojamiento WPX
  • Nubes
  • SiteGround (socio oficial de alojamiento de WordPress)
  • Motor de trabajo en equipo
  • Kinsta
  • Flywheel (socio oficial de alojamiento de WordPress)
  • Alojamiento en movimiento
  • DreamHost (socio oficial de alojamiento de WordPress)
  • Bluehost (socio oficial de alojamiento de WordPress)

Esta no es una lista exhaustiva de ninguna manera. La buena noticia es que probablemente encontrará certificados SSL gratuitos ofrecidos incluso en los hosts compartidos más baratos .

Sin embargo, si su host no ofrece certificados SSL o uno no está incluido en el plan que tiene, debe obtener uno de un tercero. Aquí hay una lista de servicios que venden certificados SSL:

También puede recibir un certificado gratuito de CA Let’s Encrypt de código abierto . Debe tener acceso de shell (SSH) para usar un certificado de Let’s Encrypt, y debe instalar su certificado manualmente si su host no lo hace por usted. Puede obtener más información sobre cómo hacerlo con esta guía de Certbot .

Afortunadamente, muchos servidores web, incluidos algunos de los mencionados anteriormente, ofrecen certificados SSL gratuitos a través de Let’s Encrypt como una función estándar en sus paquetes de alojamiento, lo que elimina la necesidad de instalar un certificado de Let’s Encrypt manualmente.

Aquí hay una breve lista de ellos:

  • Terreno del sitio
  • Nubes
  • Motor de trabajo en equipo
  • Kinsta
  • Alojamiento WPX
  • Volante
  • DreamHost

No importa de dónde obtenga su certificado SSL, los precios varían mucho según el tipo de certificado que compre y el nivel de protección que ofrece el certificado. Los precios pueden ser tan bajos como gratis hasta $ 800 o más.

¿Cuáles son los diferentes tipos de certificados SSL?

Cuando visite estos sitios o intente instalar un certificado SSL desde su host, verá aparecer muchos nombres diferentes. Hay «certificados DV», «certificados EV», «certificados comodín» y más.

Aquí hay un resumen rápido de los diferentes tipos de certificados SSL que existen.

Validación de Dominio (DV)

Este es el tipo de certificado SSL más económico. Es ideal para blogs y sitios web que no procesan ningún tipo de información personal de los usuarios, ya que solo ofrece cifrado básico. Requiere que valides la propiedad del dominio, pero el proceso de validación solo lleva unas pocas horas como máximo.

Validación de la organización (OV)

Los certificados OV son un poco más premium que los certificados DV. Son el nivel mínimo de protección requerido por los sitios de comercio electrónico y cualquier tipo de sitio web que procese datos personales de los usuarios.

Los certificados DV son validados por usted mismo. Los certificados OV, en cambio, son validados por lo que ya explicamos son “autoridades certificadoras”. DigiCert es un ejemplo de una autoridad de certificación. La validación también suele llevar más tiempo que el proceso de validación asociado con los certificados DV.

Validación Extendida (EV)

Este es el tipo de certificado SSL que le da el texto verde y el ícono de candado, como se indicó anteriormente. Es un certificado más premium que DV u OV. También es el certificado más popular que existe, especialmente entre los sitios de comercio electrónico.

Siguiendo la tendencia de los dos tipos de certificados anteriores, el proceso de validación de un certificado EV es mucho más estricto que el proceso de validación de certificados DV u OV.

SAN

Los certificados SAN le permiten cifrar varios dominios con un solo certificado. Por lo general, son mucho más caros que los certificados DV, OV o EV de un solo dominio.

Comodín

Los certificados comodín le permiten cifrar una cantidad ilimitada de subdominios en un solo dominio.

¿Necesita un certificado SSL?

Esto puede parecer algo que solo necesita si está aceptando pagos, pero es mucho más que eso…

Como discutimos al comienzo de esta publicación, SSL es una forma de proteger los datos enviados entre su sitio web y el dispositivo de un usuario.

Esto no hace que su sitio web sea exactamente más seguro, pero sigue siendo importante desde el punto de vista de la seguridad.

Por ejemplo, si un usuario está navegando por Internet utilizando una red Wi-Fi pública o un enrutador secuestrado, SSL está diseñado para evitar que se intercepte la información. Es un paso importante para proteger a nuestros usuarios y mejora la confianza.

Luego está la tecnología que mejora el rendimiento del sitio web (http/2 y compresión Brotli, por ejemplo). Todos queremos sitios web más rápidos, ¿verdad?

Y ahora Chrome etiquetará todos los sitios web sin SSL como «no seguros».

Entonces, con lo fácil y barato que es obtener un certificado SSL en estos días (¡gracias a Let’s Encrypt!), no hay una buena razón para evitar cambiar a https.

Dicho esto, si puede obtener un certificado SSL mejor que Let’s Encrypt, vale la pena hacerlo.

Instalación de un certificado SSL

Aquí es donde las cosas se complican un poco, y tal vez incluso un poco vagas. El proceso para obtener e instalar un certificado SSL en su servidor varía según el host. Por ejemplo, un host como SiteGround te permite instalar un certificado SSL en tu sitio a través de cPanel. Todo lo que necesita hacer es ingresar a su panel de control de cPanel, desplazarse a la sección de seguridad, seleccionar Let’s Encrypt e instalarlo.

Lea todos los tutoriales y artículos de la base de conocimiento que su host ha publicado sobre cómo obtener, instalar y configurar un certificado SSL. Pregúnteles directamente si no puede encontrar la información.

Cómo usar certificados SSL con WordPress

Muy bien, ha determinado que necesita un certificado SSL, ha comprado uno y lo ha instalado en su servidor. Solo hay un problema. Su sitio no ha cambiado a HTTPS.

Desafortunadamente, se requieren algunos pasos más para habilitar correctamente SSL en un sitio de WordPress. Vamos a repasarlos.

Si el sitio es nuevo

Su trabajo es realmente fácil si el sitio es nuevo. Todo lo que necesita hacer es ir a Configuración → General e ingresar la URL HTTPS para su sitio en los cuadros Dirección de WordPress (URL) y Dirección del sitio (URL). Haga clic en Guardar cambios una vez que haya terminado.

Si eso falla o su sitio no es nuevo

Veremos cómo habilitar SSL en un sitio de WordPress con código en un minuto, pero primero veamos una forma más simple. De esa manera hay un plugin llamado Really Simple SSL . Después de instalar un certificado SSL en su servidor, todo lo que necesita hacer es instalar y activar este complemento para configurar correctamente SSL en su sitio.

Si no tiene efecto, vaya a Configuración → SSL para ver si el complemento detecta y habilita SSL en su sitio. Habilítelo, si no.

¿Qué hace exactamente este complemento? Aquí hay un resumen:

  • Cambia la URL de su sitio y la URL de inicio a HTTPS por usted.
  • Redirige las solicitudes entrantes a HTTPS a través de .htaccess o JavaScript.
  • Corrige el contenido inseguro y lo cambia a HTTPS.
  • Configura los problemas del servidor que pueden ocurrir cuando habilita SSL por primera vez en un sitio de WordPress.

Si quieres ir por la ruta manual

Si no desea usar un complemento y está agregando SSL a un sitio existente, agregue este fragmento de código a su archivo .htaccess :

<IfModule mod_rewrite.c> 
RewriteEngine On 
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://www.example.com/$1 [R,L] 
</IfModule>

Reemplace «example.com» con su URL. Además, elimine el «www» si su URL no lo usa.

Si desea encriptar páginas de administración multisitio

Si tiene una red multisitio y desea encriptar el área de administración y las páginas de inicio de sesión con SSL, agregue este código a su archivo wp-config.php :

define('FORCE_SSL_ADMIN', verdadero);

Si estás usando WooCommerce

Todavía necesita usar Really Simple SSL o agregar ese fragmento de código a su archivo .htaccess, pero hay un paso adicional que debe tomar si está ejecutando un sitio de WooCommerce.

Vaya a WooCommerce → Configuración → Pago , seleccione Forzar pago seguro y guarde los cambios. Consulte esta página si tiene algún problema después de esto.

Si está utilizando Easy Digital Downloads

Similar a WooCommerce, aún necesita usar Really Simple SSL o agregar ese código a su archivo .htaccess si usa EDD. Sin embargo, todavía queda un último paso por dar.

Vaya a Descargas → Configuración → Varios → Configuración de pago , seleccione Aplicar SSL en el pago y guarde los cambios.

Pasos adicionales a seguir para asegurar las clasificaciones de SEO

El uso de un complemento como Really Simple SSL ayuda enormemente, pero a menudo se necesita hacer mucho más para migrar de HTTP a HTTPS sin tener un impacto negativo en las clasificaciones de Google de su sitio.

Aquí hay algunos pasos adicionales que puede tomar para evitar que las clasificaciones de SEO de su sitio bajen demasiado:

  • Actualice los enlaces codificados : las URL codificadas pueden no redirigir correctamente. Use un complemento como Better Search Replace para buscar «http://yourdomain.com» y reemplácelo con «https://yourdomain.com».
  • Migrar CDN de HTTP a HTTPS : si está sirviendo parte de su contenido con un CDN, querrá migrarlo de HTTP a HTTPS. Deberá consultar la documentación de su CDN para hacer esto. Una vez que lo haga, abra el área de configuración del complemento de WordPress que está utilizando para su integración de CDN y cambie la URL de CDN a HTTPS.
  • Repare el contenido mixto/no seguro : parte del contenido de su sitio puede enviar advertencias de contenido mixto o no seguro a los navegadores, que verán sus usuarios. Use una herramienta como SSL Check para escanear su sitio en busca de contenido mixto.
  • Actualice Google Search Console : cree un nuevo perfil en Google Search Console para la versión HTTPS de su sitio y utilícelo para volver a enviar su mapa del sitio. Asegúrese de descargar la versión HTTP de todos los archivos de desautorización que tenga de una sanción y envíelos con el perfil HTTPS.

Esté atento a sus clasificaciones. Es probable que vea una ligera caída cuando migre por primera vez de HTTP a HTTPS, pero eventualmente debería mejorar. Profundice un poco más para ver si hay algo que se haya perdido si sus clasificaciones nunca mejoran.

Pensamientos finales

Eso concluye nuestro artículo sobre los certificados SSL y WordPress. Habilitar este protocolo de seguridad en su sitio puede ser difícil, pero esperamos haber simplificado el proceso para usted.

Aquí hay un resumen rápido de todo lo que necesita saber sobre los certificados SSL y WordPress:

  • Comprenda qué es el cifrado SSL y su importancia para ciertos sitios, como los sitios de comercio electrónico.
  • Conozca las diferencias entre los diferentes tipos de certificados SSL y determine qué certificado SSL es el adecuado para usted.
  • Averigüe si su host proporciona certificados SSL o busque una autoridad de certificación si no lo hacen.
  • Instale su certificado SSL en su servidor.
  • Configure SSL en WordPress a través de un complemento o código manual.
  • Configure su plataforma de comercio electrónico si está utilizando una para WordPress.

Ahora depende de ti. ¡Buena suerte!

Entradas relacionadas

Deja una respuesta