SSL de WordPress: esto es lo que debe saber al respecto

Si su empresa tiene presencia en línea, y no importa cuántas estrategias de SEO aplique, parece que no puede lograr una buena clasificación en los motores de búsqueda, o los visitantes simplemente se recuperan de su sitio web.

Decide auditar su sitio web y descubre la dolorosa verdad: ¡ no hay ningún certificado SSL instalado en su sitio web! En otras palabras, la seguridad de su sitio web parece no ser confiable no solo para los motores de búsqueda sino también para los visitantes.

En este artículo, aprenderá qué es SSL y por qué es importante. ¿Qué ventajas aporta el certificado SSL y cómo funciona? ¿Qué tipo de certificados SSL de WordPress existen y cuál es el más adecuado para su sitio web?

Estas son solo algunas de las preguntas que debe saber antes de instalar WordPress SSL.

¿Qué es SSL y por qué es importante?

Secure Sockets Layer (SSL) es el estándar para la comunicación cifrada entre servidores y navegadores. Un navegador recibe e interpreta este certificado y verifica su autenticidad. Una vez realizada la verificación, se cifran todos los datos enviados a través de la conexión segura. Un navegador muestra la existencia de esta conexión con un icono de candado cerrado y agrega https antes de la dirección del sitio web.

El protocolo seguro de transferencia de hipertexto (HTTPS) es una combinación de dos protocolos: HTTP y SSL. HTTP es un túnel que transmite los datos y SSL es un protocolo de seguridad que cifra los datos en el túnel. Como resultado, el acceso no autorizado para leer, copiar o descifrar la comunicación entre el servidor y el cliente es (casi) imposible. Un certificado SSL típico incluye:

• Un nombre de dominio y una clave pública
• Información de validez y número de serie
• Firma de una autoridad certificadora

Los certificados SSL tienen una validez temporal (en su mayoría hasta 90 días), por lo que deben renovarse periódicamente para garantizar la confiabilidad continua de su sitio web. Estos certificados son un requisito obligatorio para todos los sitios web que manejan datos personales e información financiera confidencial.

La iniciativa de Google de dar a los sitios web protegidos con SSL una mejor clasificación de SERP también indica la importancia de instalar certificados SSL. Desde 2014, los certificados SSL se han convertido en un componente imprescindible para todos los sitios web. El siguiente gráfico muestra el crecimiento masivo en el porcentaje de páginas cargadas en sitios web con certificación SSL.

Matt Mullenweg, cofundador de WordPress, dijo una vez: “ Solo promoveremos socios de alojamiento que proporcionen un certificado SSL de forma predeterminada en sus cuentas. Además, también puede ver una mención especial al soporte de HTTP para los requisitos de alojamiento.

¿Cómo funciona un certificado SSL?

El protocolo SSL es una construcción de cuatro capas (registro SSL, protocolo de enlace, especificación de cambio de cifrado y protocolo de alerta) que cifra de forma segura los datos entre un servidor y un navegador. Estas capas permiten el uso de una clave para el cifrado / descifrado y un modelo de autenticación basado en el uso de una clave pública y una clave privada.

En este modelo, la clave pública cifra los datos, mientras que la clave privada se utiliza para descifrar. Esto sucede en la capa Handshake del protocolo SSL donde se intercambian claves criptográficas asimétricas para cifrar y descifrar los datos.

Certificados SSL: validación y tipos

Los certificados SSL generalmente vienen en tres niveles de validación:

1. Validación de dominio (DV)

La Autoridad de Certificación verifica el derecho del solicitante a utilizar un nombre de dominio específico. No se inspecciona la identidad de la empresa detrás del dominio. La información se muestra cuando un usuario hace clic en el candado del sitio seguro. Como puede adivinar, este es un nivel bastante básico de validación SSL.

2. Validación de la organización (OV)

La Autoridad de Certificación verifica el derecho del solicitante a utilizar un nombre de dominio específico y la validez de la organización detrás del dominio.

La Validación de Organización (VO) es más compleja, pero garantiza la legitimidad del dominio e identifica a los dueños de la empresa, ofreciendo así más confianza a los visitantes. Suele ser utilizado por empresas de comercio electrónico y sitios web corporativos.

3. Validación extendida (EV)

La Autoridad de Certificación verifica el derecho del solicitante a utilizar un nombre de dominio específico y somete a la organización a una inspección detallada. El proceso de emisión de certificados con Extended Validation (EV) se define ampliamente en las directrices del CA / Browser Forum.

Extended Validation (EV) es el nivel más alto de validación de certificados SSL y requiere la presentación de documentos y permisos legales para verificar la existencia de la empresa. Con EV, los usuarios ven un sello de sitio seguro en la barra de direcciones del navegador.

Además de la validación, los certificados SSL también están disponibles en varias configuraciones de aplicación:

1. Dominio único

Si solo desea proteger un dominio, un certificado de dominio único es su mejor opción. Estos certificados solo se aplican a un dominio de nivel superior (por ejemplo, sitio web.com) . Este tipo de certificado SSL está disponible con todos los niveles de validación.

2. Multidominio

Este tipo de certificado certifica varios dominios (por ejemplo, sitio web.com , sitio web.com.uk) con un solo certificado SSL. Tenga en cuenta que, según la autoridad de certificación, la cantidad de dominios protegidos puede variar. Los certificados SSL multidominio están disponibles con todos los niveles de validación excepto EV.

3. Comodín

Se utilizan para dominios únicos que tienen varios subdominios. La autoridad de certificación que emite el certificado SSL comodín tiene derecho a limitar el número de subdominios protegidos. Este tipo de certificado SSL está disponible con todos los niveles de validación excepto EV.

4. Comodín multidominio

Estos certificados son una combinación de certificados comodín y multidominio. Puede utilizar estos certificados para proteger varios dominios de nivel superior junto con los subdominios. Nuevamente, el límite puede variar según la autoridad de certificación. Este tipo de certificado SSL está disponible en todos los niveles de validación excepto EV.

Ventajas de usar certificados SSL de WordPress

En este punto, ya has podido conocer la importancia de los certificados SSL. Ahora es el momento de conocer las ventajas de los certificados SSL.

• Confianza: con un certificado SSL, los visitantes saben que su conexión al sitio web está encriptada, lo que mejora la confianza y la credibilidad.
• Legitimidad: porque está claro que toda la actividad se lleva a cabo en un sitio web que se conoce y está debidamente protegido.
• Seguridad: los visitantes saben que la información está encriptada, por lo tanto, los datos estarán seguros contra cualquier tipo de acceso o ataque no autorizado de terceros.
• Ranking: Google favorece las páginas web que tienen SSL y HTTPS en la dirección.

Los certificados SSL están especialmente recomendados para las empresas, en particular las tiendas online que trabajan con los datos personales de los usuarios.

Let's Encrypt: Certificados SSL / TLS gratuitos

Let's Encrypt es una autoridad de certificación (CA) gratuita y automatizada que proporciona certificados de dominio validado (DV) de forma gratuita con un período de validez de 90 días. Este servicio es proporcionado por Internet Security Research Group (ISRG). Cualquiera que sea propietario de un dominio y alojamiento puede agregar certificados SSL Let's Encrypt a WordPress sin ningún costo.

El tiempo de activación de un certificado también puede depender de la disponibilidad de los recursos de Let's Encrypt y de una serie de limitaciones de la propia Autoridad de Certificación. Estas limitaciones incluyen:

• Certificados por dominio registrado (50 por semana)
• Nombres por certificado (hasta 100)
• Subdominios únicos (hasta 5,000 por semana)
• Certificados duplicados (5 por semana)

Para ver los detalles de estas limitaciones, consulte Límites de velocidad de Let's Encrypt. También utilizaré los certificados SSL de Let's Encrypt para demostrar ideas prácticas a partir de ahora.

Antes de pasar a la siguiente sección, recomiendo hacer una copia de seguridad de su sitio web de WordPress, para que siempre pueda restaurarlo en caso de que las cosas vayan mal. Puede realizar copias de seguridad de dos formas: a través de un complemento de copia de seguridad de WordPress o copias de seguridad del lado del servidor. Alternativamente, puede crear un entorno de prueba de WordPress o clonar todo su sitio web para realizar pruebas.

Instale certificados SSL gratuitos en WordPress

Utilizo la plataforma Cloudways para este artículo y supongo que ya se registró para obtener una cuenta, lanzó un servidor con una aplicación de WordPress y lo apuntó a su dominio. Si no es así, así es como puede iniciar su servidor con WordPress.

En el siguiente paso, vaya a Aplicaciones en la barra de menú superior izquierda. Puede ver su aplicación de WordPress instalada en su servidor. Haga clic en su aplicación para acceder al panel de administración de aplicaciones .

Agregue SSL de WordPress de dominio único en su sitio

Antes de instalar WordPress SSL, asegúrese de que su dominio esté activo con propagación de DNS completa. De lo contrario, no podrá instalar los certificados SSL.

En el siguiente paso, ingrese su nombre de dominio y la misma dirección de correo electrónico que utilizó para crear la cuenta de Cloudways. Ahora, haga clic en Instalar certificado .

Agregue SSL de WordPress de múltiples dominios en su sitio

Para instalar el certificado SSL de Let's Encrypt WordPress en varios dominios, haga clic en Agregar dominio e ingrese los nombres de dominio asociados con su sitio web de WordPress. Una vez hecho esto, haga clic en Instalar certificado .

Agregar certificado SSL comodín para subdominios

Solo necesita marcar la casilla de verificación Aplicar comodín . Tomará unos minutos proporcionarle el registro CNAME que debe agregar al registrador de dominios.

Inicie sesión en su registrador de dominios y agregue un registro CNAME con información similar:

• Tipo: CNAME
• Anfitrión: _acme-challenge
• Valor: [la URL de su sitio web]

Una vez hecho esto, regrese a la sección Certificado SSL y haga clic en Verificar DNS . Validará la configuración y le notificará en consecuencia. En el siguiente paso, haga clic en Instalar certificado para instalar WordPress SSL en su sitio.

Renovación automática del certificado SSL de Let's Encrypt WordPress

La plataforma Cloudways maneja el proceso de renovación automáticamente si configura la opción Renovación automática en Habilitar . También puede renovarlo en cualquier momento haciendo clic en el botón Renovar ahora .

Alternativamente, puede utilizar un servicio de monitoreo SSL que garantice que todos los certificados SSL sean válidos y que sus clientes no reciban advertencias de seguridad.

Instalar certificados SSL de pago de WordPress

Para los certificados SSL pagados, primero debe habilitar la solicitud de firma de certificado (CSR) en su aplicación de WordPress.

Vaya a la sección Certificado SSL , seleccione " No tengo un certificado " en el menú desplegable y luego haga clic en Crear CSR .

Si desea utilizar un solo certificado SSL de WordPress en varios dominios, marque la casilla de verificación donde dice SAN y agregue los nombres de dominio en el formulario.

Una vez que envíe el formulario, se generará el CSR. En el siguiente paso, haga clic en el botón Descargar CSR para descargar el archivo CSR.

Envíe el archivo CSR descargado a su proveedor de certificados SSL de WordPress para generar un certificado SSL según sus requisitos.

El proveedor del certificado SSL le proporcionará dos archivos: [sudominio] .crt (código de certificado) y [sudominio] .ca (archivo en cadena). Haga clic en Instalar certificado y verá una ventana emergente solicitando el código de certificado y la cadena de CA. Envíe esta información en sus respectivos campos.

Una vez que haya enviado esta información, haga clic en Enviar y estará listo para comenzar. El SSL ahora debería funcionar para su sitio web de WordPress.

¿Qué es HSTS y por qué debería utilizarlo?

HTTP Strict Transport Security (HSTS) es una directiva de servidor web que le dice al navegador web y a los agentes de usuario cómo manejar la conexión con su sitio web. Envía un encabezado de respuesta con instrucciones al principio.

A veces, HTTPS no es suficiente, ya que el atacante todavía encontrará una forma de llegar a su sitio web a través de http: //. HSTS obliga a los navegadores a utilizar HTTPS si está disponible. Configurar HSTS para certificados SSL de WordPress es bastante fácil. Si está alojando en un servidor Apache, agregue las siguientes líneas al archivo .htaccess.

 # Use HSTS para obligar a los clientes a usar solo conexiones seguras

El encabezado siempre establece Strict-Transport-Security "max-age = 300; includeSubDomains; preload"

Antes de agregar HSTS a su sitio web de WordPress, asegúrese de leer los siguientes requisitos previos:

• El sitio web debe tener instalado un certificado SSL válido.
• Redirigir TODOS los enlaces HTTP a HTTPS con un redireccionamiento permanente 301.
• Asegúrese de que todos los subdominios estén cubiertos en su certificado SSL. (Considere un certificado comodín)

Certificados SSL de WordPress en Cloudflare (opcional)

Si está utilizando Cloudflare de una forma u otra, debe realizar algunos pasos adicionales. En primer lugar, desactive Cloudflare, de lo contrario, el proceso de configuración podría fallar.

Paso 1

Inicie sesión en su panel de Cloudflare y, en la pestaña DNS, desactive las opciones www y [sudominio] .com utilizando el interruptor de palanca. Si está gris, significa que el servicio está deshabilitado.

Paso 2

Ahora, vaya a la sección Plataforma Cloudways → Administración del servidor → Configuración y paquetes , dentro de la pestaña Avanzado , y en Módulo WAF elija Cloudflare , luego haga clic en el botón Guardar cambios .

Paso 3

Regrese al panel de Cloudflare y habilite las opciones que deshabilitó en el Paso 1 . Haga clic en la pestaña SSL / TLS en la parte superior y cambie el modo de cifrado SSL / TLS a Flexible . Cloudflare puede tardar hasta 24 horas en activar el certificado. Sin embargo, si ya ha utilizado el mismo dominio antes, se activará instantáneamente.

Una vez que el certificado esté activado, cámbielo a Completo (estricto) .

Limpiar la caché del navegador, el alojamiento y el sitio web

Ahora es el momento de comprobar si se ha instalado el certificado SSL gratuito de WordPress. Antes de continuar, purgue el caché del sitio web y el almacenamiento en caché del lado del servidor como Varnish navegando a Cloudways Platform → Server Management → Manage Services .

Compruebe que los certificados SSL funcionan correctamente

Supongo que ha instalado el certificado SSL Let's Encrypt WordPress para su sitio web y configurado todo correctamente. Ahora es el momento de probar el certificado SSL. Visite su sitio web y compruebe el icono que se muestra.

Si ve el segundo icono, significa que el certificado SSL está funcionando bien. Si ve el tercer ícono, significa que el sitio web está usando un certificado SSL, pero hay algunos elementos en la página que no usan HTTPS, un fenómeno conocido como contenido mixto.

SSL Labs ofrece una excelente herramienta de verificación de SSL en la que simplemente ingresa su nombre de dominio, y analizará y dará un informe como el siguiente.

Muchos usuarios de Cloudflare informan problemas al intentar importar un certificado SSL de Let's Encrypt WordPress gratuito a su dominio en una cuenta gratuita de Cloudflare. La configuración anterior debería funcionar, pero si no funciona, intente los siguientes pasos:

1. Inicie sesión en Cloudflare y seleccione el dominio con el que desea trabajar.
2. Seleccione SSL / TLS en la opción del menú superior
3. Cambie el modo de cifrado SSL / TLS a Flexible
4. Establezca Usar siempre HTTPS en Activado
5. En la sección HSTS, habilite HSTS
   • Establezca la edad máxima en 3 meses
   • Incluir subdominios: desactivado (cambie como desee, lea más arriba)
   • Precarga: desactivada
6. Establezca la versión mínima de TLS en TLS 1.2
7. Cifrado oportunista: activado
8. Establecer TLS 1.3: Activado
9. Reescrituras HTTPS automáticas: Activado (para habilitar la redirección)
10. Deshabilite Universal SSL (nuevamente lea arriba). Al hacer esto, ya no está usando certificados SSL de Cloudflare y usa solo los certificados proporcionados por su servidor.

El proceso anterior fue aportado por Gary Stevens de Hosting Canada - Web Hosting Reviews .

Cambiar las URL de HTTP a HTTPS

Vaya a su Tablero de WordPress → Configuración → General → antes de la Dirección de WordPress (URL) y la Dirección del sitio (URL) → ingrese https en lugar de http → y haga clic en Guardar cambios en la parte inferior de la página. Esto reemplazará todas las URL internas a https: // .

Forzar SSL para la página de inicio de sesión de WordPress

Al cambiar las URL en el panel de WordPress, también se deben cambiar todas las URL del sitio web. Si no es así, es posible que desee forzar SSL para el área de inicio de sesión de WordPress configurando SSL en el archivo wp-config.php.

En el archivo wp-config.php, agregue la siguiente línea donde dice “¡ Eso es todo, deje de editar! "

 define ('FORCE_SSL_ADMIN', verdadero);

La línea anterior forzará SSL para las páginas de inicio de sesión de WordPress (la URL es generalmente: wp-admin / wp-login.php)

Redirigir HTTP a HTTPS a través del archivo .htaccess

Si alguien visita su sitio web con HTTP, el servidor no está obligado a servir a través de HTTPS. En el siguiente paso, agregaré una regla al archivo .htaccess para redirigir todo el tráfico de HTTP a HTTPS. Antes de realizar cualquier cambio, haga una copia de seguridad del archivo .htaccess en una ubicación externa, ya que un solo punto puede afectar su WordPress.

Inicie sesión en su alojamiento de WordPress → navegue hasta el directorio raíz de WordPress → abra el archivo .htaccess con cualquier editor → pegue las siguientes líneas al principio del archivo .htaccess.

 RewriteEngine On

RewriteCond% {http: X-Forjected-Proto}! HTTPS

RewriteRule ^ (. *) $ Https: //% {HTTP_HOST} / $ 1 [R = 301, L]

El archivo .htaccess debería verse así:

 RewriteEngine On

RewriteCond% {http: X-Forjected-Proto}! HTTPS

RewriteRule ^ (. *) $ Https: //% {HTTP_HOST} / $ 1 [R = 301, L]

# COMIENZO WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^ index \ .php $ - [L]

RewriteCond% {REQUEST_FILENAME}! -F

RewriteCond% {REQUEST_FILENAME}! -D

RewriteRule. /index.php [L]

</IfModule>

# FIN WordPress

Actualizar las URL de CDN a HTTPS

Si está utilizando un CDN de WordPress, actualice las URL de WordPress a https: // (tal como cubrí en la sección de Cloudflare anterior).

Advertencia de contenido de mezcla

Visite su sitio web y verifique que todos los enlaces internos se hayan movido a https: //. Si aún puede ver un ícono de información en algunas de sus páginas web, una o más URL se están proporcionando a través de HTTP. Necesita identificar esas URL.

Identificar las URL de advertencia de contenido de mezcla

Para demostrar el escenario Mix Content, agregué una imagen a una publicación y cambié la URL a HTTP yendo al editor de texto de una publicación. A continuación, visité la publicación y abrí Developer Console (inspeccionar elemento). Haga clic en el icono de error y escriba "mezcla" en la barra de búsqueda. Esto le mostrará todas las URL que se envían a través de HTTP y deben actualizarse a HTTPS.

En mi caso, es solo la URL de la imagen. Sin embargo, existe la posibilidad de que se estén utilizando en su sitio web algunas imágenes externas, hojas de estilo o scripts de un dominio sin un certificado SSL de WordPress. Debe moverlos a https: // manualmente. Alternativamente, puede eliminarlos o mover estos archivos a su servidor.

Las URL no SSL de JitBit son una excelente herramienta en línea que rastrea y comprueba los enlaces que no son SSL en un sitio web. Escaneé mi sitio web de prueba y la siguiente captura de pantalla muestra las URL que se estaban entregando a través de HTTP.

Hay varias formas de solucionar los problemas de advertencia de contenido mixto. Analicemos algunos de ellos:

Método 1: Uso del complemento de URL de actualización de Velvet Blues

Hay un útil complemento Velvet Blues Update URLs que verifica todas las URL y las actualiza en consecuencia. Después de instalar el complemento, vaya a Tablero de WordPress → Herramientas → Actualizar URL → configure el complemento como se muestra a continuación → y luego haga clic en Actualizar URL ahora .

Método 2: Uso del complemento de reemplazo de búsqueda mejorada

Better Search Replace es otro gran complemento que reemplaza las URL HTTP a HTTPS en la base de datos. Después de instalar el complemento, vaya a Panel de control de WordPress → Herramientas → Mejor búsqueda de reemplazo → configure el complemento como se muestra a continuación → y luego haga clic en Ejecutar búsqueda / reemplazo .

Método 3: uso del complemento SSL realmente simple

La forma más sencilla de configurar HTTPS gratuito es utilizar el complemento Really Simple SSL. Después de instalar el complemento, vaya a Panel de control de WordPress → Configuración → SSL . Si todo se hace correctamente, verá algo como a continuación y si hay algo mal configurado, verá una cruz roja junto con las instrucciones para corregir esa advertencia.

Really Simple SSL reemplaza las URL a medida que se carga la página. Esto puede afectar ligeramente el rendimiento y, si está utilizando un complemento de caché de WordPress, el impacto será solo en la primera carga.

Configurar HTTPS para Google Search Console

Para rastrear enlaces HTTPS en Search Console, vaya a Panel de control de Google Analytics → Administrador → elija la propiedad requerida y haga clic en Configuración de propiedad → cambie la URL predeterminada de http: // a https: // → y haga clic en Guardar al final de la página.

Ha terminado con cómo obtener un certificado SSL gratuito para WordPress. No olvide cambiar todas las URL predefinidas de HTTP a HTTPS, ya que se rastrearán a través de Google Analytics.

¡Terminando!

Si ha llegado aquí, ahora puede imaginar la importancia de WordPress SSL y cómo puede instalarlo en su WordPress. Si no lo usa, perderá clientes potenciales, los visitantes abandonarán su sitio web porque no se sienten seguros y, lo más importante, perderá posiciones en los motores de búsqueda.

Esta última pregunta es especialmente grave en el caso de Google. Este se encarga de penalizar las páginas sin certificados SSL. Por no hablar de la posibilidad de abrirle las puertas al phishing y al robo de datos. Si tiene alguna pregunta, no dude en preguntar en la sección de comentarios a continuación.