Desde principios de 2017, tanto Chrome como firefox empezaron a marcar las webs sin https como sitios no seguros ¿Vas a esperar a ver una alerta de seguridad en tu sitio web para pasar de http a https? Te recomiendo que, si no lo has hecho ya, te pases a https cuanto antes.
Ya son varias las personas que me han preguntado acerca de cómo activar el https y si tenía algún artículo al respecto.
Antes de entrar a saco con la explicación, voy a explicarte qué es https y porqué es importante que lo actives.
¿Qué es HTTPS?
HTTPS significa, protocolo de transferencia segura de hipertexto (HTTPS por sus siglas en inglés) y es un mecanismo que permite a tu navegador o aplicación que se conecte de forma segura con una web. HTTPS es un protocolo de cifrado de tu web.
Si te has fijado, en la mayoría de webs que visitas a lo largo del día, hay un candadito verde al lado de la URL. Esto significa que usa un protocolo HTTPS y por lo tanto es una web cifrada y segura. Actualmente, es obligatorio que lo posean todos los sitios web que piden información sobre cuentas o tarjetas bancarias como pueden ser los e-commerce, servicios de pago online, etc….
¿Un sitio web que no tiene HTTPS no es seguro?
Que no tenga HTTPS no significa que no sea un sitio web seguro por mucho que Google y compañía se empeñen. Sino que lo que significa es que los datos que envíes a través de esa web o aplicación no estarán cifrados y por lo tanto pueden ser hackeados con más facilidad que un sitio web que tenga activado HTTPS. ¿Cuántas veces habrás oído que han hackeado la web de un banco o de una gran empresa? Seguro que tienen más seguridad que un simple HTTPS, incluso tendrán contratado a un ingeniero informático que se dedica a preservar los datos de forma segura. Sin embargo, les han hackeado.
Aquí te dejo un enlace por si quieres saber cómo mejorar la seguridad de tu WordPress.
Con todo esto quiero decir, que, aunque entres en un sitio web con HTTPS y candadito verde no significa que vas a tener una seguridad del 100% de no ser hackeado. Es más, cuanto más conocido sea el sitio web en el que introduces los datos, más probabilidades hay de que alguien quiera hackearlo. ¿Crees que no hay gente que intenta hacerse con las cuentas de Amazon? Pues claro que hay, y un protocolo HTTPS no lo va a impedir.
Sin embargo, es recomendable que si introduces información confidencial en una web, esta tenga el protocolo HTTPS ya que es más difícil de acceder a esos datos porque están cifrados.
¿Por qué pasar tu web a HTTPS?
Como he comentado anteriormente, Google Chrome y Firefox han empezado a calificar las webs sin HTTPS como webs no seguras. Además, ya no solo te lo indican en la barra de direcciones, sino que a veces te muestra una pantalla con un candado rojo indicando que no es segura y que si accedes a ella es bajo tu responsabilidad. Ante este mensaje, lo normal es que la mayoría de gente decida marcharse sin llegar a entrar.
Por lo tanto, la razón principal por la que deberías pasar tu web a HTTPS es sobre todo por seguridad y confianza. Un sitio con candadito verde, da más confianza al usuario a la hora de realizar operaciones que uno que no lo tiene. Aunque también por SEO.
¿Qué influencia tiene el HTTPS en el SEO?
Google y demás buscadores, están cambiando sus algoritmos constantemente en busca de posicionar aquellas webs que mejor usabilidad dé a sus usuarios. Por lo tanto, si una web no tiene el protocolo HTTPS activado, es decir, que no da seguridad y por consiguiente confianza al usuario, la van a posicionar peor que una que si lo haga.
Google ha afirmado que el HTTPS es un factor de clasificación. Sin embargo, esto no significa que una web que tenga el HTTPS vaya a posicionar mejor que una que no lo tenga. El posicionamiento web depende de muchas variables, si no tienes optimizado tu sitio web, el HTTPS no va a hacer milagros.
Un problema que me suelo encontrar, es ver cómo hay gente que ha activado el HTTPS y no ha redireccionado su web de HTTP a HTTPS. Es decir, puedes entrar tanto con HTTP como con HTTPS, siendo versiones distintas de la web, pero con mismo contenido. Y la verdad es que es un problemón. Google en estos casos puede detectar que hay contenido duplicado y penalizar la web. Además, no penalizaría la versión HTTP, sino la HTTPS ya que es la última que se ha indexado.
Certificados SSL
Lo primero que necesitas para pasar una web hecha en WordPress a HTTPS es un certificado SSL. Hasta hace poco los precios de estos certificados hacían que poca gente estuviera dispuesta a instalar uno en su web. Sin embargo, ahora es posible instalar un certificado SSL de manera totalmente gratuita.
Existen varios tipos de certificados SSL. Pero todos usan los mismos métodos de cifrado estándar. Por lo que no hay uno que sea más seguro que otro.
Por eso, recomiendo que hagas uso de los certificados gratuitos Let’s Encrypt. No solo porque sean gratuitos, sino porque son muy fáciles de instalar.
Como migrar de HTPP a HTTPS
Instalar el certificado SSL
Cada vez son más los servicios de alojamiento web, te permiten la instalación del certificado Let’s Encrypt con un solo clic. Sin embargo, también los hay que no te ofrecen la posibilidad de la instalación automatizada. Así que voy a explicar ambos procedimientos
Instalar Let’s Encrypt de forma automatizada en cPanel
En este caso, para explicar cómo instalar de forma automatizada Let’s Encrypt, lo he hecho desde el cPanel de Siteground. En él, si bajas hasta el apartado de seguridad, verás que existe la opción de Let’s Encrypt.
Si pulsas en él, te llevará a una página en la que abajo del todo te pone instalar.
Con esto, ya tendrás instalado tu certificado SSL. Así de fácil. He de comentar que en el caso de Plesk también es muy fácil instalarlo y que los pasos son muy parecidos.
Instalar Let’s Encrypt de forma manual en cPanel
En caso de no tener la función que genere el certificado automáticamente, tendrás que hacerlo de forma manual.
Pero creo que es mucho más fácil usar un generador online como sslforfree.com. Para esto, tienes que entrar, poner el dominio para el que quieres el certificado y darle al botón verde “Create Free SSL Certificate”.
Posteriormente, te pedirá verificar que eres el propietario y te ofrecerá tres opciones. Por sencillez, te recomiendo que uses la validación vía FTP. Para eso, solo tienes que seleccionar e introducir los datos de conexión FTP al servidor en el que tengas alojado el dominio que has indicado anteriormente.
Una vez que valides, podrás crear una cuenta en sslforfree.com. Cosa que recomiendo enormemente ya que así recibirás un mail cuándo el certificado vaya a caducar. Si lo has hecho de la manera automática no te preocupes por la caducidad, se renueva automáticamente. También te ofrece la información de “Certificate”, “Private Key” y “CA Bundle()”.
Una vez descargados los certificados comentados anteriormente, debes instalarlos en el servidor para activarlos. Para esto, tienes que ir a la opción SSL/TLS del cPanel que se encuentra en el apartado seguridad. En el caso de Siteground, se llama más concretamente “SSL/TLS Administrador”
Una vez dentro del administrador de SSL, tendrás que seleccionar el dominio donde vas a instalar el certificado e introducir los tres certificados “Certificat CTR”, “Private Key (KEY)” y “Certificate Authority Bundle (CABUNDLE)” y darle a instalar.
Con esto ya habrás instalado tu certificado SSL de forma manual.
Por si tienes alguna duda, te dejo más información sobre cómo instalar el certificado SSL en los distintos tipos de servidores.
Habilitar SSL en WordPress
No te vayas que todavía te queda lo más importante. Ahora tienes que habilitar SSL en WordPress. No te preocupes porque es muy fácil de hacer si sigues estas instrucciones.
Modificar la dirección en los ajustes generales de WordPress
Primero, tendrás que modificar la dirección que hay en los ajustes generales de WordPress, donde pone “Dirección de WordPress (URL)” y “Dirección del sitio (URL)”, de http a https.
Crear una redirección 301 de todas las URLS de HTTP a HTTPS
También tendrás que redirigir todo el tráfico a HTTPS con una redirección 301. Este paso será distinto si usas un servidor Apache que si usas uno Nginx. Por lo que voy a explicar cómo hacerlo en ambos casos.
Si tu servidor es Nginx
Si tu servidor se ejecuta bajo Nginx, puedes redirigir todo el tráfico HTTP A HTTPS añadiendo las siguientes líneas de código a tu archivo de configuración de Nginx. De hecho, es el método recomendado si usas Nginx.
Para esto, si usas Plesk, debes ir a la configuración de apache y nginx que encontrarás en la configuración del dominio.
Una vez dentro, introduce el siguiente código dentro del área de texto donde dice “Directivas adicionales de nginx”
server { listen 80 default_server; listen [::]:80 default_server; server_name midominio.es www.midominio.es; return 301 https://$server_name$request_uri; }En donde pone tudominio.com, debes introducir el dominio para el que estás haciendo el cambio.
Si tu servidor es apache
Si tu servidor es apache, deberás modificar el archivo .htaccess. Este archivo se encuentra en la carpeta principal de tu instalación de WordPress. Si usas el plugin Yoast también puedes encontrar este archivo en herramientas > editor de archivos.
Recuerda que antes de modificar nada, debes hacer una copia de seguridad por si acaso.
Este es el código que debes añadir en tu archivo justo antes de la línea “#BEGIN WordPress”
# BEGIN SSL RewriteEngine On RewriteCond %{ENV:HTTPS} !on [NC] RewriteCond %{HTTP_HOST} ^tudominio.com$ [OR] RewriteCond %{HTTP_HOST} ^www.tudominio.com$ RewriteRule ^(.*)$ https://tudominio.com/$1 [R=301,L,NE] # END SSLPasar de HTTP a HTTPS en la base de datos
No te agobies que ya estás en el último paso y es muy fácil con el plugin Better Search Replace. De todas formas, haz una copia de seguridad de la base de datos antes por si acaso.
- Como puedes ver en la siguiente imagen, en la parte “buscar por” tienes que introducir la URL anterior. Es decir, la de http://.
- En el apartado sustituir con, debes introducir la nueva dirección. Es decir, la de https://.
- A continuación, debes seleccionar todas las tablas. Basta con pinchar y arrastrar hacia abajo. Tienen que quedar todas en azul como se ve en la imagen.
- Finalmente, tienes que darle a Ejecutar búsqueda/sustitución.
Si te fijas, tengo seleccionado “¿quieres ejecutar un simulacro?”. Si marcas esta opción, harás un simulacro del cambio de las tablas de la base de datos y te indicará cuántas tablas y archivos se van a cambiar, pero no te los cambiará. Tienes que tener desmarcada esta opción para que se haga efectivo el cambio.
Una vez hecho esto, puedes eliminar el plugin.
Detecta y modifica “contenido inseguro” dentro de tu web
Seguro que después de todos estos pasos, has ido corriendo a ver el candadito verde en tu web y resulta que te has encontrado uno amarillo diciendo que sigue habiendo contenido bajo http.
Mirando en la consola (imagen anterior), que se abre pulsando con el botón secundario en cualquier parte de la web y dándole a inspeccionar, me indica que la web se ejecuta bajo https pero que sigue habiendo elementos que se ejecutan bajo http.
Normalmente, si has hecho todos los pasos que he comentado anteriormente, es raro que te encuentres con archivos que corran bajo http, pero puede ser posible. Por lo que tendrás que detectar cuáles son esos elementos y pasarlos a https.
Plugin para pasar de HTTP a HTTPS automáticamente
A pesar de que uso alrededor de 30 plugins en mi web, soy de los que apoya usar únicamente si son necesarios. De todas formas, se puede hacer todo esto con el plugin Really Simple SSL.
Personalmente nunca lo he usado. Por lo que no me preguntes cómo funciona porque no tengo ni idea. Solo sé, que muchos profesionales lo mencionan en sus blogs como la manera fácil de pasar de http a https y no voy a ser menos. Hay que dar todas las opciones posibles aunque no sea una de mis favoritas.
Checklist de tareas a realizar tras cambiar de HTTP a HTTPS
Ahora que ya tienes todo listo y seguro con Let’s Encrypt, tienes que cambiar todos los servicios que usas y apuntan a tu web de http a https.
Configurar en search console
Lo primero que te voy a recomendar como SEO que soy, es que añadas otra propiedad en Search Console con la dirección en https. Para esto basta con que pulses en añadir una propiedad y sigas las instrucciones.
Además, una vez creada la propiedad envía tu nuevo sitemap en https. Esto se hace en el apartado de rastreo sitemap. Una vez ahí dale al botón añadir o probar sitemap.
Actualizar el archivo robots.txt
Recuerda que en el robots.txt indicas a Google dónde se encuentra tu sitemap y que este también ha pasado de estar en http a estar en https. Por lo que también tendrás que cambiarlo para no hacer perder el tiempo a los crawlers de Google.
Este archivo lo puedes encontrar en el directorio principal de la web. Aunque también lo puedes modificar en Yoast, en el apartado herramientas > editor de archivos.
Actualizar la información de la propiedad en Google Analytics
También tendrás que hacerle saber a Google Analytics el cambio a https. Para esto, entramos en el administrador, hacemos clic en configuración de la propiedad y cambiamos donde pone URL predeterminada a https://.
Actualizar la URL de las landing pages en los anuncios de plataformas publicitarias
Si usas plataformas publicitarias como AdWords, cambia la página de destino o landing page de los anuncios de http a https.
Actualizar las URL en las redes sociales
Aunque menos importante que las anteriores, modifica la dirección que apunta a tu web desde las redes sociales.
Como conclusión, recomiendo enormemente pasar tu web a https. Ya no solo por SEO o porque des más confianza al usuario, sino porque si no lo haces, Google va a tachar tu sitio web como no seguro. Además, en un futuro cercano (2018), será obligatorio tener un certificado SSL instalado en tu web si recoges datos de tus clientes a través de ella. Con que tengas un simple formulario con nombre y correo a rellenar, te pedirán que tu página web corra bajo https.
El paso de http a https es un proceso simple. Al principio y dependiendo de la web, podemos notar un bajón en las visitas orgánicas. Pero pronto las recuperaremos e incluso he visto casos en los que han aumentado considerablemente.
Si tienes cualquier duda o pregunta ya sabes que puedes contactar conmigo tanto a través de email como a través de los comentarios. Estoy encantado de poder ayudar.
4 comentarios en «Cómo instalar un certificado SSL en WordPress»
Hola Rober:
¡Gracias por la mención!
Me has resuelto la duda por completo. El tema de las redirecciones para evitar penalización por contenido duplicado por el paso de http a https me traía de cabeza.
Lo he guardado en favoritos para ponerme manos a la obra con mis blogs y los de clientes.
Un abrazo,
Maryory
Me alegro un montón Maryory,
La verdad que te tengo que dar gracias a ti. Iba a escribir sobre otro tema, pero al preguntarme y no ser la primera que lo hacía, decidí que sería buena idea postearlo. Así que espero que te ayude a implementar el https en presentes y futuros proyectos.
Un abrazo muy grande!! 😉
Hola Roberto, muy bueno el Post, me quito algunas dudas… Pero me sigue saliendo:
«Tu conexión con este sitio web no es completamente segura.
Es posible que los atacantes puedan ver las imágenes que ves en este sitio web y que las modifiquen para engañarte.»
Y al mirar la consola el error es con 3 imagenes, pero al mirarlas en Medios el enlace si esta con https
Instale el plugin «Really Simple SSL» pero sigue saliendo el error.
Agradeceria tu ayuda, porque me tiene loco este problemita.
Saludos,
Carlos J.
Hola Carlos, posiblemente no hayas actualizado la base de datos de tu web. Usando el plugin better search replace puedes actualizar en la base de datos todas aquellas tablas en las que sigue apareciendo tu dirección sin https. Si sigues con problemas contacta conmigo y te lo miro sin problema.
Un saludo!