WordPress https

Tanto Google como el navegador Chrome toman muy en cuenta esta mejora de seguridad en tu web para mejorar el posicionamiento (en el caso de Google) y para hacer desaparecer la notificacion de marca como”no seguro” en aquellas páginas que no tengan instalado un certificado SSL (en el caso de Chrome, que es de Google!)

¿Qué es un Certificado SSL?

Consiste en “encriptar” toda la información que el usuario manda, normalmente a través de formularios, al servidor. Por ejemplo, si hay un formulario de contactar (como en la parte den contatco de esta web), o hay un formulario de petición de presupuesto, o incluso un formulario de pedido de una compra, significa que el usuario está “mandando” información, ya sea su nombre, email, un mensaje o incluso un numero de tarjeta de crédito.

Si tu web no dispone de un certificado SSL, toda esta información se manda tal cual, sin encriptar o codificar. En principio eso no debería tener mucho problema si no fuera porque hay gente que se dedica a cazar esa información. Así que por si las moscas, el SSL “codifica” esa información antes de enviar, y luego el receptor la descodifica. De esta forma, si el hacker de turno lo interceptara, no pasaría nada, pues sólo tendría la información encriptada, con la que no podría hacer nada de nada!

Ya sea para evitar que nadie te acceda al panel de control si usas un WiFi público, mejorar el SEO, poder usar Stripe etc, como para asegurar la privacidad y seguridad de los datos de tus clientes, pasar tu web a servidor seguro es la mejor opción.

¿Es obligatorio? No, pero Sí esencial

Por ley, no es obligatorio tenerlo pero, si te pones en la situación de alguien que entra en tu web a realizar una consulta, contratación o compra de un servicio y ve un aviso al lado de tu url “NO ES SEGURO”  es muy probable que no realice esa acción de comprar y seguramente abandone tu web rápidamente.

No podemos olvidar que perjudica el posicionamiento, cosa que nos interesa siempre, tengamos un blog, tienda online, web presencial de empresa, por lo que para nosotros sí, más que obligatorio, diríamos que es indispensable tenerlo desde ya configurado!

En pasarelas de pago importantes para WordPress, como en el caso de Stripe, es obligatorio tener un certificado SSL instalado para su funcionamiento.

TU WORDPRESS EN HTTPS
POR SOLO 99€

¿Cómo consigo un certificado SSL?

Para tener SSL debéis contratarlo a vuestra empresa de hosting. Cada una tiene sus precios y ofertas, elegid el que os haga falta en función de vuestras necesidades.

Existen diferentes tipos de certificados de diferentes empresas, y los precios pueden ir desde los gratuitos (Let’s Encrypt es una opción relativamente reciente y gratuita que ofrecen algunos proveedores de hosting como cdmon y siteground) hasta los 300€ anuales o más. La principal diferencia entre ellas es si la empresa certificadora realiza una validación de la empresa propietaria de la web o no, y si el certificado es válido para sólo un dominio o todos sus subdominios.

¿Cómo pasar una Web WordPress a https?

Hemos revisado distintas formas de hacerlo y esta es la que más nos gusta por su sencillez y efectividad:

Supongamos que ya hemos contratado SSL. Ahora requiere que aparte de contratarlo, lo configuremos.

Así que lo primero que haremos en nuestro wordpress será ir a “Ajustes / General”, y ahí modificar las dos URLs que aparecen (Dirección de WordPress y Dirección del sitio), y añadiremos la “s” final en el https, tal que así:

Esto lo que hará será modificar la raíz de nuestra instalación de WordPress. Sobretodo, antes de hacer esto, asegurémonos que tenemos contratado el SSL, ya que sino la liaríamos parda.

En el momento de hacer esto, automáticamente “saldréis” de la web. O sea, que sin quererlo ni beberlo os habréis desconectado y deberéis volver a iniciar sesión. No os preocupéis, es normal. Eso pasa porque hemos cambiado la URL, y puede afectar a la sesión o a las cookies. Sólo tendremos que identificarnos de nuevo y listos.

En principio, sólo haciendo esto ya tendremos la web entera en SSL, ya que WordPress genera automáticamente las URLs en función de esas dos variables que le hemos dicho ahí. Pero claro, esto pasará únicamente en las URLs nuevas, y las que se generan de forma automática… ¿Pero que pasa con las URLs que ya habíamos introducido? ¿Qué pasa si en un artículo o página habíamos enlazado otro artículo o página que en aquel momento no tenía la “s” en el http”s”? o ¿Qué pasa con las imágenes que tenemos en la web, que todas ellas tienen la URL sin el https? Bien, pues eso “rompería” el candadito verde, porque en esa página se estarían mostrando elementos “no seguros”, ya que la URL de esas imágenes serían la versión no “https”. Podemos comprobarlo abriendo la imagen en una nueva pestaña.

Modificar las URLs antiguas para pasarlas a https

Podríamos ir repasando manualmente todos los enlaces e imágenes de nuestra web y pasarlas a https una a una, pero eso sería eterno, especialmente si tu web es de un tamaño considerable, por lo que lo que haremos será usar el plugin “Better Search Replace“, del que ya he hablado en alguna ocasión.

Este plugin es peligroso si no sabes lo que estás haciendo, o sea que ojo. Comprobad antes tres o cuatro veces antes de hacer nada.

Así pues, una vez lo instalamos vamos a “Herramientas -> Better Search Replace”. Ahí veremos una interfaz en la que podremos buscar cualquier texto en nuestra base de datos y reemplazarlo por otro… así que supongo que ya sabéis lo que toca ahora: Buscar las URLs antiguas con “http” y cambiar por “https”. Ejemplo:

Repasemos los campos:

  • Buscar: Indicar la URL que teníamos. IMPORTANTE no pongáis simplemente “http”, ya que eso reemplazaría también enlaces externos de otras webs que hemos enlazado, que quizás no tienen SSL. Aseguraros de poner vuestra URL base de WordPress antigua, algo estilo http://web.com.
  • Sustituir con: Indicar la URL nueva, que será exactamente lo mismo pero con la “s” al final: https://web.com
  • Seleccionar tablas: Seleccionar todas.
  • Case-Insensitive: No marcar, no afecta. Con esto le decimos si tiene que tener en cuenta mayúsculas y minúsculas.
  • ¿Quieres sustituir los GUIDs?: Dejarlo sin marcar para no complicarnos ya que se trata de algo muy técnico.
  • ¿Quieres ejecutar ?: Importante ya que si está activado no se realizará el reemplazar, simplemente nos avisará de lo que se modificaría en el caso que lo hiciéramos. 100% recomendable probarlo primero, y si todo está ok, luego lo demarcáis y lo ejecutáis de nuevo.

Con esto lo que hará será sustituir todas las URLs de la base de datos, para asegurarnos que todas incluidas las antiguas pasan a ser SSL. Ahora tendriamos que tener el candadito verde en toda la web!

Importante: Después de haber realizado la búsqueda y remplazo, ya podéis desactivar y desinstalar el plugin, ya no lo necesitaremos más, y es peligroso tenerlo ahí sin usar.

Redirigir las páginas http a httpS

Finalmente hay un último punto que en muchas ocasiones olvidamos, pero que es muy importantes, y es el de redirigir todas las URLs de HTTP a HTTPS. Esto es importante por varios motivos, pero hay dos principales:

En primer lugar, porque seguramente tendremos enlaces de otras páginas que nos enlazan (y nos seguirán enlazando) a la versión sin SSL, o sea, “http”, sin la “s”. Es importante que todos esos enlaces vayan a la página buena y segura, para no perder ni un puntito de SEO.

Y por otra parte, para evitar contenido duplicado. Si no hiciéramos esa redirección, significaría que podemos “ver” la web tanto en una URL como en otra:

  • http://web.com
  • https://web.com

Si ambas funcionan y muestran lo mismo, querría decir que tendríamos contenido duplicado (mismo contenido en diferentes URLs). Así que para evitarlo, deberemos añadir las siguientes instrucciones en nuestro archivo .htaccess:

# Pasar todo siempre a SSL
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

TU WORDPRESS EN HTTPS
POR SOLO 99€
Con estas líneas nos aseguramos que tanto se se accede a nuestra web a través de http como a través de https, siempre se redirigirá a la versión segura. No nos gusta abusar de plugins, sin embargo existe otra forma más cómoda si te da miedo tocar código: Really Simple SSL

Simplemente has de instalarlo, no hace falta configurar nada y automáticamente realiza la redirección y cambia las llamadas de enlaces internos y archivos de estilos y javascript a https://

Por último pero no menos importante…

No olvides, además, de modificar el dominio de tu sitio en Google Search Console y Google Analytics.

En Google Search Console deberás añadir una nueva propiedad con el https://, no puedes modificar la existente. En Google Analytics sí, podrás cambiar el protocolo en Administrador -> Propiedades -> Configuración de la propiedad.

 

Si quieres instalar un certificado en tu web pero no sabes que certificado instalar ni cómo hacerlo, no dudes en contactar con nuestro equipo!