Si no ha migrado WordPress de HTTP a HTTPS, debe darse prisa. Google lo utiliza como factor de clasificación en las búsquedas y los navegadores ahora advierten a los usuarios si un sitio web es inseguro.
Si sigue utilizando HTTP, su sitio web se considera inseguro.
Eso tendrá un impacto significativo en el tráfico y en la confianza.
Proteger su sitio web WordPress con un certificado SSL y cambiar a HTTPS es tan fácil como esencial. También es muy sencillo cuando se divide en trozos del tamaño de un bocado.
De eso trata este artículo.
Vamos a guiarte a través de todo el proceso de instalación de un certificado SSL y el cambio del inseguro HTTP al más seguro, y ahora por defecto, HTTPS.
- Comprender HTTP, HTTPS y SSL
- Por qué necesita HTTPS en su sitio web
- Requisitos previos para cambiar WordPress de HTTP a HTTPS
- Cómo mover un sitio WordPress de HTTP a HTTPS
- Cómo forzar el uso de HTTPS en WordPress
- Cómo comprobar si SSL funciona correctamente en su sitio web
- Errores HTTPS comunes de WordPress y cómo solucionarlos
- Cómo actualizar su sitio web HTTPS en los servicios web
- Preguntas frecuentes sobre WordPress SSL/HTTPS
- Pasar WordPress a HTTPS
Comprender HTTP, HTTPS y SSL
En primer lugar, preparemos el terreno explicando exactamente qué son HTTP, HTTPS y SSL y para qué sirven.
HTTP
HTTP significa Protocolo de transferencia de hipertexto. Es un protocolo de red que se utiliza en la web para que un navegador pueda "buscar" archivos de un servidor. Toda la mensajería se produce entre bastidores y no se ve nada, salvo un pequeño retraso mientras se producen los mensajes HTTP.
Cuando haces clic en el enlace o URL de una página web en tu navegador:
- El navegador solicita el archivo al servidor web que aloja esa página.
- El servidor responde a esa petición y envía la página web a su navegador.
- El navegador muestra la página en pantalla para que la leas.
Cada vez que cambias de página, haces clic en un enlace o interactúas con una página web, este proceso se repite.
Cuando se utiliza HTTP, todos los mensajes se envían en claro, es decir, sin cifrado. Si alguien estuviera vigilando tu red y husmeando tus datos, podría ver exactamente lo que haces mientras estás conectado.
Las conexiones HTTP también presuponen confianza. El navegador se conecta al servidor web y asume que es el servidor y el sitio web correctos. Obtiene el archivo solicitado y lo descarga en su navegador sin comprobar si es real o legítimo.
Esto tiene implicaciones obvias para la seguridad.
HTTPS
HTTPS significa Protocolo de transferencia de hipertexto seguro. Utiliza los mismos principios que HTTP con la mensajería y la obtención, pero con una diferencia clave. Todo el tráfico entre el navegador y el servidor web está cifrado.
HTTPS también verifica que el servidor al que está conectado es legítimo y pertenece definitivamente al servicio al que cree estar conectado.
Para lograr este nivel de seguridad, utilizamos SSL.
SSL
SSL significa Capa de sockets seguros. Técnicamente se conoce como SSL/TLS (Secure Sockets Layer/ Transport Layer Security), pero todo el mundo lo llama SSL.
SSL es un protocolo de seguridad de Internet que utiliza el cifrado para proteger el tráfico que fluye entre su navegador y un servidor web. En el contexto de la web y WordPress, la seguridad SSL la proporciona un certificado conocido como certificado SSL.
Un dominio web requiere un certificado SSL para poder utilizar SSL. Forma parte del proceso de autenticación para mantener la seguridad del sistema.
El propietario de un sitio web debe solicitar un certificado SSL a una autoridad de certificación independiente. Se concede sobre el dominio, el nombre www. del sitio web.
Los propietarios tienen que demostrar que son los dueños del sitio web y que los datos que facilitan son correctos. La autoridad de certificación comprueba estos datos y sólo concede un certificado SSL cuando está convencida de que todo está en orden.
Esto proporciona un nivel de garantía de que el propietario de un certificado SSL para un dominio es el propietario de ese dominio. Así se supera uno de los puntos débiles de HTTP, el de confiar ciegamente en que el navegador está conectado a un servidor web legítimo.
Una vez instalado en WordPress, un certificado SSL permite a cualquier navegador compatible solicitar una conexión cifrada. Esto supera la principal debilidad de HTTP. La de enviar todo el tráfico en claro.
Cómo funcionan SSL y HTTPS
HTTPS funciona mediante un apretón de manos inicial y dos pasos vitales, el intercambio de certificados y el intercambio de claves.
El intercambio de certificados consiste en que el sitio web envía una copia del certificado SSL al navegador para demostrar que es real y quien dice ser.
El intercambio de claves se produce en ambas direcciones. El servidor web envía una copia de su clave pública al navegador y el navegador envía una copia de su propia clave pública al servidor web.
Estas claves son las que desbloquean el paquete cifrado enviado entre el servidor web y el navegador para que éste pueda entender y mostrar el archivo, la página web, que solicitó.
El proceso es algo parecido a esto:
- Su navegador envía un mensaje hello (ClientHello) al servidor web. Esto también se conoce como "handshake".
- El navegador indica al servidor qué tipos de seguridad puede manejar.
- El servidor responde con un mensaje ServerHello indicando al navegador el tipo de cifrado que utilizará.
- A continuación, el servidor envía una copia del certificado SSL para demostrar que es quien dice ser.
- También envía la clave pública para que el navegador pueda descifrar todo el tráfico enviado por el servidor.
- El navegador comprueba el certificado SSL y responde con una copia de su propia clave pública para que el servidor pueda descifrar futuras peticiones de ese navegador.
- El servidor pasa al cifrado y comprueba si el navegador ha entendido el mensaje.
- El navegador responde indicando al servidor que ha podido descifrar el mensaje y la sesión de navegación continúa.
Todo ese proceso suele durar sólo uno o dos segundos. Sólo tiene que ocurrir una vez por sesión, pero debe repetirse cada vez que visite un nuevo sitio web o cada vez que abra el navegador para visitar cualquier sitio web.
Se tarda mucho más en explicar cómo funciona HTTPS con SSL que en hacerlo realmente.
Por qué necesita HTTPS en su sitio web
WordPress HTTPS es ahora la expectativa por defecto de todos los usuarios de la web. Esperamos ver el candado en nuestro navegador indicándonos que el sitio web es seguro.
Hay tres razones principales por las que debería utilizar WordPress HTTPS:
- Confíe en
- Seguridad
- SEO
Echemos un vistazo rápido a cada uno de ellos.
Confíe en
La confianza es esencial en Internet. No hace falta que le digamos que usted es responsable de su propia seguridad, pero también debe poder confiar en el sitio en el que está.
Asegurar la conexión entre su navegador y un sitio web ayuda a generar esa confianza.
Los navegadores alertan a los usuarios si un sitio web no es seguro y no utiliza HTTPS. Aunque no dicen "No proceda porque hay dragones delante", podrían hacerlo. Es una advertencia bien elegida, pero es una advertencia al fin y al cabo.
Póngase en el lugar del visitante. Si aterrizaras en un sitio web que te advirtiera de que no es seguro, ¿te fiarías?
Seguridad
Como administrador o propietario de un sitio web, tiene una responsabilidad con todos sus visitantes. No sólo para darles una experiencia de usuario superior, sino también para protegerlos mientras están con usted.
Eso significa garantizar que sus datos no corren peligro, que nadie puede escuchar su tráfico ni piratearlos de ninguna manera mientras visitan su sitio.
Si gestiona una tienda en línea o vende artículos, es obligatorio utilizar HTTPS para proteger los datos de las tarjetas de crédito y la información personal. Si permite el registro de usuarios, también debe utilizar HTTPS para proteger las cuentas de los usuarios.
SEO
SEO es una consideración secundaria en comparación con la confianza y la seguridad, pero sigue siendo importante.
Google anunció en 2014 que utilizaría HTTPS como factor de clasificación. Si los sitios web no utilizan HTTPS, no se clasificarán tan alto como los que sí lo hacen. Google implementó esos cambios en 2018 y comenzó el proceso de elevar los sitios web seguros.
Si gasta dinero en SEO o Plugins SEO y no uses HTTP, ¡estás tirando el dinero por el desagüe!
Requisitos previos para cambiar WordPress de HTTP a HTTPS
Es sencillo cambiar WordPress de HTTP a HTTPS. Hace tiempo que existe y la mayoría de los alojamientos web admiten SSL y HTTPS.
Sólo necesitará un proveedor de alojamiento web que admita SSL. Un host que, preferiblemente, ofrezca certificados SSL gratuitos como parte de su paquete de alojamiento.
Cómo mover un sitio WordPress de HTTP a HTTPS
Tienes dos opciones principales para pasar WordPress de HTTP a HTTPS. Puedes utilizar un plugin o realizar los cambios manualmente.
Veamos cada una de las opciones.
Cada opción requiere que usted o su proveedor de alojamiento web tengan instalado el certificado SSL. Dado que cada proveedor de alojamiento web lo gestiona de forma diferente, no podemos abarcarlos todos aquí. Consulte a su proveedor de alojamiento web para obtener instrucciones sobre la instalación del certificado SSL de WordPress.
Una vez instalado su certificado SSL de WordPress, proceda con uno de estos métodos.
Pasar un sitio WordPress de HTTP a HTTPS mediante un plugin
Si usted es un principiante de WordPress o no quiere la molestia de cambiar manualmente a WordPress HTTPS, el uso de un plugin es probablemente el más fácil.
Los siguientes son los pasos para mover un sitio WordPress de HTTP a HTTPS utilizando un plugin:
- Conéctese a su Sitio web WordPress
- Seleccione Plugins y Añadir nuevo en el menú de la izquierda de su panel de WordPress.
- Escriba "ssl" en el cuadro de búsqueda de la parte superior derecha
- Seleccione SSL realmente sencillo y seleccione Instalar ahora
- Seleccione Activar cuando la opción esté disponible
- Seleccione Configuración y SSL en el menú de la izquierda de su panel de WordPress
- Compruebe que el plugin ha encontrado su certificado SSL
Usted debe ver una página que dice 100% progreso con un botón verde por SSL. Esto le indica que el plugin ha encontrado y verificado su certificado SSL y puede utilizar HTTPS.
Pasar un Sitio WordPress de HTTP a HTTPS Manualmente
Configurar WordPress para que utilice HTTPS manualmente lleva un poco más de tiempo, pero le ofrece un control total sobre su sitio web. También significa que no dependes de un plugin.
Necesitará acceder al archivo .htaccess de WordPress para realizar el cambio manual. Asegúrate de tenerlo antes de empezar iniciando sesión en el administrador de archivos de tu proveedor de alojamiento web y navegando hasta la raíz.
- Seleccione .htaccess y seleccione editar. Si puede editar el archivo, puede continuar.
- Siga cada paso cuidadosamente para configurar correctamente WordPress HTTPS.
- Acceda a su sitio web WordPress
- Seleccione Ajustes y General en el menú de la izquierda de su panel de WordPress.
- Añada la 's' junto a http por Dirección de WordPress (URL) y Dirección del sitio (URL)
- Guardar los cambios
- Abra su archivo .htaccess en la carpeta raíz de su host
- Añade el siguiente código al archivo antes del cierre '# End WordPress' y guárdalo
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
Ahora vuelve a entrar en WordPress acordándote de añadir la 's' a HTTPS. Si lo has hecho correctamente, deberías poder iniciar sesión y utilizar tu sitio web de forma segura.
Sea cual sea el método que utilice para cambiar a WordPress HTTPS, hay un par de cosas que debe hacer.
- Actualice el mapa del sitio - Si utiliza Yoast u otro plugin de SEO, asegúrese de que un mapa del sitio actualizado que refleja su cambio a WordPress HTTPS
- Compruebe todos los enlaces de su sitio web - Utilice un herramienta web o plugin para comprobar que todos los enlaces han cambiado de HTTP a HTTPS. Deberían haberlo hecho, pero vale la pena asegurarse.
- Cambiar el enlace en Google Analytics u otras herramientas - Si utiliza herramientas de supervisión o análisis, tendrá que actualizarlas para reflejar los cambios.
Cómo forzar el uso de HTTPS en WordPress
Si ha utilizado uno de los métodos HTTPS de WordPress anteriores, no debería haber ninguna razón para forzarlo. Sin embargo, puedes forzar a WordPress a usar HTTPS si quieres.
Para ello, necesitará acceder a su archivo wp-config.php. Si tiene acceso a su archivo .htaccess, también debería poder acceder a wp-config.php en su archivo principal de WordPress.
- Abra wp-config.php en su editor de texto favorito
- Añade 'define('FORCE_SSL_ADMIN', true);' al final del archivo y guarda
Como siempre, no incluyas los ' o ' en el código. Pégalo exactamente como en la imagen anterior.
Cómo comprobar si SSL funciona correctamente en su sitio web
La forma más sencilla de comprobar si SSL funciona correctamente es visitar su sitio web. Ahora todos los navegadores te avisarán si intentas visitar un sitio HTTP inseguro.
Si SSL funciona, su sitio web debería aparecer en su navegador. También debería tener el candado junto a la URL.
Si SSL no funciona, debería ver una advertencia en su navegador sobre el intento de visitar un sitio web inseguro.
También puede compruebe su sitio web con DigiCertuna de las principales autoridades de certificación. Añada su URL en la casilla y seleccione Comprobar servidor.
GoDaddy tiene un comprobador SSL similar.
Errores HTTPS comunes de WordPress y cómo solucionarlos
El proceso de proteger WordPress con HTTPS es bastante sencillo, pero no está exento de dificultades. Es posible que te encuentres con errores al intentar cambiar a WordPress SSL.
Esperemos que alguna de las soluciones que te proponemos a continuación pueda ayudarte:
"Error "Su conexión no es privada
En "Error "Su conexión no es privada significa que tu navegador no puede leer correctamente el certificado SSL. Esto es predominantemente un navegador local o problema del dispositivo en lugar de un servidor.
Existen varias soluciones. Pruébalas una a una para ver qué pasa.
- Recargar la página
- Pruebe con otro navegador
- Prueba la navegación de incógnito o privada
- Borrar el caché del navegador y galletas
- Asegúrese de que el reloj de su ordenador es preciso
- Borrar el estado SSL en su ordenador (Windows)
Para borrar el estado SSL en Windows, haga lo siguiente:
- Haga clic con el botón derecho del ratón en el botón Inicio de Windows y seleccione Conexiones de red
- Seleccione Centro de redes y recursos compartidos en el panel central
- Seleccione Opciones de Internet en la parte inferior izquierda de la nueva ventana
- Seleccione la pestaña Contenido en la nueva ventana
- Seleccione Borrar estado SSL y seleccione Aplicar
El candado SSL no aparece
Si ha instalado un certificado SSL y lo ha probado pero sigue sin aparecer el candado, es que tiene enlaces inseguros (HTTP, no HTTPS) en la página.
Un navegador consulta todos los enlaces de una página antes de considerarla segura. Sólo cuando todos los enlaces han sido validados, el navegador muestra el candado. Si hay algún enlace inseguro en la página, no verás el candado.
Para solucionarlo, simplemente compruebe todos los enlaces de la página y verifique que cada uno utiliza HTTPS. Cambia los que no lo hagan y vuelve a probar.
Aviso "No seguro" en las páginas de inicio de sesión y administración de WordPress
Si aparece el mensaje "No seguro" al iniciar sesión en WordPress, significa que la página no está siendo validada por el certificado SSL.
Para solucionarlo, consulte la sección anterior "Cómo forzar el uso de HTTPS en WordPress". Una vez que fuerces el uso de HTTPS en WordPress, el error debería desaparecer.
Bucles de redireccionamiento
Si ve "ERR_TOO_MANY_REDIRECTS" en su navegador, significa que uno o más redireccionamientos de su página apuntan a otro sitio.
Las redirecciones son habituales en la web y suelen funcionar bien. Es un mecanismo para indicar a un navegador que el activo que busca puede encontrarse en una ubicación diferente.
Sin embargo, si el navegador va a esa ubicación diferente y encuentra otra redirección que le indica que busque en otro lugar, muestra el error "ERR_TOO_MANY_REDIRECTS".
Primero comprueba tu navegador, por si acaso.
Borra la caché y las cookies de tu navegador y vuelve a intentar el enlace.
Si funciona, ha sido un error del navegador y no de WordPress. No es necesario hacer nada más.
Si el error persiste, pruebe una o varias de las siguientes opciones:
Borrar la caché de WordPress - Si utiliza una herramienta de caché como WP Cache o WP Rocket, borre la caché y vuelva a probar. La corrupción de la caché podría estar causando la redirección.
Compruebe sus enlaces - Utilice un servicio como Serpworx para comprobar si hay redireccionamientos. Identifique los redireccionamientos y compruebe cada uno de ellos. Modifíquelos si es necesario.
Desactivar temporalmente los plugins SEO - Algunos plugins SEO redirigen los enlaces como parte de sus funciones. Desactiva el plugin SEO, borra la caché de WordPress y del navegador e inténtalo de nuevo. Si no ves el error, soluciona el problema del plugin. Si lo ves, prueba con otro paso.
Vuelva a comprobar HTTP a HTTPS - Si has seguido los pasos de esta guía y te aparece el error, vuelve a revisar cada paso para asegurarte de que lo has hecho correctamente. Cualquier error en la configuración SSL puede causar redirigir errores.
Cambiar de plugin HTTPS a manual - Si ha comprobado todo y todo parece estar bien y ha utilizado el plugin para WordPress HTTPS, considere la posibilidad de hacerlo manualmente. Algunos plugins pueden lanzar errores aleatorios y este es uno de ellos.
Cómo actualizar su sitio web HTTPS en los servicios web
Ya hemos mencionado antes la actualización de Google Analytics u otras herramientas de seguimiento, pero volvamos a tratarlas brevemente.
Google Analytics
Cambiar de HTTP a HTTPS es muy sencillo en Google Analytics.
- Entrar en Google Analytics
- Seleccione Admin en la parte inferior izquierda
- Seleccione Configuración de la propiedad
- Seleccione el sitio web en Propiedades en la parte superior izquierda del panel central (debajo del botón azul Crear propiedad)
- Establezca la URL por defecto en el panel central para reflejar HTTPS
- Seleccione el botón azul Guardar en la parte inferior de la página
Consola de búsqueda de Google
Deberá cambiar de HTTP a HTTPS en Google Search Console para seguir supervisando su sitio web.
Google Search Console no dispone de la opción "cambiar a HTTPS". Tendrás que añadir tu sitio web como una nueva propiedad y realizar la verificación si se te solicita. Es un proceso sencillo que lleva un par de segundos.
- Entrar en Consola de búsqueda de Google
- Seleccione su sitio web en la parte superior izquierda y seleccione Añadir propiedad
- Añada la versión HTTPS de su sitio web y complete los pasos
Herramientas para webmasters de Bing
Si utilizas las Herramientas para webmasters de Bing, tu trabajo es más fácil. Siempre que realices los pasos de WordPress HTTPS de este artículo y compruebes que funcionan, Bing detectará automáticamente el cambio y actualizará la configuración para reflejarlo.
Plataformas de medios sociales
No olvides actualizar la URL completa en tus cuentas de redes sociales. Cambia a HTTPS en todas las redes sociales que utilices y enlaza de nuevo a tu sitio web.
Deberá acceder a cada uno de ellos individualmente y editar las menciones de su sitio web desde el área principal de configuración.
Preguntas frecuentes sobre WordPress SSL/HTTPS
Hemos tratado de responder a las preguntas más comunes sobre WordPress SSL y el uso de HTTPS, pero en caso de que todavía las tenga, aquí hay algunas preguntas y respuestas más rápidas.
¿Afectará el cambio a HTTPS a la clasificación en los motores de búsqueda?
El cambio a HTTPS afectará a la clasificación en los motores de búsqueda, pero en el buen sentido. Google y probablemente otros motores de búsqueda utilizan HTTPS y SSL como marcadores positivos. Los sitios web que utilizan SSL son vistos como más confiables y por lo tanto, más dignos de promoción que los sitios web sin SSL.
Eso tiene un impacto positivo en su SEO.
¿Por qué el sitio de WordPress muestra "No seguro"?
Su sitio WordPress muestra el mensaje "No seguro" porque no tiene un certificado SSL o porque hay algún problema. Tendrás que solucionar este problema con tu proveedor de alojamiento web. La mayoría de los proveedores de alojamiento web tienen una sección SSL en cPanel o en su área de administración donde puedes comprobar el estado de tu certificado SSL. Es un buen punto de partida.
¿Por qué no hay un candado en el sitio web SSL?
No hay ningún signo de candado en el sitio web SSL porque la página en la que se encuentra tiene enlaces inseguros. Eso significa que uno o más enlaces en el punto de la página está utilizando HTTP y no HTTPS. Si es tu sitio, comprueba todos los enlaces de la página y cámbialos a HTTPS. Si no es tu sitio, notifícaselo al administrador del sitio web o prueba con otra página.
Pasar WordPress a HTTPS
Si acabas de pasar WordPress a HTTPS, llegas un poco tarde a la fiesta. Digamos que es un poco tarde y entremos en el mundo de la navegación segura.
Aunque HTTP, HTTPS y SSL pueden parecer complicados, como hemos demostrado, el proceso es bastante sencillo si lo divides en trozos del tamaño de un bocado. Eso es lo que hemos hecho aquí.
¿Tiene algún consejo para cambiar a WordPress HTTPS? ¿Puedes recomendarme un alojamiento web que ofrezca SSL gratuito para WordPress?
Si eres nuevo en WordPress, tenemos otros artículos que podrían interesarte:
- Las 9 empresas de alojamiento gestionado de WordPress más rápidas
- Cómo crear un sitio web WooCommerce con Elementor y Astra Theme
- Plugins imprescindibles para el éxito de cualquier sitio web WordPress
- Cómo elegir el mejor tema de WordPress
Divulgación: Este blog puede contener enlaces de afiliados. Si realiza una compra a través de uno de estos enlaces, es posible que recibamos una pequeña comisión. Leer información. Tenga la seguridad de que sólo recomendamos productos que hemos utilizado personalmente y que creemos que aportarán valor a nuestros lectores. Gracias por su apoyo.