Instalar el certificado SSL Let’s Encrypt y pasar tu WordPress a HTTPS es fácil si sabes cómo. Y si no lo sabes, sigue la guía que he preparado apta para manazas y completos novatos. Convierte tu web en un lugar seguro en 10 minutos.
Muy bien, ya tienes tu blog o tu tienda online hechos con WordPress, estás súper contento con el resultado, pero sientes que le falta algo.
Atención: Dramatización
Te das una vuelta por las páginas de tu web como si fueras una persona que la acaba de descubrir y quiere chafardear a ver que hay, y de repente te sientes como si estuvieras paseando por el Bronx en chanclas y bañador, mientras tu abultada cartera sobresale del estrecho bolsillo de la parte de atrás.
No sabes muy bien por qué, pero todo el mundo te está mirando y se empiezan a frotar las manos mientras se dirigen hacia ti
¿Qué está pasando? ¿Dónde está la policía en este barrio? ¿No hay seguridad aquí?
¡Ahí lo tienes!
¡La seguridad!
Tu página web ahora mismo es como el Bronx, no ofrece la seguridad necesaria a los visitantes que pululan por ella.
Bueno, quizás me he pasado con la dramatización (¡que va!), pero lo que sí que es cierto es que tener una web segura ofrece una serie de ventajas, tanto a las personas que la visitan, como a ti.
Para convertirla en un lugar seguro tan sólo tienes que instalar un certificado SSL y pasar del protocolo HTTP a HTTPS. No te preocupes si te suena a Chino, luego veremos qué tienes que hacer y cómo.
Si tienes una página web simplemente con información o un blog que no tiene nada para comprar directamente en él (productos físicos, infoproductos, etc), podrías pasar sin meterte en estos follones (tampoco es pa’ tanto, hombre), pero en el caso de que tengas una tienda online en la que dispongas del método de pago con tarjeta, cuenta bancaria, etc, vas a tener que pasar tu WordPress a HTTPS sí o sí.
Pero vendas algo o no, si en tu web tienes formularios donde las visitas tienen que poner sus datos personales (por ejemplo, comentarios o formularios de contacto), pasar tu WordPress a HTTPS ofrece seguridad a los usuarios que los introducen.
Además, tiene otra ventaja que no debes dejar escapar, y que también veremos.
Qué es un certificado SSL y por qué pasar mi WordPress a HTTPS
Instalar un certificado SSL y que tu web con WordPress use el protocolo HTTPS tiene un único fin: ofrecer seguridad a los usuarios que navegan por ella.
Las siglas SSL vienen de Secure Socket Layer, que viene a querer decir “Capa de Conexión Segura” en nuestro querido idioma. Las siglas HTTP vienen de Hypertext Transfer Protocol (Protocolo de Transferencia de Hipertexto), y HTTPS viene de Hypertext Transfer Protocol Secure (Protocolo de Transferencia de Hipertexto Seguro).
Lo que hace el certificado SSL es encriptar los datos que introducen los usuarios en tu web y que se almacenan en el servidor de tu hosting, de manera que sean ilegibles por cualquiera y no sean una presa fácil.
Y tú, como encargado de recoger esos datos y responsable de garantizar su seguridad, te conviene que sean lo más difícil posible de ser robados.
Eso se consigue instalando un certificado SSL en tu servidor y pasar tu WordPress a HTTPS.
Pero una vez lo tengas instalado, no sólo conseguirás que tu web sea segura para tus usuarios, también conlleva otras ventajas colaterales que vemos a continuación.
SSL, HTTPS, y el SEO
Ohú, que hartón de siglas.
(No, Ohú no son siglas, es una expresión al estilo “ahí va la hostia”, pero más fino).
Bueno, al lío.
Instalar un certificado SSL para hacer de tu web un lugar seguro en el que dejar datos felizmente sin preocuparte de nada, te otorga puntos a la hora de posicionar en Google.
Lo que más le preocupa a Google es que los usuarios que realizan una búsqueda en su buscador tengan la mejor experiencia posible.
Y no hay mejor experiencia posible que pasear tranquilamente por una calle en la que hay un guardia de seguridad en cada esquina, para seguir la analogía del principio.
Es decir, en igualdad de condiciones en dos webs (contenido de calidad, misma autoridad, mismo número de enlaces entrantes de calidad, etc), es más probable que Google dé prioridad a la que usa el protocolo HTTPS antes que a otra que no lo haga.
De igual manera, si hay algún usuario algo más avispado que el resto y ve que una web no usa HTTPS, preferirá dejar sus datos a la que ofrece lo mismo y sí lo usa (sobre todo si se trata de una tienda online en la que hay que dejar los datos de la tarjeta de crédito o débito).
Let’s Encrypt, el certificado SSL gratuito
Hasta no hace mucho tiempo, si querías instalar un certificado SSL en tu servidor, tenías que pasar por caja y comprar uno a alguna de las compañías expendedoras (no es barato precisamente).
Por suerte, esta situación cambió con la llegada de Let’s Encrypt.
Let’s Encrypt nacío con el objetivo de que todo el mundo pueda obtener un certificado SSL abierto y de forma gratuita.
Es un proyecto creado por la Fundación Linux, al que se han sumado grandes gigantes de internet como Google, Facebook, Automattic (la empresa encargada de WordPress), Mozilla, y un largo etcétera.
Hay muchas empresas de hosting que te lo ponen fácil y te ofrecen la instalación de Let’s Encrypt con un sólo clic.
No todas te dan la posibilidad de hacerlo, por eso es conveniente contratar alguno de los mejores hostings que existen.
Instalar Let’s Encrypt en tu servidor
Ahora te voy a enseñar cómo instalar el certificado SSL Let’s Encrypt en tu WordPress.
Como cada hosting tiene su propia manera de hacerlo, te voy a explicar cómo instalarlo en SiteGround, que es donde está alojado este blog, y en Webempresa, donde tengo alojados otros proyectos.
SiteGround
Lo primero que tienes que hacer es entrar al cPanel de tu hosting y bajar hasta la sección “Seguridad”.
Ahí haz clic en “Let’s Encrypt”.
En la siguiente ventana, donde pone “Instala el nuevo certificado Let’s Encrypt”, selecciona el dominio donde quieres instalarlo. El email que aparece es el de tu cuenta de SiteGround.
Haz clic en “Instalar” y en unos segundos tendrás el certificado SSL instalado en tu dominio.
Webempresa
En el caso de Webempresa, tienes que acceder a tu área de cliente (al cPanel no), seleccionar “Hosting” en el menú, y una vez ahí hacer clic en “Gestionar certificados”.
En la siguiente ventana, elige el dominio donde quieres instalar el certificado Let’s Encrypt y haz clic en instalar.
En pocos segundos estará listo.
Pasar WordPress a HTTPS
Vale, ya tienes instalado en tu dominio tu flamante certificado SSL Let’s Encrypt.
Como ves, ha sido la tarea más fácil que has hecho en toda la semana, pero lamento decirte que aquí no acaba la cosa para que tu web sea segura.
Si entras en tu web, verás que sigue utilizando el protocolo HTTP en lugar del HTTPS.
Vamos a solucionarlo rápidamente. Porque quieres una web segura y la quieres YA.
Para empezar, accede al panel de control de WordPress y dirígete a “Ajustes – Generales”.
En las opciones de dirección de WordPress y del sitio, sustituye HTTP por HTTPS.
Esto hará que la nueva nueva URL de tu página sea mediante el protocolo HTTPS.
Guarda los cambios, y seguidamente serás expulsado de tu web.
No te asustes, no has hecho nada malo. No ha sido falta ni penalti ni tarjeta roja, pero al cambiar la dirección con la que se accede a tu web, a ojos de tu navegador tú no has accedido a ella.
Inicia sesión con tu usuario y contraseña y aquí no ha pasado nada.
Ahora te tengo que dar una noticia buena y una mala. ¿Cuál quieres primero?
La gente normalmente dice la mala primero para luego compensar con la buena, pero yo lo haré al revés. Soy así de majo.
La buena noticia es que ya tienes tu web segura.
A partir de ahora, todas las páginas y entradas que publiques, y todas las imágenes que subas, usarán el protocolo HTTPS y será como estar paseando por la calle de la piruleta.
La mala noticia es que todas las páginas, entradas e imágenes que tenías, siguen usando el protocolo HTTP y siguen sin ser seguras.
Vaya por Dios.
Si navegas por tu web, verás que aparece con el candadito de seguridad tachado o algo similar, y si haces clic en él te sale un mensaje diciendo que la conexión no es segura.
Pues nada, vamos a solucionarlo.
Pasar el contenido antiguo de tu WordPress a HTTPS
Este es, probablemente, el momento más delicado de la operación.
Todas direcciones (URL) de tus páginas, entradas e imágenes están almacenadas en la base de datos de tu web.
Podrías ir a la base de datos y modificar desde ahí cada una de las direcciones almacenadas, pero pueden pasar dos cosas: que te tires todo el día o que la líes parda y toques algo que no debes.
Por eso, vamos a tomar un camino mucho más fácil y rápido, apto para manazas y completos novatos.
Instala el plugin Better Search Replace en tu WordPress. Una vez instalado, ve a “Herramientas – Better Search Replace”.
En la casilla “Buscar”, escribe la URL de tu sitio antes del cambio a HTTPS, es decir: http://tudominio.
No es necesario añadir la extensión del dominio, pero si la dirección de tu web incluye las “www”, tendrás que ponerlas.
En la casilla “Sustituir con”, escribe la URL actual de tu sitio, es decir, lo mismo que has escrito en la otra casilla añadiéndole la “s”: https://tudominio.
En “Seleccionar tablas” aparecen las tablas que tiene tu base de datos. Selecciónalas todas para que no se deje ni un solo rincón por buscar.
Las opciones “Case-Insensitive” y “¿Quieres sustituir los GUIDs?” puedes dejarlas desactivadas.
La opción “¿Quieres ejecutar en seco” te permite hacer un simulacro de la búsqueda y reemplazo. Si está activada, te dirá lo que se va a reemplazar, pero no realizará ningún cambio en la base de datos.
Evidentemente, tendrás que desactivarla para llevar a cabo tu objetivo.
Haz clic en “Run Search/Replace” para que empiece a buscar y sustituir las URL antiguas con HTTP por las nuevas con HTTPS.
Cuando haya acabado, por fin tendrás tu página web totalmente segura.
Ahora sí que da gusto pasear tranquilamente por tu web.
Redirigir de HTTP a HTTPS
Ahora que tu web ya es un lugar seguro en el que navegar y dejar nuestros más oscuros datos sin preocuparnos, falta el último paso: redirigir de HTTP a HTTPS las URL de tu web.
¿Cómo? ¿Aún no se ha acabado esta pesadilla?
Tranquilo, te prometo que esto es lo último que tienes que hacer.
Pero, ¿por qué tienes que hacer esto?
- Si tu sitio web ha sido enlazado desde otro sitio, el enlace apuntará a la versión de tu web con HTTP, y a ti te interesa que vayan a la versión con HTTPS.
- A tu web se puede entrar con las dos direcciones (HTTP y HTTPS), esto a ojos de Google es como si hubieran dos webs idénticas, y las penalizaría por contenido duplicado.
Para evitar estos dos problemas, es conveniente redirigir todo el tráfico que entre a la versión HTTP a la versión HTTPS.
Hay dos maneras de conseguirlo:
Añadiendo algunas líneas al archivo .htaccess
Abre el archivo .htaccess de la raíz de tu web para editarlo, y escribe las siguientes líneas (te dejo las dos versiones, según si la URL de tu web tiene las “www” o no):
Si tu web usa las “www”:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule .* https://www.domain.com%{REQUEST_URI} [R,L]Si tu web no usa las “www”:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule .* https://domain.com%{REQUEST_URI} [R,L]Guarda los cambios y cierra el archivo.
Instalando un plugin
Si no quieres tocar el archivo .htaccess por miedo a liarla (haces bien), puedes instalar un plugin para que fuerce el uso del HTTPS.
Hay varios plugins para hacer esto, pero uno que cumple muy bien su misión es Really Simple SSL. Sólo tienes que instalarlo, activarlo y listo.
Ya está, ¿Ves como no era para tanto?
Conclusión
Y hasta aquí la lección de cómo pasar tu WordPress a HTTPS para tener una web segura.
Aunque parezca un proceso largo y complicado, en realidad puede estar listo en menos de 10 minutos, y lo mejor es hacerlo cuanto antes.
Si tu web aún es joven, no lo dejes para más adelante, cuanto más tiempo pase, más páginas, entradas e imágenes se acumularán.
Y si tu web ya lleva tiempo al pie del cañón, no temas por realizar el cambio, es más fácil de lo que parece a simple vista.
Pero eso sí, realiza una copia de seguridad de todo tu sitio antes de hacer el cambio por si acaso tocas algo por error que no deberías haber tocado.
Si te ha quedado alguna duda o quieres añadir algo, utiliza los comentarios, ¡que para eso están! ¿Ya has pasado tu WordPress a HTTPS? ¿Como fue el proceso?
Imagen de artículo: onlyyouqj – Freepik
Gracias , me has ayudado mucho ..
Eres un muy buen profesional y una buena persona ..
éxitos!!!
Vaya, así da gusto acabar la semana 🙂
Muchas gracias Eduardo, ¡me alegra haberte ayudado!
Un saludo.
Sos muy groso capo!!!
Jajajaja, no sabes como me he quedado después de realizar todos los pasos según los leía y en el ultimo cuando he leído realiza una copia de seguridad de todo tu sitio antes de hacer el cambio, glupp, pero tachan me ha salido genial. Ahora en serio muchas gracias por compartir tus conocimientos y lo hagas de esa forma tan tuya. Gracias.
Hola Conchi,
Gracias a ti por el comentario, me alegro de que te haya salido todo bien a la primera gracias a este post 🙂
Un saludo.