Saltar al contenido

¿Cómo cambiar WordPress a HTTPS rápido y sin problemas?

01/03/2021

En este artículo aprenderás a pasar tu WordPress a su versión más segura, es decir, de HTTP a HTTPS .

Si este procedimiento es relativamente sencillo, requiere algunas aclaraciones y precauciones habituales que me apresuro a describirles en este tutorial;)

Definiciones de SSL y HTTPS

Primero, comencemos con algunas definiciones y recordatorios esenciales:

SSL : Secure Sockets Layer es un protocolo para proteger los intercambios de Internet, desarrollado originalmente por Netscape. Es el estándar de seguridad tecnológica para establecer un enlace cifrado entre un servidor web y un navegador. Este enlace garantiza que todos los datos intercambiados entre el servidor web y los navegadores permanezcan privados y a prueba de manipulaciones para evitar el espionaje y la manipulación.

HTTPS : Protocolo de transferencia de hipertexto Seguro, literalmente «protocolo de transferencia de hipertexto seguro» es la combinación de HTTP con una capa de cifrado SSL o TLS. HTTPS permite a los visitantes verificar la identidad del sitio web al que acceden, gracias a un certificado de autenticación emitido por una autoridad de terceros, considerado confiable. En teoría, garantiza la confidencialidad e integridad de los datos enviados por el usuario (en particular, la información ingresada en los formularios) y recibidos del servidor. Se utiliza para validar la identidad del visitante, si este último también utiliza un certificado de autenticación de cliente.

 

En resumen,  SSL  es el estándar que define cómo se cifrarán las conexiones a través de HTTPS .

La diferencia entre HTTP y HTTPS

Hay muchos criterios que diferencian HTTP de HTTPS, aquí están los 3 principales:

  1. El esquema de URL : las URL HTTPS comienzan con «https: //» y usan el puerto 443 de forma predeterminada, mientras que las URL HTTP comienzan con «http: //» y usan el puerto 80.
  2. Seguridad : HTTP no es seguro y está sujeto a muchos ataques, lo que puede permitir que los atacantes obtengan acceso a información confidencial; por el contrario, un sitio web totalmente HTTPS está diseñado para resistir y proteger contra tales ataques.
  3. Capas de red : HTTP funciona en la capa más alta del modelo TCP / IP, que es la capa de aplicación. El protocolo SSL seguro funciona como una subcapa inferior del mismo modelo TCP / IP, pero cifra el mensaje HTTP antes de su transmisión y lo descifra a su llegada. Entonces podemos decir que HTTPS no es un protocolo separado, sino que se refiere al uso de HTTP ordinario a través de una conexión SSL cifrada.

¿Por qué usar HTTPS para WordPress?

Como preámbulo, HTTPS es particularmente útil en redes no cifradas (como Wi-Fi), donde cualquier persona en la misma red local puede «olfatear» a través de paquetes de datos y acceder a información confidencial.

Cuando sirve contenido de su sitio a través de HTTPS, puede estar seguro de que nadie cambiará la forma en que los usuarios reciben la información. Si realiza negocios en línea, necesitará SSL. Esta es la mejor manera de proteger los datos de sus usuarios y defenderse contra el robo de identidad.

Cada vez son más los internautas que se niegan a realizar transacciones en un sitio que no dispone de certificado SSL. En última instancia, mostrar su certificado SSL en el sitio les dice a los clientes que pueden comprar y usar su sitio web con confianza y que estarán protegidos.

¿Para un mejor SEO? Los sitios protegidos a través de SSL también se benefician de una ventaja en cuanto a su referencia en las páginas de resultados de búsqueda. Esto es lo que anunció Google, que hoy incluye el cifrado de sitios en su lista de criterios de posicionamiento. Sigo fuertemente mezclado con la prima de SEO / HTPPS y los invito a leer este artículo .

 

¡Un certificado SSL para empezar!

Comprar certificado SSL

Hay muchos sitios que ofrecen la compra de certificados SSL: Media Temple , GoDaddySSLs.comOVH , Comodo y Namecheap .

Por mi parte, elegí Namecheap por su excelente relación calidad / precio y su trámite simplificado, desde 7 € / año para su certificado PositiveSSL.

¿Qué certificado elegir?

Existen diferentes tipos de certificados SSL:

  1. La validación de dominio  es el certificado estándar y generalmente el más económico. Estos certificados proporcionan un cifrado básico, se emiten muy rápidamente y requieren una simple verificación de la propiedad del dominio.
  2. Validación de la empresa  : estos certificados incluyen la autenticación de la empresa y / u organización propietaria del dominio.
  3. Validación extendida  : con este tipo de validación, la autoridad de certificación realiza una revisión en profundidad de su negocio antes de emitir el certificado. Este certificado SSL ofrece el más alto grado de seguridad.

Más información sobre los diferentes certificados en el artículo ¿Qué certificado elegir?

Certificado SSL gratuito

Ahora, la mayoría de los servidores web ofrecen certificados SSL Let’s Encrypt de forma gratuita . Tan bueno como los certificados pagados, Let’s Encrypt es una autoridad de certificación sin fines de lucro que proporciona sus certificados TLS a 180 millones de sitios web.

Activa tu certificado SSL

Hay tantas posibilidades como hosting hay y el procedimiento es diferente según su proveedor (dedicado, VPS, Compartido, …) por lo que no detallaría la instalación en mi servidor Apache dedicado, sin embargo para los que estén interesados, vaya en  https://support.comodo.com/installation-apache-mod_ssl .

Para el alojamiento compartido, consulte con sus proveedores de alojamiento, algunos ofrecen certificados SSL en sus ofertas.

Cuidado con el defecto SSL 3 POODLE

Recientemente, un equipo de Google arrojó luz sobre una falla de seguridad en el protocolo SSL utilizado para cifrar los intercambios de datos entre un navegador y un sitio web. Cuando se implementa, permite que un pirata informático se haga pasar por su víctima y acceda a datos privados en un servicio como un correo web o un servidor bancario.

Esta vulnerabilidad SSL se denominó «POODLE» para rellenar Oracle en cifrado heredado degradado. Utiliza una antigua versión 3 del protocolo SSL, lanzada hace 15 años, que asegura el cifrado de una transacción. Sin embargo, existe otro método más robusto y extendido: TLS 1.0. Sin embargo, algunos sitios web todavía usan SSLv3 para garantizar la compatibilidad con Internet Explorer 6 en Windows XP. Sobre todo, la técnica sabe cómo simular un problema de conexión y obligar a un navegador a cambiar de TLS a SSLv3. Más información sobre esta falla Poodle SSLv3 .

Para protegerse de esto, deberá desactivar SSL v3 en su servidor. Las instrucciones de uso se pueden leer en www.digitalocean.com/protect-poodle-sslv3 .

Finalmente, para comprobar la calidad de su certificado SSL, solo tiene que probar su dominio en el sitio https://www.ssllabs.com .

Mover WordPress desde HTTP -> HTTPS

Para colocar tu WordPress en HTTPS, como hemos visto, necesariamente debes obtener un certificado SSL para tu nombre de dominio, instalarlo en el servidor y finalmente cambiar los enlaces permanentes del sitio de HTTP a HTTPS.

Antes de comenzar su transición a HTTPS, no olvide HACER UNA COPIA DE SEGURIDAD de su base de datos.

Todos los enlaces en WordPress (como archivos adjuntos de imágenes, temas CSS, archivos JavaScript) están vinculados a la url de instalación, por lo que para cambiar su WordPress de http a https, la url de instalación debe cambiarse: de http://monsite.com en  https: //monsite.com

Inicie sesión en su panel de WordPress y vaya a Configuración >> General . Asegúrese de que la dirección de WordPress (URL) y la dirección del sitio (URL) estén en https.

 

Para habilitar fácilmente (y hacer cumplir) la administración de WordPress a través de SSL, la constante FORCE_SSL_ADMIN debe establecerse en «TRUE» en su archivo wp-config.php  para forzar que todas las conexiones y sesiones de administración ocurran a través de SSL.

define ('FORCE_SSL_ADMIN', verdadero);

También verifique que las URL de instalación no estén especificadas de manera rígida en el archivo wp-config.php . Esta técnica ofrece la ventaja de bloquear la configuración en la administración y así evita un error de manejo que estaría vinculado a un cambio accidental de URL. Aquí hay un ejemplo de Studio Ideas:

define('WP_HOME', 'https://wpformation.com');
define('WP_SITEURL', 'https://wpformation.com');

Si su WordPress utiliza una red de entrega de contenido (CDN) para servir sus componentes (imágenes, JavaScript, hojas de estilo CSS), verifique que todas las URL estén en HTTPS; de lo contrario, el certificado de su sitio no será considerado satisfactorio por los navegadores web.

 

¿Qué hacer después de cambiar a HTTPS?

Ahora que WordPress se ha trasladado con éxito a HTTPS, ¡todavía quedan algunas cosas por hacer!

¡No olvidemos redirigir! Para configurar una redirección 301 permanente, agregue el siguiente código a su archivo .htaccess.

RewriteEngine encendido
RewriteCond% {HTTP_HOST} ^ su sitio.com [NC, OR]
RewriteCond% {HTTP_HOST} ^ www.yoursite.com [NC]
(*). RewriteRule ^ $ https: //www.yoursite.com/$1 [L, R = 301, NC]

Luego, busque todas las URL que comiencen con  http: //… en su contenido. Para ello, basta con visualizar el código fuente de sus páginas, a veces tenemos verdaderas sorpresas …

Forzar https para las URL canónicas de su sitio y es mucho más fácil si usa el plugin SEO by Yoast (para ajustar desde SEO >> Permalinks)



Hay plugins de WordPress para HTTPS, personalmente no los he usado, pero aún puede ser útil:

Por último, no olvide notificar a Google a través de las Herramientas para webmasters de Google sobre este cambio. Solo debes validar tu nuevo dominio en HTTPS y declarar la transferencia.

 

La lista de verificación después de cambiar a HTTPS

Para asegurarse de no olvidar nada, asegúrese de:

 

Aquí está este tutorial terminado, ¡espero que te sea de utilidad!
Y tú, ¿planeas cambiar tu WordPress a HTTPS?