Cómo obtener un certificado SSL válido y gratuito para tu sitio web de WordPress en 2020

¿Qué es HTTPS?

“HTTP” o “HTTPS” aparece al principio de cada URL de un sitio web en un navegador web. HTTP significa Hyper Text Transfer Protocol (Protocolo de transferencia de hipertexto) y S en HTTPS significa Seguro. En general, esto describe el protocolo sobre el cual se envían los datos entre tu navegador y el sitio web que estás viendo.

HTTPS se asegura de que toda la comunicación entre su navegador y el sitio web que está viendo esté cifrada. Eso significa que es seguro. Sólo los ordenadores, el que recibe y el que envía pueden ver la información en la transferencia de datos (otros podrían tener acceso a ella pero no podrían leerla). En sitios seguros, el navegador web muestra un icono de candado en el área de URL para notificarle.

A partir de Septiembre 2018 con la versión 69 de Chrome, el candado verde ya no se muestra mas, por lo que Google quiere que HTTPS sea un estandar.

HTTPS debe estar en cualquier sitio web.

¿Cómo funciona la seguridad del sitio web?

Necesitas instalar un certificado SSL (Secure Socket Layer) para habilitar HTTPS. El certificado contiene una clave pública, que es necesaria para iniciar la sesión de forma segura. Cuando se solicita una conexión HTTPS a una página web, el sitio web enviará el certificado SSL a tu navegador web. Tu navegador y el sitio inician la «conexión SSL», que consiste en compartir «secretos» para establecer una conexión segura entre tu navegador y el sitio web.

SSL estándar frente a un SSL extendido

Si el sitio web utiliza un certificado SSL estándar, verás un icono de candado (Padlock) en el área URL del navegador (consulta la captura de pantalla). Si estás utilizando un certificado SSL de validación extendida (EV), la barra de direcciones o la URL aparecerán con el nombre de tu empresa. Los estándares SSL con EV superan los de SSL. EV SSL proporciona seguridad de identidad al propietario del dominio. La obtención de un certificado SSL con EV también requiere que los solicitantes pasen por un riguroso proceso de evaluación para confirmar su autenticidad y propiedad.

Certificado EV-SSL

 

¿Por qué debo obtener un certificado SSL?

Incluso si tu sitio web no acepta y transmite datos confidenciales, existen algunas razones por las que debes tener un sitio web seguro y obtener un certificado SSL gratuito y válido para tu dominio.

  1. Rendimiento. SSL puede mejorar el tiempo que se tarda en cargar una página.
  2. Posicionamiento en buscadores (SEO). La intención de Google es que Internet sea una experiencia segura para todos, no sólo para los usuarios de Google Chrome, Gmail y Drive, por ejemplo. La empresa ha declarado que la seguridad será un factor en la clasificación de los sitios en los resultados de búsqueda. Por ahora, es una pequeña. Sin embargo, si tu tienes un sitio web seguro y tus competidores no lo tienen, tu sitio web podría estar más alto, lo que puede ser la ventaja necesaria para obtener ese clic en la página de resultados de búsqueda.
  3. Confianza. Si los usuarios de Chrome ven una advertencia de que el sitio no es seguro (vea la captura de pantalla a continuación). Los visitantes no expertos en tecnología (la mayoría de los usuarios del sitio web) pueden alarmarse al ver esto y abandonar su sitio, simplemente porque no entienden lo que significa. Por otro lado, si tu sitio es seguro, se han reportado un incremento en las conversiones.

sitio web no seguro

A partir de julio de 2018 con el lanzamiento de la versión 68 de Chrome, todos los sitios HTTP muestran una advertencia de «NO SEGURO»

¿Dónde puedo obtener un certificado SSL gratuito?

Obtendrás un certificado SSL de una autoridad de certificación. Algunas fuentes libres confiables son:

  • Let’s Encrypt: certificados válidos por 90 días, renovación recomendada a 60 días.
  • SSLforFree: Certificados Let´s Encrypt válidos por 90 días
  • Cloudflare: gratis para sitios web y blogs personales
  • FreeSSL: gratis para organizaciones sin fines de lucro y startups en este momento; no puede ser cliente de Symantec, Thawte, GeoTrust o RapidSSL.
  • GoDaddy: certificados gratuitos para proyectos open-source, válidos por 1 año.

La desventaja de estos certificados es que tienes que renovarlos cada 3 meses, si no tienes conocimientos técnicos y quieres encargar todo el proceso a expertos.. aquí tienes la mejor opción:

  • UrgenciasWP: Olvídate de renovar cada 90 días, ahorra tiempo y dinero. Se encargan de todo el proceso de migrar tu web de HTTP a HTTPS y te instalan un Certificado SSL PREMIUM con validez por 2 años.

El tipo de certificado y la duración de la validez varían según la autoridad. La mayoría de las autoridades ofrecen certificados SSL estándar de forma gratuita y con cargo para los certificados SSL con EV, si los proporcionan. Cloudflare ofrece planes gratuitos y de pago y varias opciones adicionales.

¿Qué debo tener en cuenta al obtener un certificado SSL?

Google recomienda un certificado con una clave de 2048 bits. Si ya tiene un certificado de 1024 bits, que es más débil, le recomendamos que lo actualices.

Deberás decidir si necesitas un certificado de dominio único, multidominio o comodín (Wildcard):

  • Un único certificado sería para un solo dominio (por ejemplo, www.ejemplo.com).
  • Un certificado multidominio sería válido para varios dominios conocidos (por ejemplo, www.ejemplo.com, cdn.ejemplo.com, ejemplo.es).
  • Un certificado comodín sería para un dominio seguro con muchos subdominios dinámicos (por ejemplo, a.ejemplo.com, b.ejemplo.com).

¿Cómo se instala un certificado SSL?

Tu proveedor de hosting  puede instalar el certificado de forma gratuita o por una tarifa. Algunos hosts tienen una opción de instalación Let’s Encrypt en su panel de control cPanel, lo que facilita la instalación. Pregunta a tu host actual o encuentra uno que ofrezca soporte directo para Let’s Encrypt. Si tu host no proporciona este servicio, tu empresa de mantenimiento de sitios web, una empresa de Soporte  WordPress como UrgenciasWP  o tu desarrollador podría instalar el certificado por ti.

Tendrás que renovar el certificado de vez en cuando. Comprueba el plazo con la autoridad de certificación.

Para una implementación más sencilla, sólo tienes que asociarse con un proveedor de hosting totalmente gestionado y ellos se encargarán de todo por ti. Un ticket de soporte rápido y listo!

¿Qué más necesito hacer?

Forzar SSL

Después de obtener e instalar el certificado SSL, debes forzar el uso de SSL en el sitio. Una vez más, puedes pedir a tu proveedor de hosting, empresa de mantenimiento web o desarrollador para hacer esto. Sin embargo, si prefieres hacerlo tu mismo y tu sitio web está en WordPress, puedes hacerlo descargando, instalando y usando un plugin.

Cuando uses un plugin, asegúrate de comprobar su compatibilidad con tu versión de WordPress, las revisiones y las instrucciones de instalación. Dos plugins populares para forzar SSL son:

Really SSL simple wordpress

 

Asegúrate de hacer una copia de seguridad de tu sitio primero y se muy cuidadoso al ejecutar esto. Si malconfiguras algo, podrías tener consecuencias terribles:

visitantes que no puedan ver tu sitio web,

imágenes que no se muestran,

los scripts no se cargan, lo que afectaría el funcionamiento de algunas cosas en tu sitio,

la tipografía y los colores no aparecen correctamente.

Configurar redirecciones 301 del lado del servidor

Debes redirigir a los usuarios y los motores de búsqueda a las páginas HTTPS mediante redirecciones 301 en el archivo .htaccess de la carpeta raíz del servidor. El archivo .htaccess es un archivo invisible, así que asegúrate de que tu programa FTP esté configurado para mostrar archivos ocultos. En FileZilla, por ejemplo, ve a Servidor > Forzar mostrando archivos ocultos (ver captura de pantalla).

filezilla

Antes de agregar las redirecciones, sería una buena idea hacer una copia de seguridad de tu archivo .htaccess. En el servidor, cambia temporalmente el nombre del archivo eliminando el punto (que es lo que lo hace invisible en primer lugar), descarga el archivo (que será visible en tu ordenador ahora como resultado de eliminar el punto), y luego añade el punto de nuevo al del servidor.

Cambiar configuración de Analytics

Después de realizar estos pasos, deberás cambiar la URL preferida de tu cuenta de Google Analytics para mostrar la versión HTTPS de tu dominio. De lo contrario,tsus estadísticas de tráfico estarán desactivadas porque la versión HTTP de la URL se ve como un sitio web completamente diferente a la versión HTTPS.

Google Search Console también trata HTTP y HTTPS como dominios separados, así que añade el dominio HTTPS en esa cuenta.

Ten en cuenta que cuando cambies de HTTP a HTTPS, si tienes botones de social sharing habilitados en tu sitio, el número de acciones se restablecerá.

Y así es como se instala un certificado SSL gratuito y válido para tu dominio y encripta sus datos para mantenerlos seguros. Los certificados SSL son parte del futuro de la seguridad de WordPress, así que adquiere los suyos o déjalos en la edad de piedra.

Compartir esta publicación
Facebook Twitter Google Pinterest

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *