Cómo obtener un certificado SSL válido y gratuito para su sitio web de WordPress

1. ¿Qué es HTTPS?

"HTTP" o "HTTPS" aparece al principio de la URL de cada sitio web en un navegador web. HTTP significa Protocolo de transferencia de hipertexto y la S en HTTPS significa Seguro. En general, esto describe el protocolo mediante el cual se envían datos entre su navegador y el sitio web que está viendo.

HTTPS garantiza que toda la comunicación entre su navegador y el sitio web que está viendo esté cifrada. Eso significa que es seguro. Sólo las computadoras receptoras y emisoras pueden ver la información en la transferencia de datos (otros podrían potencialmente acceder a ella pero no podrían leerla). En sitios seguros, el navegador web muestra un icono de candado en el área de URL para notificarle.

HTTPS debe estar en cualquier sitio web que recopile contraseñas, pagos, información médica u otros datos confidenciales. Pero, ¿qué pasaría si pudieras obtener un certificado SSL válido y gratuito para tu dominio?

2. ¿Cómo funciona la seguridad del sitio web?

Debe instalar un certificado SSL (Secure Socket Layer) para habilitar HTTPS. El certificado contiene una clave pública, que es necesaria para iniciar la sesión de forma segura. Cuando se solicita una conexión HTTPS a una página web, el sitio web enviará el certificado SSL a su navegador web. Luego, su navegador y el sitio inician el "apretón de enlace SSL", que implica compartir "secretos" para establecer una conexión segura entre su navegador y el sitio web.

SSL estándar versus extendido

Si el sitio web utiliza un certificado SSL estándar, verá un icono de candado en el área URL del navegador (ver captura de pantalla). Si utiliza un certificado SSL de validación extendida (EV), la barra de direcciones o la URL serán verdes. Los estándares EV SSL superan a los de SSL. EV SSL proporciona garantía de identidad del propietario del dominio. Obtener un certificado EV SSL también requiere que los solicitantes pasen por un riguroso proceso de evaluación para confirmar su autenticidad y propiedad.

3. ¿Por qué debería obtener un certificado SSL?

Incluso si su sitio web no acepta ni transmite datos confidenciales, existen algunas razones por las que es posible que desee tener un sitio web seguro y obtener un certificado SSL válido y gratuito para su dominio.

1. Actuación. SSL puede mejorar el tiempo que lleva cargar una página.
2. Optimización de motores de búsqueda (SEO). La intención de Google es que Internet sea una experiencia segura para todos, no sólo para aquellos que usan Google Chrome, Gmail y Drive, por ejemplo. La compañía ha declarado que la seguridad será un factor en la clasificación de los sitios en los resultados de búsqueda. Por ahora es pequeño. Sin embargo, si usted tiene un sitio web seguro y sus competidores no, su sitio web podría tener una clasificación más alta, lo que puede ser la ventaja necesaria para obtener ese clic en la página de resultados de búsqueda.
3. Confianza. Si su sitio web no es seguro y recopila contraseñas o tarjetas de crédito, los usuarios de la versión 56 de Chrome (lanzada en enero de 2017) verán una advertencia de que el sitio no es seguro (consulte la captura de pantalla a continuación). Los visitantes no expertos en tecnología (la mayoría de los usuarios de un sitio web) pueden alarmarse al ver esto y abandonar su sitio, simplemente porque no entienden lo que significa. Por otro lado, si su sitio es seguro, esto podría tranquilizar a los visitantes, haciendo más probable que completen un formulario de registro o dejen un comentario en su sitio. Google tiene un plan a largo plazo para mostrar todos los sitios HTTP como no seguros en Chrome.

4. ¿Dónde obtengo un certificado SSL gratuito?

Obtiene un certificado SSL de una autoridad certificadora. Algunas fuentes gratuitas confiables son:

• Let's Encrypt: certificados válidos por 90 días, renovación recomendada a los 60 días
• Cloudflare: gratis para blogs y sitios web personales
• FreeSSL: gratuito para organizaciones sin fines de lucro y nuevas empresas en este momento; no puede ser cliente de Symantec, Thawte, GeoTrust o RapidSSL
• StartSSL: certificados válidos de 1 a 3 años
• GoDaddy: certificados gratuitos para proyectos de código abierto, válidos por 1 año

El tipo de certificado y la duración de la validez varían según la autoridad. La mayoría de las autoridades ofrecen certificados SSL estándar gratuitos y cobran por los certificados SSL EV, si los proporcionan. Cloudflare ofrece planes gratuitos y de pago y varias opciones complementarias.

5. ¿Qué debo considerar al obtener un certificado SSL?

Google recomienda un certificado con una clave de 2048 bits. Si ya tienes un certificado de 1024 bits, que es más débil, te recomiendan actualizarlo.

Deberá decidir si necesita un certificado único, multidominio o comodín:

• Un certificado único sería para un único dominio (por ejemplo, www.example.com).
• Un certificado multidominio sería para varios dominios conocidos (por ejemplo, www.example.com, cdn.example.com, example.co.uk).
• Un certificado comodín sería para un dominio seguro con muchos subdominios dinámicos (por ejemplo, a.example.com, b.example.com).

6. ¿Cómo instalo un certificado SSL?

Su proveedor de alojamiento web puede instalar el certificado de forma gratuita o pagando una tarifa. Algunos hosts en realidad tienen una opción de instalación de Let's Encrypt en su panel de cPanel, lo que facilita la instalación usted mismo. Pregúntele a su proveedor de alojamiento actual o busque uno que ofrezca soporte directo para Let's Encrypt. Si su proveedor de alojamiento no proporciona este servicio, su empresa de mantenimiento de sitio web o su desarrollador podrían instalar el certificado por usted.

Debería esperar tener que renovar el certificado de vez en cuando. Consulte el plazo con la autoridad certificadora.

Para una implementación más sencilla, simplemente asóciese con un proveedor de alojamiento totalmente administrado y ellos se encargarán de todo por usted. ¡Un ticket de soporte rápido y listo!

7. ¿Qué más necesito hacer?

Forzar SSL

Después de obtener e instalar el certificado SSL, debe forzar SSL en el sitio. Nuevamente, puede pedirle a su proveedor de alojamiento web, empresa de mantenimiento o desarrollador que lo haga. Sin embargo, si prefieres hacerlo tú mismo y tu sitio web está en WordPress, puedes hacerlo descargando, instalando y usando un complemento.

Cuando utilice un complemento, asegúrese de verificar su compatibilidad con su versión de WordPress, las revisiones y las instrucciones de instalación. Dos complementos populares para forzar SSL son:

• SSL realmente simple
• WP fuerza SSL

Asegúrese de hacer una copia de seguridad de su sitio primero y tenga mucho cuidado al ejecutarla. Si configura mal algo, podría tener consecuencias nefastas:

• los visitantes no pueden ver su sitio web,
• imágenes que no se muestran,
• los scripts no se cargan, lo que afectaría el funcionamiento de algunas cosas en su sitio,
• la tipografía y los colores no aparecen correctamente.

Configurar redirecciones 301 del lado del servidor

Debe redirigir a los usuarios y motores de búsqueda a las páginas HTTPS mediante redireccionamientos 301 en el archivo .htaccess en la carpeta raíz del servidor. El archivo .htaccess es un archivo invisible, así que asegúrese de que su programa FTP esté configurado para mostrar archivos ocultos. En FileZilla, por ejemplo, vaya a Servidor > Forzar visualización de archivos ocultos (ver captura de pantalla).

Antes de agregar las redirecciones, sería una buena idea hacer una copia de seguridad de su archivo .htaccess. En el servidor, cambie temporalmente el nombre del archivo eliminando el punto (que es lo que lo hace invisible en primer lugar), descargue el archivo (que ahora será visible en su computadora como resultado de eliminar el punto), luego agregue el punto nuevamente en el del servidor.

Cambiar la configuración de análisis

Después de seguir estos pasos, deberá cambiar la URL preferida en su cuenta de Google Analytics para mostrar la versión HTTPS de su dominio. De lo contrario, sus estadísticas de tráfico estarán desactivadas porque la versión HTTP de la URL se considera un sitio web completamente diferente a la versión HTTPS.

Google Search Console también trata HTTP y HTTPS como dominios separados, así que agregue el dominio HTTPS en esa cuenta.

Tenga en cuenta que cuando cambia de HTTP a HTTPS, si tiene habilitados los botones para compartir en redes sociales en su sitio, la cantidad de recursos compartidos se restablecerá.

Y así es como puede instalar un certificado SSL válido y gratuito para su dominio y cifrar sus datos para mantenerlos seguros. Los certificados SSL son parte del futuro de la seguridad de WordPress, así que consigue el tuyo o quedarás en la edad de piedra.

¿Quieres dar tu opinión o unirte a la conversación? Añade tus comentarios en Twitter.

Guardar Guardar

Guardar Guardar