Aprender a pasar tu sitio web a HTTPS es un tema importante. Hoy en día, compartimos datos sensibles como la información de la tarjeta de crédito y del banco o las credenciales de inicio de sesión docenas de veces al día.
Utilizar la web para comprar nos da muchas comodidades. Ya no necesitamos salir a hacer recados, comprar alimentos, pagar facturas o hablar con otras personas cara a cara. Por ejemplo, justo antes de escribir esta guía, nos estábamos probando unas gafas por Internet. Como propietario de un sitio web -especialmente si tienes una tienda online y/o manejas información financiera u otra información sensible- tienes la responsabilidad de mantenerla segura. Uno de los pasos más importantes para hacerlo es utilizar HTTPS y cifrado SSL en su sitio. De eso hablaremos en esta guía.
En esta guía, primero hablaremos de lo que entendemos por HTTPS y SSL y cómo funciona. Además, hablaremos de las razones para añadir encriptación a tu sitio. Después te diremos dónde puedes conseguir un certificado SSL para tu sitio y, por último, te proporcionaremos una guía paso a paso sobre cómo pasar tu sitio a HTTPS.
¿Listo? Entonces ponte las gafas de seguridad y hablemos de seguridad.
Haz clic aquí para ver 8 pasos para pasar tu WordPress a https://
Cómo funciona el HTTPS – Una breve definición
Antes de sumergirnos en cómo pasar tu sitio web a HTTPS, vamos a definir primero de qué estamos hablando. Aunque no sepas exactamente lo que son HTTPS y SSL, probablemente ya los hayas visto en funcionamiento.
HTTPS y SSL son visibles en las URLs de los sitios
Hoy en día la URL de la mayoría de los sitios grandes (y cada vez más también los más pequeños) comienzan con https:// en lugar de la conocida https://. De hecho, si miras en la barra de tu navegador mientras estás en este mismo sitio web, verás exactamente eso.
Al lado, también notarás el símbolo del candado. Así es como los navegadores modernos muestran que estás en un sitio que utiliza encriptación SSL. En algunos casos, incluso incluyen el nombre de la empresa. Ambas son señales de que está en un sitio que se toma en serio la privacidad de sus visitantes.
¿Qué significa realmente?
HTTPS significa Hypertext Transport Protocol Secure (Protocolo de Transporte de Hipertexto Seguro). Su primo, HTTP (que significa lo mismo menos el Secure al final), es el protocolo de comunicación que se utiliza habitualmente para facilitar el tráfico web.
¿Cuál es la diferencia?
La versión segura utiliza un certificado SSL (Secure Socket Layer) para establecer una conexión entre el navegador y el servidor. Eso significa que toda la información que se intercambia queda encriptada.
La encriptación es el proceso de sustituir la información en texto plano (como los nombres de usuario y las contraseñas) por números y letras aleatorios. De ese modo, dejan de ser legibles para los humanos y son más difíciles de entender si alguien los intercepta.
Suena útil, ¿verdad? Pero, ¿realmente lo necesitas en tu sitio? Vamos a repasar algunas buenas razones para añadir HTTPS a tu sitio web de WordPress.
Una nota rápida: técnicamente SSL ya no es el nombre correcto. A finales de los 90, el nombre cambió a TLS (Transport Layer Security) y SSL fue retirado. Sin embargo, su nombre se mantuvo.
Cómo mover su sitio de WordPress a HTTPS (8 pasos)
Muy bien, ahora estamos llegando a la carne y las patatas de este artículo: cómo mover su sitio de HTTP a HTTPS. Lo haremos paso a paso para asegurarnos de que puedas seguirlo sin problemas. Después de todo – ¡nosotros también nos preocupamos por la seguridad de tu sitio!
Haz una copia de seguridad de tu sitio web
Cuando hagas cambios importantes en tu sitio, siempre debes hacer una copia de seguridad primero. De esta manera, en caso de que algo salga mal (no es que lo estemos esperando) puedes volver a la versión que funcionaba.
Como este caso no es diferente, hacer una copia de seguridad de tu sitio web es tu primera tarea. Incluso mejor – si tienes la posibilidad, ejecuta el proceso de abajo en un servidor de prueba primero, no sólo en tu sitio en vivo.
Implementa tu certificado SSL
Lo primero que haremos es conseguirnos un certificado SSL. Lo fácil o complicado que sea este proceso, depende en gran medida de tu host.
Por ejemplo, mientras investigábamos esta guía, descubrimos que nuestro actual host no soporta Let’s Encrypt y no tiene previsto hacerlo. No hace falta decir que estamos en proceso de cambiar. Esperemos que el tuyo sea un poco más previsor, como las empresas de esta lista.
El escenario óptimo es que tu host ofrezca una opción para mover tu sitio a HTTPS justo en el panel de gestión. Por ejemplo, para cambiar su sitio a Let’s Encrypt en cPanel, puede seguir estas instrucciones. Encuentra los mismos pasos para Plesk aquí.
Para todos los demás, está Certbot. Si tienes acceso de shell administrativo en tu servidor, puedes simplemente seleccionar el tipo de servidor web y el sistema operativo que estás usando. Después de eso, el sitio te dirá cómo implementar Let’s Encrypt en tu servidor.
Si obtienes tu certificado SSL de una fuente diferente, sigue las instrucciones de tu proveedor de alojamiento para implementar el cambio (esa es también la razón por la que recurrir a ellos en primer lugar no es una mala idea).
Una vez hecho esto, tienes que empezar a hacer los cambios necesarios en tu sitio web de WordPress. De esto hablaremos a continuación. Si crees que lo de abajo es demasiado técnico, también puedes probar el plugin Really Simple SSL. Se encarga de la mayor parte del trabajo pesado que se describe a continuación.
Agregar HTTPS al área de administración de WordPress
El primer lugar donde llegarás a disfrutar de la nueva conexión segura es el panel de control de WordPress. Asegurando primero el back end, te aseguras de que cada vez que un usuario inicie sesión, su información se intercambie de forma segura.
Para ello, abre wp-config.php en tu carpeta raíz de WordPress y añade la siguiente línea en algún lugar antes de donde dice ¡Eso es todo, deja de editar!.
define('FORCE_SSL_ADMIN', true);
Una vez que hayas actualizado el archivo, es hora de probar si funciona. Para ello, intenta acceder a tu página de acceso con HTTPS en la URL, por ejemplo a través de https://yoursite.com/wp-admin. Si todo ha funcionado correctamente, ahora deberías tener una conexión segura. Entonces continúa.
Actualiza la dirección del sitio
Después de pasar el backend de WordPress a HTTPS, es el momento de hacer lo mismo con el resto de tu sitio. Puedes hacerlo actualizando la dirección de tu sitio en Ajustes > General.
Añadir https:// al principio tanto de la dirección de WordPress como de la dirección del sitio. A continuación, actualice la configuración guardando. Ten en cuenta que es posible que tengas que volver a iniciar sesión después.
Cambia los enlaces en tu contenido y plantillas
Ahora es el momento de actualizar cualquier enlace en tu contenido y base de datos que incluya el antiguo protocolo HTTP. Un plugin como Velvet Blues o el script Search and Replace pueden ayudar con eso. Sin embargo, ¡tenga cuidado! Si se manejan de forma incorrecta, también pueden fastidiar tu sitio. Menos mal que hiciste esa copia de seguridad antes, ¿verdad?
Si tienes enlaces a recursos y activos externos en tus plantillas de temas y archivos de funciones con enlaces HTTP absolutos, es importante corregirlos también. Cosas a tener en cuenta:
- Imágenes, vídeos, audio alojados en tu sitio
- Fuentes web
- Fotogramas
- Archivos JavaScript y CSS o activos referenciados dentro de esos archivos
- Enlaces internos
Si es posible, cambie sus enlaces a // en lugar de https://. Así crearán ellos mismos enlaces relativos!
Implementar redirecciones 301 en .htaccess
El siguiente paso para pasar tu sitio a HTTPS es configurar una redirección que envíe a los visitantes automáticamente a la versión segura. Para ello, utilizaremos .htaccess. Este es el nombre de un archivo de sistema importante en tu servidor (normalmente en el directorio raíz de WordPress).
Suele contener la configuración para usar enlaces permanentes bonitos, así que probablemente tu instalación ya tenga uno. Para encontrarlo, asegúrate de permitir que tu cliente FTP muestre los archivos ocultos porque .htaccess es invisible por defecto. Si no tienes uno, simplemente crea un archivo de texto plano, renómbralo como .htaccess y súbelo al directorio raíz de WordPress.
Después, añade las siguientes líneas en él:
<IfModule mod_rewrite.c>RewriteEngine OnRewriteCond %{HTTPS} offRewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} </IfModule>
Eso es todo. A partir de ahora, los visitantes (incluidos los bots de Google) deberían aterrizar automáticamente en la versión HTTPS de tu sitio de WordPress. Asegúrate de que ninguna página esté disponible en ambas versiones. Esto puede llevar a problemas de contenido duplicado. No es bueno para el SEO.
Prueba y ponte en marcha
Ok, ahora que hemos terminado con los pasos principales, es el momento de probar si todo funciona correctamente. Para ello, dirígete a Prueba de SSL. Introduce tu nombre de dominio y haz clic en Enviar. Esto te dará una puntuación global de lo bien que has implementado el SSL en tu sitio y los detalles para encontrar posibles problemas con el fin de solucionarlos.
Después de eso, rastrea tu sitio con una herramienta como SSL Check. De esta manera, podrás atrapar cualquier enlace sobrante que hayas olvidado. Si todo está bien, es hora de salir a la luz.
¡Bien hecho! Ahora sólo tienes que actualizar algunos periféricos.
Actualiza el entorno de tu sitio
Si eso ha funcionado bien, ahora es el momento de hacer los últimos pasos para completar la transferencia a HTTPS:
- Actualiza el mapa de tu sitio – Lo ideal es que tu plugin SEO lo haga automáticamente. Sin embargo, no siempre funciona así. Con Yoast SEO puede que tengas que apagar el plugin una vez para que actualice el sitemap. No olvides incluirlo en tu archivo robots.txt y actualizar todos los demás enlaces hardcoded que puedas tener allí.
- Agrega el sitio a tus herramientas para webmasters – Ve a cada herramienta para webmasters que estés usando y agrega la versión HTTPS de tu sitio como una nueva propiedad. Mientras estás allí, sube el nuevo mapa del sitio. También podrías considerar hacer un fetch and crawl y enviar cualquier archivo disavow que ya esté activo para la versión antigua de tu sitio.
- Actualiza tu CDN – Si estás usando una red de entrega de contenido (una de las formas de acelerar tu sitio WordPress), también necesitas cambiarla a SSL. Muchas de ellas tienen esa función incorporada y tu CDN debería tener documentación al respecto. Si no, pide ayuda a su soporte.
- Haz el cambio en tu analítica – Si tu analítica necesita una URL por defecto, asegúrate de actualizarla con el nuevo prefijo. En el caso de Google Analytics, encuentras la opción en Admin > Configuración de propiedades > URL por defecto. Además, anota cuándo hiciste el cambio a HTTPS para entender los cambios en el tráfico.
- Preservar los recuentos de acciones sociales – Si muestras contadores de acciones sociales en tu sitio, puede que tengas que hacer algunos cambios para mantenerlos actualizados. ¡No olvides actualizar los enlaces a tu sitio en tus perfiles sociales! Y haz lo mismo en tus plantillas de correo electrónico.
¡Ya está! Has conseguido pasar tu sitio web a HTTPS con éxito. Enhorabuena, no ha sido poca cosa. Si todo ha ido bien, sólo queda darse una palmadita en la espalda y celebrarlo. Si tiene problemas, tenemos algunos consejos para solucionarlos.
¿Por qué debería cambiar su sitio web a HTTPS?
Actualmente, sólo el 0,1% de todos los sitios web utilizan SSL. En consecuencia, no parece que la tecnología sea esencial para llevar a cabo una presencia web con éxito. Sin embargo, sigue habiendo razones convincentes para formar parte de la minoría.
Su sitio maneja información sensible
En primer lugar, si tiene una tienda online que maneja información de tarjetas de crédito o datos sensibles similares, pasar su sitio a HTTPS es una necesidad absoluta. Los clientes quieren confiar en tu sitio y deben poder hacerlo. Es tu responsabilidad hacer que eso ocurra.
Por ejemplo, si alguien utiliza un punto wifi público para acceder a un sitio no seguro, otros pueden robar sus datos de pago. Si utilizan esa información para robar a tu cliente, ¿qué probabilidad crees que tiene esa persona de volver a tu sitio? No mucho.
Sin HTTPS también es posible alterar los datos que reciben tus visitantes. Así, un tercero podría añadir anuncios, malware u otras cosas que definitivamente no quieres que otros vean en tu presencia web.
Sin embargo, aunque «sólo» trates con información de acceso normal, no es mala idea ofrecer una capa extra de seguridad y mantenerla a salvo. Tus usuarios sin duda lo agradecerán.
HTTPS es un signo de confianza y autenticidad
Hablando de los visitantes: debido al impulso general de la adaptación de HTTPS en la web, el cifrado se ha convertido en algo que los consumidores esperan cada vez más. De hecho, a estas alturas el 28,9% mira la barra de direcciones verde en su navegador una cifra que probablemente aumentará con el tiempo.
¿Por qué les importa? Porque el candadito no sólo significa que su tráfico está protegido, sino también que la web es auténtica y quien dice ser, no una falsa. Al fin y al cabo, el mismo estudio muestra que al 77% de los usuarios finales les preocupa que sus datos sean interceptados y utilizados de forma indebida.
Así que, si tienen que elegir entre tu sitio sin HTTPS y un competidor que lo haya implementado, es muy probable que se decidan por ti. Especialmente desde que los principales navegadores (Chrome, Firefox) marcan ahora los sitios, que tienen formularios en las páginas sin HTTPS, como inseguros.
En el futuro, es posible que en general le adviertan de cualquier sitio que no tenga cifrado en su lugar. Y realmente no quieres estar entre esos.
Beneficios para el SEO
No solo los consumidores esperan que hagas el cambio a HTTPS, sino que los motores de búsqueda también lo hacen. Google anunció oficialmente en 2014 que tener un certificado SSL en su lugar es ahora un factor de clasificación. Es más -aunque débil por el momento, la importancia de HTTPS aumentará con el tiempo.
Además de eso, los datos de referencia de HTTPS a HTTP están bloqueados en Google Analytics. Así que, si tienes un sitio web que funciona con el protocolo antiguo y recibes muchas referencias de sitios que funcionan con HTTPS, no lo verás correctamente en tu analítica web. De esta forma, puede que no seas consciente de las plataformas que te envían mucho tráfico y pierdas la oportunidad de amplificar tus canales de marketing.
Tiempos de carga más rápidos
Siguiendo con el tema del SEO, HTTPS también es significativamente más rápido. ¿No nos crees? Pruébalo aquí (utiliza una ventana privada para evitar el almacenamiento en caché de las imágenes). Cuando realizamos la prueba, ¡el HTTPS era un 83% más rápido!
No está mal, ¿verdad? Sobre todo porque la velocidad de carga de la página también es un factor de clasificación.
No sólo eso, sino que los visitantes se preocupan por ello. De hecho, una gran parte abandonará tu sitio si no se carga en tres segundos. Por esa y otras razones, echa un vistazo a nuestra guía sobre cómo acelerar WordPress.
Consejos para solucionar problemas de HTTPS
Desgraciadamente, pasar tu sitio a HTTPS no es todo sol y arco iris. Pueden surgir algunas cosas que necesitan ser tratadas.
Advertencias de contenido mixto
Los problemas más comunes que surgen después de mover su sitio web a HTTPS son las advertencias de contenido mixto. Esto ocurre cuando el navegador encuentra enlaces no seguros en una página que por lo demás es segura. Por lo general, se trata de la actualización de los enlaces a las bibliotecas jQuery, fuentes personalizadas o similares a su versión HTTPS.
Por lo general, debe ocuparse de esto mientras escanea su sitio antes de publicarlo. Sin embargo, si encuentras una advertencia como esta, asegúrate de comprobar cuál es la causa.
Además de las herramientas mencionadas, también puedes utilizar Why No Padlock? para páginas individuales. Luego, corrige lo que sea el problema.
Disminución de los rankings de búsqueda
Hacer el cambio de HTTP a HTTPS puede influir negativamente en tus rankings. ¿Qué? No hemos dicho antes que esto es bueno para el SEO? Por qué iban a bajar tus rankings entonces?
Antes de que vuelvas a dar una patada a HTTPS, escúchanos primero. Si su SEO se ve afectado negativamente, esto suele ser sólo temporal.
Verás, Google trata las URLs de https:// y https:// como dos entidades diferentes. Incluso si usted establece redireccionamientos 301 (como lo hemos hecho anteriormente), esos sólo transfieren el 90-99% del link juice. Es por eso que sus rankings pueden bajar al principio.
Sin embargo, después de la caída inicial, deberían aumentar con el tiempo. Como se mencionó, Google considera el uso de SSL un factor de clasificación positivo, por lo que si usted mueve su sitio web a HTTPS, en realidad lo hace más atractivo a sus ojos. Esto le beneficiará a largo plazo.
En pocas palabras…
Mantener su sitio y su tráfico seguro es uno de los temas más importantes para cualquier propietario de un sitio web. Saber que pueden confiar en usted con sus datos sensibles es importante para los consumidores. En tiempos de aumento de los robos de datos, eso es una gran ventaja y HTTPS y SSL son las herramientas para conseguirlo.
Además de señalar la fiabilidad a los consumidores, cuando pasas tu sitio web a HTTPS también te permite beneficiarte de una mayor velocidad y un mejor SEO. Además, con un servicio gratuito como Let’s Encrypt, el coste ya no es un elemento disuasorio.
Por encima, has aprendido cómo obtener un certificado SSL gratuito e implementarlo en tu sitio web de WordPress. Hemos repasado los pasos necesarios para pasar todo tu sitio al primo seguro de HTTP y también hemos hablado de otras consideraciones a tener en cuenta a la hora de hacer el cambio.
Si has seguido adelante, ya eres capaz de añadir HTTPS y SSL a tu sitio web de WordPress. Sepa que es una gran inversión para el futuro y hacia donde se mueve la web. Sus visitantes, usuarios y su sitio se lo agradecerán.