Parece increíble pero, a día de hoy, todavía hay un montón de webs que no tienen instalado un certificado SSL, a pesar de ser imprescindible para gustarle a Google, para proteger las transferencias de información y para cumplir la ley (RGPD).
¡Y a pesar de ser gratuito en la mayoría de los casos!
¿Qué es un certificado SSL y para que sirve?
No tengo ninguna intención de darte ahora la lata con tecnicismos sobre certificados SSL que yo misma tendré que buscar para explicarte bien y que probablemente tú no entenderás.
Simplemente te diré que el SSL (del inglés Secure Socket Layer) es un protocolo de seguridad que proporciona autenticación y privacidad a los datos que circulan entre tu sitio web y el del visitante, de manera que viajan encriptados y, por lo tanto, más seguros.
SSL indispensable para gustarle a Google
Desde enero de 2017, Google penaliza a las webs que no disponen de certificado SSL en los resultados de las búsquedas, es decir en cuanto a posicionamiento.
Además, el navegador Google Chrome también señala como no seguras a las webs que no disponen de él.
¿No te has salido nunca de una web cuando te ha salido el mensaje de que no era segura? Porque yo sí lo he hecho muchas veces…
Además de falta de seguridad, el hecho de que una web no posea un certificado SSL también transmite dejadez por parte del propietario.
Conforme está el tema de la ciberdelincuencia hoy en día, no se me ocurriría poner mis datos o realizar un pago en una web que no posea este certificado, la verdad. No sé tú…
¡Es lo mínimo en seguridad que se puede ofrecer al usuario o cliente!
SSL para cumplir con el RGPD
Uno de los temas en los que más insiste el Reglamento General de Protección de Datos (RGPD) es el de preservar la seguridad de la información que recogemos como responsables de una web.
En el apartado 6 de la Guía del Reglamento General de Protección de Datos para Responsables del Tratamiento de la AEPD, se tratan varios temas relacionados con la seguridad de los datos.
En función de los riesgos que el tratamiento de los datos pueda suponer para los derechos y libertades de los interesados, tendremos la responsabilidad activa de aplicar un nivel u otro de seguridad.
Eso implica que tendremos que adoptar unas medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado.
Y además tendremos que tener diseñado un protocolo de actuación y notificación por si se diera el caso de que la seguridad de los datos se viera comprometida en un momento dado.
Así pues, un SSL, un buen antivirus y un firewall es lo mínimo que podemos tener en nuestro sitio web para garantizar la seguridad.
Recuerda que si se ve comprometida la seguridad, el responsable serás tú, así que yo de ti pondría los medios posibles para evitarlo. Especialmente si además vendes servicios o productos en tu web.
Tipos de certificados SSL y usos
Aquí, lo mismo que te he dicho antes: no me voy a liar con cuestiones técnicas.
Simplemente te diré que existen diferentes tipos de certificados SSL para diferentes niveles de seguridad, emitidos por diferentes entidades certificadoras y que unos son gratuitos y otros no.
En concreto, yo te hablaré de tres de ellos:
- Let’s Encrypt SSL (para dominios)
- Let’s Encrypt Wildcard SSL (un único certificado para un dominio y todos sus subdominios).
- EV SSL Extended Validation (para webs que por la sensibilidad de los datos que tratan necesitan el máximo nivel de seguridad y una validación avanzada).
Tanto el Let’s Encrypt como el Let’s Encrypt Wildcard son gratuitos, se ofrecen en la mayoría de proveedores de alojamiento web para WordPress y se renuevan automáticamente cada tres meses, con lo que no tendrás que preocuparte de nada una vez los tengas instalados y funcionando.
En el siguiente vídeo verás un ejemplo de cómo instalarlo en un proveedor de alojamiento web concreto, pero si el tuyo tiene gestión con cPanel y te ofrece la opción de instalar gratis el SSL, será algo parecido (o, como en el caso de Raiola, no tendrás que hacer nada, porque vienen instalados por defecto).
Cómo instalar un certificado SSL
En el siguiente vídeo puedes ver cómo instalar un certificado Let’s Encrypt SSL o Let’s Encrypt Wildcard SSL desde un cPanel (en este caso era el de SiteGround), de una manera rápida y sencilla.
Una vez lo tengas instalado, todavía tendrás que hacer algunas cosas para tenerlo todo funcionando correctamente, pero no te preocupes porque te serán fáciles de hacer si sigues los pasos que te voy a ir diciendo.
Cómo pasar tu WordPress de HTTP a HTTPS
Una vez instalado el certificado SSL en tu dominio, lo primero que tienes que hacer es ir a tu panel de administración de WordPress.
Una vez allí, tienes que hacer lo siguiente:
Ir a Ajustes» → Generales, añadir una «S» a la url de la dirección de WordPress y de la dirección de sitio (te tiene que quedar como te muestro en la captura, pero con tu dominio) y guardar los cambios (después de eso, tendremos que loguearnos de nuevo).
Vale ¿ya está?
Pues no, todavía no, porque con eso habremos cambiado a HTTPS la página de inicio (veréis el candadito verde), pero muchas otras páginas de nuestro sitio seguirán apareciendo como HTTP, así que, vamos a solucionarlo rápidamente con un plugin (una vez acabemos con él, podremos desinstalarlo, no te preocupes).
Redirección HTTP a HTTPS de url’s internas
Para llevar a cabo la redirección de HTTP a HTTPS de las url’s de nuestro sitio web, podemos usar un plugin que se llama Better Search Replace, es gratuito y lo encontrarás fácilmente en el repositorio de WordPress.
Lo que haremos con este plugin una vez instalado y activado, es buscar todas las url’s con protocolo HTTP de nuestra web y sustituirlas por el de HTTPS ¿Cómo?
- En «Buscar», ponemos la dirección de nuestra web sin la S (http://tudominio.com).
- En «Sustituir con», ponemos la dirección de nuestra web con la S (https://tudominio.com).
- Seleccionamos todas las tablas de la base de datos.
- Hacemos clic en el botón de «Run Search/Replace».
¡Y listo!
¡Atención!
Te recomiendo que antes de darle al botón de buscar y reemplazar, actives la opción de «ejecutar en seco» (es una especie de entorno de pruebas), para probar que todo funciona correctamente antes de ejecutar los cambios de verdad. Si no da ningún problema, entonces puedes volver a repetir el proceso, ya sin activar la ejecución en seco y ejecutar los cambios de verdad.
¡Perfecto!
¿Ya está todo?
No, no seas impaciente 🙂
Porque claro ¿qué pasa si alguien hace clic en alguna url de nuestro sitio que hubiera sido compartida en redes sociales, en otro blog o en cualquier otro lugar?
Vamos a solucionar eso también haciendo una redirección de todas esas url’s externas.
Redirección HTTP a HTTPS de url’s externas
Como te digo, necesitamos redireccionar también esas url’s de nuestra web que hay por Internet, para que cuando algún usuario haga clic sobre ellas y vaya a nuestra página, llegue a la página que busca pero con el protocolo HTTPS activado.
Para llevar a cabo esta redirección, tenemos que entrar en el archivo .htaccess de nuestro WordPress, por FTP o desde el administrador de archivos de nuestro servidor, y pegar en él el siguiente código:
Pasar todo siempre a SSL
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ahora sí que lo tenemos todo.
Ya no tienes excusa para no tener un certificado SSL instalado en tu sitio y creo que te he dado razones suficientes para que lo tengas. Así que…
¡A por ello!
¿Quieres tener una web WordPress más segura?
⬇️
📩 Suscríbete a la news de Guardianes WP
🛡️ Reduce las posibilidades de éxito de los ciberdelincuentes. ⚔️
Recibirás un correo, cada día de lunes a viernes y que leerás en menos de un minuto, con consejos, análisis de herramientas y casos prácticos que te ayudarán a mejorar la seguridad de tu web.
(*) Información sobre protección de datos
Responsable: Teresa Sáez Cuenca. Finalidad: Unirte a la lista de correo de Guardianes WP. Legitimación: Consentimiento informado del interesado. Destinatario: Tus datos se guardan en mi web, alojada en Raiola Networks (España) y en Active Campaign, mi servicio de email marketing. Derechos: En cualquier momento puedes ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos, así como el derecho a presentar una reclamación ante una autoridad de control.