Por qué HTTPS y SSL para los sitios web de WordPress son absolutamente esenciales

Un certificado SSL es una medida de seguridad que cifra la conexión entre su sitio web y el usuario final, lo que ayuda a proteger a ambas partes. Cuando se instala en un dominio, aparece el prefijo “https” en la dirección web.

Si bien no es obligatorio, es una buena práctica que cada sitio web de WordPress en un servidor en vivo tenga un certificado SSL. Esto ayuda a aumentar la seguridad y protege su sitio web y a los visitantes de los piratas informáticos que roban información personal, rompen su sitio y evitan la propagación de spam y malware, como se describió anteriormente en la estadística anterior.

En esta publicación, compartiré más detalles sobre HTTPS y SSL para WordPress, por qué es crucial tenerlos, así como una lista de pasos prácticos para instalar un certificado SSL en su sitio web.

¿Qué es SSL y HTTPS?

HTTPS es la extensión segura del Protocolo de transferencia de hipertexto (HTTP), que es el conjunto de reglas para transferir datos entre su navegador. HTTPS significa que todas las comunicaciones están cifradas para evitar el acceso no autorizado.

HTTPS se utiliza a menudo para codificar sitios web que procesan datos personales, como páginas de inicio de sesión, ventas y productos, así como formularios.

Secure Socket Layer (SSL) es un tipo de protocolo que utiliza HTTPS. Se puede comprar como un certificado SSL para un dominio. Proporciona confirmación de que el dominio está en posesión del propietario del sitio y la conexión entre el visitante y el sitio web está encriptada.

Cuando un sitio web usa SSL, el prefijo "https" aparece en la URL en lugar de "http". También aparece un símbolo de candado verde en el campo de dirección. Ciertos tipos de certificados con un mayor nivel de seguridad incluyen el nombre de la empresa junto al candado.

SSL está habilitado en el sitio web de Stylemix Themes. Si bien un certificado SSL aumenta la seguridad de un sitio web, no garantiza que un sitio web sea legítimo, ya que cualquiera puede instalar un certificado básico, por lo que es importante que haga su debida diligencia para asegurarse de que Estás visitando un sitio web seguro.

Aunque, si la dirección de un sitio web incluye el prefijo “https” pero no tiene un certificado SSL instalado, los navegadores más populares notifican a los usuarios con una advertencia antes de conectarse.

También puede ser importante tener en cuenta que Transport Layer Security (TLS) es en realidad el precursor de SSL y, a menudo, se usan indistintamente.

Para obtener más información, consulte una guía detallada para la migración de HTTP a HTTPS en WordPress.

Por qué necesita SSL para WordPress

Si se requiere acceso a cookies o cualquier tipo de formulario que procese inicio de sesión o información personal, incluidos números de tarjetas de crédito, SSL para WordPress es absolutamente esencial para evitar que la información se vea comprometida.

Tenga en cuenta que todos los sitios de WordPress también requieren acceso a las cookies de forma predeterminada.

Sin un certificado SSL, un sitio web es vulnerable a ataques como inyecciones SQL (SQLI), secuencias de comandos entre sitios (XSS), falsificación de solicitudes entre sitios (CSRF), omisión de autenticación, carga de archivos y muchos otros tipos de ataques. Los piratas informáticos podrían robar información personal, secuestrar la conexión de su navegador, inyectar malware o spam en su sitio, u obtener acceso para hacer lo que quieran.

Tener un certificado SSL no solo lo protegerá a usted y a sus usuarios, sino que también puede ayudar a establecer confianza entre su sitio y sus usuarios.

Es por eso que en 2014, Google anunció que los sitios web con certificados SSL recibirían impulsos en las clasificaciones de los motores de búsqueda.

La Unión Europea también instituyó el Reglamento General de Protección de Datos en mayo de 2018 y, aunque la nueva ley no menciona específicamente el uso de certificados SSL, sí exige que los sitios web garanticen suficientemente la seguridad y la privacidad de los visitantes de la Unión Europea.

Si bien un certificado SSL por sí solo no es suficiente para garantizar la seguridad de su sitio de WordPress, es un primer paso fundamental.

¿Cómo funcionan los certificados SSL?

Cuando un sitio web tiene un certificado SSL, toda la información que pasa del navegador al servidor se codifica en una serie aleatoria de letras y números en lugar de texto sin formato, que son palabras legibles por humanos.

Los propietarios de sitios web pueden comprar certificados SSL de una empresa emisora ​​conocida como Autoridad de certificación (CA).

Estos son los pasos para obtener su propio certificado SSL:

1. Compre un certificado de una CA.
2. Proporcione sus datos personales, incluidos su nombre, correo electrónico y otros detalles.
3. Se le proporciona una clave pública y privada, que son cadenas crípticas de letras y números que encajan matemáticamente. Se utilizan para autenticar y cifrar su dominio durante el proceso de instalación. Su clave privada debe permanecer en secreto.
4. Envíe su clave pública con los detalles proporcionados anteriormente en una solicitud de firma de certificado (CSR).
5. Si la información coincide y es correcta, el certificado se firma con un algoritmo hash seguro (SHA).
6. Se emite el certificado SSL y puede instalarlo en su servidor.

Cuando un usuario ingresa una URL en un navegador, se produce automáticamente un protocolo de enlace SSL:

1. El navegador se conecta con un servidor (un servidor web o un sitio web) y solicita una confirmación de identidad.
2. El servidor envía una copia de su certificado SSL, que contiene una clave pública.
3. El navegador verifica el certificado que tiene la autoridad de certificación, asegurándose de que sea confiable, luego envía una clave para la sesión.
4. El servidor descifra la clave de sesión con una clave privada y devuelve una clave de sesión cifrada.
5. El enlace entre el navegador y el servidor ahora es seguro y todos los datos que pasan entre ellos están encriptados.

Compra de un certificado SSL

Como se mencionó anteriormente, los certificados SSL se pueden comprar a través de una CA y la mayoría de las empresas de alojamiento de sitios web también tienen certificados disponibles para comprar con un plan de alojamiento.

También hay diferentes tipos de certificados SSL que existen para diferentes requisitos de sitios web y el nivel de seguridad que se necesita, como se describe a continuación.

Nivel de Validación

• Validación de dominio : la CA confirma que la organización posee el dominio del sitio web. Este es un certificado básico.
• Validación de la organización: la organización que posee el certificado es investigada y autenticada.
• Validación extendida : la CA confirma la identidad, la existencia legal, la ubicación y más de la organización. Este es el nivel más alto de validación para un certificado.

Número de dominios asegurados

• SSL de nombre único : protege un solo subdominio o nombre de host
• Wildcard SSL : para un número ilimitado de subdominios para un solo dominio
• SSL unificado/multisitio/SAN : protege hasta 100 dominios con diferentes nombres

También puede emitir y firmar su propio certificado SSL, conocido como certificado autofirmado, pero la mayoría de los navegadores no lo reconocen como válido.

Un certificado para habilitar SSL para WordPress puede variar en costo desde gratis hasta $800 o más por año, dependiendo del tipo de certificado y CA.

Una opción gratuita que no está afiliada con el alojamiento es Let's Encrypt, que es una CA automatizada administrada por una organización sin fines de lucro dedicada a hacer de Internet un lugar más seguro. Let's Encrypt se ha asociado con muchos servidores web diferentes para crear una instalación rápida y sin problemas.

Para obtener más información, consulte la guía definitiva sobre tipos de certificados SSL de Server Guy y las 5 autoridades de certificación SSL más populares revisadas.

Configuración de SSL para WordPress

Aunque se le haya emitido un certificado SSL, esto no significa que su sitio será automáticamente seguro. Hay algunos pasos que debe seguir primero para las instalaciones de uno o varios sitios y se describen en detalle a continuación.

1. Cambia la URL

Antes de instalar su certificado, debe actualizar la URL de su sitio.

En su panel de administración, vaya a Configuración > General y cambie su dirección de WordPress y la dirección del sitio para incluir "https" en lugar de "http" para instalaciones individuales de WordPress usando servidores Apache.

Para instalaciones multisitio, puede realizar este cambio en su archivo wp-config.php arriba de la línea a continuación:

 /* Eso es todo, ¡deja de editar! Feliz blogueo. */

Agregue el siguiente código, pero asegúrese de reemplazar mysite.com con su dominio real:

 define('WP_HOME','https://misitio.com');
define('WP_SITEURL','https://mysite.com');

2. Forzar el uso de SSL

A continuación, configure su sitio para que fuerce el uso de SSL para la página de inicio de sesión de WordPress y el panel de administración.

Agrega el siguiente código en tu archivo wp-config.php, justo encima de la línea "feliz blogueo":

 define('FORCE_SSL_ADMIN', verdadero);

3. Redirigir a HTTPS

Finalmente, configure una redirección 301 para que los visitantes sean redirigidos automáticamente a la versión de su sitio habilitada para SSL.

 Inserta este código en tu <em>.htaccess</em> archivo encima de cualquier código que ya exista:


<IfModule mod_rewrite.c>
Motor de reescritura encendido
Reescribir Cond %{SERVER_PORT} 80
Regla de reescritura ^(.*)$ https://www.mysite.com/$1 [R=301,L]
</IfModule>

Asegúrese de reemplazar www.mysite.com con la URL de su sitio real e ingrese el puerto de servidor correcto si el suyo no es 80.

Guarde todos sus archivos y vuelva a visitar su sitio para probarlo. si ve un https y un candado verde, ha instalado correctamente un certificado SSL en su sitio de WordPress.

Tenga en cuenta que si estos pasos no funcionan, es posible que deba borrar el caché de su navegador, sitio web y servidor.

También puede optar por automatizar este proceso con un complemento como Really Simple SSL.

Terminando

SSL para sitios de WordPress es una gran victoria para sus visitantes, ya que es el primer y crucial paso para asegurar su sitio.

¿Pudiste instalar un certificado SSL? ¿Hubo algún detalle de SSL para WordPress que se perdió? Comparta sus pensamientos en los comentarios a continuación.