Añadir SSL a WordPress y pasar de HTTP a HTTPS

Si su sitio WordPress carece de un certificado SSL, todos los visitantes recibirán el mensaje "sitio no seguro".
En el peor de los casos, sus visitantes abandonarán inmediatamente su sitio web en ese momento y buscarán en otro lugar. En este artículo, vamos a trasladar su sitio WordPress de HTTP a HTTPS para obtener mejores resultados de búsqueda y proteger los datos de sus visitantes de ser interceptados por atacantes.

Vídeo: Cómo añadir SSL a WordPress

Si prefiere ver un vídeo en lugar de leer este artículo sobre cómo añadir SSL a WordPress, puede ver este artículo completo en vídeo:

Cuando visitan su sitio WordPress, los visitantes comparten varios datos con usted, ya sea al realizar una compra y proporcionar detalles de pago o simplemente al iniciar sesión en su sitio web. Para proteger los datos transmitidos, se debe establecer una conexión segura entre el servidor de su sitio web y el navegador del visitante.

Aquí es donde entran en juego SSL y HTTPS.

Definición de los términos HTTP, SSL y HTTPS

Dado que a muchos todavía les resulta difícil distinguir entre HTTP, HTTPS y SSL, me gustaría explicar brevemente los términos antes de activar e instalar el certificado SSL.

Puede saltar directamente al siguiente capítulo si ya está familiarizado con esto.

HTTP significa Hypertext Transfer Protocol, un protocolo para transferir datos. Se utiliza principalmente para cargar sitios web de la World Wide Web, como su sitio WordPress, en el navegador web de un visitante.

SSL significa Secure Sockets Layer; es un protocolo de cifrado para asegurar la transmisión de datos en Internet. Un certificado SSL único puede identificar cada sitio web.

HTTPS significa Hypertext Transfer Protocol Secure y combina los dos protocolos anteriores. Mediante el certificado SSL, se lleva a cabo una identificación y autenticación protegida de los dos interlocutores de comunicación, A. su sitio WordPress y B. el navegador del visitante, en el protocolo HTTPS. El protocolo luego intercambia una clave de sesión. HTTPS utiliza entonces la clave para cifrar los datos del usuario. De esta manera, su sitio WordPress y el navegador del visitante pueden transferir datos de forma segura.

Por qué necesita un certificado SSL

Debe invertir su tiempo en activar y utilizar un certificado SSL por dos razones simples.

1. Proteger los datos de sus visitantes contra el robo, por el cual puede ser considerado responsable según la situación legal local.
2. La optimización para motores de búsqueda, también conocida como SEO, es el proceso de proporcionar los resultados de búsqueda más estrictos y apropiados posibles. Dado que Google quiere ofrecer los resultados de búsqueda más relevantes y adecuados, clasifica significativamente más bajo los sitios web sin un certificado SSL.

Bien, suficiente conocimiento teórico de fondo, comencemos con la implementación.

Comprobar si hay un certificado SSL disponible

El primer paso es determinar si hay un certificado SSL disponible para su sitio web.

Una forma rápida de comprobarlo es introducir https://your-site.com en lugar de la URL HTTP original, http://your-site.com. Debería ver el candado a la izquierda de la barra de URL, que muestra más información sobre el certificado al hacer clic en él.

Hay un certificado SSL disponible

Si este proceso funciona, ya tiene un certificado SSL activo, pero su sitio WordPress no lo utiliza. Solo surte efecto si alguien llama explícitamente a su página a través del enlace https://.

En el siguiente paso, aprenderá cómo configurar correctamente el certificado SSL en su sitio WordPress.

No hay un certificado SSL disponible.

Si este proceso no funcionó, y aún termina en el enlace http:// y recibe el mensaje de error "no seguro", hay dos pasos que puede realizar antes de configurar WordPress a través de https:

Paso 1: Algunos proveedores de hosting ofrecen un certificado SSL para su dominio, pero debe activarlo manualmente primero.

El procedimiento para activar el certificado SSL difiere de un proveedor a otro. Primero, vaya al panel del proveedor de hosting (a menudo cPanel) y busque el elemento SSL.

Dependiendo del proveedor, ahora se puede ejecutar la opción Auto SSL bajo el estado SSL, que comprueba y activa el certificado SSL.

Otros proveedores admiten un certificado SSL de la organización sin fines de lucro Let’s Encrypt, que proporciona certificados SSL gratuitos.

Busque "Let’s Encrypt".

Paso 2: Si no puede encontrar el subelemento SSL, su proveedor de hosting no proporciona un certificado SSL gratuito.

Póngase en contacto con el soporte de su proveedor de hosting y consulte los costes de un certificado SSL. Muchos proveedores de hosting cobran hasta 60 $ al año por un certificado SSL. En este caso, decida si un cambio de proveedor podría tener sentido.

Cómo añadir SSL a WordPress

Configurar manualmente la conexión https es una solución permanente y optimizada para el rendimiento. Utilizamos el mismo método en wp-staging.com, por lo que es el método recomendado en lugar de utilizar un plugin SSL para WordPress. Sin embargo, en este artículo, también le mostraré una solución con plugin por si aún quiere probarlo.

Primero, vaya a Ajustes > Generales. Desde allí, actualice los campos de dirección URL de WordPress y del sitio reemplazando http:// por https://.

Una vez que haya guardado los ajustes, WordPress puede cerrar su sesión y pedirle que inicie sesión de nuevo.

Ajustes en el archivo .htaccess

A continuación, personalice el archivo .htaccess para establecer una regla que redirija todo el tráfico de HTTP a HTTPS. Puede acceder a este archivo a través del panel del proveedor de hosting, que a menudo se basa en cPanel, o mediante una herramienta FTP como FileZilla.

Para ello, abra el archivo .htaccess y añádale las líneas de código.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Ajustes en el archivo Nginx.conf

Si está en servidores Nginx, añada este código a su archivo de configuración Nginx.conf:

server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}

No olvide reemplazar https://your-site.com con su nombre de dominio.

Ajustes en el archivo wp-config.php

Si desea forzar SSL y HTTPS en su área de administración de WordPress o en sus páginas de inicio de sesión, debe configurar SSL en el archivo wp-config.php.

Simplemente añada el siguiente código encima de la línea que dice "That’s all, stop editing!" en su archivo wp-config.php:

define('FORCE_SSL_ADMIN', true);

Su sitio web ya está completamente configurado para utilizar SSL / HTTPS.

Corregir errores de contenido mixto en la base de datos de WordPress

Aunque hemos alcanzado nuestro objetivo intermedio al configurar el certificado SSL y enrutar todo el tráfico a través de HTTPS, pueden ocurrir los llamados errores de contenido mixto en su sitio WordPress.

Fuentes como imágenes, scripts u hojas de estilo que aún se cargan desde http están causando estos errores de contenido mixto.

Si este es el caso, no se muestra ningún símbolo de candado seguro en la barra de direcciones de su sitio web, y el navegador bloquea automáticamente los scripts y recursos inseguros, lo que puede hacer que su sitio web sea inaccesible. Por lo tanto, muestra un símbolo de candado con una advertencia.

Herramientas para desarrolladores de Google

Puede utilizar las herramientas para desarrolladores para determinar qué contenido todavía se proporciona a través del protocolo http inseguro. Puede acceder a estas herramientas en Chrome pulsando F12 o haciendo clic con el botón derecho y seleccionando "Inspeccionar". Luego, abra la pestaña "Consola" en el menú superior. La pestaña Consola mostrará los errores de contenido mixto como una advertencia.

Como se mencionó, la mayoría de estos mensajes de error se basan en imágenes, iframes y galerías de imágenes. Sin embargo, también puede recibir mensajes de error sobre scripts y hojas de estilo de los que son responsables los plugins y temas de WordPress.

Plugin Better Search Replace

Puede corregir la mayoría de estos errores a través de la base de datos de WordPress. Para ello, deberá encontrar todas las menciones de su antigua URL del sitio web que comenzaban con http en la base de datos y reemplazarlas por su nueva URL del sitio web que comienza con https.

La herramienta más simple para reemplazar todas estas cadenas es el plugin Better Search Replace. Abra el menú lateral de WordPress, haga clic en Plugins y Añadir nuevo.

Después de la activación, navegue hasta la pestaña Herramientas y seleccione Better Search Replace.

En el campo Buscar, introduzca su antigua URL del sitio web, incluido http://. En el campo Reemplazar, introduzca su nueva URL del sitio web con https://.

Debajo verá una lista de las tablas de la base de datos de WordPress. Selecciónelas todas para asegurar una actualización completa.

El último paso es desmarcar la casilla junto a la opción "¿Ejecutar como prueba?" y luego hacer clic en el botón "Ejecutar Buscar / Reemplazar".

El plugin escanea su base de datos buscando URLs http:// y las reemplaza por https://. El tiempo de procesamiento depende del tamaño de la base de datos. Una vez completado, los errores de contenido mixto deberían estar resueltos.

Corregir errores de contenido mixto en temas y plugins

Si encuentra otros errores en la consola de las herramientas para desarrolladores en este punto, indica que estos errores de contenido mixto están en los archivos del tema o plugin de WordPress, generalmente como cadenas codificadas de forma fija, y no pudieron ser reemplazados por el plugin de búsqueda y reemplazo en la base de datos.

Cabe señalar que un tema o plugin de WordPress decente que siga los estándares de codificación de WordPress normalmente no causará tales problemas, por lo que si aún recibe errores de contenido mixto, considere si realizó algunos cambios manuales en el código. Si ese es el caso, debe meterse en esto y cambiar todas las apariciones de http:// a https:// en el código base del archivo específico del plugin o tema.

Cree un entorno seguro de solución de problemas con WP STAGING

Para resolver los errores restantes sin romper nada en su sitio de producción y probar si todo funciona, eche un vistazo al plugin gratuito WP STAGING, que puede crear una copia de su sitio web con fines de desarrollo.

Instale y active el plugin desde el repositorio. En WP Staging, vaya a Sitios de Staging y haga clic en Crear sitio de Staging.

A continuación, introduzca el nombre de su sitio de staging y omita las tablas o archivos que no desee. Compruebe los Ajustes avanzados para retoques adicionales y luego haga clic en "Iniciar clonación" para finalizar.

Finalmente, aparecerá una ventana emergente, informándole de que su sitio de staging está listo para usar.

Regrese a su sitio de producción, luego instale y active el plugin Really Simple SSL desde el repositorio.

Después de la activación, vaya a Ajustes > SSL. El plugin reconoce automáticamente su conexión https y corrige los errores de contenido mixto. El plugin utiliza la técnica del búfer de salida. Esta técnica puede afectar negativamente al rendimiento y la velocidad de su sitio WordPress, ya que reemplaza el contenido HTTP cuando se carga su sitio. Este efecto solo ocurre cuando se carga la primera página y debería ser mínimo si utiliza un plugin de caché.

Aunque el plugin dice que puede desactivarlo sin problemas, esa afirmación no es 100 % precisa. Tiene que dejar el plugin activo en todo momento, ya que desactivarlo provocará de nuevo errores de contenido mixto. Por lo tanto, esta es solo una solución temporal.

Asegúrese de que no haya más errores

Regrese a su sitio de staging. Intente resolver el problema visualizando y editando los mensajes de error de la consola de las herramientas para desarrolladores de Google. Si esto no funciona, cambie el tema de WordPress y compruebe si el mensaje de error todavía aparece. Si eso no ayuda, desactive todos los plugins en el sitio de staging, actívelos plugin por plugin y compruebe cuándo reaparece el mensaje de error.

Después de haber corregido los errores, repita los mismos pasos en su sitio de producción.

Ahora puede desactivar el plugin "Really Simple SSL" y comprobar en la consola si los errores de contenido mixto han desaparecido.

Suficiente solución de problemas por hoy.

¡Enhorabuena, ha movido con éxito su sitio WordPress del protocolo HTTP al protocolo HTTPS!

Artículos relacionados

• Cómo hacer una copia de seguridad de un sitio WordPress manualmente usando cPanel
• ¿Cómo corregir problemas comunes de SSL en WordPress como NET::ERR_CERT_INVALID?
• 5 métodos para corregir errores de conexión segura en WordPress
• ¿Cómo corregir el error de contenido mixto en WordPress?
• La guía para principiantes sobre cómo renovar un certificado SSL (automático & manual)