Hemos mencionado ya en muchas ocasiones lo importante que es la seguridad en nuestros sitios, no solamente para nuestros usuarios sino para nosotros como webmasters. El no contar con la seguridad suficiente nos puede afectar de muchas formas, ya sea perdiendo usuarios o bien afectándonos en cuanto a SEO se refiere.
Es por ello que hoy estaremos hablando de algo muy importante: WordPress y Certificados SSL, te enseñaremos lo que viene luego de instalar WordPress, es decir, como configurar y migrar WordPress de HTTP a HTTPS.
Todos sabemos que si contamos con un sitio e-commerce, no tenemos forma de evitar contar con un certificado instalado en nuestro sitio, es algo básico ya que, al tratar con datos tan delicados como los son los de las tarjetas de créditos, tenemos que si o si mantenerlos seguros.
Pero esto no significa que solamente este tipo de sitios se vean beneficiados por la instalación de un Certificado SSL, la realidad es que sin importar si tu sitio es ecommerce o no, es muy probable que tener un Cetificado SSL sea beneficioso para tu sitio también.
El año 2017 sin duda alguna que puede considerarse como el año de la revolución SSL en Internet. Desde hace un tiempo venimos hablando de la importancia de contact con certificados SSL, y cómo las grandes productoras de software del mundo lo están prácticamente requiriendo para navegar de forma segura.
Mucho ha ido pasando en los últimos meses relacionado a la fuerte adopción de certificados digitales de seguridad. Lo cierto es que cada vez existen más detalles que verificar si vamos a pasar nuestro sitio hecho con WordPress de HTTP a HTTPS.
Luego de anunciarlo con tiempo para que todos pudieran adaptarse al nuevo requerimiento para hacer la web más segura. Hoy por hoy Google Chrome marca como página no segura a las páginas HTTP que tienen campos de ingreso de usuario y contraseña.
Sin embargo, ya en este mes de Octubre de 2017, Chrome comenzará a mostrar una advertencia de sitio «No Seguro» bajo dos situaciones nuevas: cuando un usuario ingresa datos en una página HTTP, y cuando se visita una página HTTP en modo incógnito.
Todo se apunta a que hacia fines de este año 2017 no solamente alertará sobre sitios inseguros a aquellos que tengan formularios de ingreso de dato sensibles, sino a todos los sitios que no tengan SSL, por lo que Google Chrome va destacar si el sitio es seguro o no, lo cual puede no ser atractivo para el visitante y perder visitas.
Por todo esto nos parece más que adecuado que tu tengas una checklist completa en formato de infografía para lograr hacer una transición transparente hacia HTTPS usando WordPress.
¿Qué es HTTPS y para qué nos sirven los Certificados SSL?
Primero que nada, antes de adentrarnos en la configuración e instalación de los certificados en WordPress, tenemos que aprender que son y para qué nos sirven exactamente. Por aquí puedes aprender más a fondo sobre qué son los Certificados SSL y para qué nos sirven.
Aunque básicamente lo que hace un Certificado SSL es proporcionar una conexión segura entre el cliente y el servidor.
Lo que esto significa, es que todos los datos que sean enviados estarán encriptados, algo realmente importantes si tenemos en cuenta que muchas veces, estamos enviando passwords o incluso datos delicados como números de tarjetas de crédito, etc.
Además, tengamos en cuenta, que el usuario, puede ver en la barra de navegación si el sitio cuenta o no con un SSL instalado, dándole a esté la sensación de que tu sitio es de confianza y dejándolo tranquilo de que sus datos estarán protegidos.
Además de que nos ayuda mucho en cuanto a los buscadores se trata, después de todo hace ya bastante tiempo que sabemos que Google toma en cuenta los Certificados SSL en su algoritmo de búsqueda.
Ahora bien… ¿Qué tiene que ver Https en todo esto? Https es de hecho muy importante, el solo contar con un SSL instalado en tu sitio no es suficiente para mantener los datos de tus clientes seguros y encriptados. También necesitarás que las conexiones hagan uso de este, y esto se realiza a través del protocolo Https.
Por ejemplo, si intentamos hacer uso de una conexión segura sin contar con un SSL instalado, entonces nuestro navegador mismo, nos avisará de esto y nos saltará una excepción. Esto es a modo de proteger al usuario, verás que igualmente podrás acceder al sitio web, pero siempre teniendo que primeramente aceptar la excepción del navegador.
Algo muy parecido a lo siguiente:
Infografía: pasos para migrar de http a https en sitios hechos con WordPress
Comencemos con el checklist para asegurarte de que tu instalación WordPress haga una migración 100% transparente hacia los certificados digitales.
Puedes visualizar y descargar esta infografía para tener los pasos siempre presentes cerca de tu pantalla si lo deseas, haz click en la siguiente imagen:
Contratar un certificado SSL
El primer paso que vamos a realizar a la hora de migrar nuestro sitio a HTTPS es adquirir un certificado SSL.
En Infranetworking puedes comprar Certificados SSL, y si hospedas el sitio también con nosotros la buena noticia es que podemos ayudarte en el proceso de instalación para que sea algo sumamente fácil y tengas tu SSL instalado y funcionando en pocos minutos.
Existen varios tipos de certificados SSL, que podemos diferenciar a grandes rasgos en dos categorías: certificados ssl gratuitos, y certificados ssl pagos.
- Certificados SSL gratuitos: son emitidos por la certificadora Let’s Encrypt, son 100% gratis, tienen una duración de 90 días y se renuevan automáticamente desde nuestros servidores web. Son certificados SSL sin ninguna garantía ni soporte técnico asociado, por lo que si algo falla en su proceso no hay entidad a la que puedas reclamarle, mucho menos si logran violar la encriptación del SSL.
- Certificados SSL pagos: los certificados de este tipo son los preferidos y que recomendamos siempre a nuestros clientes, tienen una garantía monetaria en caso de que se compruebe que la seguridad de la encriptación ha sido violada por parte del proveedor externo de SSL.
Utilizar certificados de 2048 bits
Los certificados digitales seguros son aquellos que usan llaves de 2048 bits como mínimo. En Infranetworking ofrecemos a todos nuestros clientes, tanto en certificados gratuitos como pagos los más altos estandares de seguridad con Cifrado SHA-2 y de 2048 bits: el más fuerte del mercado para Internet.
Instala tu SSL fácil y rápido
Si eres un cliente de Web Hosting, Hosting Multidominio, Servidores Semi Dedicados o Servidores Dedicados / Cloud con servicios de Administración Avanzada y cPanel, podrás instalar tu mismo el certificado SSL siguiendo las instrucciones que ves aquí: Como instalar un Certificado SSL en cPanel con AutoInstall SSL
Si usas un SSL pago y tu servidor es plano, sin panel de control como CentOS o Ubuntu, con gusto puedes contactar a nuestro Soporte Técnico, resolveremos cualquier duda que tengas respecto a la instalación.
Si estás instalando un SSL Gratis de Let’s Encrypt también puedes instalarlo por ti mismo siguiendo esta guía: Instalar Certificados SSL Gratis de Let’s Encrypt.
Cambiar URL del sitio en panel de WordPress
Ahora que contamos con nuestro certificado instalado, simplemente debemos realizar lo siguiente para que nuestro sitio quede configurado con Https.
Configuración del Admin de WordPress
Si vamos a configurar todo nuestro sitio con https entonces debemos realizar el cambio desde nuestro administrador WordPress.
Primero que nada, debemos acceder a:
- Vamos al panel administrador de WordPress: http://www.tusitio.com/wp-admin/
- Clic en «Ajustes» y luego en «Generales».
- Haz clic en «Dirección de WordPress ( URL ),«.
- Ingresa la URL de tu sitio con https:// delante.
- Guarda los cambios.
Generar redirecciones 301 en Apache y Nginx
Una vez ya está operativo nuestro SSL y hemos configurado el sitio WP para que vaya por https, el siguiente paso es realiza una redirección 301.
La redirección 301 se necesita para indicarle a los buscadores que tu nueva URL fue movida de forma permanente hacia una nueva con https.
Si tienes contratado un plan en Infranetworking la redirección que debes crear es para Apache y puedes habilitarla fácilmente a través de un plugin que desarrollamos para ti para hacértelo mas fácil, para eso debes ir al Administrador de WordPress y seguir unos sencillos pasos:
- Ingresas Administrador de WordPress
- Ve a Plugins
- Luego a Añadir Nuevo
- En el cuadro de búsqueda a la derecha escribe: Infranetworking y presionas Enter
- A la izquierda en Redirection HTTPS for Apache presionas Instalar Ahora
- Por ultimo presionas en Activar
Con estos pasos ya quedara activa la redirección y saltar al siguiente paso que es cambiar que es Cambiar enlaces internos de HTTP a HTTPS, si en lugar del plugin se prefiere hacerlo manual se puede seguir a continuación con Apache.
Si estamos en un servidor corriendo Apache, entonces simplemente agregamos el siguiente código en nuestro archivo .htaccess (generalmente ubicado en la raíz del sitio, por ejemplo en la carpeta «public_html»).
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.dominio.com//$1 [R,L]
</IfModule>Si por otro lado estamos utilizando Nginx, colocamos lo siguiente en nuestro archivo de configuración para el sitio.
server {
listen 80;
server_name dominio.com www.dominio.com;
return 301 https://dominio.com$request_uri;
}Cambiar enlaces internos de HTTP a HTTPS
Algo sumamente importante que muchos desarrolladores y dueños de sitios olvidan tras hacer la transición a https, es que al igual que los recursos externos, los links internos hacia nuestros posts y páginas WordPress deben cambiarse también para reflejar el nuevo protocolo que usamos ahora (https).
Lo más fácil y rápido es utilizar plugins como Velvet Blues Update URL, un plugin que se encargará de cambiar las URLs de http a https en un instante y lo mejor: gratis.
La otra alterantiva es usar el plugin Search & Replace, para realizar el mismo cometido contra la base de datos que usamos y guarda los registros de URLs.
Esto también aplica para los archivos de tu plantilla WordPress, todos los recursos css, js, imágenes, etc, deben cargar via https, y si estos plugins no te hacen el trabajo por ti, tendrás que modificarlos manualmente.
Si no haces esto el navegador no nos mostrará el símbolo del candado de confianza, sino que nos estará dando una advertencia de que hay archivos que son cargados por el protocolo no seguro aún.
Ejemplo de un sitio que carga contenido mixto.
Comprobar enlaces internos dentro del sitio web revisando pagina por pagina
Si bien recomendamos usar plugins como los que mencionamos en el punto anterior, lo cierto es que si no quieres llevarte sorpresas (pérdida de posicionamiento en Google, o perder potenciales clientes), lo ideal es que revises todo manualmente.
Para esto te vamos a recomendar ir página por página, y post por post, revisando los enlaces manuales que tengas, y verificando que sus apuntes sean a la nueva URL con https.
Quizás te tome horas, o días en caso de que tengas mucho contenido, pero es un trabajo que harás una sola vez y que vale realmente la pena.
Tómate el tiempo necesario, analiza tus enlaces salientes y verifica que todos salgan usando https.
Agregar nueva URL a Google Search Console
Esto es algo que muchas personas olvidan y es un error bastante grave, pues si bien Google podrá rastrear tu web al tener una redirección 301. La forma «oficial» y «correcta» de informarle que todo tu contenido está en una nueva URL es agregándolo a la lista de sitios verificados desde Search Console.
Aquí lo que haremos será agregar el sitio como si fuera uno nuevo, seguramente nos pedirá que lo verifiquemos como a la anterior URL. Para hacerlo sigue estos pasos:
- Ingresa a Search Console
- Clic en ‘Agregar propiedad’ o ‘Add property’.
- Ingresa la URL con https.
Agregar sitemap.xml al dominio con https desde Search Console
Este es otro punto vital. Luego de que nuestra nueva URL está validada, debemos agregar el sitemap.xml a la lista de sitemaps en Search Console. De esta forma, aceleraremos la indexación de todo el contenido de nuestra web via HTTPS.
Sigue estos pasos:
- Entra a Google Search Console.
- Clic en ‘Rastreo’ en el menú izquierdo.
- Clic en ‘Sitemaps’.
- Clic en ‘Añadir o probar Sitemaps’.
- Ingresa la URL de tu sitemap.xml
- Clic en ‘Enviar’.
Cambiar URL en Google Analitycs
La URL al pasar de http a https cambia, y técnicamente ya no es el mismo sitio para Google, tanto en Search Console, como en Analytics, el popular sistema de estadísticas que usa casi todo administrador de sitios web.
Allí también deberás cambiar la URL del sitio y actualizarla para usar https:// ahora. Estos son los pasos para cambiar la URL de Google Analytics:
- Ingresa a tu cuenta de Google Analytics.
- Haz clic en Administrador.
- Muevete hacia el sitio que vayas a editar la URL.
- En la columna «Propiedad», haz clic en «Configuración de la propiedad»
- Edita los datos que necesitas, como la «URL Predeterminada».
- Guarda los cambios.
Cambia los anuncios remotos de Adsense
Adsense, el popular programa de venta de publicidad online de Google también carga recursos via http, algo que puede hacer que tu sitio genere contenido «mixto» (algunos seguros y otros inseguros).
Para pasar Adsense a https sólo debes agregarle la «s» a la URL tradicional en el código que usas en tu sitio WordPress: http://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js
Verificar que el sitio carga bien via https
Verificar que nuestro sitio está utilizando la conexión segura es el siguiente paso.
Esto es realmente sencillo a decir verdad, la primera señal de ello, será que observaremos en la barra de navegación un candado seguido la palabra «Seguro».
Lo ideal es que pruebes esto sin ningún tipo de cache en tu navegador.
Verifica que el archivo robots.txt que este permitiendo a Google rastrear Https
Muchas personas suelen alterar el archivo robots.txt y colocar dentro ciertas restricciones de URLs y paths de nuestro sitio.
Por lo que no es mala idea revisar el archivo robots.txt y verificar que Google efectivamente pueda rastrear la versión https de tu sitio.
Esto también puedes verificarlo por otro lado usando Google Search Console, siguiendo estos pasos.
- Ingresa a Search Console.
- Clic en Rastreo
- Click en «Probador de robots.txt».
- Abajo de todo, ingresa robots.txt en el cuadro de la URL.
- Clic en «Probar»
Desde allí podrás ver qué tal está rastreando Google la versión https de tu sitio web.
Cambiar enlaces externos en redes sociales por la nueva url con https
Desde las redes sociales se suelen compartir muchos contenidos de nuestros sitios web, estos son sin duda enlaces entrantes a nuestro sitio, que no sólo sirven para que los usuarios lleguen al contenido, sino que también se cuentan como enlaces que Google toma en cuenta a la hora de posicionar tu web.
Cambiar los enlaces que tengamos compartidos y publicados en redes sociales es otro punto vital para evitar perder posicionamiento orgánico de nuestros sitios webs tras cambiar a https.
Cambiar enlaces en Campañas Adwords
Si tienes campañas del programa de publicidad Adwords de Google, lo ideal es también cambiar la URL destino de tu sitio web para que los visitantes vayan a la nueva URL con https.
Esto hará rendir mejor a los anuncios, ya que evitarás que pasen por la redirección que si bien es rápida, suma unos milisegundos de espera en cada click que los usuarios hagan en tus anucios.
Revisar enlaces entrantes pagos, naturales y guest posts
Algo que muchos webmasters olvidan de hacer y que es fundamental, es revisar los enlaces entrantes.
Existen muchos tipos de enlaces entrantes:
- Pagos: los que pagamos a alguna página para que nuestra web aparezca allí, sea en forma de banners, texto o reviews de nuestra web o productos.
- Guests posts: son artículos que se incluyen en sitios de amigos y conocidos que escribimos nosotros y tienen enlaces entrantes a nuestro sitio.
- Naturales: son enlaces orgánicos que apuntan hacia nuestra web y son generados o creados naturalmente por gente que encuentra nuestro sitio útil.
En estos tres casos debes contactar a los dueños de esas páginas y avisarles que tu nueva web ya no corre por http, sino por https.
Realizar un seguimiento día a día de las páginas
Para conocer la incidencia del https en tu sitio web es fundamental realizar un constante monitoreo, tanto desde Google Search Console (estando atentos ante las alertas y probando el rastreo), como desde Google Analytics, Yandex u otro de los sistemas de estadísticas que uses, revisando como están las visitas diarias, accesos a diferentes páginas, etc.
Debe hacerse un seguimiento diario tras la migración, cuidando cada detalle para detectar cualquier tipo de problema y arreglarlo de forma casi inmediata para que la transición de http a https sea lo más transparente posible.
Controla tus ingresos si usas Adsense
Muchos dueños de sitios webs usan el programa Adsense de Google para editores, que permite generar ingresos por publicar anuncios de Adwords.
Algo que debes tener en cuenta y que lo ha anunciado el mismo Google, es que los ingresos pueden bajar un poco si pasas tu web de http a https.
El motivo es simple, hoy en día no todos los anunciantes están usando https como formato de URL única, sino que usan sólo http, y esto hará que puedas perderte de la publicación de muchos anuncios.
Google está presionando a los anunciantes para que usen sólo https para sus anuncios, por lo que pronto en 2018 estimamos ya todas las publicaciones de anunciantes usarán https y en ese momento ya no habrá ningún tipo de diferencia en rendimiento para los editores de contenido que usan Adsense.
Lo que si sabemos es que ya en unos meses Google eliminará todos los anuncios que no usen SSL, por lo que esperamos que el próximo año ya este problema no exista.
De acuerdo a nuestra experiencia, se puede notar una perdida de ganancias del 10% al 25% aproximadamente en Adsense ya que no todos los anuncios se estan sirviendo en https.
Conclusión
Como podemos ver, tener configurar WordPress de HTTP a HTTPS no es nada difícil, sólo hay que seguir los pasos descriptos en el tutorial.
Lo más complicado realmente es la instalación y configuración del SSL en si, pero si estás alojado en Infranetworking llevaremos a cabo nosotros hasta dejar tu SSL listo y funcionando.
Al configurar WordPress con HTTPS contamos con las ventajas de tener nuestro sitio trabajando sobre un protocolo seguro, que mejorará la reputación de nuestro sitio y hará que nuestros clientes y visitantes en general se sientan más seguros.
Y un beneficio extra es que podrás mejorar tu posicionamiento web gracias a que Google mejora el ranking de tu sitio si usa un protocolo seguro en comparación con los que no lo hacen.
Google y el resto de las compañias grandes de Internet están apoyando y evangelizando el uso de https como protocolo único para la navegación en la web.
Esto ha traído muchos cambios a los dueños de sitios, programadores y diseñadores, sin embargo, es una adopción que es buena por todos lados donde se la mire: sitios seguros, encriptación, mejor reputación ante las compras en e-commerce, etc.
Si bien el uso de certificados SSL no es obligatorio al momento de escribir este artículo, Google ya lo está comenzando a mostrar en algunas páginas afirmando que no son seguras cuando carecen de él.
Hoy por hoy no es oficial que el no hacer el cambio a https pueda provocar que se pierdan SERPS (resultados en Google), por lo cual puedes aún aplazar un poco el cambio hacia HTTPS, o bien esperar un poco y ver cuando Google haga el anuncio oficial.
Lo cierto es que si cuando llega ese momento no haces el cambio, de seguro perderás posicionamiento en tus páginas webs, comienza a prepararte para la migración de http a https con tiempo, no lo dejes para último momento.
