Sigue este blog vía RSS, en el Fediverso en @acambronero@www.blogpocket.com, o vía email.

You don’t speak Spanish? Explore a selection of Blogpocket posts in English

Cómo convertir tu WordPress a HTTPS – La guía definitiva

WORDPRESS-A-HTTPS Cómo convertir tu WordPress a HTTPS - La guía definitiva

checklist-de-wordpress-a-https Cómo convertir tu WordPress a HTTPS - La guía definitiva
¿Te gusta esta checklist? Compártela en tus redes sociales.

En este post te explicaré cómo convertir tu WordPress a HTTPS con Let’s Encrypt, un método con el que podrás hacerlo en apenas un clic, sin necesidad de aplicar técnicas complicadas.

La guía definitiva, paso a paso, para instalar un certificado SSL en tu blog y pasar tu WordPress a HTTPS

En primer lugar, vamos a ver qué significa eso de HTTPS y por qué es bueno que conviertas tu blog de WordPress a dicho protocolo.

Recuerda que con Blogpocket, el blogging es fácil 😉

¿Qué es el protocolo HTTPS

Según Wikipedia, Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de HTTP.

Es utilizado principalmente por entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales y/o contraseñas.

Pero yo tengo un simple blog, no soy una tienda ni nada por el estilo, ¿por qué necesito convertirlo a HTTPS?

¿Por qué deberías convertir tu WordPress a HTPTS?

https-1 Cómo convertir tu WordPress a HTTPS - La guía definitiva
Si el protocolo de acceso a una página Web es HTTP, se indicará haciendo clic en el icono de la bola del mundo en Firefox. Si es HTTP verás el mensaje «La conexión no es segura».

Normalmente, hasta ahora, se accede a casi todos los blogs con HTTP porque esa es la opción que ofrecen por defecto la inmensa mayoría de los proveedores de alojamiento Web.

Sin embargo, desde hace dos años, Google considera el acceso mediante HTTPS como un factor de posicionamiento y cada vez va a tener más importancia que tu sitio sea accesible mediante HTTPS.

security-google-crom-56 Cómo convertir tu WordPress a HTTPS - La guía definitiva
Imagen cortesía de Web Versatil.
La versión 56 de Chrome, mostrará el mensaje de «página no segura». Y eso será a partir del inicio de 2017.Eso significa que si no has instalado un certificado SSL, convirtiendo tu blog al protocolo HTTPS, entonces puedes perder visitas por desconfianza de tus usuarios. Aparte de las penalizaciones que podría ir imponiendo Google y que, según todos los indicios, serán cada vez más.

Por parte de SiteGround, el hosting en el que alojamos Blogpocket, se sugiere las razones de peso por las que cualquier sitio debe tener un certificado SSL:

    • Google ha anunciado oficialmente que HTTPS será un factor para la clasificación de resultados de búsqueda.
    • El uso del protocolo HTTP/2, que se traduce en relevantes aumentos de velocidad, es soportado por los navegadores sólo a través de la conexión cifrada.
    • El navegador de Google Chrome comenzará poco a poco a indicar más sitios web no HTTPS como inseguros de forma más evidente.
    • Matt Mullenweg, el fundador de WordPress ha anunciado que algunas de las nuevas características de WordPress lanzadas en 2017 estarán disponibles sólo para sitios que utilizan HTTPS (ve al minuto 31:00 para escucharlo).

Así que, con tantas entidades influyentes apoyando abiertamente esta tendencia, no hay forma de volver a http.

Vale, cuéntame cómo convertir tu WordPress a HTTPS

BLOGPOCKET-SEGURO-SSL Cómo convertir tu WordPress a HTTPS - La guía definitiva
Blogpocket.com es un sitio seguro después de instalar el SSL proporcionado gratuitamente por SIteGround.

Vamos al grano.

Pero primero, ten en cuenta que el protocolo HTTPS y los certificados de autoría son incompatibles con algunas características de tu blog. Un caso es CloudFlare y te hablaré de ello a continuación.

Pero también debe tener cuidado con otras configuraciones. Aparte de las que se citan en los pasos que vienen más adelante, si usas Open Graph es posible que el botón de compartir en Facebook deje de funcionar, ya que la propiedad og:image no se admite para url’s con «https». En su lugar, debes emplear la propiedad «og:image:secure_url. Más info: Open graph / og image not working when using Facebook share. Algunos plugins, como SEO by Yoast usan «og:image» por lo que habrá que pensar en una alternativa si es que quieres que open graph funcione correctamente.

1. Pon en pausa CloudFlare

https-2 Cómo convertir tu WordPress a HTTPS - La guía definitiva
CloudFlare puede interferir en la correcta instalación del certificado para HTTPS. Páusalo antes de empezar.

Lo primero antes de instalar el certificado SSL y pasar tu WordPress a HTTPS, es pausar la conexión a CloudFlare de tu blog, si es que utilizas ese CDN como mecanismo para optimizar el rendimiento y la seguridad. ¿No usas CloudFlare? Pues te lo recomiendo absolutamente.

https-12 Cómo convertir tu WordPress a HTTPS - La guía definitiva
Desactiva por si acaso la opción HTTPS del plugin CloudFlare de WordPress

Ten en cuenta que la versión gratuita admite la configuración SSL, por lo que, cuando tengas migrado tu sito a HTTPS podrás activar esta opción en CloudFlare (entonces, podrás desactivar y borrar el plugin de WordPress CloudFlare porque con la opción SSL en CloudFlare ya no lo necesitarás).

A continuación, desconecta tu blog de CloudFlare desactivando esta opción, entrando en CloudFlare o desde el panel de SiteGround (Hosting > Información y configuración > CDN CloudFlare > botón «Administrar»).

[Tweet «Me gusta este post con los pasos para pasar a HTTPS»]

Si tu blog está en SiteGround, activa SSL dentro del plugin SG Optimizer (antes SG SuperCacher) y no te preocupes de más: ¡SALTA DIRECTAMENTE AL PASO 6!

2. Instala el certificado del protocolo HTTPS con Let’s Encrypt

https-3 Cómo convertir tu WordPress a HTTPS - La guía definitiva
Elige el dominio en el quieres instalar el certificado de autoría.

Muy pocos proveedores de hosting proporcionan Let’s Encrypt para instalar el certificado del protocolo HTTPS con un clic, lo que supone cero esfuerzo. Uno de ellos es SiteGround.

En caso de carecer de esa función tan útil, mírate esta documentación: Guía de usuario de Let´s Encrypt.

Para instalar el certificado de autoría de Let’s Encrypt, entra en CPanel, busca el icono de Let’s Encrypt dentro del apartado de Seguridad y haz clic en él. Eso abrirá la página correspondiente a Let’s Encrypt. Elige el dominio donde quieres instalar HTTPS y haz clic en «Instalar».

Aunque la fecha de fin de la validez del certificado, que verás tras la instalación, indica tres meses, al parecer la renovación es automática. De todas formas, recuerda comprobarlo.

Si estás alojado en SiteGround, es probable que ya tengas instalado el SSL de forma gratuita, sin hacer nada.

3. Instala el plugin Really Simple SSL

https-4 Cómo convertir tu WordPress a HTTPS - La guía definitiva
El plugin Really Simple SSL permite configurar tu sitio de WordPress automáticamente.

Para migrar tu blog de WordPress a HTTPS, es preciso redirigir todas las peticiones a URLs de tu blog con el protocolo HTTP a las nuevas con HTTPS.

En ese sentido, el plugin Really Simple SSL realiza tres configuraciones en tu blog de WordPress:

  • Modificación del archivo wp-config.php para forzar el acceso HTTPS al login y panel de administración.
  • Modificación del arhivo .htaccess para implementar las redirecciones adecuadas. Cuando se teclee la URL del blog con HTTP se redirigirá a la URL con HTTPS.
  • Modificación de las URLS de la dirección WordPress y del sitio: de HTTP a HTTPS.

Instálalo, actívalo y ajústalo de la siguiente forma (tendrás que entrar otra vez en el panel de administración de WordPress):

https-5 Cómo convertir tu WordPress a HTTPS - La guía definitiva
Sobre todo NO activar la casilla «Turn HTTP Strict Transport Security on».

Entra en la configuración del plugin y deja solo activada la casilla «Auto replace mixed content».

https-6 Cómo convertir tu WordPress a HTTPS - La guía definitiva
¡Atento a los avisos que se emitan tras la instalación del plugin o si cambias los parámetros en la configuración!

Fíjate en la parte superior del panel de administración de WordPress cuando finalice la instalación del plugin o si llevas a cabo algún cambio en su configuración. Ahí se muestran las alarmas con posibles errores.

Por ejemplo, si usas el plugin SEO by Yoast (¿no lo usas?: pues es otro de los plugins esenciales que deberías añadir a tu kit), el plugin Really Simple SSL te advertirá de posibles incompatibilidades y dónde debes actuar para corregirlas.

La versión de pago de este plugin añade la posibilidad de escanear todo el contenido mixto, con funciones para corregir los errores. Por contenido mixto nos referimos a aquellas referencias a «HTTP» que exista en elementos externos (CSS, JavaScript, etc.).

4. Cambia todas las URLs dentro de la base de datos de tu blog

Aunque todas las peticiones a «http» que lleguen a tu blog van a ser redirigidas a «https» por obra y gracia del plugin «Really Simple SSL»; es conveniente que detectes todas las referencias a «http» dentro de las tablas de las base de datos de WordPress y las cambies al correspondiente «https».

La última versión de «Really Simple SSL» realiza esta operación automáticamente.

Pero, por si acaso, esto puedes hacerlo también automáticamente con la aplicación Database search and replace script in php.

Descarga el archivo zip, descomprímelo y sube la carpeta resultante a la raíz de la instalación de tu WordPress.

Accede, desde el navegador a «https://loquesea.com/Search-Replace-DB», y reemplaza las URLs con «http» a URLs con «https». Por ejemplo, sustituye «http://loquesea.com» por «https://loquesea.com». Asegúrate de poseer un backup primero, antes de cualquier cambio, y haz clic en el botón «DRY RUN» para ver qué URLs con «http» existen dentro de las tablas, pero sin realizar los cambios. Cuando estés seguro del cambio, haz clic en el botón «LIVE RUN».

5. Detecta y resuelve otro contenido inseguro dentro del blog

A la hora de convertir tu blog de WordPress a HTTPS, además de las URLs con «http» que puedan existir en las tablas de la base de datos de WordPress (posts, etc.), puede haber también contenido inseguro dentro de los archivos js, CSS, etc.

La mejor solución para detectar y resolver este problema es instalar la versión PRO del plugin Really Simple SSL (25 dólares para una licencia de un sitio o 60 dólares para cinco sitios), que te hace un escaneo completo de todos los archivos incluidos en el blog.

Otro plugin gratuito que puedes ensayar es SSL Insecure Content Fixer.

Pero también puedes llevar a cabo esa labor manualmente. En el siguiente artículo se especifica cómo: How to track down mixed content or insecure content.

6. Desactiva la opción de SSL en el plugin iThemes Security

https-8 Cómo convertir tu WordPress a HTTPS - La guía definitiva
Para evitar conflictos con el certificado de Let’s Encrypt, desactiva la opción SSL del plugin iThemes Security

Otro de tus plugins esenciales debe ser iThemes Security, con el que cubrirás todos los aspectos de seguridad relacionados con tu blog.

Pero dicho plugin de seguridad posee una opción de SSL que puede ser incompatible con el certificado y la configuración realizada por Let’s Encrypt y Really Simple SSL. Así que te aconsejo que desactives la opción SSL dentro del apartado «Secure Socket Layers (SSL)» del plugin iThemes Security.

Reinícia iThems Security (desactiva y activa) para asegurar que arranca en debidas condiciones.

Si usas Wordfence, el otro plugin de seguridad recomendable, entonces no tienes que hacer nada.

7. Borra caché y cookies de tu navegador

Antes de probar que tu blog funciona ahora con HTTPS, borra todo el historial de tu navegador (sobre todo caché y cookies).

Si usas las opciones de memoria caché en SiteGround o tienes instalado algún plugin de caché, limpia por si acaso.

8. Prueba que tu blog es accesible mediante HTTPS y que se redirecciona correctamente

https-7 Cómo convertir tu WordPress a HTTPS - La guía definitiva
¡Ahora tu sitio es seguro!

Si has pasado todos los niveles anteriores, es hora de disfrutar de tu acceso seguro por HTTPS a tu blog.

Comprueba (ver imagen) que, ahora, tanto si tecleas «http://» como si quieres entrar con «https://», el navegador refleja un candado (en Firefox) a la izquierda de la barra de direcciones. Y si haces clic en él verás el mensaje «conexión segura».

9. Cambia tu archivo robots.txt

Pero aún hay que configurar algunas cosas más en tu migración de WordPress a HTTPS.

Como sabes, el archivo robots.txt debe llevar una instrucción que indique a los buscadores la ruta en la que se encuentra el archivo sitemap.xml. Cambia «http» por «https».

¿Robots.txt? ¿Sitemap.xml? Aprende para qué sirven estos fichero y a configurar el SEO para WordPress leyendo mi ebook que ahora puedes descargar libremente.

10. Da de alta las propiedades correspondientes a las URL con «https» en Google Search Console

Para terminar de configurar el SEO, en el contexto del paso de WordPress a HTTPS en tu blog, debes acudir a la herramienta de Google Search Console (antes Webmaster Tools) y definir dos nuevas propiedades con «https»; una para la URL con «wwww» y otra sin «www». Si ya tenías dadas de alta las propiedades con «http», la verificación será inmediata, sin más que hacer clic.

Para que sea más rápido el que Google reconozca e indexe el sitio con «https», puedes ejecutar un fetch and crawl.

Para ello, escoge una propiedad primero, y luego haz clic en el botón «Obtener» y si el estado es completado, entonces haz clic en el botón «Enviar al índice». Finalmente, haz clic en la opción «Seguir esta URL y sus enlaces directos».

Aprovecha y comprueba también que el dominio preferido que asignas a las dos nuevas propiedades, coincide con el que tenías ya para las propiedades con «HTTP» (rueda dentada > configuración del sitio).

Para las nuevas propiedades, habilita también los datos de Search Console en Google Analytics. Al asociar una propiedad web de Google Analytics con un sitio de Search Console, podrás consultar los datos de Search Console en los informes de Google Analytics y vincular Search Console directamente a los informes asociados de Google Analytics (rueda dentada > Propiedad de Google Analytics).

Y, finalmente, ve a «Tráfico de búsqueda > Segmentación internacional» y comprueba en la pestaña «País» que el desplegable tiene el país correcto.

11. Modifica la propiedad de Google Analytics

https-9 Cómo convertir tu WordPress a HTTPS - La guía definitiva
El protocolo en la propiedad de Google Analytics debe ser también HTTPS

Por último, debes entrar en Google Analytics y cambiar el protocolo HTTP por HTTPS de la propiedad.

Dirígete a «Administrador > Propiedad > Configuración de la propiedad» y elige «HTTPS» en el desplegable del apartado «URL predeterminada».

12. Arranca CloudFlare

Si estás usando CloudFlare, vuelve a CloudFlare y arráncalo otra vez.

Sobre CloudFlare, te recuerdo mi tutorial: Cómo mejorar la velocidad y seguridad de tu blog. Y en el siguiente post puedes descargar una guía rápida de CloudFlare en PDF: Las mejores herramientas para tu blog.

13. Otras actuaciones en el paso de WordPress a HTTPS

Habrá una serie de actuaciones que debes llevar también a cabo, una vez hayas convertido tu blog de WordPress a HTTPS.

Revisa lo siguiente:

  • Links entrantes. Habrá sitios que te enlazan con «http». Puedes pedirles que cambien el código del link o puedes enviar un archivo Disavow a Google con el nuevo perfil en Search Console. Entra en la herramienta de Disavow y envia un archivo txt con los enlaces que desautorizas.
  • Cuidado si tienes campañas de AdWords, Bing Ads, FB Ads, etc.), tendrías que cambiar también las URLs.
  • Actualiza los links a tu sitio en redes sociales (Facebook, Twitter, Google+, LinkedIn, Instagram, etc.).
  • Migra los contadores sociales. Aquí se explica una solución: How to Synchronize Social Media Shares, Counts, and Comments Across HTTP and HTTPS. Otra solución es emplear el plugin Social Warfare que sincroniza automáticamente los contadores ante cualquier cambio de URL en los posts.
En Google se publicó este interesante FAQ sobre el cambio a HTTPS: Planning on moving to HTTPS? Here are 13 FAQs!.

Conclusiones del paso de WordPress a HTTPS

https-10 Cómo convertir tu WordPress a HTTPS - La guía definitiva
Comprueba con este test que el acceso HTTPS obtiene la máxima calificación

Cambiar el acceso de tu blog de HTTP a HTTPS es muy rápido y sencillo con Let’s Encrypt, como hemos visto en este post. En SiteGround es súper fácil porque lo puedes hacer todo con un clic.

Solamente tienes que tener cuidado y revisar bien tus plugins, sobre todo SEO by Yoast y iThemes Security.

En teoría, todo debe ir bien si cumples metódicamente todos los pasos que te he propuesto.

Si algo falla, en la puesta en marcha y el paso de WordPress a HTTPS, elimina Let’s Encrypt en este orden:

  1. Desactiva el plugin Really Simple SSL o desactiva SSL en el plugin SG Optimizer si tu hosting es SiteGround.
  2. Verifica que todas las URL’s del blog (permalinks, ajustes generales, menús, etc.) vuelven a estar con «HTTP»
  3. Borra la cache de tu navegador

Y no hagas nada en tu migración de WordPress a HTTPS sin asegurarte de que posees un backup de tu blog.

Como siempre, me gustaría escuchar tus experiencias relacionadas con lo que se explica en este artículo. Y si tienes dudas o preguntas, escríbelas en los comentarios.

¿Estás buscando hosting?
SiteGround es el hosting de Blogpocket ¡pruébalo!:SITEGROUND-EL-HOSTING-QUE-ME-GUSTA Cómo convertir tu WordPress a HTTPS - La guía definitiva
Responder en Mastodon (requiere usuario en esa plataforma)

Puedes usar tu cuenta de Mastodon para responder a este post de acambronero

Copia y pega esta URL (https://www.blogpocket.com/?p=38412) en el campo de búsqueda de la interfaz web de tu servidor Mastodon.

Icono de Mastodon

14 respuestas a «Cómo convertir tu WordPress a HTTPS – La guía definitiva»

  1. Hola antonio gran articulo , una pregunta una vez que el plugin really simple ssl haga las 3 configuraciones puedo desactivarlo y borrarlo?

    1. Hola Daniel. Yo no lo desactivaría, por si acaso. Un saludo 🙂

  2. Sí señor, la mejor guía que he encontrado hasta el momento.
    Muy bien explicado y sin dejarte nada. Muchas gracias por toda la info, lo he seguido paso a paso y ya estoy tranquilo con mi https.
    Un abrazo 😉

    1. Muchas gracias a ti por el feedback.Me alegro mucho de que te haya sido de utilidad. Un saludo :))

  3. Ortega

    Hola Antonio, enhorabuena por el artículo es muy completo. Tengo una duda, mi proveedor de hosting tiene la opción de instalar Let’s encrypt desde Cpanel, así que acabo de hacerlo ¿Esto significaría que puedo saltar al paso 6 o debo instalar los plugins y cambiar todos los enlaces a https igualmente? Y por otro lado, si finalmente no consigo pasar el blog a https ¿Debería desinstalar Let’s encrypt? Gracias de antemano!

    1. Hola Ortega. Me temo que después de instalar Let’s Encrypt desde cPanel debes realizar todos los pasos. Con la mera instalación del certificado no se realizan ni las redirecciones necesarias ni la purga de contenido inseguro. Lo bueno de tener el hosting en SiteGround es que un clic tienes todo automáticamente. Gracias por el comentario y espero que todo vaya bien. Saludos :))

  4. Hola Antonio!

    Muchas gracias por la guía. Habiendo instalado otro certificado diferente a Let’s Encrypt que me ofrecía mi hosting de manera gratuita, he seguido estos pasos con Really Simple SSL, sin hacer un update de links en la BD y tengo la web funcionando ya bajo https. También he realizado las modificaciones pertinentes básicas en Google Search Console y en Google Analytics. Espero que no haya problemas y que no afecte al posicionamiento de la web.

    Ahora bien, me surge una duda con las redirecciones generales y con el update de links internos (que me he saltado), ya que el plugin Really Simple SSL ha cambiado ligeramente desde la escritura de este post.

    De hecho, con las opciones que trae chequeadas automáticamente ahora (Versión 3.0.5), el plugin ya no escribe en el .htaccess (lo he mirado y NO se ha modificado este archivo), sino que realiza una «redirección 301 interna de WordPress» (¿?). El caso es que no sé si es el mejor método, pero desde luego funciona, y todas las peticiones y URLs, incluso las internas (a otros posts, a imágenes, etc.), se cambian dinámicamente, «al vuelo». Es curioso porque vas a editar un post antiguo, que tiene links internos con http, pero luego, cuando se sirve la página, apunta a https. ¿Recomiendas cambiar todas estas URLs internas con un script/plugin tipo ‘search & replace’? ¿Y recomiendas hacer también la redirección general a nivel de .htaccess? Según he leído, parece que han decidido no tocar por defecto el .htaccess porque en algunos casos se podían generar bucles de redirección infinitos. No sé, pensaba que la migración había ido como la seda, pero me he puesto a leer sobre estas opciones e historias, y estoy hecho un lío ahora mismo :-S.

    Cualquier ayuda y orientación será más que bienvenida. Muchas gracias de nuevo por esta magnífica guía.

    Saludos!

    1. Hola Lonifasiko, en principio está bien como lo has hecho. Es cierto que el post necesita una actualización. Vigila en Search Console que no hay ningún error, cambia en todos los sitios externos donde tengas http por https (Twitter, Facebook, etc.) y, como digo, en principio no debes tener ningún problema. Un saludo 🙂

  5. Hola muy bueno el tutorial, lo he activado en 2 minutos, Gracias!!

    1. Hola Silvio, gracias por el feedback :)) Un saludo

  6. Hola Antonio. Excelente Post. Seguí los pasos, exceptuando la opción de SiteGround ya que utilizo otro hosting, pero también tiene la opción de Let’s Encrypt. Al final mi web tenía su candado. El único detalle fue que, cuando probé la herramienta que recomiendas para realizar un test en ssllabs.com/ssltest y nunca obtuve una «A», porque me dice que mi TLS es 1.1 a pesar que en la prueba que realice en Geekflare Tools gf.dev/toolbox me aparece que mi TLS es 1.3. Solo encontré ese detalle. De resto todo excelente. Gracias por compartir

    1. Gracias por el comentario José Luis. Pon atención también al contenido mixto que no debe existir en tu web. Saludo 🙂

      1. Hola de nuevo. Revisé lo del contenido mixto con esta herramienta https://www.whynopadlock.com/ y me aparecía que no tenía, pero igualmente me decía que que estaba usando TLS 1.1.

        Luego de revisar me di cuenta que el problema estaba en Cloudflare, que tenía activado como Versión mínima de TLS la 1.0 (ni siquiera la 1.1), primero cambié a solo 1.3 y me produjo un error, así que la deje en 1.2 y obtuve mi A. Gracias por responder y compartir. Esto ayuda que nuestros sitios sean más seguros.

        1. Genial José Luis. Muchas gracias a ti por darnos esas buenas noticias! 🙂 Saludos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos Ver más

  • Responsable: Antonio Cambronero.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento: No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a GreenGeeks que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Ir al contenido