En este post te explicaré cómo convertir tu WordPress a HTTPS con Let’s Encrypt, un método con el que podrás hacerlo en apenas un clic, sin necesidad de aplicar técnicas complicadas.
La guía definitiva, paso a paso, para instalar un certificado SSL en tu blog y pasar tu WordPress a HTTPS
En primer lugar, vamos a ver qué significa eso de HTTPS y por qué es bueno que conviertas tu blog de WordPress a dicho protocolo.
Recuerda que con Blogpocket, el blogging es fácil 😉
¿Qué es el protocolo HTTPS
Según Wikipedia, Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de HTTP.
Es utilizado principalmente por entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales y/o contraseñas.
Pero yo tengo un simple blog, no soy una tienda ni nada por el estilo, ¿por qué necesito convertirlo a HTTPS?
¿Por qué deberías convertir tu WordPress a HTPTS?
Normalmente, hasta ahora, se accede a casi todos los blogs con HTTP porque esa es la opción que ofrecen por defecto la inmensa mayoría de los proveedores de alojamiento Web.
Sin embargo, desde hace dos años, Google considera el acceso mediante HTTPS como un factor de posicionamiento y cada vez va a tener más importancia que tu sitio sea accesible mediante HTTPS.
Por parte de SiteGround, el hosting en el que alojamos Blogpocket, se sugiere las razones de peso por las que cualquier sitio debe tener un certificado SSL:
- Google ha anunciado oficialmente que HTTPS será un factor para la clasificación de resultados de búsqueda.
- El uso del protocolo HTTP/2, que se traduce en relevantes aumentos de velocidad, es soportado por los navegadores sólo a través de la conexión cifrada.
- El navegador de Google Chrome comenzará poco a poco a indicar más sitios web no HTTPS como inseguros de forma más evidente.
- Matt Mullenweg, el fundador de WordPress ha anunciado que algunas de las nuevas características de WordPress lanzadas en 2017 estarán disponibles sólo para sitios que utilizan HTTPS (ve al minuto 31:00 para escucharlo).
Así que, con tantas entidades influyentes apoyando abiertamente esta tendencia, no hay forma de volver a http.
Vale, cuéntame cómo convertir tu WordPress a HTTPS
Vamos al grano.
Pero primero, ten en cuenta que el protocolo HTTPS y los certificados de autoría son incompatibles con algunas características de tu blog. Un caso es CloudFlare y te hablaré de ello a continuación.
Pero también debe tener cuidado con otras configuraciones. Aparte de las que se citan en los pasos que vienen más adelante, si usas Open Graph es posible que el botón de compartir en Facebook deje de funcionar, ya que la propiedad og:image no se admite para url’s con «https». En su lugar, debes emplear la propiedad «og:image:secure_url. Más info: Open graph / og image not working when using Facebook share. Algunos plugins, como SEO by Yoast usan «og:image» por lo que habrá que pensar en una alternativa si es que quieres que open graph funcione correctamente.
1. Pon en pausa CloudFlare
Lo primero antes de instalar el certificado SSL y pasar tu WordPress a HTTPS, es pausar la conexión a CloudFlare de tu blog, si es que utilizas ese CDN como mecanismo para optimizar el rendimiento y la seguridad. ¿No usas CloudFlare? Pues te lo recomiendo absolutamente.
Ten en cuenta que la versión gratuita admite la configuración SSL, por lo que, cuando tengas migrado tu sito a HTTPS podrás activar esta opción en CloudFlare (entonces, podrás desactivar y borrar el plugin de WordPress CloudFlare porque con la opción SSL en CloudFlare ya no lo necesitarás).
A continuación, desconecta tu blog de CloudFlare desactivando esta opción, entrando en CloudFlare o desde el panel de SiteGround (Hosting > Información y configuración > CDN CloudFlare > botón «Administrar»).
[Tweet «Me gusta este post con los pasos para pasar a HTTPS»]
Si tu blog está en SiteGround, activa SSL dentro del plugin SG Optimizer (antes SG SuperCacher) y no te preocupes de más: ¡SALTA DIRECTAMENTE AL PASO 6!
2. Instala el certificado del protocolo HTTPS con Let’s Encrypt
Muy pocos proveedores de hosting proporcionan Let’s Encrypt para instalar el certificado del protocolo HTTPS con un clic, lo que supone cero esfuerzo. Uno de ellos es SiteGround.
En caso de carecer de esa función tan útil, mírate esta documentación: Guía de usuario de Let´s Encrypt.
Para instalar el certificado de autoría de Let’s Encrypt, entra en CPanel, busca el icono de Let’s Encrypt dentro del apartado de Seguridad y haz clic en él. Eso abrirá la página correspondiente a Let’s Encrypt. Elige el dominio donde quieres instalar HTTPS y haz clic en «Instalar».
Aunque la fecha de fin de la validez del certificado, que verás tras la instalación, indica tres meses, al parecer la renovación es automática. De todas formas, recuerda comprobarlo.
3. Instala el plugin Really Simple SSL
Para migrar tu blog de WordPress a HTTPS, es preciso redirigir todas las peticiones a URLs de tu blog con el protocolo HTTP a las nuevas con HTTPS.
En ese sentido, el plugin Really Simple SSL realiza tres configuraciones en tu blog de WordPress:
- Modificación del archivo wp-config.php para forzar el acceso HTTPS al login y panel de administración.
- Modificación del arhivo .htaccess para implementar las redirecciones adecuadas. Cuando se teclee la URL del blog con HTTP se redirigirá a la URL con HTTPS.
- Modificación de las URLS de la dirección WordPress y del sitio: de HTTP a HTTPS.
Instálalo, actívalo y ajústalo de la siguiente forma (tendrás que entrar otra vez en el panel de administración de WordPress):
Entra en la configuración del plugin y deja solo activada la casilla «Auto replace mixed content».
Fíjate en la parte superior del panel de administración de WordPress cuando finalice la instalación del plugin o si llevas a cabo algún cambio en su configuración. Ahí se muestran las alarmas con posibles errores.
Por ejemplo, si usas el plugin SEO by Yoast (¿no lo usas?: pues es otro de los plugins esenciales que deberías añadir a tu kit), el plugin Really Simple SSL te advertirá de posibles incompatibilidades y dónde debes actuar para corregirlas.
4. Cambia todas las URLs dentro de la base de datos de tu blog
Aunque todas las peticiones a «http» que lleguen a tu blog van a ser redirigidas a «https» por obra y gracia del plugin «Really Simple SSL»; es conveniente que detectes todas las referencias a «http» dentro de las tablas de las base de datos de WordPress y las cambies al correspondiente «https».
La última versión de «Really Simple SSL» realiza esta operación automáticamente.
Pero, por si acaso, esto puedes hacerlo también automáticamente con la aplicación Database search and replace script in php.
Descarga el archivo zip, descomprímelo y sube la carpeta resultante a la raíz de la instalación de tu WordPress.
Accede, desde el navegador a «https://loquesea.com/Search-Replace-DB», y reemplaza las URLs con «http» a URLs con «https». Por ejemplo, sustituye «http://loquesea.com» por «https://loquesea.com». Asegúrate de poseer un backup primero, antes de cualquier cambio, y haz clic en el botón «DRY RUN» para ver qué URLs con «http» existen dentro de las tablas, pero sin realizar los cambios. Cuando estés seguro del cambio, haz clic en el botón «LIVE RUN».
5. Detecta y resuelve otro contenido inseguro dentro del blog
A la hora de convertir tu blog de WordPress a HTTPS, además de las URLs con «http» que puedan existir en las tablas de la base de datos de WordPress (posts, etc.), puede haber también contenido inseguro dentro de los archivos js, CSS, etc.
La mejor solución para detectar y resolver este problema es instalar la versión PRO del plugin Really Simple SSL (25 dólares para una licencia de un sitio o 60 dólares para cinco sitios), que te hace un escaneo completo de todos los archivos incluidos en el blog.
Otro plugin gratuito que puedes ensayar es SSL Insecure Content Fixer.
Pero también puedes llevar a cabo esa labor manualmente. En el siguiente artículo se especifica cómo: How to track down mixed content or insecure content.
6. Desactiva la opción de SSL en el plugin iThemes Security
Otro de tus plugins esenciales debe ser iThemes Security, con el que cubrirás todos los aspectos de seguridad relacionados con tu blog.
Pero dicho plugin de seguridad posee una opción de SSL que puede ser incompatible con el certificado y la configuración realizada por Let’s Encrypt y Really Simple SSL. Así que te aconsejo que desactives la opción SSL dentro del apartado «Secure Socket Layers (SSL)» del plugin iThemes Security.
Reinícia iThems Security (desactiva y activa) para asegurar que arranca en debidas condiciones.
Si usas Wordfence, el otro plugin de seguridad recomendable, entonces no tienes que hacer nada.
7. Borra caché y cookies de tu navegador
Antes de probar que tu blog funciona ahora con HTTPS, borra todo el historial de tu navegador (sobre todo caché y cookies).
Si usas las opciones de memoria caché en SiteGround o tienes instalado algún plugin de caché, limpia por si acaso.
8. Prueba que tu blog es accesible mediante HTTPS y que se redirecciona correctamente
Si has pasado todos los niveles anteriores, es hora de disfrutar de tu acceso seguro por HTTPS a tu blog.
Comprueba (ver imagen) que, ahora, tanto si tecleas «http://» como si quieres entrar con «https://», el navegador refleja un candado (en Firefox) a la izquierda de la barra de direcciones. Y si haces clic en él verás el mensaje «conexión segura».
9. Cambia tu archivo robots.txt
Pero aún hay que configurar algunas cosas más en tu migración de WordPress a HTTPS.
Como sabes, el archivo robots.txt debe llevar una instrucción que indique a los buscadores la ruta en la que se encuentra el archivo sitemap.xml. Cambia «http» por «https».
10. Da de alta las propiedades correspondientes a las URL con «https» en Google Search Console
Para terminar de configurar el SEO, en el contexto del paso de WordPress a HTTPS en tu blog, debes acudir a la herramienta de Google Search Console (antes Webmaster Tools) y definir dos nuevas propiedades con «https»; una para la URL con «wwww» y otra sin «www». Si ya tenías dadas de alta las propiedades con «http», la verificación será inmediata, sin más que hacer clic.
Para que sea más rápido el que Google reconozca e indexe el sitio con «https», puedes ejecutar un fetch and crawl.
Para ello, escoge una propiedad primero, y luego haz clic en el botón «Obtener» y si el estado es completado, entonces haz clic en el botón «Enviar al índice». Finalmente, haz clic en la opción «Seguir esta URL y sus enlaces directos».
Aprovecha y comprueba también que el dominio preferido que asignas a las dos nuevas propiedades, coincide con el que tenías ya para las propiedades con «HTTP» (rueda dentada > configuración del sitio).
Para las nuevas propiedades, habilita también los datos de Search Console en Google Analytics. Al asociar una propiedad web de Google Analytics con un sitio de Search Console, podrás consultar los datos de Search Console en los informes de Google Analytics y vincular Search Console directamente a los informes asociados de Google Analytics (rueda dentada > Propiedad de Google Analytics).
Y, finalmente, ve a «Tráfico de búsqueda > Segmentación internacional» y comprueba en la pestaña «País» que el desplegable tiene el país correcto.
11. Modifica la propiedad de Google Analytics
Por último, debes entrar en Google Analytics y cambiar el protocolo HTTP por HTTPS de la propiedad.
Dirígete a «Administrador > Propiedad > Configuración de la propiedad» y elige «HTTPS» en el desplegable del apartado «URL predeterminada».
12. Arranca CloudFlare
Si estás usando CloudFlare, vuelve a CloudFlare y arráncalo otra vez.
Sobre CloudFlare, te recuerdo mi tutorial: Cómo mejorar la velocidad y seguridad de tu blog. Y en el siguiente post puedes descargar una guía rápida de CloudFlare en PDF: Las mejores herramientas para tu blog.
13. Otras actuaciones en el paso de WordPress a HTTPS
Habrá una serie de actuaciones que debes llevar también a cabo, una vez hayas convertido tu blog de WordPress a HTTPS.
Revisa lo siguiente:
- Links entrantes. Habrá sitios que te enlazan con «http». Puedes pedirles que cambien el código del link o puedes enviar un archivo Disavow a Google con el nuevo perfil en Search Console. Entra en la herramienta de Disavow y envia un archivo txt con los enlaces que desautorizas.
- Cuidado si tienes campañas de AdWords, Bing Ads, FB Ads, etc.), tendrías que cambiar también las URLs.
- Actualiza los links a tu sitio en redes sociales (Facebook, Twitter, Google+, LinkedIn, Instagram, etc.).
- Migra los contadores sociales. Aquí se explica una solución: How to Synchronize Social Media Shares, Counts, and Comments Across HTTP and HTTPS. Otra solución es emplear el plugin Social Warfare que sincroniza automáticamente los contadores ante cualquier cambio de URL en los posts.
Conclusiones del paso de WordPress a HTTPS
Cambiar el acceso de tu blog de HTTP a HTTPS es muy rápido y sencillo con Let’s Encrypt, como hemos visto en este post. En SiteGround es súper fácil porque lo puedes hacer todo con un clic.
Solamente tienes que tener cuidado y revisar bien tus plugins, sobre todo SEO by Yoast y iThemes Security.
En teoría, todo debe ir bien si cumples metódicamente todos los pasos que te he propuesto.
Si algo falla, en la puesta en marcha y el paso de WordPress a HTTPS, elimina Let’s Encrypt en este orden:
- Desactiva el plugin Really Simple SSL o desactiva SSL en el plugin SG Optimizer si tu hosting es SiteGround.
- Verifica que todas las URL’s del blog (permalinks, ajustes generales, menús, etc.) vuelven a estar con «HTTP»
- Borra la cache de tu navegador
Y no hagas nada en tu migración de WordPress a HTTPS sin asegurarte de que posees un backup de tu blog.
Como siempre, me gustaría escuchar tus experiencias relacionadas con lo que se explica en este artículo. Y si tienes dudas o preguntas, escríbelas en los comentarios.
Deja una respuesta