Reforzar la seguridad de una página web mediante un certificado SSL es importante tanto para usuarios finales como para administradores técnicos. Sin embargo, cuando hablamos de instalar estos certificados en una página web hecha en WordPress, el proceso puede no resultar tan fácil e intuitivo como cuando lo hacemos en otros gestores de contenido.
En este artículo, explicamos qué es un SSL exactamente y cómo configurarlo fácilmente en WordPress.
¿Qué aporta un certificado SSL a una página web?
Los Certificados SSL mejoran la seguridad cuanto los internautas introducen datos en nuestra página web (formularios, datos de compra…), refuerzan la imagen del servicio online e influyen en el posicionamiento web. Además, desde hace relativamente poco, muchos navegadores muestran avisos de seguridad cuando visitamos páginas web sin SSL y cuando los usuarios los vemos, tendemos a desconfiar de las páginas y podemos dejar de visitarlas, por lo que puede influir en el tráfico de un site.
Cuando instalamos un SSL en una página web, verificamos la legitimidad de un sitio web de distintos modos. En primer lugar, lo hacemos activando el protocolo de encriptación (Secure Sockets Layer) en un dominio y cualquier comunicación que realicemos se realizará de forma codificada. Sin afectar a la navegación, el usuario reconoce esta medida de seguridad muy fácilmente, ya la dirección web pasa a ser “https:” en vez de “http:”.
A partir de esta funcionalidad común, existen Certificados SSL con diferentes características: desde la verificación de la autenticidad de los subdominios y la propia organización propietaria de una página web pasando por cuantiosos seguros de cobertura contra el fraude. Generalmente, son expedidos por reconocidas entidades certificadoras, como Symantec, Verisign o Thawte, y comercializados por las empresas de servicios de Internet, como Arsys, que ofrecen el soporte técnico y se encargan de los trámites que pueden requerir con la entidad certificadora. Su coste es reducido, a partir de unos 39 euros al año. También es posible encontrar Certificados SSL básicos incluidos de forma gratuita en el hosting, como sucede en los planes Hosting Ilimitado y Hosting WP Ilimitado de Arsys.
En algunas plataformas, como Joomla! o PrestaShop, la instalación de un Certificado SSL es relativamente sencilla desde el Panel de Control del hosting o la aplicación, aunque generalmente conviene revisar el archivo de configuración .htaccess para que las páginas resuelvan siempre en “https:”.
WordPress y SSL
Entre los gestores de contenidos, WordPress ocupa una posición predominante en el mercado. Hasta tal punto que se calcula que WordPress se utiliza en el 28% de las páginas web que hay en todo el mundo, según W3techs.com. Aunque nació como plataforma de blogging, su versatilidad y su activa comunidad han conseguido que se utilice en comercio electrónico, intranets… Entornos donde un SSL resulta casi imprescindible.
Sin embargo, debido a su origen como gestor de blogs, la integración entre SSL y WordPress puede no resultar tan fácil como en otras plataformas. Aun así, el procedimiento no es muy complejo, y te explicamos cómo hacerlo en cuatro sencillos pasos:
- Activación. Una vez adquirido el certificado SSL, el primer paso es activarlo en el Panel de Control del hosting en el que tengamos alojada la página y seleccionar el dominio o subdominio sobre el que se instalará.
- Configuración en WordPress. Es necesario acceder como Administrador al panel de WordPress y en la sección Ajustes > Generales, modificar los campos Dirección de WordPress (URL) y Dirección del sitio (URL), cambiando “http://” por “https://”
- Modificar el archivo wp-config.php. Este archivo incluye los principales parámetros de configuración y lo encontraremos en el directorio donde hemos instalado WordPress. Por defecto, suele ser \wordpress\. Una vez abierto el archivo wp-config.php, añadimos al final del código del archivo estas dos líneas, que nos permitirán que tanto la administración como la conexión a las bases de datos de WordPress se realicen bajo SSL:
define(‘FORCE_SSL_LOGIN’, true);
define(‘FORCE_SSL_ADMIN’, true);
- Modificar el archivo .htaccess. Ahora sólo nos queda que los usuarios de nuestra web utilicen siempre el protocolo “https” siempre que acceden a ella. Es decir, una redirección a la página segura.
Lo haremos modificando el archivo .htaccess que afecta a la configuración del servidor web. Es un archivo oculto que está ubicado en la raíz de nuestro hosting, por lo que tendremos que habilitar la opción de que nos permite ver todos los archivos. Una vez abierto el .htaccess con el editor, añadimos estas dos líneas de código fuera de los comentarios # Begin WordPress y # END WordPress, que marcan el inicio y el final de los parámetros del servidor para WordPress:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://[esteesmidominio].com/$1 [R=301,L,NE]
Los archivos wp-config.php y htaccess tenemos que bajarlos por FTP para poder modificarlos, algo que podemos hacer con cualquier editor de HTML o con un editor de texto, pero siempre tendremos que mantener el mismo nombre, formato plano y subirlo a la misma carpeta en la que estaba para que funcione correctamente. Y no se nos puede olvidar que son archivos imprescindibles para que nuestra página funciones correctamente, así que ¡siempre es recomendable guardar una copia de seguridad de este archivo antes de editarlo!
Plugins para facilitar la instalación de SSL en WordPress
Si no queremos modificar los archivos wp-config.php y .htaccess, podemos utilizar algunos plugins de WordPress que lo harán por nosotros, como veremos a continuación.
Igualmente, el primer paso es activar el certificado SSL en el Panel de Control del hosting en el que tengamos alojada la página y seleccionar el dominio o subdominio sobre el que se instalará.
Ya entre los plugins, encontraremos diferentes opciones, algunas de pago y otras gratuitas, dependiendo de las funcionalidades incluidas. Basta que busquemos SSL en el buscador de plugins de WordPress (https://es.wordpress.org/plugins/)
Uno de los más utilizados es Really Simple SSL, que se puede descargar directamente y sin coste desde https://es.wordpress.org/plugins/really-simple-ssl/
