Cómo instalar un certificado SSL gratis en WordPress

Cuando hablamos de seguridad en Internet, uno de los conceptos clave son los certificados SSL.

cabecera instalar certificado ssl wordpress

Imagen de Shutterstock - © TACStock1

De hecho, donde te vas a encontrar siempre con certificados SSL es en sitios especialmente sensibles a la seguridad: la banca online, tiendas online, sedes electrónicas de la Administración Pública, etc. Los puedes reconocer por al candadito que sale en la dirección web, junto a una conexión HTTPS en vez de una conexión HHTP normal.

Estos certificados han sido algo prácticamente 100% ajeno al mundo de los blogs y WordPress. Sin embargo, si has estado atento, habrás visto que esto está cambiando radicalmente en los últimos meses.

Cada vez hay más blogs “normales” en los que podrás ver el candadito, y te aseguro que no es casualidad. Tú también deberías instalar un certificado SSL cuando antes en tu sitio porque hay razones de mucho peso para que lo hagas.

Además, por suerte y a diferencia de tiempos pasados, ahora lo puedes hacer 100% gratis y en 5 minutos.

En este post te explicaré cuáles son esas razones de peso y te guiaré paso a paso en la instalación de un certificado SSL gratuito.

¿Qué es un certificado SSL y para qué sirve?

Las siglas SSL significan (Secure Socket Layer) en inglés, un protocolo de seguridad en Internet que hace que sus datos viajen de manera cifrada y con ello segura entre el servidor y usuario web.

Hacer las transmisiones de la información seguras

El concepto clave aquí es el cifrado. “Cifrar” quiere decir transformar una información para hacerla ilegible, salvo para los dos extremos que se comunican, de modo que si alguien intercepta esa información, no le servirá de nada. Es algo que ya lo hacían los espartanos con sus medios cuando enviaban mensajes a las tropas en tiempos de guerra.

Traducido a los tiempos actuales y a WordPress concretamente quiere decir, por ejemplo, que cuando accedes a la pantalla de administración de WordPress para autenticarte con tu usuario y contraseña, si alguien “pincha” tu red (una red Wi-Fi insegura, por ejemplo), en principio puede ver tu usuario y contraseña ya que ambas cosas viajan tal cual entre tu ordenador y tu servidor.

Sin embargo, si tu sitio WordPress tuviese instalado un certificado SSL, nada más conectarte a tu web WordPress tu ordenador y el servidor se pondrán de acuerdo para cifrar esa información. Si un tercero vuelve a “pinchar” tu red en este escenario, solo vería información basura que no le serviría de nada.

Por eso, no verás ningún sitio serio que se precie y que maneje información sensible sin certificado SSL.

¿A que no has visto nunca un banco online sin el “candadito” en el navegador cuando accedes a la pantalla de acceso con usuario y contraseña?

Imagínate que pasaría si los usuarios y contraseñas de los clientes de la banca estuviesen expuestos a ser hackeados tal como lo describía un poco más arriba, la que se montaría…

Identificar a un sitio web como un sitio confiable

Una segunda función, mucho menos conocida, pero igualmente importante es que el certificado SSL hace del sitio un sitio mucho más confiable.

¿Por qué?

Porque un certificado SSL no se consigue así como así. Lo expide una autoridad de certificación y eso implica que el titular del certificado ha de acreditar su identidad ante ella, la autoridad sabe quién es realmente esa persona o esa empresa.

Por tanto, un sitio con un certificado ya no es un simple sitio anónimo más donde el usuario no puede trazar el origen, sino que a través del certificado (haciendo clic en el candado y explorando la información que muestra el certificado) podrá ver quién es el titular de ese sitio.

Dentro de esto hay diferentes niveles de información y garantías que no quiero detallar aquí porque se sale del ámbito de este post, quédate simplemente con que añade un plus importante de seguridad en este sentido.

6 Razones para usar un certificado SSL

Con lo anterior queda claro que un certificado SSL es algo bueno para tus lectores, pero ¿qué beneficios te aporta a ti?

1. Google te lo premiará, seguro

Empecemos por lo que posiblemente sea lo más importante para ti: los certificados SSL son una señal calidad y, por tanto, lógicamente gustan a Google.

Y efectivamente, si investigas un poco la red, podrás ver en posts como éste que efectivamente el uso de los certificados SSL mejora el ranking en Google de tu sitio.

Como siempre en el caso de Google y su algoritmo de búsqueda hay algo de especulación en esta afirmación, pero aparte de los indicios recopilados por los expertos en el tema, parece de por sí lógico y de sentido común que Google lo tenga en cuenta positivamente.

Pero es más, la idea es que a medio plazo todos los sitios usen conexiones seguras y HTTP/2 y, tal como se va viendo la implantación de estos certificados, esté ocurrirá más pronto que tarde. Sólo hay que ver la ola de sitios que han pasado a HTTPS en estos últimos meses, incluido el nuestro.

En ese momento, un sitio HTTP normal será un sitio tecnológicamente obsoleto e inseguro. Y eso también parece claro que será una señal negativa para Google que hará que gravites hacia abajo en los rankings de las búsquedas.

2. Tendrás un plus de confianza con tus lectores

Por otra parte, la gente ha aprendido que lo del candadito verde en el navegador es una cosa buena. Por tanto, es un factor subjetivo de confianza añadido, un factor que le sentará bien a tu sitio, como mínimo para la confiabilidad de tu marca.

3. Añades un grado importante de seguridad a tu sitio

Antes ya cité el ejemplo del login en WordPress con y sin certificado. Es un punto muy importante, tan sólo con este ejemplo, ya se justifica un certificado SSL. Pero, además, también estará protegida la confidencialidad de todas las demás interacciones con tu web como escritos a tu formulario de contacto y cosas similares.

4. Estarás preparado para el futuro: HTTP/2

Otro tema poco conocido es la nueva versión del protocolo, HTTP/2, y que mejora sustancialmente la versión actual, HTTP/1.1, entre otras cosas, en velocidad.

HTTP/2 ya está operativo en muchos hostings y soportado por todos los navegadores de primera fila, pero requiere el uso de certificados SSL.

Si necesitas un hosting para tu web o tu blog, ¡actúa!

Aviso: estas ofertas son válidas ahora, pueden vencer en unos pocos días.

5. Tardarás solo 5 minutos

Instalar un certificado SSL como el gratuito del que te voy a hablar aquí es un proceso de 5 minutos o incluso menos. Eso sí, lo es solamente si estás con un buen proveedor de hosting como Webempresa, por ejemplo, que dispone de herramientas de instalación sencillas.

6. Es gratis. ¿Por qué no hacerlo?

Hasta hace poco, disponer de un certificado SSL suponía desembolsar dinero cada año, según el tipo de certificado, podían superar los 100€ al año.

Pero esto cambió radicalmente con la aparición de Let’s Encrypt, una autoridad de certificación que puso en marcha el 12 de abril del 2016 y que proporciona certificados X.509 gratuitos para el cifrado de seguridad de nivel de transporte (TLS) a través de un proceso automatizado diseñado para eliminar el complejo proceso actual de creación manual, validación, firma, instalación y renovación de los certificados de sitios web seguros.

Let’s Encrypt pertenece a la Fundación Linux y distribuye sus certificados de manera completamente gratuita y eso, junto con la facilidad para automatizar la gestión de los mismos, ha facilitado que los proveedores de hosting (los buenos, claro…) pueden ofrecer certificados SSL gratis.

Esto quiere decir que en la práctica:

  • Su instalación es trivial, poco más que un clic de botón en el panel de control de tu hosting.
  • Se van renovando automáticamente, te olvidas de este tema.
  • No tienen coste para ti.

Por tanto, siendo algo claramente beneficioso y que no cuesta ningún esfuerzo, ¿qué razón hay para no hacerlo?

Ninguna, ¿no te parece?

Cómo instalar un certificado SSL gratis en X pasos

Veamos entonces cómo se instala un certificado SSL en la práctica.

Paso 1: Cerciórate de que tu hosting dispone de certificados gratuitos Let’s Encrypt

El primer paso es muy simple, cerciórate de que tu proveedor soporta este tipo de certificados.

Si no lo ves claro, dirígete simplemente al soporte. Ellos te lo tienen que decir y si no te lo aclaran como es debido ya tienes una buena razón para ir pensando en cambiar de hosting a medio plazo…

Paso 2: Activa el certificado en tu hosting

Si el proveedor ha hecho las cosas bien, dispondrás de una manera muy simple de activar el certificado, pudiendo diferenciar, además para qué dominios activarlo y para cuáles no.

El interfaz gráfico variará según el proveedor que uses, en el caso del proveedor de este blog, Webempresa, dentro de las herramientas hay un asistente muy simple que permite activar el certificado de un solo clic:

captura asistente certificados webempresa
El asistente de Webempresa para la instalación del certificado de Let’s Encrypt.

Paso 3: Prepara tu sitio

A continuación, toca ajustar tu sitio web.

1. Ajustes WordPress

Empezamos con WordPress mismo, aquí toca ajustar en Ajustes / Ajustes generales los parámetros que ves resaltados en la captura siguiente:

captura ajustes wordpress
Fíjate que ahora, las URLs del sitio tienen que empiezar por “https”.

2. Ajustes htaccess para redireccionamiento 301 HTTP => HTTPS

Como URLs, no es lo mismo una URL que empiece con “http” que una que comience por “https”. Por tanto, tenemos que cerciorarnos de que las URLs antiguas sean correctamente redireccionadas a las nuevas. Eso se hace con una redirección 301 que indica al navegador que la url ha cambiado de manera permanente y le indica cuál es la nueva dirección.

RewriteEngine On
RewriteCond %{ENV:HTTPS} !on
RewriteRule ^(.*)$ https://[tu dominio] /$1 [R=301,L,NE]

Esto se hace añadiendo al principio del todo al fichero htaccess que encontrarás en el direcotrio raíz de la instalación de tu sitio web las siguientes reglas:
¡Acuérdate de sustituir [tu dominio] con la dirección del dominio para el cual estás habilitando el certificado!

También conviene que en el fichero wp-config.php de WordPress que se encuentra en el directorio raíz de tu instalación de WordPress añadas estas dos líneas:

define('FORCE_SSL_LOGIN',true);
define('FORCE_SSL_ADMIN',true);

Y un consejo importante: cuando lo tengas hecho, aunque ya veas que funciona, pide al soporte de tu hosting que te revisen tu configuración por si las moscas, o pídelo incluso antes de hacer el cambio. Esto es un punto muy delicado de tu web para estar toqueteando a las bravas.

Y otro consejo más: existen también plugins de WordPress para gestionar este tipo de redirecciones, pero no te recomiendo usarlos. Cuantos menos plugins tengas instalados y activados, mejor, y esto es algo tan sencillo que no merece la pena dedicarle un plugin.

Pero, sobre todo, veto por una vía u otra, pero no instales un plugin y luego, demás, retoques el htaccess, ¡puedes armar un buen lío!

3. Cambiar URLs internas, ¡pero no sin copia de seguridad previa!

En teoría con esto ya estará todo bien, pero por “higiene” (para no depender de la redirección 301) conviene cambiar las URLs del contenido. Esto conviene, en particular, para evitar enlaces de imágenes http normales los cuales los navegadores interpretan como “contenido mezclado”, potencialmente, menos seguro.

Cuando sucede eso, Firefox, por ejemplo, muestra un candado con un signo de alerta como el que puedes ver en esta captura:

captura aviso navegador
Aviso de contenido mezclado.

Si bien no es un tema dramático, sí que es síntoma de no haber rematado las cosas del todo bien y, además, a algunos visitantes les puede provocar desconfianza.

Por suerte es bien fácil solucionarlo. Puedes hacer de dos maneras:

A continuación, te dejo un vídeo donde puedes ver cómo se usar el script de Interconnect/it.

No he encontrado un vídeo en español, así que éste viene en inglés. Pero no debería ser un gran problema: recuerda en la ruedecita de configuración del reproductor de YouTube puedes activar los subtítulos y, una vez activados, te da la opción de traducirlos al español:

En cualquier caso, uses la vía que uses, en ambos casos la idea es tan simple como sustituir las URLs a la versión http de tu dominio con la versión https, es decir, en el caso de este blog, por ejemplo:

Ahora bien, antes de que te pongas a ello, mucho ojo con estos puntos:

  • No hagas nada sin hacer hecho antes una copia de seguridad. No hace falta una copia de seguridad del sitio entero. Es suficiente con una copia de seguridad de la base de datos que es donde vamos a tocar y, además, muy rápida de hacer y restaurar, si fuese necesario.
  • Fíjate cómo hemos diferenciado entre el dominio con “www” y sin “www” ya que a la hora de buscar y reemplazar son cadenas diferentes. Ojo con esto.
  • Ojo también con no sustituir simplemente la cadena “http” por “https” ya que esto sustituiría todos los enlaces a todos los dominios y eso no es lo que quieres hacer. Generarías un montón de enlaces rotos en tu blog para dominios que no son https.

A continuación, te dejo el vídeo sobre cómo hacer una copia de seguridad:

Paso 4: Actualiza la Google Search Console

Nada más hacer el cambio, una de tus primeras prioridades tiene que ser el cerciorarte de que Google ve el sitio como lo debe ver, lo que se traduce en configurarlo correctamente en la Google Search Console, lo que era antes Google Webmaster Tools.

1. Añadir la versión https del sitio

En primer lugar, has de decir a Google que ahora tu sitio usa conexiones seguras https. Y aquí me he quedado algo sorprendido de la filosofía de cómo concibe Google que ha de hacerse esto: en vez de modificar la configuración existente de tus sitios indicando simplemente que las direcciones http pasan a https, Google te obliga a dar de alta una segunda versión del sitio.

Lo puedes ver en esta captura para el caso de este blog:

captura search console propiedades
Pasar a https significa que tienes que añadir la versión https de tu sitio, no cambiar la configuración del actual.

Es extraño, pero es así como funciona. Es decir, en términos de la Search Console has de añadir una nueva propiedad con el botón “Añadir una propiedad” exactamente igual que ya lo hiciste para la versión http, pero esta vez con la dirección https.

2. Enviar de nuevo el sitemap

La segunda cuestión es que conviene enviar el sitemap de tu sitio (mapa de urls de tu sitio), al igual que lo habrás hecho, con el sitio anterior. De esto modo te aseguras que las URLs estarán indexadas cuanto antes:

captura search console sitemap
No te olvides de enviar tu sitemap.

Si no dispones de un sitemap aún, puedes usar un plugin como Yoast SEO, por ejemplo, que te lo genera automáticamente. A partir de ahí, es tan simple como indicar en la casilla que se puede ver en la captura superior la URL del sitemap (que te la indicará Yoast SEO).

Et voilà! Con esto en principio estaría todo…

Paso 5: Adiós a los contadores sociales o no…

… si no fuera por un pequeñito temita para el cual te has preparar mentalmente: en principio, perderás tus contadores de los botones de redes sociales.

La razón es que la mayoría de las redes sociales diferencia entre http y https, es decir la misma URL en versión https, la interpretarán como una URL diferente.

Ya lo sé, es estúpido, pero así es L

Pero no te preocupes, te puedo recomendar varios trucos para esto:

  1. Desactivar los contadores sociales. Hay bastantes sitios que los tienen desactivadas, por tanto, no resultará tan extraño.
  2. Establecer un umbral mínimo. Muchos plugins permiten configurar un umbral a partir del cual se mostrarán los contadores. Por ejemplo, mínimo 10 “shares” para que se muestren. Así se evitan mostrar un contador en un 1 o 2 que queda fatal. Para eso mejor, no mostrar nada. Poco a poco se irán compartiendo de nuevo y si tienes un poco de tráfico en unos meses lucirás de nuevo contadores. Es la opción que, de momento, usa este sitio.
  3. Usar plugins especiales que son capaces de recuperarlos. Estos plugins usan el simple truco de consultar el número de shares tanto para http como https. Suelen ser plugins de pago como Social Warfare o Simple Share Buttons Plus. Seguramente cambiemos a uno de estos plugins en breve.

Conclusiones

Aunque al final, este tutorial se ha puesto en más de 2.500 palabras, migrar un sitio de http a https es un proceso muy sencillo, muy rápido y muy conveniente.

Por eso, no deberías tardar ni un minuto más en hacerlo 🙂

Así que manos a la obra y si tienes dudas de tipo general y de conceptos, plantéalas tranquilamente en los comentarios.

En el caso de problemas técnicos concretos durante el proceso, es necesario que contactes al soporte de tu hosting.

Ellos te tienen que ayudar, para eso estás pagando. Pero además, desde aquí, desde la distancia, sin poder ver “las tripas” de tu hosting, me es imposible diagnosticar un problema técnico, salvo los evidentes (en cuyo caso te los tendría que haber solucionado ya el soporte de tu hosting…).

Acerca del autor: Berto López

Soy autor y fundador de este blog, e Ingeniero en Informática de formación con amplia experiencia: he trabajado como empleado, empresario, incluso funcionario. Vamos, que he probado de todo 😄

De todo ello, lo que me llena de verdad, es el emprendimiento, combinado con la tecnología, algo que he podido retomar con mi proyecto de emprendimiento actual, al cual pertenece, entre otras, esta web.

He tenido mucho contacto profesional con Pymes y pequeños emprendedores y eso me ha llevado inevitablemente hacia WordPress como plataforma web ideal para estos usuarios.

Mi interés se centra en la variante instalable en un servidor, WordPress.org, por su infinito potencial a cambio de un coste casi nulo. Un antes y un después para los emprendedores.

En este blog quiero ayudar a sus usuarios, sobre todo, con los aspectos más técnicos de WordPress y el hosting para poder disfrutar a tope, sin miedos, de esta maravillosa plataforma de software libre y de código abierto :)

18 comentarios en «Cómo instalar un certificado SSL gratis en WordPress»

  1. Gracias por este fantástico post, ya he implementado el certificado ssl en la web que gestiono y dado de alta la nueva propiedad en la search console de google. Todo parecía estar bien pero Google me ha avisado de un montón de errores del servidor http de tipo 5xx. No entendí muy bien el paso de la base de datos y no quise arriesgarme, ¿a qué pueden deberse estos errores?

    Responder
    • Hola Mónica,

      Puede ser cualquier cosa, desde la distancia es imposible diagnosticarlo. Consulta con tu hosting, ello te deberían echar un cable, al menos, para empezar a tirar del hilo.

      ¡Un saludo!
      Berto

      Responder
  2. Olé. Increíble trabajo el tuyo. Te felicito por este post y por la información brindada. Sin lugar a dudas lo he puesto en practica en mi sitio web con total éxito.
    Ante cualquier problema que surja, a modo de recomendación, existe un plugin de WordPress llamado: “SSL insecure content fixed”
    Con este plugin se realiza una revisión de todos los archivos del sitio web para detectar la carga de contenido mixto. Éste puede solucionar muchos quebraderos de cabeza y ayuda mucho a conseguir que el sitio web cargue en su totalidad con el candado verde de “Conexión segura”.

    Gracias por tu trabajo.

    Responder
  3. Gracias por tu post Berto,

    Justo ayer me puse con el tema del certificado de seguridad en la web y veo que los pasos que dí son los adecuados.
    Además instalé la extensión “Redirect Path” para asegurar que las principales páginas de la web estaban bien y no se producía contenido duplicado:
    http://midominio.com/ hace redirección 301 a https://midominio.com/
    http://www.midominio.com/ hace redirección 301 a https://midominio.com/
    https://www.midominio.com/ hace redirección 301 a https://midominio.com/

    ¿Cuanto tiempo tarda aproximadamente Search Console en ofrecer datos tras subir el sitemap a la nueva propiedad con https?

    Responder
  4. Hola Berto, no soy especialista de WP así que he tenido que sufrir muchos calvarios para tratar de instalar SSL. Mi hosting es GoDaddy y cuando me mudé con ellos los certificados venían incluidos. he contratado varios “expertos: de WP y no me han logrado solucionar nada [me tumbaron el sitio varias veces]. Es más uno de ellos me dejó un código de redirección que no sé como removerlo. 🙁

    Por favor échale una mirada y dime qué debo hacer [si debo contratarte, es una opción].

    La pela es que es un portal diario de noticias y no puedo dare el lujo de estar fuera del aire 🙁

    Saludos cordiales desde Lima

    Responder
    • Hola José,

      Lamentablemente GoDaddy es una de las peores opciones en este momento por el feedback que me está llegando.

      Por tanto, me temo la solución de tu problema pasa sí o sí por cambiar de hosting.

      Si no te quieres meter tú, te puedo ofrecer un servicio de migración de hosting a hosting qe sale bastante económico, incluido el certificado SSL:

      https://www.ciudadano2cero.com/servicios/servicios-migracion/

      Opción “Migra a otro hosting”.

      Si estás interesado, por el formulario de solicitud que viene en esta URL, ¿ok?

      Un saludo,
      Berto

      Responder
  5. Hola Berto,

    ¡Enhorabuena por el tutorial!. Te contacté mediante correo electrónico para trasladarte una consulta en relación a los contadores sociales, que efectivamente van a cero con el cambio de http a https y la instalación del certificado de seguridad. Te solicitaba algo de luz sobre una posible solución para este tema y aprovecho para agradecer públicamente tu rápida respuesta, porque estoy seguro de que no te sobra el tiempo. Me remitías a este artículo y tengo que hacer un apunte importante sobre lo que comentas al final. En mi caso sí que tengo instalado el plugin de pago Simple Share Buttons Plus y lamento decir que no han solucionado de momento este problema. Espero que en próximas actualizaciones lo hagan, pero de momento no es así. Copio la respuesta del equipo de soporte del plugin cuando les trasladé la cuestión y por cierto me contestaron muy rápidamente al contrario de lo que he leído en algunos foros:
    “Hi Jaime,
    Thank you for reaching out.
    Unfortunately we do not have the option to migrate share counts from http to https as our share counts are tied to URLs. This is a feature we’re looking to implement in the future but for now it is not possible.”

    Un abrazo para vosotros y todos los lectores

    Responder
    • Hola Jaime,

      En Ciudadano 2.0 los he logrado recuperar, aquí no me he preocupado demasiado porque tampoco estaban muy altos.

      Pero ahora que lo dices quizás sea que allí tengo activada la opción (gratuita) de newsharecounts.com que recuperaba los contadores de Twitter cuando los suprimió y debe ser que es por eso que en Twitter, por ejemplo, sí se han recuperado. No me acordaba de esto.

      Luego hay otras redes sociales que los gestionan mejor, LinkedIn, por ejemplo, no los pierde con el cambio a https.

      En cualquier caso, mi recomendación sería que identifiques los 10, 20 posts/páginas más importantes de tu blog y hagas un trabajo concienzudo de moverlas de nuevo a mano por las redes sociales para recuperar un poco los contadores. Tampoco será un trabajo ímprobo y en el momento que tus contadores muestren 10 o 20 shares cada uno tienes más que suficiente, y asunto finiquitado.

      Normalmente, el tráfico se concentra mucho en un blog y con ésto seguramente abarques cerca de un 70-80% del total de tu tráfico y en los lugares que de verdad importan.

      Aquí en Hosting a Tope simplemente los he desactivado y dentro de un tiempo los volveré a mostrar, cuando estén nutridos de nuevo 🙂

      ¡Un abrazo!
      Berto

      Responder
  6. Hola!
    Gracias por la informacion que has compartido en este post.
    Tengo mi sitio alojado en webempresa y no ha sido tan simple el tramite como parecía, pero ahora parece que todo estaría funcionando. La gente del soporte me ha ayudado bastante.
    Me queda como duda, si tambien es necesario hacer modificaciones en google analytics.
    Gracias nuevamente.

    Responder
  7. Excelente tutorial Berto.

    Yo estoy mirando para migrar también a SSL, pero me surgen algunas dudas.

    Yo también tengo Webempresa. Según me han dicho en el soporte técnico, a la hora de instalar el certificado es mejor que escoja el dominio con www (aunque el mío no las tiene), ya que así servirá para los dos modos. La duda que me surge es que en tu captura veo que tienes los dos dominios puestos. ¿Es que instalaste los dos por separado? ¿O al elegir la opción de www se ponen por defecto los dos?

    En cuanto al tema de Search Console, tengo entendido que es mejor dar de alta los dominios con www y sin ella, y después escoger el dominio preferido. ¿Es así?

    Por último, añadir un detalle que se te ha pasado por alto. Una vez finalizado todo este proceso, habría añadir el dominio https en el Analytics para que las visitas se sigan contabilizando.

    Un saludo y gracias por el post.

    Responder
    • Hola Tino,

      No, los hice como comentaron y salen los dos automáticamente.

      En cuanto al tema de Google Analytics, tendría que refisarlo, pero juraría que en Analytics no fue necesario ningún cambio lo que tiene su lógica ya que es el sitio web el que envía información a Analytics.

      ¡Un saludo!
      Berto

      Responder

Deja un comentario