Parece increíble pero, a día de hoy, todavía hay un montón de webs que no tienen instalado un certificado SSL, a pesar de ser imprescindible para gustarle a Google y cumplir la ley (RGPD) y a pesar de ser gratuito en la mayoría de los casos.
Así que he decidido dedicar un post a este tema, dentro de la serie Todo lo que necesitas saber para adaptar tu web WordPress al RGPD.
Índice del post
Qué es un certificado SSL y para qué sirve
No tengo ninguna intención de darte ahora la lata con tecnicismos sobre certificados SSL que yo misma tendré que buscar para explicarte bien y que probablemente tú no entenderás.
Simplemente te diré que el SSL (del inglés Secure Socket Layer) es un protocolo de seguridad que proporciona autenticación y privacidad a los datos que circulan entre tu sitio web y el del visitante, de manera que viajan encriptados y, por lo tanto, más seguros.
SSL indispensable para gustarle a Google
Desde enero de 2017, Google penaliza a las webs que no disponen de certificado SSL en los resultados de las búsquedas, es decir en cuanto a posicionamiento.
Además, el navegador Google Chrome también señala como no seguras a las webs que no disponen de él.
¿No te has salido nunca de una web cuando te ha salido el mensaje de que no era segura? Porque yo sí lo he hecho muchas veces…
Además de falta de seguridad, el hecho de que una web no posea un certificado SSL también transmite dejadez por parte del propietario.
Conforme está el tema de la ciberdelincuencia hoy en día, no se me ocurriría poner mis datos o realizar un pago en una web que no posea este certificado, la verdad. No sé tú…
¡Es lo mínimo en seguridad que se puede ofrecer al usuario o cliente!
SSL para cumplir con el RGPD
Uno de los temas en los que más insiste el Reglamento General de Protección de Datos (RGPD) es el de preservar la seguridad de la información que recogemos como responsables de una web.
En el apartado 6 de la Guía del Reglamento General de Protección de Datos para Responsables del Tratamiento de la AEPD, se tratan varios temas relacionados con la seguridad de los datos.
En función de los riesgos que el tratamiento de los datos pueda suponer para los derechos y libertades de los interesados, tendremos la responsabilidad activa de aplicar un nivel u otro de seguridad.
Eso implica que tendremos que adoptar unas medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado.
Y además tendremos que tener diseñado un protocolo de actuación y notificación por si se diera el caso de que la seguridad de los datos se viera comprometida en un momento dado.
Así pues, un SSL, un buen antivirus y un firewall es lo mínimo que podemos tener en nuestro sitio web para garantizar la seguridad.
Recuerda que si se ve comprometida la seguridad, el responsable serás tú, así que yo de ti pondría los medios posibles para evitarlo. Especialmente si además vendes servicios o productos en tu web.
¿Quieres aprender a montar o gestionar mejor tu ecommerce WordPress?
¡Únete gratis a mi comunidad!
Tipos de certificados SSL y usos
Aquí, lo mismo que te he dicho antes: no me voy a liar con cuestiones técnicas.
Simplemente te diré que existen diferentes tipos de certificados SSL para diferentes niveles de seguridad, emitidos por diferentes entidades certificadoras y que unos son gratuitos y otros no.
En concreto, yo te hablaré de tres de ellos, que son los que ofrece SiteGround, proveedor actual de alojamiento de todos mis proyectos web.
Actualmente, este proveedor de alojamiento web ofrece los siguientes certificados:
- Let’s Encrypt SSL (para dominios)
- Let’s Encrypt Wildcard SSL (un único certificado para un dominio y todos sus subdominios).
- EV SSL Extended Validation (para webs que por la sensibilidad de los datos que tratan necesitan el máximo nivel de seguridad y una validación avanzada).
Tanto el Let’s Encrypt como el Let’s Encrypt Wildcard son gratuitos en todos sus planes de alojamiento para WordPress (yo misma los uso en diferentes proyectos) y se renuevan automáticamente cada tres meses, con lo que no tendrás que preocuparte de nada una vez los tengas instalados y funcionando.
Te hablo de SiteGround porque es lo que yo uso en la actualidad, pero hay otros proveedores que también ofrecen algún certificado SSL gratuito. Así que mira a ver si tu actual proveedor te ofrece esta opción.
Yo te voy a explicar qué opciones de instalación te da mi proveedor, pero si el tuyo tiene gestión con cPanel y te ofrece la opción de instalar gratis el SSL, será algo parecido.
Cómo instalar un certificado SSL en SiteGround
En el siguiente vídeo te voy a mostrar cómo instalar un certificado Let’s Encrypt SSL o Let’s Encrypt Wildcard SSL desde el panel de SiteGround, de una manera rápida y sencilla.
Una vez lo tengas instalado, todavía tendrás que hacer algunas cosas para tenerlo todo funcionando correctamente, pero no te preocupes porque te serán fáciles de hacer si sigues los pasos que te voy a ir diciendo.
Cómo pasar tu WordPress de HTTP a HTTPS
Una vez instalado el certificado SSL en tu dominio, lo primero que tienes que hacer es ir a tu panel de administración de WordPress.
Una vez allí, tienes que hacer lo siguiente:
Ir a Ajustes → Generales, añadir una S a la url de la dirección de WordPress y de la dirección de sitio (te tiene que quedar como te muestro en la captura, pero con tu dominio) y guardar los cambios (después de eso, tendremos que loguearnos de nuevo).
Vale ¿ya está?
Pues no, todavía no, porque con eso habremos cambiado a HTTPS la página de inicio (veréis el candadito verde), pero muchas otras páginas de nuestro sitio seguirán apareciendo como HTTP, así que, vamos a solucionarlo rápidamente con un plugin (una vez acabemos con él, podremos desinstalarlo, no te preocupes).
Redirección HTTP a HTTPS de url’s internas
Para llevar a cabo la redirección de HTTP a HTTPS de las url’s de nuestro sitio web, podemos usar un plugin que se llama Better Search Replace, es gratuito y lo encontrarás fácilmente en el repositorio de WordPress.
Lo que haremos con este plugin una vez instalado y activado, es buscar todas las url’s con protocolo HTTP de nuestra web y sustituirlas por el de HTTPS ¿Cómo?
- En Buscar, ponemos la dirección de nuestra web sin la S (http://tudominio.com).
- En Sustituir con, ponemos la dirección de nuestra web con la S (https://tudominio.com).
- Seleccionamos todas las tablas de la base de datos.
- Hacemos clic en el botón de Run Search/Replace ¡Y listo!
¡Atención!
Te recomiendo que antes de darle al botón de buscar y reemplazar, actives la opción de “ejecutar en seco” (es una especie de entorno de pruebas), para probar que todo funciona correctamente antes de ejecutar los cambios de verdad. Si no da ningún problema, entonces puedes volver a repetir el proceso, ya sin activar la ejecución en seco y ejecutar los cambios de verdad.
¡Perfecto!
¿Ya está todo?
No, no seas impaciente :-)
Porque claro ¿qué pasa si alguien hace clic en alguna url de nuestro sitio que hubiera sido compartida en redes sociales, en otro blog o en cualquier otro lugar?
Vamos a solucionar eso también haciendo una redirección de todas esas url’s externas.
Redirección HTTP a HTTPS de url’s externas
Como te digo, necesitamos redireccionar también esas url’s de nuestra web que hay por Internet, para que cuando algún usuario haga clic sobre ellas y vaya a nuestra página, llegue a la página que busca pero con el protocolo HTTPS activado.
Para llevar a cabo esta redirección, tenemos que entrar en el archivo .htaccess de nuestro WordPress, por FTP o desde el administrador de archivos de nuestro servidor, y pegar en él el siguiente código:
Pasar todo siempre a SSL
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ahora sí que lo tenemos casi todo…
Nos faltaría un último detallito, ya para nota, que sería ir a la herramienta Search Console de Google y añadir nuestro sitio con https:// (después de dejar un tiempo para que a Google le dé tiempo a actualizarlo, ya podremos eliminar nuestro sitio con http:// de esta herramienta).
Es que a veces Google no es tan listo ni autosuficiente como creemos y si queremos seguir gustándole…
En fin, ahora ya no tienes excusa para no tener un certificado SSL instalado en tu sitio y creo que te he dado razones suficientes para que lo tengas. Así que…
¡A por ello!