Cómo pasar una web WordPress a https + instalar SSL

Hoy quería compartir un tema importante y urgente para todos los que tenemos una web. Y es que la mayoría de navegadores ya están marcando en muchos casos como NO SEGURAS las páginas que no disponen de un certificado SSL. Si tu hosing es Webempresa y quieres pasar una web WordPress a https rápido y fácil estás de suerte porque han incluido un sistema automático que va de maravilla.

Te dejo un vídeo para que lo hagas sin ningún temor.

A continuación te voy a dejar una tabla con los contenidos que vamos a ver, pero si simplemente quieres saber cómo lo hago yo manualmente para instalar un certificado SSL y pasar una web WordPress a https ve directo al tutorial dentro de esta guía.

Seguro que te has dado cuenta de que en la barra de direcciones de tu explorador, muchas webs en su url antes de su dominio tienen un candadito verde y otras que tienen un símbolo de exclamación dentro de un círculo.

En el caso de Google Chrome, eso era sólo el principio y desde 2014 viene identificando qué páginas son seguras y cuales no. Pero ahora será mucho más drástico porque puede marcar como no seguras las webs que no cumplen con este requisito.

Te guste o no, te de más pereza o menos, si quieres cumplir con Google (y créeme, ahora verás que te interesa) tendrás que instalar un certificado SSL en tu web como hice yo en su día para pasar mi web a https.

No te preocupes, en las siguientes líneas te voy a enseñar cómo hacerlo paso a paso en WordPress y cuando termines de aplicarlo tendrás una web más segura, en https y con su certificado SSL instalado completamente gratis.

Te adelanto en esta infografía los pasos que tendrás que seguir para instalar un certificado SSL y pasar tu web WordPress a https

Qué es un certificado SSL y para qué sirve tener mi web en https

Para saber que es un certificado SSL, voy a partir la expresión en dos. Por una parte un certificado es un documento que acredita, autentifica o da por verdadera una cosa. Y SSL viene de Secure Sockets Layer.

Así que un certificado SSL es un documento (digital en este caso) que certifica la identidad de un sitio web y cifra con tecnología SSL la información que se envía al servidor.

En cristiano esto significa que un certificado SSL sirve para acreditar que toda la información de nuestros usuarios que pudiéramos enviar al servidor está encriptada y por tanto es una transacción segura.

Y ¿en que casos enviamos información de nuestros usuarios al servidor? Pues lo más típico son los formularios de contacto, pero también en procesos tan importantes como el de compra.

¿Te das cuenta de la importancia de implementar SSL en tu web?

Imagina el riesgo de mandar los datos de un usuario (¡una persona!), su dirección, su correo y hasta su tarjeta de crédito y que alguien los pueda cazar al vuelo y hackearle la vida. Sería desastroso para él y el fin para tu negocio porque toda la confianza ganada hasta el momento se perdería en un instante.

Así que si instalas un certificado SSL en tu web cada vez que envíes información al servidor, ésta se encriptará antes de ser enviada y será desencriptada por el receptor. De este modo la información viajará segura.

Motivos de peso para instalar un certificado SSL y pasar una web WordPress a https

En este punto te voy a hablar de los motivos principales por los que querrás instalar un certificado SSL nada más acabar de leer esta guía. Y es que, aunque en tu web no haya compras, o sólo tengas un formulario de contacto, resulta que hay más razones para pasar tu web WordPress a https.

Tener una web más segura y no jugártela con los datos de tus usuarios

Este punto es el principal y ya hemos hablado de la importancia que tienen no sólo para tu negocio sino para la vida de tus usuarios e incluso la misma tuya. Porque si la cagas así, puedes tener problemas con la justicia.

Y si crees que es muy difícil que te pase esto a ti, ojo, porque hay mucha gente que está especializada a cazar tus contraseñas y datos de acceso cuando utilizas wifi público. Así que, si alguna vez estás en un Starbucks o una biblioteca por ejemplo, no andes entrando en webs sin https porque te pueden joder pero bien.

Transmitir confianza y profesionalidad

Ya ocurre que cuando entras a una web con el candadito verde sientes mayor confianza en el sitio y te resulta más profesional. Esto ya es así. Pero cuando el uso del https se extienda, las webs que no lo tengan van a parecer muy poco profesionales y desde luego transmitirán muy poca confianza. Tengan o no formularios.

Posicionar mejor en Google

Como decía al principio del post, Google lleva tiempo fijándose en que webs tienen un certificado SSL y cuales no. Y prioriza en los resultados de búsqueda aquellas que si están en https. Así que aquí tienes otro motivo para implementar SSL en tu web aunque no tengas transacción de datos de ususarios.

Instalar un certificado SSL para no perder tráfico

Es una consecuencia directa de posicionar mejor en Google y de transmitir más confianza y profesionalidad. Si busco algo en Google, lo encuentro fácilmente y encima cuando llego al sitio web veo que es seguro, volveré. Si no es seguro no volveré. Y si no aparece bien posicionado ni siquiera lo encontraré.

Instalar un certificado SSL para poder utilizar determinados servicios

Un punto importante. Hay muchos servicios, por ejemplo las pasarelas de pago, que no se pueden utilizar si no tienes instalado un certificado SSL. Si que hay métodos de pago donde no hace falta, pero seguramente son aquellos donde el pago no se realiza en tu propia web. Pero si lo que quieres es un servicio como Stripe o algunos serivicios de Pay Pal por ejemplo, necesitarás tener tu web en https.

Pasar tu web a https para poder implementar el protocolo http2

Para poder utilizar el nuevo protocolo HTTP2 será obligatorio que primero la tengas en HTTPS.

Ésto del HTTP2 ya es otra historia y lo veremos en otra ocasión. Pero si te pica la curiosidad googlealo y verás que será el futuro.

Cómo instalar un certificado SSL y pasar mi web a https

¡Ha llegado el momento! Ahora es cuando realmente nos ponemos manos a la obra. Para terminar el proceso de forma óptima vas a necesitar dar 5 pasos fundamentales.

Bueno 6 pasos si contamos con que lo primero de todo es hacer una copia de seguridad de los archivos y base de datos.

¡Vamos allá!

Paso 1: Instalar el certificado SSL en tu Hosting.

Lo primero de todo es instalar el certificado SSL en tu servidor. Para instalarlo, primero tendrás que obtener uno. Y no digo comprarlo, porque en la mayoría de los Hostings de calidad te ofrecen de forma gratuita el certificado SSL de Let’s Encrypt. También hay opciones de pago pero en la mayoría de los casos con Let’s Encrypt tendrás de sobra. Es el que utilizo yo ahora mismo y aunque de momento sólo dispongo de formularios de contacto, muy pronto también implementaré pasarelas de pago para mis servicios.

Yo tengo la web alojada en Webempresa, pero otros Hostings punteros como Raiola Networks, SiteGround o CDmon también ofrecen de forma gratuita el certificado SSL de Let’s Encrypt.

Este proceso será similar en todos los Hosting, pero en mi caso, te lo voy a mostrar en Webempresa. Vamos a verlo.

1.- Una vez hayas ingresado en el área de cliente, dirígete a «Hosting» y despliega el menú. Ahora pincha en «Certificados».

Llegarás a la página de gestión de certificados SSL y allí verás un botón que dice «Gestionar certificados».

2.- Pincha y verás unos mensajes como estos:

3.- Elige Let’s Encrypt y selecciona a que dominio (si tienes más de uno) lo quieres asignar. Pero antes, si te fijas en los mensajes, podrás ver que puedes instalar el certificado para el dominio con www o sin www. Elige tu dominio con www (aunque no las lleve) para que el certificado aplique para los dos casos. Con www y sin www. Tras seleccionar el dominio pulsa instalar. ¡Hecho!

NOTA: Puede que tarde un poco en aplicarse pero en cuanto se instale se recargará la página y si vuelves a pulsar el botón de «gestionar certificados» aparecerá en una lista justo debajo que dice certificados instalados. Asegúrate de que lo has instalado correctamente o la puedes liar en el siguiente paso.

Si por lo que sea no se aplica o te has confundido, siempre puedes borrarlo de esta lista pulsando el cubo de basura (también tardará un ratito en desinstalarlo) y volverlo a hacer.

Paso 2: Cambios en los ajustes generales de WordPress para pasar de un domino http a un domino https

Pasar web WordPress a https, pantallazo — Pasar de http a https añadiendo la s en las 2 urls

Una vez instalado el certificado (muy importante primero haber hecho el paso 1), ya podemos entrar a nuestro panel de administración de WordPress. Iremos a «Ajustes/Generales» y allí tendremos que añadir la «s» que falta al http en las 2 urls. Es decir, pasar de un dominio raiz http a uno https. Debe quedarte como en la imagen de la izquierda. No te olvides de darle al botón de «Guardar cambios» que está al final de la página.

Al guardar verás que sales de la web. No te asustes. Es normal porque la url en la que estábas ya no existe. Vuelve a acceder al panel de administración y listo.

NOTA: Si es una instalación de cero, es decir que la web no existía en http, simplemente rellena estas casillas con tu dominio y antes coloca https://. Es decir https://www.tudominio.com ó https://tudominio.com dependiendo de si tu dominio tiene o no las www.

Tras este paso, cada nueva url que se cree ya será con https de manera que no tendrías que hacer nada más.

Pero si tu web ya existía en http, tendrás que hacer los 2 siguientes pasos para pasar correctamente toda la web de http a https. Ten en cuenta que no sólo se trata de las urls de las entradas o páginas que hayas creado, sino de todos los archivos multimedia (imágenes, vídeos, audios…) que hayas subido (sí, tienen sus propias urls como puedes explico en el vídeo sobre archivos multimedia) y en todos los enlaces internos que ya hubieras hecho en tu web.

Paso 3: Sustituir las antiguas urls en http por las nuevas en https en toda la web

Esta sustitución dependerá del tamaño de tu web. Si has creado un par de entradas y subido un par de fotos, puedes ir una a una arreglando esas urls. Si has hecho enlaces internos no olvides repasarlos también. Pero si llevas tiempo con tu web, seguramente sean demasiadas sustituciones como para hacerlo de forma manual. Con lo que vamos a usar un plugin para ello.

El plugin se llama «Better Search Replace» y está disponible de forma gratuita en el repositorio de WordPress.

A partir de aquí cuidado, sigue mis instrucciones tal cual, no te aventures a probar cosas si no sabes lo que estás haciendo porque puedes cargarte tu instalación. Este plugin va a ir directamente a tu base de datos para buscar y reemplazar información.

1.- Una vez instaldo el plugin, ve a «Herramientas/Better Search Replace» y llegarás a una página como esta.

Plugin Better Search Replace pantallazo — He utilizado la página de practicarwordpress.dev para no mostrar mis prefijos de tablas en la base de datos

2.- En la casilla de «Buscar por» introduce tu dominio antiguo, es decir: http://tudominio.com

3.- En la casilla de «Sustituir por» introduce el dominio nuevo, es decir: https://tudominio.com

4.- Selecciona todas las tablas para que busque y sustituya en todas ellas.

5.- Sin tocar ninguna de las opciones por defecto pulsa el botón «Ejecutar búsqueda/sustitución». Ahora empezará a examinar todas las tablas de la base de datos de tu instalación WordPress y te hará un informe con las urls que ha encontrado antiguas y que podría sustituir a las nuevas.

6.- Si todo está ok (no debería haber ningún problema), quita el tic que hay en la casilla ¿Quieres ejecutar un simulacro? y vuelve a pulsar el botón «Ejecutar búsqueda/sustitución». Ahora no está probando. Ahora sí, está cambiando las antiguas urls por las nuevas.

Desactiva y desinstala el plugin. Fin del peligro, pero no del tutorial.

Ahora si visitas tus páginas todas deberían tener el candadito verde que significa que tu web es segura y dispone de certificado SSL.

Paso 4: Redirigir todas las urls antiguas a las nuevas

Como hemos visto, tu web ya es segura. Pero ojo, porque si lo dejas aquí vas a tener un problema.

Primero porque ahora, existen las urls con http y con https. Prueba a poner tu web sin https en la barra del explorador. Verás que accede sin problemas a la versión sin SSL. Ahora pruébalo con https. También funciona. Esto se llama dominios espejo (no he encontrado muchos artículos al respecto en español, habrá que escribir uno) y es muy jodido porque significa contenido duplicado a ojos de Google, que te va a penalizar y se va a cargar tu SEO.

Y segundo, porque es muy posible que tengas enlaces de otras webs a tus antiguas urls. Y si no haces las redirecciones pertinentes los usuarios que pinchen en esos enlaces se van a encontrar con errores 404 lo que tampoco es muy bueno para tu SEO (ni para el SEO del que te está enlazando)

Así que vamos a hacer un redireccionamiento 301 de todas las http a las https.

Una vez más, si tienes cuatro urls, este proceso lo puedes hacer en tu archivo .htaccess a mano. Pero si son muchas lo mejor será que hables con tu hosting y te de unas instrucciones que debes colocar al principio de tu archivo .htaccess. Bueno, si sabes escribir instrucciones en .htaccess hazlo tú mismo claro.

En el caso de Webempresa, el código que me pasaron a mí y que debes pegar al inicio del archivo es:

RewriteEngine On
RewriteCond %{ENV:HTTPS} !on [NC]
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Algunos me habéis preguntado donde exactamente está el archivo .htaccess y dónde exactamente hay que pegar el código. Mira, lo aclaro con un pantallazo a mi propia instalación.

Como puedes ver, el archivo .htaccess está en la raíz de la instalación.

Y el código hay que pegarlo antes del párrafo comentado como #BEGIN WordPress. Espero que ahora quede más claro.

Prueba ahora a visitar tu página con http y con https y verás que siempre cargará como https.

Paso 5: Contarle a Google los cambios en Search Console y Analytics.

Ya sólo te queda decirle a Google que a partir de ahora tu web es https://tudominio.com en vez de http://tudominio.com

Para esto tendrás que acceder a Search Console, añadir una nueva propiedad y seleccionarla como preferida. No te olvides de que debes tener todas las variantes de tu web en Search Console. Es decir, con y sin www, con http y con https. Es decir, que debes tener 4 versiones en total. Luego debes definir la preferida.

Después tendrás que hacer el cambio en Google Analytics y pasar el dominio a analizar de http a https. Para ello entra en la pestaña de administrador/configuración de la propiedad, despliega la pestaña de URL predeterminada y elige https.

Si te has perdido en este último paso dímelo y haré un tutorial más adelante.

Ahora sí. Ya hemos terminado. A lo largo de esta guía hemos visto la importancia de implementar el certificado SSL en nuestra web y hemos hecho todo lo necesario para instalarlo y pasar tu web de http a https. Ahora tu web es segura, transmite más confianza y profesionalidad y le encanta a Google.

Problemas (poco serios) que pueden surgir al cambiar tu web WordPress a https

Esta guía ya ha ayudado a muchos bloggers y otros profesionales que necesitaban cambiar alguna de sus webs a https. La mayoría de los que me han dado su feedback ha sido para decirme que todo ha ido como la seda. Pero cierto es que también ha habido quien ha tenido que hacer algo más para terminar el proceso.

Voy a ir añadiendo aquí los problemas más comunes que me han contado mis lectores a través del formulario así como la solución:

El caso Dany ó ¡no me aparece el candadito verde! Resuelto

Me escribe Dany y me comenta que tras realizar todo el proceso e incluso viéndose https en vez de http en todas sus urls, sigue sin aparecerle el candadito verde.

Esto suele tener que ver con que en la web sigue habiendo elementos que no han cambiado a https. Se resisten por el motivo que sea incluso habiendo hecho todo bien. Lo más probable es que sean recursos como ciertos scripts o imágenes. ¿Pero cómo podemos saber cuales son los que están dando problemas? Hay que localizarlos sí o sí y cambiarlos uno a uno.

Una opción sería abrir el inspector del explorador de Chrome (cmd + alt + i en mac o botón derecho inspeccionar) y buscar manualmente los posibles candidatos. Después habría que modificar sus urls y ponerlas en https. Pero esto es un trabajo arduo en páginas con muchas urls.

La mejor opción es usar algunas páginas como Why no Padlock y poner ahí la url. La herramienta hará un escaneo y te dará el archivo que ocasiona el problema. Una vez localizado tendrás que modificar su url igualmente.

En el caso de Dany, se trataba de la imagen que te proporciona a través de un enlace el sello Creative Commons. Ella tenía esa imagen en el footer de su página y por lo tanto no le aparecía el candadito verde en ninguna de sus urls. Para arreglarlo, simplemente fue a la página de Creative y vió que ya estaba disponible la misma imagen con la url https. La cambió y listo.

El caso Roberto: tío, sigo teniendo elementos no seguros Resuelto

Roberto me cuenta que tras seguir todos los pasos le ha pasado lo mismo que a Danny. No le aparece el candadito verde. Así que se ha puesto directamente en contacto con su proveedor de hosting y le han recomendado el uso del plugin SSL Insecure Content Fixer y lo ha solucionado rápido también. No he probado el plugin porque hasta ahora no me ha hecho falta. Pero como digo, a él le ha funcionado. Si queréis un tutorial sobre este plugin decídmelo y si sois varios, me empapo de él y me lo curro.

El caso Marta ó ¡OMG he perdido todos los compartidos en redes! Resuelto

Esto es típico. Al hacer cualquier redirección estás modificando una url, así que el plugin que uses para compartir en redes se pondrá a 0. Es como si fuera un post nuevo que nunca antes se hubiera compartido. Logicamente hablamos sólo de los contadores de estos botones. No significa que no funcione lo que habías compartido antes. Claro que funciona, para eso, entre otras cosas hemos hecho las redirecciones.

Para recuperar los contadores existe un plugin llamado Social Warfare pero no lo he utilizado nunca. Además es de pago. Si es muy importante para ti recuperar los contadores tendrás que pagarlo ya que con la versión gratuita no es suficiente.

El caso Bruno ó ¡Ahora me va lenta la web! Resuelto

En esta ocasión todo salió bien, pero a la hora de entrar en la web Bruno se dio cuenta de que iba más lenta de lo habitual.

Resultó que era el plugin de caché. Así que si tienes uno instalado y notas que ha aumentado el tiempo de carga tendrás que cachear las peticiones SSL. En plugins como W3 Total Caché tienes una opción para ello.

Espero que te haya sido útil y haya salido todo bien. Si tienes dudas, comentarios o prefieres que haga yo este proceso en tu web sólo tienes que contactarme en mi formulario (encriptado gracias al SSL, jejejeje ) y me pondré en contacto contigo.

Aunque esta guía es de nivel intermedio, y yo ahora estoy más centrado en los contenidos básicos, iré añadiendo más material de todos los niveles a mi blog. Así que si estás aprendiendo WordPress y quieres que te mande mis contenidos semanales sólo tienes que inscribirte en la home de mi web.
Por último, si crees que le puede ser de ayuda a alguien más, comparte esta guía en tus redes sociales. ¡Graacias!! Nos vemos en el próximo contenido.

Cookie	Duración	Descripción
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duración	Descripción
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duración	Descripción
__stripe_mid	1 year	Stripe sets this cookie cookie to process payments.
__stripe_sid	30 minutes	Stripe sets this cookie cookie to process payments.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
cookielawinfo-checkbox-estadistica	1 year	No description
cookielawinfo-checkbox-necesarias	1 year	No description

Cookie	Duración	Descripción
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_78879219_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cómo migrar una web WordPress a https instalando un certificado ssl