Cómo instalar un certificado SSL en WordPress gratuito con Let’s Encrypt

Uno de los aspectos de tu web que debes cuidar sí o sí es la seguridad. Y una forma de hacerlo es instalando un certificado SSL en WordPress. Certificados existen muchos, tanto de pago como gratuitos. Sin embargo, el que he escogido es uno gratuito (y el más conocido): Let’s Encrypt.

Si estás aquí es porque te esfuerzas en que tu web esté lo mejor hecha posible. ¿Por qué? Es bien sencillo: como mejor esté tu web, mejor funcionará (más ventas te conseguirá). Si bien es cierto que para ello hay muchas cosas que contemplar y trabajar, sin duda una de ellas es la seguridad.

No hacerlo te va a suponer directamente perder dinero. Una web segura no es algo para darte una palmadita en la espalda (como sí lo es tener un buen posicionamiento SEO o unos buenos textos – o copywriting -). Es un requisito mínimo indispensable.

Tu web será segura si cumple con diferentes condiciones. Pero una de ellas es el tener instalado un certificado de seguridad que te permita trabajar con el protocolo HTTPS y pasar toda tu web WordPress a SSL. ¿Qué significa todo esto? ¿Cómo hacerlo sin volverte loco? ????

A continuación te explico paso paso cómo instalar en tu WordPress un certificado Let’s Encrypt, para que lo hagas de forma rápida y sin complicaciones. Pero ojo, esto no es un manual de Let’s Encrypt o un tutorial completo. Es más bien una explicación ligera a la que no le falta nada que te permitirá rápidamente migrar tu WordPress de HTTP a HTTPS.

¿Qué es el HTTPS? ¿Y qué lo diferencia del SSL?

Tanto HTTPS como SSL son términos bastante técnicos para una persona que no está acostumbrada a leerlos o a escucharlos. E incluso si es así, es muy habitual que no se sepa diferenciar entre uno y otro.

¿Y si te digo que aún hay un tercer término importante en términos de seguridad? Es el TLS y te lo voy a mencionar tan sólo por si te lo encuentras puedas pensar «¡Sí me suena!».

¿Cómo hace el SSL tu web segura?

El SSL permite que la comunicación entre tu web y tus visitantes sea segura.  Ello se consigue protegiendo cualquier información que se envíe entre el navegador web de tu visitante y el servidor en el que tienes alojada tu web.

¿De qué forma? Pues encriptando la comunicación, haciéndola indescifrable para cualquier robot o persona que quiera leerla.

Diferencia entre SSL y HTTPS

HTTPS (protocolo seguro de transferencia de hipertexto o en inglés Hypertext Secure Transport Protocole Secure) es la versión segura del HTTP. Aparece tras haber instalado un certificado SSL en la web.

Dicho de otra forma, y para sea entendible, si una web muestra el HTTPS quiere decir que funciona bajo SSL.

Ahora sí, ¿verdad? ????

¿Y qué pinta TLS en todo esto?

Pues es muy fácil de entender: TLS (seguridad de la capa de transporte o en inglés Transport Layer Security) es tan sólo una versión mejorada y más actual del SSL.

El motivo por el que el término SSL está mucho más extendido que el de TLS se reduce a una pura cuestión de marketing o de conocimiento. Pero básicamente cuando tú instalas un certificado de seguridad SSL en tu WordPress en realidad instalas uno TLS.

Y hasta aquí la parte más técnica y aburrida, te lo prometo ????. Si la he incluido es porque considero que conocer por encima cada término es importante. O al menos interesante, creo yo.

¡Sigamos!

2 razones por las que usar SSL en WordPress

Existen muchos motivos por las que querer que tu web funcione con HTTPS pero he querido reducirlo a tan sólo dos. Creo de verdad que ambos son definitivos y que no dejan espacio a la refutación.

Eso sí, verás que el primero es objetivo mientras el segundo es un poco más opinable.

Evita la penalización SEO

Primero Google favoreció el ranking de las páginas que utilizaban un certificado SSL, pero hoy en día la cosa es al revés. Efectivamente, si tu web no tiene uno instalado, tiene su SEO penalizado.

¿Quiere esto decir que esa web no sale en ningún resultado de búsqueda? No, pues Google tiene en cuenta muchas variables para determinar el posicionamiento. Pero sí quiere decir que en lo relativo a esta variable, esa web se lleva puntos negativos.

Google quiere que tu web funcione con HTTPS/SSL. Tanto es así que desde julio 2018, tal y como notificó en esta entrada en su blog de seguridad, el navegador de Google Chrome muestra claramente un aviso cuando una web no tiene HTTPS. Sin tapujos le dice al visitante que esa web no es segura.

Haz una prueba tú mismo si quieres. Pero te pongo un ejemplo de cómo se ve la web de una importante escuela de diseño gráfico de Barcelona:

Pero lo cosa empeorará pues ya en 2016 Google avisó que el aviso de las futuras versiones de Chrome será aún más visible:

Ya te he dicho que éste era un motivo suficiente para que quieras que tu web use SSL… ????

Es cuestión de despertar confianza

En el punto anterior hemos podido ver que Chrome avisa al visitante de una web que ésta no es segura. Y lo hace mientras éste navega por ella. Menuda imagen que da la web, ¿no crees?

De una forma u otra, toda web busca recabar datos de los que la visitan. Para hacerlo bien, debes adaptar tu web a la legalidad pero también hacerla segura.

Imagina que quieres comprarte un guante que te ayude a quitar el pelo de tu gato (lo hice ayer mismo ????). Cuando aterrizas en el checkout, la web te pide rellenar los típicos datos personales y financieros. Pero allí tienes Chrome recordándote que la web no es segura al no tiene instalado un certificado SSL y que por lo tanto los datos que envíes pueden ser interceptados y leídos.

¿Comprarías en esta tienda online?

Lo mismo sucede para por ejemplo la web de un estudio de arquitectura. En el formulario de contacto te piden tu email y tu teléfono, ¿lo harías?

El hecho es que debes tener el SSL activado en tu WordPress para despertar un mínimo de confianza entre tus posibles clientes.

Cómo comprobar si ya tienes instalado un certificado SSL

Ver si tienes activo el HTTPS es rápido y fácil. Tan sólo debes ver la dirección de tu web en el navegador y comprobar si tienes, en verde, un candado junto a la expresión «Es seguro». También verás que tu URL empieza por «https://».

¿Por qué Let’s Encrypt?

El certificado SSL Let’s Encrypt es el que te recomiendo encarecidamente. Te dejo las razones por las que lo hago:

• Es gratuito: como todo producto open source, su misión es poder ser accesible para cualquier persona. Un requisito para ello es que sea gratis.
• Es automático: como todo certificado, debe renovarse para seguir comprobando que tu dominio sigue siendo de tu propiedad. Pues con Let’s Encrypt este proceso es automático, ni siquiera requiere que renueves el inexistente pago que hiciste.
• Tiene el apoyo de gigantes de Internet: tenemos a Mozilla (los de Firefox), Cisco, Chrome (de Google), Facebook, Automattic (los de WordPress), etc.

De dónde sale

Let’s Encrypt es el certificado SSL para WordPress ideal, principalmente por ser gratuito. Nació para hacer el SSL/TLS accesible para cualquiera y por lo tanto poder forzar las webs a ser seguras. ¡Sin excusas!

Te dejo su página oficial por si te interesa aprender más sobre él.

Diferencia entre el normal y Let’s Encrypt WildCard

Let’s Encrypt te permite proteger la comunicación de tu web con tus visitantes. Y lo hace a nivel de dominio asegurándose de que éste te pertenece. Pero esto puede hacerse de dos formas distintas:

1. El dominio principal (con y sin www): es el certificado más común y por defecto. Con esta modalidad de Let’s Encrypt proteges www.tuweb.com y tuweb.com.
2. El dominio principal y los subdominios: a esta modalidad se le llama WildCard. Con ella no sólo encriptas lo mencionado en el punto anterior, también todo subdominio que hagas. Por ejemplo, email.tuweb.com, pruebas.tuweb.com o facturas.tuweb.com.

Quizás te preguntes: ¿la única forma de proteger un subdominio es con Let’s Encrypt WildCard?

La respuesta es que no. Tienes la alternativa de instalar un certificado SSL «normal» extra en el subdominio. Pero deberás hacerlo para cada subdominio, lo cual para mi no tiene sentido.

Lo que te recomiendo es, si tienes la posibilidad, instalar un certificado Let’s Encrypt WildCard y así te olvides del tema de los subdominios.

Cómo instalar Let’s Encrypt en WordPress

Llegados a este punto, conoces los motivos por los que te conviene instalar un certificado SSL en WordPress y el que te recomiendo. A continuación te explico cómo configurar Let’s Encrypt.

Pero ante todo, déjame hacerte una advertencia:

¡Haz una copia de seguridad de la web! Nunca sabes qué puede salir mal y si ocurre, querrás recuperar la web que tenías justo antes.

Y también dos observaciones:

1. No existe ningún plugin Let’s Encrypt para WordPress, ni nada parecido. Pero no te preocupes, que no es tan difícil como parece.
2. Voy a utilizar el panel de control de mi hosting en Siteground.es. Si tienes otro hosting pero uno que también utiliza cPanel, podrás seguir las instrucciones al dedillo. En caso contrario, te serán igualmente útiles pero deberás ver cómo proceder en tu particular panel de control.

Accede al apartado de Let’s Encrypt

Para ello puedes desplazarte verticalmente por las diferentes secciones del panel de control hasta encontrar una llamada «Seguridad». También puedes teclearla directamente en el buscador.

Una vez esta sección localizada, haz clic sobre la opción Let’s Encrypt [1].

Instala un certificado Let’s Encrypt en tu WordPress

Debes llevar a cabo los siguientes tres pasos sencillos:

• Seleccionar el dominio en el que quieres instalar Let’s Encrypt [2]: tienes un listado con todos los dominios y subdominios existentes. Escoge aquél que te interese.
• Escoger si quieres Let’s Encrypt SSL o Let’s Encrypt Wildcard SSL [3]: la diferencia la he explicado anteriormente, ¿recuerdas? Yo te recomiendo la Wildcard porque nunca sabes si más adelante utilizarás subdominios y así ya los crearás con HTTPS incorporado.
• Dale a Instalar [4].

Empezará un proceso rápido y automático en el que se verifica que el dominio es tuyo, se llama a Let’s Encrypt y se instala el certificado SSL. Si todo sale bien verás el siguiente aviso:

¡Felicidades! Has conseguido instalar un certificado SSL en WordPress y gratuito. Celébralo con el siguiente tuit:

[click_to_tweet tweet=»He podido instalar Let’s Encrypt, un certificado SSL gratuito, en mi WordPress. ¡Rápido y fácil!» quote=»He podido instalar Let’s Encrypt, un certificado SSL gratuito, en mi WordPress. ¡Rápido y fácil!»]

Cómo configurar el certificado SSL en WordPress

Considera un certificado SSL como cualquier programa.: su instalación no implica que ya puedas utilizarlo. Para ello debes configurarlo de forma que WordPress entienda que debe utilizar el protocolo HTTPS.

Hay dos formas de hacerlo: puedes configurar Let’s Encrypt con la ayuda de un plugin o de forma totalmente manual. A continuación te explico ambas para que elijas las que más te guste según tu tiempo, curiosidad, etc.

Automáticamente a través de un plugin SSL

Descarga e instala el plugin Really Simple SSL

Para migrar tu WordPress de HTTP a HTTPS el mejor plugin que hay actualmente, y con diferencia, es Really Simple SSL. Puedes ver aquí su página en el repositorio oficial WordPress.

¿Qué hace este plugin?

1. Detecta automáticamente los ajustes de tu WordPress y los de tu hosting.
2. Con un sólo clic, te configura tu web para que utilice HTTPS. ¿Cómo lo hace? Pues básicamente cambiando toda dirección URL «http://» por «https://».

He utilizado este plugin con anterioridad. Por eso te lo recomiendo. De todas formas, cumple con los tres requisitos que yo siempre busco en un plugin: actualización reciente, un uso extendido (más de 1 millón de webs lo utilizan) y una buena valoración (tanto puntuación como número de opiniones).

Instalarlo es fácil y rápido, como todo plugin, sobretodo si es gratuito. Te dejo esta entrada en la que te explico cómo instalar un plugin de tres formas distintas. ¡Con vídeos y todo!

Aviso: una vez Really Simple SSL instalado y configurado, no lo desinstales. Debes conservarlo pues de lo contrario tu WordPress dejará de utilizar el SSL/HTTPS.

Por último, comentar que este plugin tiene dos versiones: una gratuita y una de pago. Siempre que he utilizado Really Simple SSL me ha bastado con la gratuita. De hecho, si te soy sincero, me acabo de enterar que tiene una premium ????.

Haz el clic mágico y a correr

Para configurar tu web y con ello finalizar realmente la instalación del certificado SSL en WordPress, basta con que hagas clic en el botón [5].

Lo más probable es que a continuación WordPress te eche y debas identificarte de nuevo. Cuando lo hagas, observarás que la dirección URL de tu página ya ha cambiado. Ahora utilizas HTTPS. ¡Bien por ti!

Basta con que hagas de nuevo login. Si vas a Ajustes > SSL verás lo de la imagen anterior y sabrás que el plugin ya está trabajando y aplicando HTTPS.

Como puedes ver, con Really Simple SSL puedes redireccionar de http a https de la forma más fácil y rápida posible. Así que si no te sientes seguro de lo que haces, escoge esta opción. De todas formas, ahora viene la manual.

Manualmente

El método anterior es el ideal si esto de activar SSL no es importante para ti. Pero si tienes curiosidad en adentrarte más en el meollo de WordPress y del hosting, entonces esto te interesa. Con la configuración manual del certificado SSL en WordPress tocarás la base de datos, el .htaccess, etc.

¡Vamos a ello!

Cambia las direcciones en los ajustes

Debes acceder a Ajustes > Generales y cambiar tanto la Dirección de WordPress como la Dirección del sitio. Simplemente debes añadir la ‘s’ a ‘http’ [6].

Una vez hecho, verás como WordPress te echa y debes volver a identificarte como administrador. Fíjate entonces cómo tu panel de control ya funciona con HTTPS y en el navegador tienes el candadito verde.

Sin embargo, lo más normal es que si ves la parte pública de tu web, ésta no utilice el HTTPS. Aunque lo veas escrito en la URL de tu web, no verás el candadito verde. ¿Por qué? Porque debes actualizar las direcciones URL de WordPress a HTTPS.

Ello se consigue haciendo cambios en la base de datos. Y para ello hay dos formas, dependiendo de si quieres ayudarte de un plugin o no. Yo te muestro a continuación la que sí que utiliza uno.

De cualquier forma, es necesario hacer cambios en la base de datos. De aquí la necesidad de contar con una copia de seguridad reciente.

Actualiza las URLs con un plugin

Para tener activo el SSL y el candadito verde toda URL interna de tu web debe utilizar el protocolo HTTPS. Me refiero a las URLs de entradas de blog y páginas, peor también de imágenes, archivos Javascript, archivos CSS, etc.

Para ello debes instalar el plugin Better Search Replace. Ahora mismo tiene más de medio millón de instalaciones activas y una muy buena puntuación. Si bien es cierto que hace meses que no se actualiza, el autor especifica que es compatible con la última versión de WordPress. A mi me basta. Además no hay ninguna alternativa viable ????.

Para operar con este plugin debes ir a Herramientas > Better Search Replace.

Ahora atento:

#1: Especifica la URL sin HTTPS (antigua) y la con HTTPS (nueva) [7]

#2: Selecciona todas las tablas de la base de datos [8]

#3: Ejecuta un simulacro para realizar una prueba [9]

Aquí lo importante es que el resultado que te devuelva Better Search Replace contenga algo por cambiar. Da igual cuantas tablas y celdas te dice que hay que tocar. Seguramente tus números sean diferentes de los míos y es normal.

#4: Repite el proceso pero esta vez de verdad [10]

Para ello debes desmarcar la casilla del apartado ‘¿Quieres ejecutar un simulacro?’ y darle al botón inferior.

Una vez procedas a ejecutar la búsqueda y sustitución, y si todo sale bien, verás algo parecido al siguiente aviso:

¡Y ya está! Siguiendo estos pasos, ya tendrías actualizadas todas las URLs de WordPress a HTTPS. Deberías poder ver tu web (la parte pública) con el deseado candado verde en el navegador.

A diferencia del anterior plugin Really Simple SSL, puedes desinstalar cuando quieras Better Search Replace. No perderás nada ni se deshará lo que hayas hecho.

Fuerza la redirección a HTTPS

Con el paso anterior, has actualizado a HTTPS todas las URL internas de tu web. Pero, ¿qué pasa con las externas?

Imagina que alguien escribe en su navegador tuweb.com/contacto. O que ya había una web que apuntaba a http://tuweb.com/contacto. En ambos casos, quieres que vayan a la versión HTTPS de la URL. Para ello, hay que forzar la redirección a HTTPS.

Si trabajas con Siteground.es, tienes un atajo en el cPanel. Por cierto, quizás te interese ojear mi análisis del hosting de SiteGround.

Abre las opciones relativas a Let’s Encrypt que encontrarás en la sección de Seguridad. Fíjate entonces en el selector a la derecha del Let’s Encrypt que hayas instalado.

Selecciona la opción Ajustes HTTPS y te aparecerá lo siguiente:

Asegúrate que tienes Aplicar HTTPS en ‘on’ [12] y luego dale al botón OK [13].

Si tu hosting no utiliza este panel de control, e incluso si lo hace, te interesa también modificar el archivo .htaccess. Lo encontrarás en la carpeta FTP raíz (o principal) de tu web. Te dejo esta guía para acceder a tu WordPress por FTP.

Éste es el código que debes poner al principio de todo de tu .htaccess:

#Redirigir a https
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://tuweb.com/$1 [R=301,L]

Lo único que debes cambiar es ‘tuweb’ por tu dominio. En mi caso sería ‘srmomo’. Los símbolos raros debes dejarlos, todos.

Ahora sí que sí, ¡ya estamos! Tanto si has elegido la forma automática de tener un certificado SSL en WordPress, como la manual, ya tienes instalado Let’s Encrypt y en marcha.

Pero es posible que no hayas acabado…

Notifica los cambios a Google

Este punto sólo te resulta útil si tu web ya estaba publicada y estaba (1) recogiendo estadísticas a través de Analytics y (2) notificada a Google a través de Search Console.

Recuerda que al haber instalado un certificado SSL en WordPress, tu dirección web ha cambiado. Debes avisar de ello a Google.

Empecemos pues actualizando la configuración en Analytics.

Tranquilo, que el código de seguimiento sigue siendo el mismo. Ni debes cambiarlo ni perderás datos estadísticos.

Lo que sí debes hacer es ir a Administrar > Configuración de la propiedad y modificar la URL predeterminada. Debes seleccionar el protocolo HTTPS en Analytics [14].

Finalmente, debes añadir dos propiedades más en Search Console: https://tuweb.com y https://www.tuweb.com. Debes tener por lo tanto un total de cuatro.

¿Has podido instalar un certificado SSL en WordPress?

Hemos llegado al final de esta guía. Ya sea de la forma más manual o de la más automática, deberías haber podido instalar Let’s Encrypt y configurarlo.

Si lo has conseguido, ¡enhorabuena! ???????? A partir de ahora tu web será más segura y no perderás posiciones en Google. Pero, ¿sabes que es lo mejor? Que tus clientes potenciales confiarán más en ti.

Tu turno: ¿Qué ha parecido el blogpost? ¿Alguna duda? ¡Déjame un comentario debajo!