Cómo instalar un certificado SSL gratis en WordPressSi tienes una web hecha en WordPress seguro que has oído hablar de los certificados SSL.Y si no es así, ya va siendo hora de lo hagas. Es el futuro de la web… Y el presente también.«Vale, Pablo. No te pongas así. Un certificado ¿qué?»Índice del post: [mostrar]¿Qué es un certificado SSL?Las siglas SSL vienen de Secure Sockets Layer, lo que significa capa de puertos seguros.Es decir, es un protocolo que se añade una capa de seguridad al visitante de una página web. Los datos viajan encriptados de extremo a extremo. El internauta puede navegar tranquilo, ya que se encuentra en un lugar de confianza.En definitiva, un certificado SSL asegura que tus datos (email, nombre, dirección, contraseñas, tarjeta de crédito, etc.) no pueden ser robadas por terceros (hackers malintencionados).Por este motivo es importante que esté instalado y activo en todas las páginas web que recaban información, especialmente en tiendas virtuales o sitios donde haya que dar datos personales.Esto significa que prácticamente todo Internet es peligroso. Cuando comentas en un blog o en la edición digital de un periódico dejas tu correo electrónico o te logueas con tu cuenta de alguna red social. Sin una conexión segura esa información es vulnerable.Las conexiones HTTP, por tanto, son peligrosas. Las seguras son las HTTPS.Precisamente esa ‘S’ final hace referencia a ‘Secure’ (segura).Ventajas del certificado SSLSeguridad: incorporas una capa de seguridad en tu web.Privacidad: proteges los datos de tus visitantes, lectores, compradores, etc.Confianza: esto les hace confiar en ti en tu sitio web.Mejoras el SEO: ya has visto que Google aboga por un Internet seguro y premia a los que contribuyen a esa labor.Compatibilidad con HTTP/2: es un protocolo de comunicación mucho más rápido que el actual y que está próximo a implantarse a escala mundial.¿Y por qué nadie lo tenía hasta ahora?«Tan importante que dices que es el SSL y resulta que hasta hace unos meses era raro ver el candadito verde al lado de la URL de casi ninguna página. Salvo los bancos y los ecommerce, casi nadie lo tenía».Hay tres razones por las que sucedía esto:El precio: tener un certificado costaba unos 100€ anuales (el más barato).El desconocimiento: los administradores de las páginas no le daban mucha importancia (ni yo tampoco) porque no sabían lo que estaba en juego.Posicionamiento web: o lo que es lo mismo, el SEO. Google ha anunciado que premiará a las webs que tengan SSL funcionando y posicionarán mejor.¿Y qué ha cambiado?Certificados gratuitos con Let’s EncryptAdemás de tener un mayor conocimiento de la necesaria privacidad de los datos de los usuarios y de ser incentivados por Google, los blogueros y demás administradores de webs nos hemos encontrado con una solución maravillosa e inesperada: instalar un certificado SSL es GRATIS.Y no solo eso, sino que los principales proveedores de hosting facilitan su instalación.Inciso: si tu hosting no te ofrece certificado Let’s Encrypt, ya te estás cambiando.Let’s Encrypt es una asociación sin ánimo de lucro, impulsado por la Fundación Linux, con el objetivo de crear una entidad que ofrezca certificados SSL libres y gratuitos, lo que significa que ya no hay que pagar para tener una web segura.Dichos certificados caducan a los 90 días pero se renuevan automáticamente.Esta ONG está patrocinada por grandes corporaciones digitales como Facebook, Google o Automattic (empresa propietaria de WordPress).Tienes más información sobre esta entidad en esta entrevista.Cómo instalar un certificado SSLAntes de empezar, es fundamental que realices una copia de seguridad de tu sitio.Si tiens backups automáticos, porque tu servidor es muy molón o porque tienes un plugin que lo hace, está genial, pero te recomiendo que hagas una manualmente, por si acaso.En algunos proveedores, como Raiola Networks, ya viene instalado y activado, por lo que solo tienes que configurar WordPress para que funcione. Otros, como SiteGround (en el que está alojado este blog), tienes que instalarlo y activarlo desde el panel de control (cPanel). Tardas un minuto en hacerlo. Es muy sencillo.Si no sabes si lo tienes instalado, pon tu dominio aquí.Cómo configurar WordPress para activar SSLEn primer lugar, si usas algún CDN (como CloudFlare), desactívalo.Supongamos que tenemos un blog en funcionamiento con una URL del tipo http://miblog.comEl objetivo tiene que ser que cargue en HTTPS, así lo hará a través del certificado SSL que acabamos de instalar y activar. Pues vamos a ello.En función de cuál sea tu proveedor de hosting y de su soporte técnico (y una pizca de suerte), el proceso puede ser instantáneo o una pesadilla.He visto mucho métodos: algunos funcionan a la primera y otros dan más guerra.Te recomiendo leer el post entero y luego tomar una decisión.Vamos a ver dos: el manual (y sus variantes) y el automático.Soy más partidario del método automático.Aunque es una decisión tuya.Método manual (o casi)Aquí tendremos que ir al panel de control de WordPress y entrar en Ajustes.Ajustes WordPress HTTPSCambiaríamos la URL de nuestro sitio de ‘http’ a’ https’.Nota: si no has instalado el SSL, tu sitio quedará inservible. Por eso he remarcado que hagas una copia de seguridad antes.El sistema te expulsará de la administración, dado que al cambiar la URL no te identifica. No pasa nada. Vuelves a loguearte con vuestro usuario y contraseña.Panel de administracion WordPress seguroSi te fijáis, el panel de administración de WordPress ya es seguro.En principio, ya estaría todo listo. ¿Demasiado fácil para ser verdad, no?Puede que en este momento te funcione todo genial y ya tengas el candadito verde en el frontend o parte pública. Lo normal es que no te aparezca y cuando hagas clic en información te ponga algo así como «contenido mixto». Esto significa que hay algunas partes de tu web que siguen cargando con HTTP.Para solucionar esto, podemos descargar la base de datos, reemplazar todos los HTTP por HTTPS con algún editor de código como Notepad++ y volverla a subir (borrando las tablas de la que está online e importando la offline). Es un poco peñazo, pero es el método 100% manual.Este proceso es mucho más llevadero si utilizamos el plugin Better Search Replace. Este plugin hace lo mismo. Se mete en la base de datos y modifica las URLs. Ojito con lo que haces, que la puedes liar.Tran instalarlo y activarlo, vete a Herramientas /Better Search Replace.Ahora tienes que cambiar las URLs antiguas por las nuevas (como aparece en imagen).Selecciona todas las tablas: haz clic en una y luego Control+A. Las casillas ‘Case-Insensitive?’ y ‘ ¿Quieres sustituir los GUIDs ?’ déjalas en blanco.Better Search ReplaceLa última casilla es importante. Ejecutar «en seco». Sirve para hacer una prueba. Por defecto viene marcada. Déjala así y dale al botón inferior. Si todo va bien, desmárcala y vuelve a presionar el botón.Acabamos de sustituir las URLs de la base datos. Todas son seguras. Por lo que debería aparecer el candadito verde.Una vez usado el plugin, desactívalo y bórralo. Ya no te será útil.Por último, debemos redirigir las direcciones HTTP a HTTPS por dos motivos: evitar contenido duplicado y que siempre se muestre la versión segura de nuestra web.Esto se puede hacer de dos formas (adivina): manual y (semi)automática.La primera consiste en acceder a nuestro hosting y buscar el archivo htaccess. Si no lo ves, activa los archivos ocultos.Mostrar arhivos ocultos cPanelDebemos añadirle el siguiente código:RewriteEngine OnRewriteCond %{SERVER_PORT} 80RewriteRule ^(.*)$ https://www.miweb.com//$1 [R=301,L]* Por supuesto, donde pone www.miweb.com tienes que poner la tuya.La segunda opción es mediante el plugin Easy HTTPS Redirection.Después de instalarlo y activarlo, hay que ir a Ajustes/HTTPS Redirection, marcar las dos casillas y guardar los cambios. A continuación, aparecerá otra casilla llamada «The whole domain», la marcas y guardas.Este método es (semi) automático porque es necesario introducir este código en el fichero wp-config.phpdefine(‘WP_HOME’,’https://midominio.com’);define(‘WP_SITEURL’,’https://midominio.com’);* Acuérdate de sustituir el dominio por el tuyo.Este plugin no se puede borrar (ni desactivar), si quieres tener SSL. Por eso, prefiero tocar el archivo htaccess o usar directamente el automático.Método automático – SSL en un minutoEste blog se llama Fuera Códigos porque no nos gustan nada. Vamos a lo práctico.Tras ver este largo y tedioso método manual, puedes hacer todo en un abrir y cerrar de ojos.Basta con un plugin. Su nombre es Really Simple SSL. Lo instalas, lo activas y a funcionar.Y si tienes SiteGround, te ahorras un pluginSiteGround tiene un plugin de caché propio para WordPress. Bueno, antes era de caché (el SG Caché Press), ahora es un plugin más completo que agrupa varias funcionalidades. Entre ellas, la de forzar que la página se cargue en HTTPS para que el certificado SSL la proteja.El plugin se llama SG Optimizer y, aunque lo puedes encontrar en el repositorio oficial de WordPress, solo funciona si tu sitio web está alojado en SiteGround. La empresa ofrece herramientas extra a sus clientes que le hacen desmarcase de la competencia.SiteGround OptimizerHaz clic en el botón ‘Configure’ situado en el recuadro Configuración HTTS y aparecerá esto:certificado sslActiva el botón «Forzar HTTPS» y listo.Comprobación de la instalación del certificadoIndependientemente del método que hayas escogido, tienes que comprobar que todo ha salido bien. Si es así, debe aparecer el famoso candadito verde y cuando haces clic decirte que la conexión es segura.Ahora, si tienes un CDN compatible con SSL, puedes volver a activarlo.Si no sabes ni lo que es, no te preocupes, significa que no lo estás usando.Solucionar problemasPero puede que te siga apareciendo una ‘i’