Como elegir el certificado HTTPS adecuado para tu WordPress

Como elegir el certificado HTTPS adecuado para tu WordPress

 

¿Qué es un certificado HTTPS?

Certificado HTTPS. Antes de que podamos discutir el cómo y el por qué de los certificados HTTPS, necesitamos discutir qué es un certificado en primer lugar. Se utiliza un certificado para:

Cifrar el tráfico entre el servidor web y el navegador web, verificar que el servidor web al que está conectado es realmente quien dice ser (un medio de identificación).

Un certificado HTTPS (certificado TLS) contiene pruebas criptográficas de que una entidad en la que confía un navegador puede garantizar la identidad de ese sitio web. Esta entidad se llama Autoridad de Certificación (CA). Las CAs juegan un papel crucial cuando se trata de certificados HTTPS.

Se puede pensar en una Autoridad de Certificación similar a una «oficina de pasaportes» que verifica independientemente tu identidad y te proporciona un «pasaporte» (certificado) para probar tu identidad a los demás. Sin embargo, para que alguien (un navegador web) pueda validar tu «pasaporte», debe confiar en la «oficina de pasaportes» (Autoridad de Certificación) que emitió el «pasaporte» (certificado). Al igual que un pasaporte, un certificado tendrá características de seguridad incorporadas que dificultan la falsificación.

En otras palabras, para servir tu sitio web a través de HTTPS, necesitas una Autoridad de Certificación que te proporcione un certificado que pruebe la identidad de tu sitio web de WordPress (tú eres quien dices ser).

Diferentes tipos de certificados HTTPS

Aunque puede que no sea obvio de inmediato, hay 3 tipos diferentes de certificados que puede obtener:

Validación de dominio (DV)
Validación de la organización (VO)
Validación Extendida (EV).

Los certificados DV son, con mucho, los más comunes. Cuando obtenga un certificado de DV, verás la interfaz de usuario del navegador habitual que esperabas. Fíjate que esto difiere de un navegador a otro, e incluso de una versión de navegador a otra, pero normalmente, verás un candado y a veces la palabra «seguro».

Validación de dominio

Los certificados de VO son más difíciles de obtener que los certificados de DV porque requieren más validación. Sin embargo, rara vez se utilizan. Son exactamente iguales para el usuario final, no ofrecen beneficios tangibles sobre los certificados de DV y cuestan más.

Esto deja certificados EV – Se supone que los certificados con Extended Validation requieren un proceso de verificación completo para que una organización pueda obtener uno. Son considerablemente más caros, e históricamente han sido tratados de forma ligeramente diferente por los navegadores en términos de su interfaz de usuario.

Sin embargo, en versiones recientes de Chrome, Firefox y Safari, este indicador se ha movido a una sección mucho menos llamativa. Esto se debe en gran medida al hecho de que no hay pruebas de que los certificados EV transmitan un nivel significativo de confianza a los usuarios finales. En algunos casos, el EV puede causar más confusión a los usuarios finales. Tanto es así que la gran mayoría de los sitios web más populares de Internet están pasando de certificados EV a certificados DV.

¿Qué tipo de certificado necesitas para tu sitio web de WordPress?

Así que, en resumen, quieres un certificado de Validación de Dominio (DV) para tu sitio web de WordPress. No hay ninguna razón real por la que debas necesitar un certificado de Extended Validation (EV), especialmente ahora que los navegadores están eliminando prácticamente cualquier ventaja de tener uno (además, también son bastante caros).

Obtención de un certificado HTTPS

Tradicionalmente, obtener un certificado HTTPS significaba pagar a una Autoridad de Certificación (CA) una cuota anual por ellos. El proceso era manual y bastante molesto para los administradores.

Let's Encrypt

Afortunadamente, en 2012 Mozilla comenzó a trabajar en lo que se conoció como Let’s Encrypt, una autoridad de certificación sin ánimo de lucro dirigida por el Internet Security Research Group (ISRG). Proporciona certificados HTTPS sin cargo para todos. No es de extrañar que en pocos meses se haya convertido en la mayor CA de Internet.

Además de ser simplemente una CA libre, Let’s Encrypt fue revolucionaria porque fue la primera CA en usar el protocolo ACME. El protocolo ACME permite la renovación automática de certificados. Esto permite que Let’s Encrypt haga certificados con una vida útil más corta (90 días), que es más segura. Además, los administradores de sistemas no tienen que preocuparse de renovar sus certificados gracias a herramientas como Certbot.

Cifrar las limitaciones de un certificado HTTPS

Aunque hay miles de artículos online sobre cómo hacer que Let’s Encrypt funcione para tu sitio web de WordPress, es importante darse cuenta de que puede haber casos en los que no puedas usar sus certificados. Esto es especialmente cierto si estás pagando por un certificado HTTPS como parte de tu plan de alojamiento web, o si no tienes el control total de tu servidor web.

En este caso, comprueba si puedes utilizar un certificado Let’s Encrypt con el servicio de atención al cliente de tu proveedor de alojamiento antes de gastar dinero en un certificado. Hoy en día, la mayoría de los servicios de alojamiento de WordPress son compatibles con los certificados Let’s Encrypt.

Si no es posible utilizar un certificado Let’s Encrypt con tu plan de hosting, es posible que necesites un certificado HTTPS comercial o que puedas utilizar un servicio de firewall / CDN de WordPress online. La mayoría de ellos ofrecen certificados HTTPS gratuitos como parte de sus servicios.

Configuración de WordPress en HTTPS

Además de obtener un certificado HTTPS y habilitar HTTPS en tu servidor web, también querrás asegurarte de que tu sitio WordPress esté configurado para HTTPS. Aunque puedes hacer esto sin el uso de plugins, probablemente sea más fácil para la mayoría de los administradores de WordPress usar un plugin popular como Really Simple SSL. Con este plugin te aseguras de que todos tus enlaces apuntan correctamente a la versión HTTPS de tu sitio web.

También es importante tener en cuenta que los motores de búsqueda tratan los sitios web HTTP y HTTPS como sitios diferentes. Por lo tanto, a menos que ya lo haya hecho, también debe enviar su sitio HTTPS a la Consola de Búsqueda de Google.

¿Es realmente bueno un certificado HTTPS gratuito?

Muchos propietarios de sitios web de WordPress todavía son escépticos sobre el uso de certificados HTTPS gratuitos de Let’s Encrypt. Algunos se preocupan por retratar una imagen que no se toman en serio, por lo que temen perder clientes. Algunos otros piensan que los certificados HTTPS gratuitos no son tan buenos como los de pago. No los culpo – ningún buen producto/servicio está realmente disponible de forma gratuita. Sin embargo, este es un caso diferente.

Let’s Encrypt es gratuito para ti como usuario, pero no es un proyecto gratuito. Pueden emitir certificados HTTPS gratuitos gracias a patrocinadores como Google, Facebook, Microsoft, Cisco y muchos otros. Así que digamos que todas estas grandes corporaciones están pagando por tu certificado HTTPS de sitio web de WordPress.

Let’s Encrypt es una autoridad de certificación completa. No hay nada diferente, especialmente en términos de capacidades de cifrado, entre certificados TLS gratuitos de Let’s Encrypt y uno de pago. Dicho esto, no hay nada malo en pagar por un certificado HTTPS, si se puede justificar el costo.

¿HTTPS hace que mi sitio sea «seguro»?

Desafortunadamente, nada es 100% seguro, y HTTPS no es una excepción a esta regla. HTTPS es sólo una pequeña parte del programa de seguridad de tu sitio web de WordPress. Lo permite:

A tus usuarios para que se conecten de forma segura a tu sitio web sin que su comunicación sea interceptada por miradas indiscretas en la misma red.

Ayuda con parte del desafío constante que es la seguridad del sitio web.

Sin embargo, no es una solución milagrosa: aunque sin duda deberías implementar y hacer cumplir HTTPS, esto no significa que hayas terminado de proteger tu sitio web de WordPress.

¿Qué más puedo hacer para asegurarme de que mi sitio web de WordPress es seguro?

Hay mucho que puedes hacer para mejorar la seguridad de tu sitio web de WordPress. Te recomiendo que empieces por lo siguiente:

Usa un firewall de WordPress,
Aplicar políticas de contraseñas fuertes de WordPress,
Instala un plugin de monitoreo de integridad de archivos,
Mantén un registro de todos los cambios que ocurran en WordPress,
Mantén actualizado el núcleo de WordPress, todos los plugins, temas y software que utilices.

Háblame ;)
¿Necesitas ayuda?
Hola! estás interesado en mis servicios? hablemos por WhatsApp ;)