En muchos portales web donde la seguridad es lo primordial podemos ver que junto al nombre de la web, en la barra de dirección, aparece un pequeño candado de color verde. Si nos fijamos un poco más veremos que la dirección url empieza por las letras https, en lugar del clásico http, eso quiere decir que esa página web utiliza un certificado de seguridad SSL y por tanto es una página web segura.
Qué es el certificado SSL
El certificado SSL (Secure Sockets Layer, en español Capa de Puertos Seguros) es un método criptográfico que asegura la privacidad de los datos enviados y recibidos por internet. Funciona con dos claves, una pública y otra privada, y cualquier información que se envíe necesita de las dos claves para ser descifrada, por lo que algún hacker nos interceptara las comunicaciones sin esas claves no podría acceder a la información.
Donde conseguir el certificado.
Hay varias empresas que emiten certificados de seguridad SSL. Una solución fácil es solicitar el certificado a tu proveedor de hosting y que se encargue él de instalarlo y activarlo. El precio del certificado SSL varía de una empresa a otra y puede estar entre los 25€ hasta los 50€ anuales, incluso hay proveedores de hosting que lo incluyen entre sus planes de hosting de manera gratuita. El mantenimiento de la página web con seguridad SSL, una vez pagado el certificado, es el mismo que una página insegura.
Una vez solicitado el certificado y activado podemos comprobar su correcta instalación en esta página web https://www.digicert.com/es/ayuda/ donde sólo tenemos que introducir el dominio y nos dirá si tiene certificado ssl activo.
Configurar wordpress para que funcione con el SSL
Una vez nos han instalado y activado el SSL desde el hosting vemos que en nuestra página nada ha cambiado y aún no aparece ni el candado verde ni el protocolo https, para que nuestra página funcione en modo seguro se tiene que redireccionar el sitio web completo de http a https. A continuación voy a explicar cómo hacerlo en un página en wordpress.
Redirección del dominio en WordPress.
Una redirección del dominio quiere decir que todas las página de nuestro sitio web que antes se abrían con el protocolo http normal, http://midominio.com, ahora se tienen que abrir con el protocolo de seguridad https, https://midominio.com, para ello hay varias formas: a mano cambiando el archivo .htaccess o bien utilizando un plugin.
La modificación del archivo htaccess puede ser algo tediosa y complicada, por este motivo recomendamos que los que no sean expertos dejen la tarea de redirección en manos de un pluggin. Si de todas maneras queréis modificar el archivo a mano en esta página tenéis la respuesta.
Redirección a través plugins
Hay varios plugins de wordpress que redireccionan el dominio, si escribís https redirección en el cuadro de búsqueda de instalar un nuevo plugin de wordpress que os aparecen varios pluggins. Nosotros utilizaremos el plugin Easy HTTPS Redirection que tiene más de 20.000 instalaciones activas y 4 estrellas de reputación.
Una vez instalado y activado el plugin podemos abrir su configuración en Ajustes –> Https Redirection. En la pantalla de plugins debemos activar las dos casillas que aparecen. Cuando activemos la primera, Activar redirecciones automáticas a HTTPS, aparece una selección, debemos escoger la primera opción, The whole domain, El dominio entero. Debemos dejarlo todo tal y como aparece en la foto y pulsar el botón Guardar Cambios.
A pie de página aparece un aviso en rojo que nos advierte que una vez activada la redirección si el sitio web deja de funcionar debemos acceder al archivo .htaccess y borrar todas las líneas que ha añadido el plugin que estarán entre los comentarios # BEGIN HTTPS Redirection Plugin y # END HTTPS Redirection Plugin.
Redireccionar todos los enlaces internos y direcciones a las imágenes.
Una vez hemos redireccionado de http a https vamos a la página de inicio de nuestra web y vemos que junto a la dirección aparece un triangulo de advertencia amarillo. Eso es porque aunque hayamos cambiado la redirección de sitio dentro de la web aún hay enlaces antiguos a páginas internas con el protocolo http e imágenes con direcciones http. Para ello necesitaremos buscar todas las referencias en nuestra base de datos a http://midominio.com y cambiarlas a https://midominio.com. Hay varios plugins capaces de buscar y remplazar palabras dentro de la base de datos, como por ejemplo Better Search Replace , pero yo prefiero WP Migrate DB.
Antes de realizar los cambios en la base de datos debemos realizar una copia de seguridad por si nos equivocamos en algún paso. Una vez respaldada la base de datos vamos a Herramientas –> Migrate DB, en la pantalla seleccionamos Find & Replace, tal y como aparece en la siguiente imagen. En el cuadro de texto Find debemos poner la dirección de nuestro dominio precedido por http tanto con las tres doble uve, www, como sin ellas. En los cuadros de texto Replace pondremos la dirección de nuestro dominio precedido por hhtps. El resto de opciones los podemos dejar tal cual. Antes de pulsar el botón Find & Replace debemos asegurarnos que en los cuadros de texto Replace aparece nuestro dominio escrito correctamente, una vez chequeado podemos proceder. Una vez terminado el proceso nos mostrará un cuadro de dialogo con el número de coincidencias encontradas y reemplazadas.
Ahora vamos a la página principal de nuestro sitio y comprobamos que efectivamente ya aparece el candado verde junto a nuestra dirección, y si clicamos sobre él nos informa que la conexión con este sitio web es privada.
Valor añadido a tu tienda online.
Aunque los datos más delicados como son los datos de la tarjeta bancaria de los clientes, normalmente, se realiza a través de un tpv en una web externa propiedad del banco y totalmente segura, debería ser casi obligatorio ofrecer esta conexión segura y privada a través del protocolo SSL, en nuestra tienda online para que el cliente introduzca sus datos con total confianza. Como hemos visto el precio del certificado, a partir de 25€/año, la adecuación de nuestro wordpress, o el coste del mantenimiento no son excusa para no tener una tienda online que ofrezca total seguridad a nuestros clientes.
