Radio WordPress #5: WordPress y https

WordPress con https a partir de Enero de 2017 va a ser necesario, vamos a ver hoy cómo hacerlo.

ENLACES:

Modificación en el .htaccess indicada durante el audio:

#FORZAR A www con HTTPS
RewriteEngine On
RewriteCond %{HTTP_HOST} ^dominio.com [NC]
RewriteRule ^(.*)$ https://www.dominio.com/$1 [L,R=301]

Música del grupo Fodiator del álbum No Reasons que podéis descargar desde Free Music Archive y que se distribuye como licencia Creative Commons.

[showhide type=»transcripcion» more_text=»Ver transcripción(%s más palabras)» less_text=»Esconder transcripción (%s menos palabras)»]

Transcripción

Hola a todos, esto es Radio WordPress.com, un podcast dedicado a todos aquellos que de una manera u otra convivimos con WordPress.

Mi nombre es Eduardo Collado y juntos vamos a explorar el capítulo de hoy.

—MÚSICA—

El capítulo de hoy os avanzo que es muy importante y nos va a guiar en la entrada del nuevo año.

El año 2017 va a ser el año del SSL, en pocos días Google va a empezar a penalizar a todas aquellas webs que no sirvan sus contenidos por https y todavía estamos a tiempo para solucionar esa carencia si todavía servimos los ficheros sin encriptación.

De hecho el propio Matt Mullenweg, el creador de WordPress, ha escrito un post muy interesante al respecto y titulado Moving Toward SSL, que viene a significar Hacia el SSL, os dejo el enlace en la descripción del capítulo.

Pero lo peor no es que Google nos saque en las búsquedas más abajo, no no, lo peor es sin duda que Chrome puede sacar avisos del tipo «Esta es una web no segura» si no tenemos un certificado y eso ya os digo que no le va a gustar a nadie y nos va a forzar a cambiar a https.

https es el acrónimo de http seguro y lo que hace es proteger la confidencialidad e integridad de los datos entre los usuarios y las páginas web, es decir que nadie que esté en medio pueda saber qué estas viendo desde tu navegador.

Para que https funcione es necesario que la web se identifique como un elemento único, esto se hace gracias a los certificados digitales que lo que hacen es decir que una web es quien ella dice ser. Una vez nuestro navegador confía en ese certificado y se demuestra que esa web es quien dice ser empieza el intercambio de información encriptada.

Si estáis escuchando este podcast dede un navegador web podréis ver fácilmente si tenéis un candadito en la barra de navegación, si es así y la URL empieza con https estáis utilizando una conexión encriptada.

Perfecto, ahora queremos que nuestro WordPress utilice comunicaciones encriptadas para ganar la confianza de nuestros usuarios y para que Google no nos deje fuera de las búsquedas. Esto es muy importante hacérselo saber a nuestros clientes porque su web no va a ser la misma si Google decide penalizarla por no usar https.

—MÚSICA—

Antes de nada, tener en cuenta que tenemos varios tipos de certificados, aunque para una web lo más extendidos son tres:

Domain Validation: Donde se valida que la web es la que dice ser.

Organization Validation: Donde además se valida que la persona o empresa que obtiene el certificado es quien dice ser, esto requiere papeleo.

Extended Validation: Don se además de todo lo anterior se valida que la empresa existe y que alguien la ha visto, con sus ojos, es decir alguien ha ido y ha comprobado que esa empresa o persona existe.

Lo primero va a ser comprar un certificado digital, lo cual no es complicado, en Neodigit tenemos de varios tipos.  La instalación en el servidor ya es algo más compleja, aunque hay hosters como Neodigit que ya tienen automatizada la instalación del certificado. Pero eso no hace que nuestro WordPress funcione con https, aún queda configurar nuestro WordPress para que eso funcione.

En mi caso uso el plugin WordPress HTTPS (SSL), el cual no se actualiza desde hace cuatro años, lo cual es una burrada, pero yo lo sigo usando, realmente es el único plugin que uso y que está tan desfasado en tiempo, hay más opciones, pero esta es la que más me gusta y no he encontrado problemas hasta la fecha.

Sólo como inciso, hay un servicio online que es fundamental, se trata del WPScan Vulnerability Database (https://wpvulndb.com) donde podéis buscar las vulnerabilidades que van saliendo de los temas y plugins más importantes, usadlo pues es un servicio fantástico.

—MÚSICA—

Pero no vale con instalar el plugin, tenemos que hacer varias cosas.

En la configuración del plugin tenemos que indicar el SSL Host, que será con www, aquí es importante ya que queremos gastar el menor dinero posible en el certificado, así que cogeremos el de un subdominio y haremos que nuestra web apunte siempre a www y no al dominio sin www, al fin y al cabo www es un subdominio.

Y en Ajustes – Generales pondremos las www, en caso de no estar tanto en Dirección de WordPress (URL) como en Dirección del sitio (URL) y al guardar tendremos que volver a logarnos en nuestro WordPress.

Llegados aquí doy por supuesto que el certificado está ya instalado en nuestro hosting y vamos a tratar de entrar en https://www.nuestrodominio.tld.

Si todo funciona perfecto tendremos un candadito verde en el navegador y nos saldrá una sonrisa de satisfacción, pero va a durar pocar porque ahora probaremos escribir en el navegador https://dominio.tld, sin las www.

Podría ser que nos redirija a las www sin problema con https, pero lo normal es que nos salga un candado roto y nos diga que el sitio es inseguro. Esto es debido a que tenemos un certificado para www.dominio.tl y no para cualquier cosa, es algo normal. De todos modos lo normal es que un usuario intente entrar como http://dominio.tld y para que la redirección vaya al https podemos crear una redirección al https con www, una condición de rewrite, os dejo en la entrada Podcast #5 de radiowordpress.com el .htaccess que queda para que lo copiéis, por supuesto modificad vuetro dominio.

Y ya para dejarlo ya estupendo lo que os recomiendo es que volváis a la configuración del plugin de HTTPS y le digáis Force SSL Administration, así siempre entrará con https y dejará ya de atender a http.

Y ahora queda lo más laborioso es buscar todos los enlaces absolutos que pueda haber en el WordPress y cambiar el http:// por // siempre por //, no por https:// y de aquí en el futuro acostumbraros a poner // y no https://, seréis mucho más felices y os ahorraréis muchísimo trabajo.

—MÚSICA—

 

Espero que con el programa de hoy haya quedado un poco más claro eso del https y el WordPress, no es complicado, pero si hay que tener cuidado.

Música del grupo Fodiator del álbum No Reasons que podéis descargar desde Free Music Archive y que se distribuye como licencia Creative Commons.

Recordad que os podéis suscribir tanto en radiowordpress.com como en spreaker, en ivoox, en itunes, y un montón de sitios más que han entrado a formar parte de la red de distribución de este podcast.

Y como siempre un placer, nos vemos.
[/showhide]