En julio de 2018, Google Chrome comenzó a marcar todos los sitios que no son HTTPS como «No seguros», independientemente de si recopilan datos. Desde entonces, el HTTPS es más importante que nunca.

En el post de hoy, nos sumergiremos en la migración de HTTP a HTTPS y compartiremos consejos prácticos para que la transición de tu sitio de WordPress sea lo más suave posible. Para los propietarios de sitios de WordPress, siempre es bueno ser proactivo.

Debido a los nuevos protocolos web, los beneficios de SEO y los datos de referencia más precisos, nunca ha habido un mejor momento para migrar tu sitio de WordPress a HTTPS. Descubre más del por qué y del cómo a continuación.

¿Qué es el HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) es un mecanismo que permite a tu navegador o aplicación web conectarse con un sitio web de forma segura. HTTPS es una de las medidas que ayudan a mantener tu navegación segura.

Esto incluye el inicio de sesión en tu sitio web bancario, la captura de información de la tarjeta de crédito e incluso el inicio de sesión en el back end de tu sitio de WordPress. El HTTPS en tu sitio web de WordPress requiere que tengas un certificado SSL para la encriptación. Esto garantiza que ningún dato se transmita en texto plano.

Según Builtwith, en marzo de 2022, el 73,08% de los 10.000 principales sitios web utilizan HTTPS. Esto supone un aumento el 49,8% respecto a febrero de 2018:

Uso de HTTPS en algunos de los principales sitios web
Uso de HTTPS en los principales sitios web

En mayo de 2022, MozCast informa de que más del 98,9% de las consultas de búsqueda se realizan a través de HTTPS, frente al 26% de enero de 2016. Esto sugiere que muchos sitios están migrando de HTTP a HTTPS.

¿Necesitas dar el paso de HTTP ➡️ a HTTPS? ¡Esta guía está aquí para ayudarte! 🚀Clic para Tuitear

Incluso Google está trabajando para conseguir el 100% de encriptación en sus productos y servicios. En mayo de 2022, alrededor del 95% del tráfico de Google se realiza a través de HTTPS, frente al 48% de diciembre de 2013.

Consultas HTTPS de MozCast
Consultas HTTPS de MozCast

Según los datos de telemetría de Firefox y las estadísticas de Let’s Encrypt, más del 78% de las cargas de páginas son ahora HTTPS.

¿Por Qué Debería Importarte el HTTPS?

Hay bastantes razones por las que los administradores de sitios web de WordPress deberían preocuparse por el HTTPS y pensar en migrar de HTTP a HTTPS ahora y no más adelante.

1. Seguridad

Por supuesto, la mayor razón para el HTTPS es la seguridad añadida. Ahora estás sirviendo tu sitio web a través de una conexión SSL/TLS encriptada al migrar de HTTP a HTTPS. Esto significa que los datos y la información ya no se transmiten en texto plano. Para los sitios de comercio electrónico que procesan información de tarjetas de crédito, esto es imprescindible. No es técnicamente obligatorio por ley, pero es tu responsabilidad como empresa proteger los datos de tus clientes.

Esto también se aplica a tus páginas de inicio de sesión o blogs de WordPress. Si ejecutas sitios web de WordPress de varios autores a través de HTTP, cada vez que una persona se conecta, esa información se pasa al servidor en texto plano. HTTPS es vital para mantener una conexión segura del sitio web y del navegador. De este modo, puedes evitar que los hackers accedan a tu sitio web.

2. SEO

Google ha dicho oficialmente que HTTPS es un factor de posicionamiento. Aunque es sólo un pequeño factor de posicionamiento, la mayoría probablemente aprovechará cualquier ventaja que pueda obtener en las SERP para superar a sus competidores.

Debido a la presión de Google para que todo el mundo redirija HTTP a HTTPS, puedes apostar que el peso de este factor de posicionamiento probablemente aumentará en el futuro. Un estudio de Semrush ha descubierto que el 98% del contenido de los Snippet Destacados con mejor rendimiento en Google utiliza HTTPS.

3. Confianza y Credibilidad

Según estudios recientes, la mayoría de los usuarios de Internet están preocupados por la interceptación o el uso indebido de sus datos online.

HTTPS puede ayudar a tu negocio creando lo que llamamos confianza SSL. Al ver ese icono del candado junto a tu URL, los clientes tendrán más tranquilidad al saber que sus datos están más seguros.

4. Datos de Referencia

Esta razón es para todos los profesionales del marketing. Si utilizas Google Analytics, probablemente estés familiarizado con los datos de referencia. Mucha gente no se da cuenta de que los datos de referencia de HTTPS a HTTP están bloqueados en Google Analytics. Entonces, ¿qué ocurre con los datos? La mayor parte se agrupa en la sección de «tráfico directo». El referrer aún se pasa si alguien pasa de HTTP a HTTPS.

Esto también es importante porque si tu tráfico de referencia ha bajado de repente, pero el tráfico directo ha subido, podría significar que uno de tus mayores referrers ha migrado recientemente a HTTPS. También es cierto lo contrario.

5. Advertencias de Chrome

Desde 2018, las versiones de Chrome 68 y superiores marcan todos los sitios que no son HTTPS como «No seguros», aunque no recojan datos:

Conexión no segura en Chrome
Conexión no segura en Chrome

En 2021, el navegador empezó a utilizar por defecto el protocolo HTTPS para las URLs incompletas. Por ejemplo, si un usuario escribe «dominio.com», Chrome utilizará automáticamente «https://domain.com» Si el HTTPS falla porque carece de SSL/TLS, volverá a HTTP.

Chrome tiene más del 77% de la cuota de mercado de los navegadores, así que esto afectará a muchos de tus visitantes. También puedes comprobar qué navegadores utilizan tus visitantes en Google Analytics en Audiencia > Tecnología > Navegador y SO:

Cuota del navegador de Google Analytics
Comprobar los navegadores en Google Analytics

Google está dejando claro a los visitantes que tu sitio web de WordPress podría no funcionar con una conexión segura. Aquí tienes algunos consejos de Google sobre cómo evitar la advertencia.

Firefox también siguió su ejemplo con el lanzamiento de Firefox 51 en 2017, mostrando un candado gris con una línea roja para los sitios no seguros que recogen contraseñas. Por supuesto, si migras todo tu sitio a HTTPS, no tendrás que preocuparte por esto:

Conexión no privada
Conexión no privada

También es posible que empieces a recibir las siguientes advertencias de Google Search Console si aún no has migrado a HTTPS:

Para: propietario de http://www.domain.com

Las siguientes URLs incluyen campos de entrada de contraseñas o datos de tarjetas de crédito que activarán la nueva advertencia de Chrome. Revisa estos ejemplos para ver dónde aparecerán estas advertencias, y podrás tomar medidas para ayudar a proteger los datos de los usuarios. La lista no es exhaustiva.

http://www.domain.com

La nueva advertencia es la primera etapa de un plan a largo plazo para marcar todas las páginas servidas a través del protocolo HTTP no cifrado como «No seguras».

6. Rendimiento

Por último, pero no menos importante, tenemos el rendimiento. Gracias a un protocolo llamado HTTP/2, quienes ejecutan sitios correctamente optimizados a través de HTTPS pueden ver a menudo mejoras en la velocidad.

HTTP/2 requiere HTTPS debido a la compatibilidad con los navegadores. La mejora del rendimiento se debe a varias razones, como que HTTP/2 es capaz de soportar una mejor multiplexación, paralelismo, compresión HPACK con codificación Huffman, la extensión ALPN y el empuje del servidor. Antes había bastante sobrecarga de TLS en HTTPS, pero ahora es mucho menor.

También ha salido TLS 1.3, que acelera aún más las conexiones HTTPS Kinsta soporta TLS 1.3 en todos nuestros servidores y en nuestra CDN Kinsta.

También es importante tener en cuenta que las optimizaciones de rendimiento web, como la fragmentación de dominios y la concatenación, pueden perjudicar tu rendimiento. Ahora son obsoletas y, en su mayoría, ya no deberían utilizarse.

Todo en la web debería estar encriptado por defecto.Jeff Atwood, cofundador de Stack Overflow

Guía de Migración de HTTP a HTTPS

Es hora de pasar a la parte divertida: migrar tu sitio de WordPress de HTTP a HTTPS. Repasemos primero algunos de los requisitos básicos, además de algunas cosas a tener en cuenta.

  • Necesitarás un certificado SSL. Más adelante hablaremos con más detalle de esto.
  • Comprueba que tu host de WordPress y tu proveedor de CDN soportan HTTP/2. Kinsta tiene soporte para HTTP/2 para todos nuestros clientes. No es obligatorio, pero lo querrás por su rendimiento.
  • Deberás reservar un tiempo considerable para redirigir HTTP a HTTPS. La migración no es algo que se pueda hacer en 5 minutos.
  • Comprueba dos veces que todos los servicios y scripts externos que utilizas tienen una versión HTTPS disponible.
  • Es importante saber que perderás los recuentos de acciones sociales en todas tus publicaciones y páginas, a menos que utilices un plugin que admita la recuperación de acciones. Esto se debe a que tus recuentos de acciones se basan en una API que mira la versión HTTP, y no tienes control sobre las redes sociales de terceros.
  • Dependiendo del tamaño de tu sitio, Google puede tardar un tiempo en volver a rastrear todas tus nuevas páginas y entradas HTTPS. Durante este periodo, podrías ver variaciones en el tráfico o en las clasificaciones.
  • No te olvides de las citas locales.

Recomendamos desactivar la integración de tu CDN y desactivar cualquier plugin de caché antes de empezar, ya que pueden complicar las cosas.

1. Elegir un Certificado SSL

Lo primero que tendrás que hacer es comprar un certificado SSL si no tienes uno. Hay tres tipos principales de certificados entre los que puedes elegir:

  • Validación del dominio: Dominio único o subdominio (validación de correo electrónico o DNS), emitido en cuestión de minutos. Normalmente se pueden comprar por tan sólo 9 dólares al año.
  • Validación de empresa/organización: Un solo dominio o subdominio requiere una verificación empresarial que proporciona un mayor nivel de seguridad/confianza, emitida en un plazo de 1 a 3 días.
  • Validación ampliada: Un solo dominio o subdominio requiere una verificación empresarial que proporciona un mayor nivel de seguridad/confianza, emitida en un plazo de 2 a 7 días.

En Kinsta, proporcionamos SSL de Cloudflare gratuitos para todos los sitios a través de nuestra integración con Cloudflare. Nuestros SSL de Cloudflare se emiten automáticamente después de configurar un dominio en MyKinsta, ¡e incluso vienen con soporte de dominios wildcard!

Google recomienda utilizar un certificado con clave de 2048 bits o superior. Puedes comprar certificados de Comodo, DigiCert, GeoTrust, Thawte, Rapid SSL o Trustwave. También hay alternativas más baratas como GoGetSSL, Namecheap y GoDaddy.

Encriptemos

Let’s Encrypt también ofrece una forma de obtener certificados SSL gratuitos. Comprueba con tu proveedor de alojamiento y CDN de WordPress si tienen una integración con Let’s Encrypt. También puedes seguir la guía de Certbot sobre cómo instalarlos manualmente. Los certificados de Let’s Encrypt caducan cada 90 días, por lo que es esencial tener un sistema automatizado.

2. Instalación de un Certificado SSL Personalizado

Si has comprado un certificado SSL, tienes que instalarlo en tu sitio de WordPress. Se te pedirá que proporciones el tipo de servidor cuando vayas a configurar el certificado con el proveedor. Si eres cliente de Kinsta, nuestros servidores web son Nginx. Si esa opción no está disponible, entonces la opción Otra también funcionará.

El proveedor de SSL necesitará un código CSR para crear/firmar el archivo del certificado. Para generar un código CSR y una clave RSA, rellena el siguiente formulario: https://www.ssl.com/online-csr-and-key-generator/.

Recomendamos rellenar todos los campos, pero como mínimo, debes rellenar los siguientes (como se ve en la captura de pantalla de abajo):

  • Nombre común (nombre de dominio)
  • Dirección de correo electrónico
  • Organización
  • Ciudad / Localidad
  • Estado / Condado / Región
  • País

Nota: Para el campo de nombre común, si estás generando un certificado wildcard, tendrás que introducir tu nombre de dominio como *.dominio.com.

Ir a generar un formulario CSR
Formulario de generación de CSR

El formulario generará tu archivo de clave privada y el CSR. Asegúrate de guardar ambos, ya que el certificado será inutilizable sin ellos:

CSR y clave privada
CSR y clave privada

A continuación, carga tu CSR con tu proveedor de SSL para regenerar tu certificado SSL (.cert).

A continuación, tendrás que ir a tu host de WordPress y darles el certificado y la clave privada. Si eres cliente de Kinsta, puedes entrar en el panel de control y hacer clic en un sitio. A continuación, ve a la pestaña de Dominios y selecciona tu dominio, seguido del botón de SSL personalizado:

Añadir SSL personalizado
Añadir SSL personalizado

A continuación, podrás añadir tu clave privada y tu certificado allí mismo:

Añadir clave privada
Añadir clave privada

Cuando hayas terminado, selecciona Añadir certificado para guardar los cambios.

3. Verificar tu Certificado SSL

Ahora que tienes tu certificado SSL instalado, tendrás que verificarlo para asegurarte de que todo está configurado correctamente. Una forma rápida y sencilla de hacerlo es utilizar la herramienta de comprobación SSL gratuita de Qualys SSL Labs. Si todo es correcto, deberías obtener una calificación de A en la prueba, como se muestra a continuación:

Comprobar la calificación del certificado SSL
Comprobar la calificación del certificado SSL

Consulta nuestro tutorial más detallado sobre cómo realizar una comprobación de SSL.

4. Redirigir HTTP a HTTPS

Después de haber verificado tu certificado SSL, debes redirigir todo el tráfico HTTP a HTTPS de forma permanente. Hay un par de opciones para redirigir HTTP a HTTPS en WordPress.

Si eres cliente de Kinsta, el método más sencillo es utilizar nuestra herramienta Forzar HTTPS. Esto te permite redirigir automáticamente el tráfico HTTP a HTTPS con solo unos clics a nivel de servidor. También puedes hacerlo manualmente en la configuración de tu servidor web o con un plugin gratuito de WordPress.

Nota: Todos nuestros ejemplos incluyen una directiva de redirección 301, que es el modo correcto de implementarla para el SEO. Utilizar un tipo de redirección diferente podría perjudicar tu posicionamiento. También es esencial ser consciente de que las redirecciones 301 pueden no pasar el 100% del link juice, aunque Google diga que lo hacen. Consulta este post de Cyrus en Moz sobre las migraciones HTTPS y las redirecciones 301.

Opción 1: Redirigir HTTP a HTTPS en MyKinsta

Si eres usuario de Kinsta, puedes redirigir fácilmente HTTP a HTTPS utilizando MyKinsta. Esta es una excelente opción ya que elimina la necesidad de instalar un plugin en tu sitio.

Para empezar, entra en el panel de MyKinsta, navega por tu sitio y haz clic en Herramientas.

A continuación, selecciona el botón Activar en Forzar HTTPS:

Herramienta para forzar la redirección HTTPS
Herramienta para forzar la redirección HTTPS

Puedes utilizar tu dominio principal como destino o el dominio alternativo solicitado. A continuación, haz clic en Forzar HTTPS:

Forzar opciones HTTPS
Forzar opciones HTTPS

Si tenías configuradas reglas HTTPS personalizadas o utilizabas proxies de terceros, es posible que te encuentres con algunos problemas al forzar el HTTPS. Si te encuentras con algún error, puedes desactivar el forzado de HTTPS, y luego contactar con el soporte de Kinsta para que te ayude.

Opción 2: Redirigir HTTP a HTTPS en Nginx

Si tu servidor web ejecuta Nginx, puedes redirigir fácilmente HTTP a HTTPS añadiendo el siguiente código a tu archivo de configuración de Nginx:

server {

listen 80;

server_name domain.com www.domain.com;

return 301 https://domain.com$request_uri;

}

Este es el método recomendado para redirigir WordPress con Nginx.

Redirigir HTTP a HTTPS en Apache

Si tu servidor web funciona con Apache, puedes redirigir todo el tráfico HTTP a HTTPS añadiendo el siguiente código a tu archivo .htaccess:

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Este es el método recomendado para redirigir WordPress que funciona con Apache.

Ninguno de los servidores de Kinsta ejecuta Apache.

Opción 3: Redirigir HTTP a HTTPS con el Plugin Really Simple SSL

La tercera opción que tienes para redirigir de HTTP a HTTPS es utilizar el plugin gratuito WordPress Really Simple SSL:

Plugin Really Simple SSL
Really Simple SSL

No recomendamos este método como solución permanente porque los plugins de terceros pueden introducir otra capa de problemas y cuestiones de compatibilidad. Es una buena solución temporal, pero debes actualizar tus enlaces HTTP codificados, como te mostraremos en el siguiente paso.

Implementar el encabezado HSTS (opcional)

HSTS (HTTP Strict Transport Security) es una cabecera de seguridad que se añade a tu servidor web y que obliga al navegador a utilizar conexiones seguras cuando un sitio se ejecuta a través de HTTPS. Esto puede ayudar a prevenir los ataques man-in-the-middle (MitM) y el secuestro de cookies. Puedes utilizar las redirecciones 301 anteriores con la cabecera HSTS. Consulta nuestro artículo en profundidad sobre cómo añadir HSTS.

5. Comprueba si Hay Demasiadas Redirecciones

Después de añadir una redirección de HTTP a HTTPS, debes volver a comprobar que no tienes demasiadas redirecciones. Este problema es bastante común y puede afectar a la velocidad de tu sitio de WordPress. Puedes utilizar la herramienta Redirect mapper de Patrick Sexton para ver rápidamente cuántas redirecciones tienes en tu sitio.

A continuación verás un ejemplo de redirecciones que se han configurado incorrectamente. Esto es fácilmente detectable al utilizar el mapeador de redirecciones:

Redirecciones mal configuradas
Redirecciones mal configuradas

Puedes ver que hay redirecciones HTTPS duplicadas tanto en la versión www como en la no www.

A continuación se muestra un ejemplo de redirecciones configuradas correctamente:

Redirecciones configuradas correctamente
Redirecciones configuradas correctamente

Como puedes ver, sólo hay una redirección. Consulta nuestro post en profundidad sobre las redirecciones en WordPress y las mejores prácticas para un rendimiento más rápido.

6. Actualizar los Enlaces HTTP Codificados

Ahora que tienes redirecciones, es el momento de arreglar todas esas URLs HTTP codificadas. En general, no se recomienda codificar las URLs. Sin embargo, con el tiempo, lo más probable es que lo hagas (todos lo hacemos). A continuación te ofrecemos algunas opciones para actualizar tus enlaces HTTP a HTTPS.

Opción 1: Herramienta de Búscar y Reemplazar de Kinsta

Si eres cliente de Kinsta, tenemos una herramienta de buscar y reemplazar fácil de usar en nuestro panel de control MyKinsta:

Herramienta de buscar y reemplazar de Kinsta
Herramienta de buscar y reemplazar de Kinsta

Aquí tienes unos sencillos pasos para actualizar de HTTP a HTTPS las URLs:

  1. Introduce en el campo de buscar el valor que quieres buscar en la base de datos, que en este caso es nuestro dominio HTTP: http://kinstalife.com.
  2. Introduce en el campo de reemplazar el nuevo valor que se utilizará para sustituir el valor que buscas. En este caso, es nuestro dominio HTTPS, https://kinstalife.com.
  3. Haz clic en el botón Reemplazar para iniciar el proceso de buscar y reemplazar.
Opciones de búsqueda y reemplazo
Opciones de búsqueda y reemplazo

Consulta nuestro tutorial sobre buscar y reemplazar, o haz clic en la guía de vídeo que aparece a continuación para obtener más detalles.

Opción 2: Plugin Better Search Replace

Otra herramienta sencilla que puedes utilizar es un plugin gratuito llamado Better Search Replace del equipo de WordPress de Delicious Brains:

Opciones de la herramienta Better search replace
Opciones de la herramienta Better search replace

El plugin es de uso gratuito. Una vez instalado y activado en tu sitio, puedes ir a Herramientas > Better Search Replace para empezar a utilizarlo.

Opción 3: interconnect/it Search Replace DB PHP Script

Una tercera opción para ejecutar buscar y reemplazar en WordPress es utilizar un script PHP gratuito de interconnect/it llamado Search Replace DB. Es una de nuestras herramientas favoritas para cualquier migración de HTTP a HTTPS.

¡Importante! El uso de este script puede romper tu sitio web de WordPress si no sabes lo que estás haciendo. Si no te sientes cómodo haciendo esto, por favor, consulta primero con un desarrollador o con tu proveedor de alojamiento web.

Para utilizar el script, simplemente descarga el archivo zip, extrae la carpeta llamada search-replace-db-master, y cámbiale el nombre por otro. En nuestro ejemplo, la hemos renombrado como update-db-1551. A continuación, súbelo al directorio público de tu servidor web mediante FTP, SFTP o SCP. Normalmente es el mismo directorio que contiene tu carpeta /wp-content.

A continuación, navega hasta tu carpeta secreta en tu navegador, como por ejemplo https://domain.com/update-db-1551:

Script Interconnect search and replace
Script Interconnect search and replace

El script intentará encontrar y rellenar automáticamente el campo de la base de datos, pero debes comprobar que los datos son correctos y que se trata de la base de datos en la que deseas realizar una operación de buscar/reemplazar. Puedes hacer clic en Dry Run primero para ver lo que va a actualizar/reemplazar. Luego, cuando estés preparado, haz clic en Live Run, que realizará las actualizaciones de la base de datos y del proceso para buscar y reemplazar en WordPress.

Un ejemplo de migración HTTPS sería sustituir «http://yourdomain.com» por «https://yourdomain.com».

Captura de pantalla de las opciones de Buscar y reemplazar
Opciones de buscar y reemplazar

Por razones de seguridad, también es crucial que borres este script cuando hayas terminado. Puedes hacer clic en el botón Borrarme. Si no lo haces, podría dejar tu sitio web expuesto a ataques.

También se recomienda comprobar dos veces en tu servidor web y confirmar que la carpeta/script se ha eliminado completamente. Nota: Este script actualizará todas las entradas de tu base de datos, incluyendo la URL de tu sitio WordPress, los enlaces codificados en páginas y entradas, etc.

Si has codificado tu página de inicio, sitio o áreas de contenido de WP en tu archivo wp-config.php, asegúrate de actualizarlos a HTTPS:

define('WP_HOME', 'https://yourdomain.com');

define('WP_SITEURL', 'https://yourdomain.com');

define( 'WP_CONTENT_URL', 'https://yourdomain.com/wp-content' );

Si tienes una CDN y utilizas un CNAME, como cdn.dominio.com, probablemente también querrás ejecutar el script anterior una segunda vez para buscar cualquier URL codificada en http://cdn.domain.com y sustituirla por https://cdn.domain.com.

Opción 4: Buscar y Reemplazar con WP-CLI

Para los más expertos en tecnología y desarrolladores que no quieren dejar la línea de comandos, también puedes actualizar tus enlaces usando WP-CLI. Recomendamos revisar esta guía de buscar y reemplazar avanzada de WP-CLI.

7. Actualizar Scripts Personalizados y Bibliotecas Externas

Ahora que tienes tus antiguas URLs codificadas, querrás comprobar los scripts personalizados o las librerías externas que puedas haber añadido a tu cabecera, pie de página, etc. Esto podría incluir Google jQuery, Font Awesome, CrazyEgg, AdRoll, Facebook, Hotjar, etc.

En el caso de Google jQuery, simplemente debes actualizarlo para que apunte a la versión HTTPS:

<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js"></script>

Todos los proveedores y servicios deberían tener una versión HTTPS a la que puedas cambiar.

8. Migrar la CDN de HTTP a HTTPS

A continuación, si estás usando una CDN, también querrás migrarla a HTTPS. De lo contrario, te encontrarás con problemas de advertencias de contenido mixto en tu sitio de WordPress. Si estás usando la CDN de Kinsta, puedes omitir este paso, ya que todo se ejecuta desde nuestra CDN de Cloudflare sobre HTTPS por defecto.

Alternativas a Cloudflare CDN

Hay muchas opciones si buscas una alternativa a la CDN de Cloudflare. Una de las más populares es KeyCDN.

Esta CDN de alto rendimiento acelera la entrega del contenido de tu sitio web a los visitantes al almacenarlo en caché en servidores de todo el mundo. También proporciona seguridad y protección contra ataques DDoS y otras amenazas.

Otras dos opciones son Amazon CloudFront, que forma parte de Amazon Web Services (AWS), y Sucuri, que ayuda a optimizar el rendimiento y la velocidad del sitio web. Viene con una amplia gama de funciones de seguridad.

Aquí tienes algunos enlaces y tutoriales útiles sobre la instalación y configuración de SSL para diferentes proveedores de CDN de terceros.

Nota: Algunos incluso tienen una integración con Let’s Encrypt, lo que significa que el SSL es gratuito. Si tienes problemas, siempre puedes consultar a tu proveedor de CDN para que te ayude con la migración de HTTP a HTTPS.

Una vez que tengas el CDN actualizado, deberás asegurarte de actualizarlo en cualquier plugin de WordPress que utilices para la integración. En el siguiente ejemplo, utilizamos CDN Enabler:

Configuración de CDN Enabler
Cambiar CDN a HTTPS

Cambiamos la URL sobre HTTP a HTTPS, y luego activamos la opción CDN HTTPS en la parte inferior. Cuando hayas terminado, selecciona el botón Guardar Cambios.

9. Comprueba Si Tu Sitio Web Tiene Advertencias De Contenido Mixto

A continuación, tendrás que comprobar tu sitio de WordPress para asegurarte de que no estás recibiendo advertencias de contenido mixto. Estas advertencias aparecen cuando se cargan scripts o contenidos HTTPS y HTTP. No se pueden cargar ambos.

Cuando migras a HTTPS, todo tiene que funcionar sobre HTTPS. Wired documentó su transición de HTTP a HTTPS y un inconveniente con el que se encontraron:

uno de los mayores retos de pasar a HTTPS es preparar todo nuestro contenido para que se entregue a través de conexiones seguras. Si una página se carga a través de HTTPS, todos los demás activos (como las imágenes y los archivos Javascript) deben cargarse también a través de HTTPS. Estamos viendo un gran volumen de informes sobre estos problemas de «contenido mixto», o eventos en los que un activo inseguro, HTTP, se carga en el contexto de una página segura, HTTPS. Para hacer nuestro despliegue correctamente, necesitamos asegurarnos de que tenemos menos problemas de contenido mixto, que estamos entregando la mayor cantidad de contenido de WIRED.com de forma segura.

A continuación se muestran algunos ejemplos de lo que ocurre en los navegadores si no se solucionan estas advertencias.

Ejemplo de Advertencia de Contenido Mixto en Chrome

Este es un ejemplo de lo que ocurre en Chrome cuando se dispara una advertencia de contenido mixto:

Advertencia de contenido mixto en Chrome
Advertencia de contenido mixto en Chrome

Ejemplo de Advertencia de Contenido Mixto en Firefox

Este es un ejemplo de lo que ocurre en Firefox cuando se dispara una advertencia de contenido mixto:

Advertencia de contenido mixto en Firefox
Advertencia de contenido mixto en Firefox

Ejemplo de Advertencia de Contenido Mixto de Internet Explorer

Este es un ejemplo de lo que ocurre en Internet Explorer cuando se dispara una advertencia de contenido mixto:

Aviso de contenido mixto de IE
Aviso de contenido mixto de IE

Como puedes ver, IE es probablemente uno de los peores porque interrumpe la representación de la página hasta que se hace clic en la ventana emergente.

Hay una pequeña herramienta gratuita llamada SSL Check de JitBit, que puedes ejecutar para escanear rápidamente tu sitio web o URL en busca de contenido no seguro. La herramienta rastreará tu sitio WordPress HTTPS y buscará imágenes, scripts y archivos CSS no seguros que activarán un mensaje de advertencia en los navegadores. El número de páginas rastreadas está limitado a 200 por sitio web.

También puedes utilizar Chrome DevTools para comprobar rápidamente cualquier página mirando el panel de solicitudes de red. El panel de seguridad también es bastante útil. Puedes ver inmediatamente cualquier origen no seguro y luego hacer clic en las Peticiones para ver de qué proceden:

Comprobar HTTPS en Chrome Devtools
Comprobar HTTPS en Chrome Devtools

También hay un software de escritorio llamado HTTPS Checker que puedes instalar para escanear tu sitio:

Instalar el software de comprobación HTTPS
Software de comprobación de HTTPS

Después de realizar cambios significativos, puede ayudarte a comprobar los avisos de «no seguro» y el contenido. Está disponible en Windows, Mac y Ubuntu. El plan gratuito te permite comprobar hasta 100 páginas.

10. Actualizar el Perfil de Google Search Console

Ahora que tienes tu sitio de WordPress funcionando en HTTPS (esperemos que no haya advertencias), es el momento de sumergirse en la parte de marketing. Algunos de estos aspectos son muy importantes, ¡así que no te los saltes!

Primero querrás crear un nuevo perfil de Google Search Console para la versión HTTPS.

Añadir propiedad HTTPS en GSC
Añadir propiedad HTTPS en GSC

Después de haber creado la nueva versión HTTPS, deberás volver a enviar tus archivos de mapa del sitio. Las nuevas versiones HTTPS:

Archivo de sitemap HTTPS
Archivo de sitemap HTTPS

Tendrás que volver a enviar esto si tienes un archivo de disavow por backlinks malos o una penalización. Podrías dañar permanentemente tu sitio si no lo haces ahora.

Ve a la Herramienta Disavow de Google y haz clic en tu perfil HTTP original. Descarga el archivo disavow si existe. A continuación, vuelve a la herramienta y envía tu archivo disavow bajo la versión HTTPS.

Nota: Después de hacer todo esto, puedes eliminar con seguridad el perfil HTTP en Google Search Console.

11. Bing Webmaster Tools

Bing Webmaster Tools es un poco diferente a Google Search Console:

Bing Webmaster Tools HTTPS
Bing Webmaster Tools HTTPS

No necesitas crear un nuevo perfil HTTPS. En su lugar, simplemente puedes enviar tu sitemap HTTPS recién creado.

12. Google Analytics

A continuación, debes actualizar la propiedad de Google Analytics y la vista. Esto no afectará a tus datos de análisis: simplemente te ayudará a la hora de vincular tu sitio a Google Search Console, etc.

Para actualizar tu propiedad, haz clic en la configuración de la propiedad de tu dominio y, en la URL por defecto, cámbiala por la versión HTTPS://:

Actualizar la propiedad de Google Analytics a HTTPS
Actualizar la propiedad de Google Analytics a HTTPS

Para actualizar tu vista, haz clic en la configuración de la vista de tu dominio. En la URL del sitio web, cámbiala por la versión HTTPS://:

Actualizar la vista de Google Analytics a HTTPS
Actualizar la vista de Google Analytics a HTTPS
Enlaza Google Analytics con GSC
Enlaza Google Analytics con GSC

También tendrás que volver a vincular el perfil de Google Search Console que acabas de crear en el paso 8 con tu cuenta de Google Analytics. Para ello, haz clic en la configuración de propiedades de tu dominio y selecciona Ajustar Search Console:

A continuación, puedes vincular tu nuevo perfil HTTPS de GSC. La vinculación de estos perfiles permite que los datos de las consultas de búsqueda fluyan hacia tu cuenta de Google Analytics.

13. Canal de YouTube

Si tienes un canal de YouTube, deberás volver a asociar tu sitio web con tu nueva versión HTTPS en Google Search Console. De lo contrario, recibirás errores con anotaciones y otros mensajes sobre que el enlace HTTPS no es válido.

En tu panel de control de YouTube, haz clic en tu canal y luego en Avanzado. A continuación, cambia tu dominio a la nueva versión HTTPS y haz clic en Añadir. Puede que tengas que eliminar el antiguo y volver a añadirlo. A continuación, tendrás que aprobarlo entrando en Google Search Console, navegando en tus mensajes para ese sitio y seleccionando Aprobar.

14. Varios

¡Eso es todo cuando se trata de su migración de HTTP a HTTPS! Aquí hay algunos otros elementos variados que deberás actualizar también. Algunos de estos pueden o no aplicarse dependiendo de lo que utilices.

  • Asegúrate de que tu robots.txt es accesible y funciona.
  • Asegúrate de que cualquier etiqueta canónica apunte a la versión HTTPS (esto ya debería haberse hecho si has seguido el paso 4 anterior).
  • Si utilizas un plugin de comentarios como Disqus, debes migrar tus comentarios de Disqus de HTTP a HTTPS.
  • Actualiza tus URLs en tu software de Email Marketing
  • Actualiza las URL de los anuncios PPC: AdWords, Bing Ads, AdRoll, Facebook Ads, etc.
  • Actualiza los enlaces de las redes sociales (página de Facebook, biografía de Twitter, Pinterest, Google+, etc.)
Actualizar tu sitio de HTTP a HTTPS nunca ha sido tan fácil, gracias a esta guía ✅Clic para Tuitear

Resumen

HTTPS no es sólo un factor de posicionamiento de Google. Es un protocolo de seguridad vital que ayuda a mantener tu sitio web y tus visitantes a salvo de ataques.

Si has estado posponiendo el cambio a HTTPS, espero que este artículo te haya dado finalmente algún incentivo para dar el paso. ¿Estás preparado para dar el paso? Si necesitas ayuda en el camino, nuestro equipo de expertos estará encantado de ayudarte.

¿Tienes alguna pregunta sobre la migración de HTTP a HTTPS? Háznoslo saber en la sección de comentarios más abajo.

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.