En este post te explicaré cómo convertir tu WordPress a HTTPS con Let’s Encrypt, un método con el que podrás hacerlo en apenas un clic, sin necesidad de aplicar técnicas complicadas.

En primer lugar, vamos a ver qué significa eso de HTTPS y por qué es bueno que conviertas tu blog de WordPress a dicho protocolo.

Recuerda que con Blogpocket, el blogging es fácil

¿Qué es el protocolo HTTPS

Según Wikipedia, Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de HTTP.

Es utilizado principalmente por entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales y/o contraseñas.

Pero yo tengo un simple blog, no soy una tienda ni nada por el estilo, ¿por qué necesito convertirlo a HTTPS?

¿Por qué deberías convertir tu WordPress a HTPTS?

Normalmente, hasta ahora, se accede a casi todos los blogs con HTTP porque esa es la opción que ofrecen por defecto la inmensa mayoría de los proveedores de alojamiento Web.

Sin embargo, desde hace dos años, Google considera el acceso mediante HTTPS como un factor de posicionamientoy cada vez va a tener más importancia que tu sitio sea accesible mediante HTTPS.

Vale, cuéntame cómo convertir tu WordPress a HTTPS

Vamos al grano.

Pero primero, ten en cuenta que el protocolo HTTPS y los certificados de autoría son incompatibles con algunas características de tu blog. Un caso es CloudFlare y te hablaré de ello a continuación.

Pero también debe tener cuidado con otras configuraciones. Aparte de las que se citan en los pasos que vienen más adelante, si usas Open Graph es posible que el botón de compartir en Facebook deje de funcionar, ya que la propiedad og:image no se admite para url’s con “https”. En su lugar, debes emplear la propiedad “og:image:secure_url. Más info: Open graph / og image not working when using Facebook share. Algunos plugins, como SEO by Yoast usan “og:image” por lo que habrá que pensar en una alternativa si es que quieres que open graph funcione correctamente.

1. Pon en pausa CloudFlare

Lo primero es pausar la conexión a CloudFlare de tu blog, si es que utilizas ese CDN como mecanismo para optimizar el rendimiento y la seguridad. ¿No usas CloudFlare? Pues te lo recomiendo absolutamente.

Ten en cuenta que la versión gratuita no admite la configuración SSL, por lo que, en este caso y para poder seguir disfrutando de las ventajas de CloudFlare, debes comprar CloudFlare Pro.

Si no vas a adquirir CLoufFlare Pro y quieres seguir adelante con la instalación del certificado SSL, desactiva y borra el plugin de WordPress CloudFlare. A continuación, desconecta tu blog de CloudFlare desactivando esta opción, entrando en CloudFlare o desde el panel de SiteGround (Hosting > Información y configuración > CDN CloudFlare > botón “Administrar”).

2. Instala el certificado del protocolo HTTPS con Let’s Encrypt

Muy pocos proveedores de hosting proporcionan Let’s Encrypt para instalar el certificado del protocolo HTTPS con un clic, lo que supone cero esfuerzo. Uno de ellos es SiteGround.

En caso de carecer de esa función tan útil, mírate esta documentación: Guía de usuario de Let´s Encrypt.

Para instalar el certificado de autoría de Let’s Encrypt, entra en CPanel, busca el icono de Let’s Encrypt dentro del apartado de Seguridad y haz clic en él. Eso abrirá la página correspondiente a Let’s Encrypt. Elige el dominio donde quieres instalar HTTPS y haz clic en “Instalar”.

Aunque la fecha de fin de la validez del certificado, que verás tras la instalación, indica tres meses, al parecer la renovación es automática. De todas formas, recuerda comprobarlo.

3. Instala el plugin Really Simple SSL

El plugin Really Simple SSL realiza tres configuraciones en tu blog de WordPress:

  • Modificación del archivo wp-config.php para forzar el acceso HTTPS al login y panel de administración.
  • Modificación del arhivo .htaccess para implementar las redirecciones adecuadas. Cuando se teclee la URL del blog con HTTP se redirigirá a la URL con HTTPS.
  • Modificación de las URLS de la dirección WordPress y del sitio: de HTTP a HTTPS.

Instálalo, actívalo y ajústalo de la siguiente forma (tendrás que entrar otra vez en el panel de administración de WordPress):

Entra en la configuración del plugin y deja solo activada la casilla “Auto replace mixed content”.

Fíjate en la parte superior del panel de administración de WordPress cuando finalice la instalación del plugin o si llevas a cabo algún cambio en su configuración. Ahí se muestran las alarmas con posibles errores.

Por ejemplo, si usas el plugin SEO by Yoast (¿no lo usas?: pues es otro de los plugins esenciales que deberías añadir a tu kit), el plugin Really Simple SSL te advertirá de posibles incompatibilidades y dónde debes actuar para corregirlas.

4. Desactiva la opción de SSL en el plugin iThemes Security

Otro de tus plugins esenciales debe ser iThemes Security, con el que cubrirás todos los aspectos de seguridad relacionados con tu blog.

Pero dicho plugin de seguridad posee una opción de SSL que puede ser incompatible con el certificado y la configuración realizada por Let’s Encrypt y Really Simple SSL. Así que te aconsejo que desactives la opción SSL dentro del apartado “Secure Socket Layers (SSL)” del plugin iThemes Security.

Reinícia iThems Security (desactiva y activa) para asegurar que arranca en debidas condiciones.

seguridad

5. Borra caché y cookies de tu navegador

Antes de probar que tu blog funciona ahora con HTTPS, borra todo el historial de tu navegador (sobre todo caché y cookies).

Si usas las opciones de memoria caché en SiteGround o tienes instalado algún plugin de caché, limpia por si acaso.

6. Prueba que tu blog es accesible mediante HTTPS y que se redirecciona correctamente

Si has pasado todos los niveles anteriores, es hora de disfrutar de tu acceso seguro por HTTPS a tu blog.

Comprueba (ver imagen) que, ahora, tanto si tecleas “http://” como si quieres entrar con “https://”, el navegador refleja un candado (en Firefox) a la izquierda de la barra de direcciones. Y si haces clic en él verás el mensaje “conexión segura”.

7. Cambia tu archivo robots.txt

Como sabes, el archivo robots.txt debe llevar una instrucción que indique a los buscadores la ruta en la que se encuentra el archivo sitemap.xml. Cambia “http” por “https”.

¿Robots.txt? ¿Sitemap.xml? Aprende para qué sirven estos fichero y a configurar el SEO para WordPress leyendo mi ebook que puedes descargar suscribiéndote a mi newsletter. Mira y descarga la versión demo del ebook aquí.

8. Da de alta las propiedades correspondientes a las URL con “https” en Google Search Console

Para terminar de configurar el SEO en tu blog debes acudir a la herramienta de Google Search Console (antes Webmaster Tools) y definir dos nuevas propiedades con “https”; una para la URL con “wwww” y otra sin “www”. Si ya tenías dadas de alta las propiedades con “http”, la verificación será inmediata, sin más que hacer clic.

Aprovecha y comprueba que el dominio preferido que asignas a las dos nuevas propiedades, coincide con el que tenías ya para las propiedades con “HTTP” (rueda dentada > configuración del sitio).

Para las nuevas propiedades, habilita también los datos de Search Console en Google Analytics. Al asociar una propiedad web de Google Analytics con un sitio de Search Console, podrás consultar los datos de Search Console en los informes de Google Analytics y vincular Search Console directamente a los informes asociados de Google Analytics (rueda dentada > Propiedad de Google Analytics).

Y, finalmente, ve a “Tráfico de búsqueda > Segmentación internacional” y comprueba en la pestaña “País” que el desplegable tiene el país correcto.

9. Modifica la propiedad de Google Analytics

Por último, debes entrar en Google Analytics y cambiar el protocolo HTTP por HTTPS de la propiedad.

Dirígete a “Administrador > Propiedad > Configuración de la propiedad” y elige “HTTPS” en el desplegable del apartado “URL predeterminada”.

10. Arranca CloudFlare

Si estás usando CloudFlare Plus (la versión gratuita no admite HTTPS), vuelve a CloudFlare y arráncalo otra vez. Si lo has comprado porque usabas la versión gratuita, entra en CloudFlare y conecta tu blog. Te recuerdo mi tutorial:Cómo mejorar la velocidad y seguridad de tu blog. Y en el siguiente post puedes descargar una guía rápida de CloudFlare en PDF: Las mejores herramientas para tu blog.

Conclusiones

Cambiar el acceso de tu blog de HTTP a HTTPS es muy rápido y sencillo con Let’s Encrypt, como hemos visto en este post.

Solamente tienes que tener cuidado y revisar bien tus plugins, sobre todo SEO by Yoast y iThemes Security. ¡Y lo más importante: la versión gratuita de CloudFlare no funciona para Webs con protocolo HTTPS!

Pero aquí te he indicado lo que debes hacer para no tener problemas.

En teoría, todo debe ir bien si cumples metódicamente todos los pasos que te he propuesto.

Si algo falla, elimina Let’s Encrypt en este orden:

  1. Desactiva el plugin Really Simple SSL
  2. Verifica que todas las URL’s del blog (permalinks, ajustes generales, menús, etc.) vuelven a estar con “HTTP”
  3. Elimina el certificado entrando en tu cuenta de SiteGround y haciendo clic en el botón “Cancelar” del apartado “Certificados instalados” (Cpanel > Seguridad > Let’s Encrypt).
  4. Borra la cache de tu navegador

Y no hagas nada sin asegurarte de que posees un backup de tu blog.

Como siempre, me gustaría escuchar tus experiencias relacionadas con lo que se explica en este artículo. Y si tienes dudas o preguntas, escríbelas en los comentarios.

Un artículo escrito por Antonio Cambronero