Anteriormente instalar un certificado de seguridad era muy dificil. Requería de mucho trabajo implementarlos. Los pasos que había que realizar eran más o menos los siguientes:

1. Comprar el certificado de algún proveedor.
2. Asignar una ip estática.
3. Asignar el certificado al hosting.
4. Enviar la información del servidor(CSR) al proveedor del certificado.
5. El proveedor nos daba el certificado.
6. Luego se volvía al servidor a agregar y modificar los archivos necesarios.

Ahora es mucho más sencillo, muchas de las empresas que brindan el servicio de hosting tienen la opción de instalar un certificado con 1 click y ellos se encargan de todo el proceso. Incluso hay proveedores que ofrecen certificados gratis (“Let’s Encrypt”).

*Tomar en cuenta que aunque el servidor tenga un certificado ssl, hay que forzar a que el sitio utilice https en vez de http.

¿Qué son Certificados SSL?

Es el candadito en algún lugar de tu página, en caso de que utilicen Chrome es el candado al inicio de la url. Muchas páginas tiene certificados SSL (youtube, facebook, y muchos otros).

El certificado asegura que el explorador(chrome) se comunica con el servidor utilizando una capa de conexión segura. Algunas veces verán notificaciones de que el sitio a pesar de que tengan instalado un certificado ssl no es seguro. Esto se dá en casos en que algún archivo( js, css, imágenes) no esté utilizando https, en cuyo caso todo está perdido ya que la seguridad podría ser comprometida.

Si quisieran mostrar algunas páginas seguras y otras no, hay varios plugins en WordPress que permiten esas configuraciones. Solo depende de si uno quiere el sitio web completamente seguro, o solo páginas más específicas.

La configuración con la mayoría de nuestros clientes, utilizan ssl solamente al ingresar en el dashboard, o en páginas con formularios. Para darles la sensación de que su página esté protegida.  En general todo debería estar asegurado con ssl, pero muchas veces es dificil lidiar con todo el sitio web y no siempre es algo fundamental.

Certificados de seguridad pueden encontrarse en muchas otras aplicaciones, no solamente un sitio de wordpress. Se encuentran en conexiones a redes wifi, impresoras remotas, entre las conecciones de equipos de red, etc.

¿Porqué tener un certificado ssl?

Al tener un certificado uno está bloqueando la posibilidad de que otras entidades vean el contenido que uno recibe y envía al visitar páginas. Ejemplo:

En el trabajo cuando abren Gmail, la conexión entre su computadora y Gmail es segura, lo que significa que el administrador de la red no podría ver los datos que son enviados.

Let’s Encrypt

Let’s Encrypt es una autoridad de certificación(CA) gratuita, automatizada y abierta. Let’s Encrypt es un servicio proporcionado por el grupo de Investigación de Seguridad de Internet (ISRG).

Los principios claves detrás de Let’s Encrypt son: Gratis, Automático, Seguro, Transparente, Abierto y Colaborativo.

Manejo un par de vps’ con cpanel y estoy esperando impaciente el plugin que están desarrollando para cpanel que automatiza desde la instalación hasta las actualizaciones periódicas. Se espera que salga en su versión 56, ahora se encuentra en la 54. Solamente dos ciclos de desarrollo más.

Plugins de WordPress para configurar el uso de Certificados SSL

WP Force SSL, que volverá a dirigir todo el tráfico de http:// a https://

Really Simple SSL, este plugin automaticamente detecta los ajustes y configura tu sitio web. Para mantenerlo lo más simple postible, las opciones son mínimas. El sitio completo utilizará SSL

WordPress HTTPS (SSL), si por alguna razón solo quieres que algunas páginas utilicen https, éste plugin te puede ayudar a configuarlo.

Me pregunto cuando el utilizar certificados de seguridad será una característica que todos los proveedores de hosting apliquen de forma predeterminada.  En wordpress estaban hablando probablemente incluir en el core la opción de forzar a utilizar https, en lugar de utilizar plugins.

Los que trabajamos en WordPress nos preocupamos por la seguridad. Una de las cosas que muchas veces dicen sobre WordPress, que hiere nuestros sentimientos, es que es no es una plataforma segura. Sin embargo nosotros sabemos que si lo es. 

Google también anunció que le daría prioridad a sitios https, por lo que aunque uno no esté manejando información sensitiva, puede obtener beneficios al tenerlo.