Un aspecto muy importante a tener en cuenta en tu web es que cargue de forma segura. Si tu WordPress carga con el protocolo HTTP tienes un problema, pero no te preocupes, es fácil de solucionar.
En este artículo vamos a revisar a fondo cómo cambiar WordPress de HTTP a HTTPS. Existen varios métodos para ello, algunos realmente sencillos, de forma que en pocos minutos lo tendrás todo listo.
Las ventajas de tener un WordPress con HTTPS son muchas, desde aumentar la seguridad de los visitantes a mejorar el posicionamiento en los buscadores. Repasaremos los requisitos necesarios y otras consideraciones a tener en cuenta.
¡Vamos a ello!
Índice del artículo
¿Cuál es la diferencia entre HTTP y HTTPS?
Antes de entrar en faena, es conveniente que tengas más información sobre lo que es HTTP y HTTPS. Así lo tendrás todo más claro. No te preocupes, no entraré en demasiados tecnicismos.
HTTP es el acrónimo de Hypertext Transfer Protocol, y se trata de un protocolo de transferencia de información entre el navegador del usuario que hace una petición de una página web y el servidor donde se aloja dicha página, tanto en un sentido como en otro.
Dicho protocolo tiene un problema: la información que se transfiere entre el navegador y el servidor no va cifrada, por lo que, si un usuario malintencionado la intercepta, podrá ver todo lo que se está enviando. Esto puede suponer un grave riesgo de seguridad si lo que se está transfiriendo es información importante, como contraseñas, números de tarjetas de crédito, etc.
Para solucionar esto llega al rescate el protocolo HTTPS. Son las siglas de HyperText Transport Protocol Secure y, como habrás adivinado por su nombre, añade una capa de seguridad.
Usando HTTPS la información que se intercambia entre el navegador y el servidor irá cifrada, por lo que, en caso de ser interceptada por un hacker, no podrá ser leída. También servirá para asegurarnos que la información que recibimos en el navegador es legítima, y que no ha sido falsificada por un tercero.
Por qué debes migrar tu WordPress para que cargue con HTTPS
Cada vez más webs utilizan el protocolo HTTPS, y no es por casualidad. Son muchas las ventajas que aporta este protocolo de transferencia de datos, y aquí vamos a repasar algunas de ellas.
¿Buscas hosting para tu web?
Hemos analizado las mejores opciones. Revisa nuestro artículo para descubrir el mejor hosting en España.
Aprovecha nuestros descuentos en la contratación:
- Webempresa con 25% de descuento exclusivo: el mejor valorado.
- Siteground con 60% de descuento: buena relación calidad-precio.
- Raiola Networks con 10% de descuento: el más barato.
Mejora la seguridad de tu WordPress
Como he explicado anteriormente, usar el protocolo HTTPS permitirá que los datos se transfieran de forma segura en ambos sentidos. Esto añadirá una capa de seguridad extra a tu WordPress.
Por ejemplo, el acceso a la administración de WordPress requiere de enviar un usuario y contraseña. Dicha información ya no podrá ser leída por otros, o ser falsificada. Lo mismo pasará con todos los formularios que puedas tener en la web, tanto en la parte pública como en la administración.
Disponer de una conexión segura será especialmente importante en el caso de que tengas una tienda online. En esta situación estarán manejando información sensible de tus clientes, y es importante que no pueda ser robada.
Genera confianza a los usuarios
Desde hace ya tiempo, los navegador más populares, como Chrome o Firefox, muestra un indicador informando de que la página no es segura cuando esta carga con HTTP. Dicho aviso se mostrará en la barra de direcciones del navegador. Por ejemplo, en Chrome se verá lo siguiente:
Esto, además de dar mala imagen, puede generar desconfianza en los visitantes de tu página web, con la consiguiente pérdida de visitas.
En los formularios que tengas en tu WordPress también se pueden mostrar advertencias de seguridad que pueden disuadir los usuarios. Este es el mensaje que muestra Firefox cuando la página carga con HTTP:
Personalmente nunca compraría en una tienda online que no cargue con HTTPS. Me daría la sensación de que no se han preocupado lo más mínimo por la seguridad, y en este caso no me quedaría tranquilo dándoles mis datos personales a la hora de realizar una compra.
Es beneficioso para el SEO
A la hora de posicionar una web en los resultados de la búsqueda, Google tiene en cuenta multitud de factores.
Desde hace algún tiempo un punto que valora positivamente es que la página cargue con HTTPS. Esto se debe a que Google tiene presente la seguridad como un valor añadido de calidad de la página.
No esperes una mejora significativa en el posicionamiento por el simple hecho de cambiar tu WordPress de HTTP a HTTPS, pero tampoco puedes ignorarlo.
WordPress cargará más rápido
Esta es una ventaja poco conocida de cargar tu WordPress con HTTPS. Es un tema algo técnico, pero rápidamente comprenderás la mejora que supone.
A la hora de cargar un contenido, este se puede hacer con el protocolo HTTP/1 o HTTP/2. Con el primero, los diversos contenidos de una página (imágenes, archivos css, archivos js, etc.) se cargan de forma secuencial. Por contra, con HTTP/2, dichos contenidos estáticos se cargan de forma paralela, es decir, varios de una sola vez. Gracias a esto, el tiempo total de carga de la página se puede ver reducido de forma notable.
Un requisito imprescindible para que una web pueda utilizar el protocolo HTTP/2 es que cargue con HTTPS, por lo que si usar HTTP en tu WordPress no podrás disfrutar de esta ventaja.
Requisitos para poder cargar WordPress con HTTPS
Ahora que ya has visto las ventajas de cargar tu WordPress con HTTPS queda explicar qué se necesita para ello. En concreto tendrás que disponer de un certificado SSL asociado con el dominio que quieras cargar de forma segura.
Un certificado SSL es un archivo de datos emitido por una entidad certificadora que asocia una clave con los datos de una organización. Se usa para verificar la identidad de un sitio web y para encriptar la información que se envía.
Existen diversas opciones para obtener un certificado SSL, tanto gratuitas como de pago. Para ello te recomiendo contactar con el servicio de hosting donde tengas alojada la web, ya que ellos se suelen encargar de todo.
Por ejemplo, en Webempresa podrás disponer de certificados SSL gratuitos para todos los dominios asociados con las webs que tengas alojadas con ellos. Lo mismo ocurre para otros servicios de hosting, como Raiola o Siteground.
¿Son los certificados SSL gratuitos menos seguros que los certificados de pago? No, serán totalmente válidos para obtener las ventajas que comentaba anteriormente. Pueden existir pequeñas diferencias, como que en algunos certificados de pago se puede ver la empresa asociada cuando se entra a ver los detalles del mismo, pero esto es algo que raramente nadie comprueba.
¿Necesitas ayuda con tu WordPress?
Con nuestros servicios para WordPress podemos resolver cualquier tipo de incidencia que se te presente:
- Soporte técnico WordPress: configuración, mantenimiento, etc.
- Optimización WordPress: aceleramos la carga al máximo.
- Migraciones a WordPress: importamos de PrestaShop o Joomla.
- Diseño WordPress y Diseño tienda online con WooCommerce
Ten en cuenta que algunos proveedores de hosting instalan automáticamente los certificados SSL para todos los dominios que se cargan, por lo que previamente a instalar un certificado debes comprobar si ya está disponible.
Cómo comprobar que el certificado SSL está instalado para un dominio
Antes de aplicar los cambios en el WordPress para que cargue con HTTPS deberás comprobar que el certificado SSL se encuentra correctamente instalado para el dominio.
Para ello, la forma más fácil de verificarlo sería probar a cargar tu web con https. Por ejemplo, si el dominio de tu web es miweb.com deberás probar a poner en la barra de direcciones del navegador https://miweb.com.
Si el certificado no está instalado verás que se carga algo como lo siguiente:
El mensaje puede variar de un navegador a otro, pero en todos los casos informará de un riesgo potencial de seguridad.
En cambio, si el certificado SSL ya está instalado verás que te cargará la página web, aunque te redirija a su versión con HTTP. De ser así, ya estará todo listo para que tu WordPress cargue con HTTPS.
Instalar un nuevo WordPress para que cargue con HTTPS
Como paso previo a entrar en detalles de la migración de un WordPress ya existente de HTTP a HTTPS voy a explicar rápidamente el caso de la creación de una nueva web con WordPress, de forma que cargue directamente con HTTPS.
El proceso es muy simple: cuando abras el instalador de WordPress simplemente pon en la dirección del navegador la url con HTTPS. De esta forma, la web ya quedará asignada a este protocolo, y no serán necesarios cambios futuros.
Si tienes dudas, puedes revisar el tutorial sobre cómo instalar WordPress.
Métodos para pasar WordPress de HTTP a HTTPS
En el caso de que tengas un WordPress que cargue con HTTP existen diversos métodos para que la carga pase a ser con HTTPS. Aquí voy a revisar varios métodos, tanto nativos de WordPress, como usando plugins.
Antes de aplicar cambios, deberás verificar que el certificado SSL está instalado y que tu WordPress actualmente está cargando con http. Esto último lo puedes comprobar entrando en Ajustes > Generales.
Aquí comprueba que los campos Dirección de WordPress (URL) y Dirección del sitio (URL) comienzan por http://. De ser así, se puede aplicar el cambio.
IMPORTANTE: antes de utilizar cualquiera de los métodos que explico a continuación para migrar WordPress a HTTPS te recomiendo hacer una copia de seguridad de la web, tanto de los archivos como de la base de datos.
Utilizar el sistema de migración a HTTPS incorporado en WordPress
Desde su versión 5.7, WordPress incorpora un sistema nativo para pasar de HTTP a HTTPS. Por tanto, si dispones de esta versión o superior podrás aplicar el cambio sin necesidad de recurrir a plugins adicionales.
Para ello vete a Herramientas > Salud del sitio. Aquí te mostrará una serie de mejoras que WordPress te recomienda aplicar en tu WordPress. Entre ellas, una será Tu web no usa HTTPS.
Pulsa sobre ella. Al hacerlo se desplegará debajo más información. Entre otras cosas se comprueba si HTTPS ya es compatible en tu web. Es decir, verifica que el certificado SSL está instalado para el dominio.
Pulsa en el botón Actualiza tu sitio para usar HTTPS.
Al hacer esto se aplicarán los cambios necesarios para pasar de HTTP a HTTPS. También verás que se cierra la sesión de administrador y tendrás que volver a acceder.
Todo está listo. Ahora si vas a Ajustes > Generales verás que las URLs de WordPress ya están con HTTPS. ¡Más fácil imposible!
Migrar de HTTP a HTTPS con el plugin Really Simple SSL
Si dispones de una versión de WordPress anterior a la 5.7 y, por cualquier razón, no puedes actualizar, existen otras posibilidades para migrar de HTTP a HTTPS.
Una realmente sencilla de hacerlo (ya lo dice en su nombre) sería utilizando el plugin Really Simple SSL. Para instalarlo vete en la administración de WordPress a Plugins > Añadir nuevo. Aquí escribe en el buscador el nombre del plugin. Cuando te lo muestre en listado pulsa en el botón Instalar ahora.
Una vez instalado pulsa en el botón Activar. Verás que te carga una ventana de información previa a la activación.
Aquí se indican varios temas a tener en cuenta:
- Verifica que no tengas referencias a la url de tu sitio web con HTTP. Si no has tocado el código del tema de WordPress o algunos de los plugins no debería ser así. En el caso de que estés utilizando algún plugin de caché, o el tema aplique su propio sistema de caché, borra dicha caché para asegurarte.
- Es posible que tengas referencias a contenido externo (imágenes, archivos js o css) que se estén llamando a través del protocolo HTTP. Esto no genera un error por sí mismo, pero sí que podría generar una carga de contenido mixto. Lo normal es que esto no ocurra.
- Haz una copia de seguridad de la web antes de activar el SSL, tal como comentaba antes.
- Al activar el Really Simple SSL se cerrará tu sesión de usuario. No te preocupes, ya que es lo normal al cambiarse el protocolo a HTTPS.
Una vez revisado esto, simplemente pulsa en el botón ¡Adelante, activa SSL! y listo, WordPress ya debería cargar con HTTPS.
Cuando vuelvas a entrar en la administración de WordPress verás que accede directamente a la página de configuración del plugin Really Simple SSL. Puedes acceder en cualquier momento a ella desde Ajustes > SSL. Aquí verás una ventana con diversos ajustes que puedes aplicar tras el cambio.
Para aplicar algunas de las mejoras que aquí se muestran tendrías que utilizar la versión Premium del plugin, pero no suele ser necesario tener que recurrir a ello.
Debajo verás una serie de parámetros de configuración.
En ellos puedes activar la opción Activar la redirección 301 de .htaccess para forzar que cualquier url que cargue con HTTP se redirija a la misma página con HTTPS. En caso de que después de activar este parámetro veas que no te carga la web, normalmente por un bucle de redireccionamiento, desactiva este parámetro. El propio plugin realizará una comprobación automática una vez activada la redirección en el .htaccess, por lo que la desactivará si detecta errores. Ten en cuenta que dependiendo del servicio de hosting donde tengas alojada la web el código puede variar.
En principio no sería necesario tocar nada más. Simplemente verifica que tu web carga correctamente con HTTPS.
Modificar las urls de la base de datos de HTTP a HTTPS con el plugin Better Search Replace
Un plugin como el Really Simple SSL que acabamos de ver no aplica todos los reemplazos en la url de tu web, para cambiar las llamadas con el protocolo HTTP a HTTPS.
Esto se puede conseguir aplicando los reemplazos necesarios en la base de datos. Pero ¡ojo!, no se puede hacer de forma directa. WordPress guarda parte de la información de forma serializada, de forma que un reemplazo directo, editando registros de la base de datos, puede provocar errores.
Por suerte estos reemplazos los puedes hacer fácilmente con el plugin Better Search Replace.
Para instalarlo vete a Plugins > Añadir nuevo y en la caja de búsqueda escribe «better search replace». Verás que muestra el plugin. Pulsa en su botón Instalar ahora y, una vez finalizada la instalación, en Activar.
Una vez activado podrás acceder a su configuración desde Herramientas > Better Search Replace.
Lo primero de todo, y a riesgo de parecer un pesado… ¡Haz una copia de seguridad de la base de datos antes de aplicar los reemplazos!
El funcionamiento es simple: en el campo Buscar por escribe la url de tu web con http y en el campo Sustituir con pon la misma url, pero con https. Por ejemplo, si tu dirección es http://miwebamigrar.com deberás poner esto mismo en el primer campo y https://miwebamigrar.com en el segundo.
Debajo selecciona todas las tablas de tu WordPress. Puedes hacerlo pulsando sobre la primera tabla de la lista y después sobre la última manteniendo pulsada la tecla mayúsculas de tu teclado.
Las casillas ¿No tener en cuenta mayúsculas/minúsculas? y ¿Sustituir el GUID? las puedes dejar desactivadas. Respecto a ¿Quieres ejecutar un simulacro? puedes activarla si quieres hacer una prueba sin que se aplique ningún cambio en la base de datos. Recuerda desactivarlo para que los reemplazos se apliquen de verdad.
Finalmente solo tienes que pulsar en el botón Ejecutar búsqueda/sustitución y esperar a que se complete el proceso se de sustitución de urs con http a urls con https. Abajo verás una barra con el progreso. Una vez finalizado se mostrará en la parte superior información del cambio efectuado.
Pulsando en el enlace podrás ver el detalle de las tablas donde se han aplicado los reemplazos.
Personalmente cuando uso este plugin utilizo un truco para asegurarme de que no dejo ninguna url de WordPress sin migrar de https a https. Lo que hago es no aplicar un único reemplazo, sino varios.
Te pongo un ejemplo para dejarlo más claro: si la url de destino es https://miwebamigrar.com haría 3 reemplazos, el primero poniendo en Buscar por http://miwebamigrar.com, en el segundo http://www.miwebamigrar.com y en el tercero https://www.miwebamigrar.com. Si la url de destino es https://www.miwebamigrar.com (con www) en Buscar por pondría http://www.miwebamigrar.com en el primer reemplazo, http://miwebamigrar.com en el segundo y https://miwebamigrar.com en el tercero.
Este plugin Better Search Replace se puede utilizar conjuntamente con el Really Simple SSL o de forma aislada. Recuerda que puedes desinstalar el plugin una vez hecha la migración de HTTP a HTTPS, ya que no lo necesitarás más.
Comprobar que la migración de WordPress a HTTPS se ha realizado correctamente
Una vez que hayas aplicado los cambios para cambiar WordPress de HTTP a HTTPS toca comprobar que todo ha ido bien.
Para ello simplemente abre el frontal de tu web en una nueva pestaña del navegador. Comprueba que la página ya se carga con https y se muestra el icono del candado. Pulsando sobre dicho icono te debe indicar que la conexión es segura.
Si ves que la página sigue cargando con HTTP entonces significa que no has aplicado los cambios de forma correcta.
Otra posibilidad es que junto al candado se muestre un símbolo de advertencia.
Esto es señal de que se está cargando contenido mixto en tu WordPress. ¿Qué es esto? Significa que en una web que carga con el protocolo HTTPS se están llamando a elementos que cargan con el protocolo HTTP, como imágenes, o archivos JS (javascript) y CSS.
Para averiguar de qué elementos se tratan pulsa con el botón derecho del ratón sobre cualquier parte de tu web y, en el menú contextual, elige la opción Inspeccionar o Inspeccionar elemento. Verás que se carga el inspector de elementos del navegador. Aquí pulsa sobre la pestaña Consola. Se debería mostrar información sobre los elementos que están cargando con HTTP.
Esto puede estar provocado por 2 razones:
- Dentro de los contenidos de tu WordPress tienes elementos que se cargan con http. En tal caso tendrás que aplicar el reemplazo en dichos contenidos (entradas, páginas, widgets, etc.).
- Tienes algún plugin, o el propio tema activo, que está llamando a elementos externos usando urls con http. Esto es poco común, y sería señal de una mala programación. Sería necesario tocar el código, lo que puede resultar delicado.
Otra opción para corregir la carga del contenido mixto en WordPress sería utilizar el plugin SSL Insecure Content Fixer.
Forzar la carga de WordPress con HTTPS aplicando cambios en el archivo .htaccess
Una buena práctica a aplicar una vez que esté funcionando el certificado SSL en la web, y hayas aplicado los cambios anteriores, sería forzar la carga de tu WordPress con el protocolo HTTPS, de forma que si se trata de cargar una página con HTTP se redirija automáticamente a la misma página con HTTPS.
La mejor forma de hacer esto es por medio de un redireccionamiento 301 en el archivo .htaccess que tendrás en la raíz de tu WordPress, ya que es el método más limpio y rápido en ejecución. Además, al tratarse de una redirección 301 (permanente), se transferirá la autoridad de la página de un protocolo al otro, lo que evitará penalizaciones en el posicionamiento en Google.
Otra ventaja es que también podrás aprovechar para forzar la carga con o sin las www al inicio, según lo que hayas configurado en los ajustes generales de tu WordPress.
Antes de aplicar cambios en el archivo .htaccess, realiza una copia de seguridad del mismo, ya que si se producen errores la web dejará de cargar.
¿Ya tienes la copia del seguridad del archivo .htaccess? Perfecto, ahora ya lo puedes editar. Supongamos en primer lugar que quieres cargar tu web sin las www y que el dominio es miwebamigrar.com. Tendrás que añadir al principio del archivo el siguiente código:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^(www\.)?miwebamigrar\.com$
RewriteCond %{ENV:HTTPS} !on [NC]
RewriteRule ^(.*)$ https://miwebamigrar.com/$1 [R=301,L,NE]
RewriteCond %{HTTP_HOST} ^www\.miwebamigrar\.com$
RewriteCond %{ENV:HTTPS} on [NC]
RewriteRule ^(.*)$ https://miwebamigrar.com/$1 [R=301,L,NE]Aquí se aplican 2 redirecciones: en primer lugar una por la cual si se llama a una url que empieza por http://miwebamigrar.com o por http://www.miwebamigrar.com se redirija a la misma url, pero empezando por https://miwebamigrar.com. La segunda redirección hace que si se carga https://www.miwebamigrar.com se redirija a la misma url sin las www.
Si en tu WordPres tienes configurada la url con https y www entonces el código a añadir será este otro:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^(www\.)?miwebamigrar\.com$
RewriteCond %{ENV:HTTPS} !on [NC]
RewriteRule ^(.*)$ https://www.miwebamigrar.com/$1 [R=301,L,NE]
RewriteCond %{HTTP_HOST} ^miwebamigrar\.com$
RewriteCond %{ENV:HTTPS} on [NC]
RewriteRule ^(.*)$ https://www.miwebamigrar.com/$1 [R=301,L,NE]Un tema importante es que, dependiendo de la configuración del hosting donde tengas alojado tu WordPress es posible que haya que aplicar algún cambio en el código anterior.
Si ves que no te funciona, y la web no carga tras el cambio, prueba a cambiar la línea RewriteCond %{ENV:HTTPS} !on [NC] por RewriteCond %{SERVER_PORT} 80 y la línea RewriteCond %{ENV:HTTPS} on [NC] por RewriteCond %{SERVER_PORT} 443. Si, a pesar de todo, sigue sin funcionar, elimina el código añadido y consulta con tu proveedor de hosting.
Cambios a realizar tras migrar WordPress de HTTP a HTTPS
Después de activar el certificado SSL con éxito en tu WordPress y que ya cargue con HTTPS no debes olvidarte de aplicar los cambios necesarios para indicar que esta en la nueva url de tu web.
Repaso aquí los más importantes.
Cambiar la url de tu WordPress en Google Analytics
Google distingue entre un mismo dominio, en función de si este se carga con http o https. De hecho, técnicamente sería posible cargar webs distintas en función del protocolo, aunque en la práctica nunca se hace.
Es por ello que es necesario que cambies el protocolo en la configuración de tu cuenta de Google Analytics, para que se sigan registrando las visitas.
Para ello, accede a la cuenta de Google Analytics asociada con el WordPress que has migrado y entra en Administrar, pulsando en el icono del engranaje que verás en la parte inferior izquierda. Ahora vete a Configuración de la propiedad.
Aquí verás el campo URL predeterminada. A la izquierda del dominio verás un selector donde tienes que seleccionar la opción https://. No te olvides de guardar los cambios.
Cambiar la url de tu web en Google Search Console
Si usas Google Search Console, opción muy recomendable, tendrás que añadir la nueva url con https.
Para ello, abre la página de Search Console. En la parte superior izquierda verás la url que se está cargando en ese momento (puedes tener varias).
Pulsa sobre ella. Se desplegarán las distintas webs que tienes añadidas. Aquí entra en Añadir propiedad. Se mostrará un desplegable con 2 opciones.
Te recomiendo usar la primera, ya que colocando únicamente el dominio (sin www) te servirá para rastrear toda tu web, tanto si carga con http como si lo hace con https, o incluso con o sin www. Si la yo tenías así no será necesario que cambies nada.
Recuerda que si finalmente añades una nueva propiedad deberás verificar que eres el propietario de la web, siguiendo las indicaciones que te da Google Search Console.
Actualizar las urls que apunten a tu WordPress desde webs externas
Si has colocado enlaces a tu WordPress desde páginas externas, deberás actualizar los enlaces para que vayan a la web con https.
Esto incluye tanto los enlaces que tengas en redes sociales, como otros enlaces que hayas puesto en anuncios de Google Ads o en cualquier otro tipo de página.
Si hay enlaces a tu web con http en webs externas que no puedes cambiar, no te preocupes. Al forzarse la redirección de http a https, cargarán igualmente.
Conclusiones
Como habrás podido leer a lo largo de este artículo, son muchas las ventajas de cargar WordPress con HTTPS y, posiblemente, en un futuro será algo poco menos que obligatorio.
El proceso de cambiar WordPress de HTTP a HTTPS es muy sencillo, especialmente utilizando el sistema que ya incorpora WordPress de forma nativa a partir de la versión 5.7, por lo que ya no tienes excusa para no hacerlo.
No lo dejes para otro día. ¡Nos vemos!
0 comentarios