Cómo activar HTTPS SSL en WordPress
Más de una vez me planteaba cual sería la mejor forma de activar HTTPS SSL en WordPress para protegerme de ciertos ataques y añadir una capa extra de seguridad. En tiendas online o formularios donde se manejan datos sensibles es prácticamente una obligación emplear HTTPS para evitar el robo de datos y nuestro WordPress no debe ser menos. Si lo empleamos para vender algún tipo de producto o si empleamos un formulario para recoger información sensible, es una práctica muy recomendable.
En este artículo voy a tratar de recoger todas las posibilidades para activar HTTPS SSL en WordPress, ya sea a través de plugins, modificando la configuración de WordPress o a través de un archivo de configuración de Apache .htaccess.
Guía de cómo activar HTTPS SSL en WordPress
Cómo ya hemos comentando antes existen varias posibilidades y vamos a ir comentando una a una para que así podáis elegir la que más os conviene.
Activar HTTPS SSL en página de acceso y administración.
Esta es una configuración que todo blog WordPress debería tener activada ya que nos protege de posibles robos de contraseñas. Para forzar HTTPS en la pantalla de acceso wp-login.php y en el panel de administración la forma más sencilla es modificando el archivo de configuración de WordPress wp-config.php agregando las siguientes lineas:
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
Con esas dos lineas habremos forzado el uso de SSL para que el acceso al blog y su administración sean un poco más seguros.
Activar HTTPS SSL con plugins.
Emplear un plugin es la forma más sencilla y que al mismo tiempo nos ofrece una mayor flexibilidad a la hora de determinar que proteger con SSL y que no.
Para asegurar todo el sitio podemos emplear el plugin Force SSL everywhere, que activa la seguridad SSL en todo nuestro blog (entradas, página de acceso, panel de administración, etc…). Este plugin sólo fuerza https cuando un usuario está autentificado por lo que no afectará a nuestro SEO, ya que el bot de Google (u otro buscador) no accede como usuario autentificado a nuestro blog.
Tenemos disponible un segundo plugin llamado WordPress HTTPS (SSL) que nos permite seleccionar que entradas o páginas queremos proteger con SSL. Tiene varias opciones entre ellas permite activar SSL en el panel de administración e incluso permite asegurar con SLL basándose en filtros de URL, por ejemplo permite asegurar todas el contenido que en su URL tenga la palabra “tienda”. Otra opción interesante es que nos permite forzar SSL en entradas o páginas individuales, para esto sólo habrá que seleccionar la opción correspondiente en una nueva caja del editor de entradas/páginas.
Este plugin es amigable con el SEO, ya que si forzamos SSL en una entrada, el propio plugin crea una redirección 301 de la versión HTTP a la HTTPS.
Activar HTTPS con archivo .htaccess
Otra opción valida es hacer una redirección de todas las páginas de nuestro blog a su versión HTTPS empleando un archivo .htaccess. Sólo tendríamos que agregar las siguientes líneas:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://tudominio.com/$1 [R,L]
Como es lógico donde pone tudominio.com tenemos que escribir nuestro dominio.
Nota para mantener el SEO tras activar HTTPS en WordPress
Si realizamos un cambio de todas las páginas de nuestro blog a HTTPS hay que tener en cuenta que la versión HTTP debe mostrar una redirección 301 a la versión HTTPS para que Google no considere ambas páginas como contenido duplicado.
Muy importante también es añadir y verificar en la herramienta Google Webmasters la versión HTTPS de la web.
Espero que os haya servido de ayuda esta guía y si consideráis que lo merece, podéis compartirla en las redes sociales.