LaravelWordpress.com

Website de David, programador experto en PHP, Wordpress y Laravel.

Publicado el 14 enero, 2017

En este artículo explico como tener https en WordPress. Para que el tráfico a nuestra site sea seguro.

Hace unos años todas las webs empezaban por http, http es una forma de decirle al navegador que reclamamos una página de internet.

Si la página que reclamamos es una página de Login, en la que introducimos nuestro email y contraseña, la petición de la página viaja por toda internet con el email y la contraseña, saltando de máquina en máquina. Esto provocaba que estos datos sensibles pudieran ser interceptados por algún hacker cuando se utilizaba el protocolo http.

La solución para tener https en WordPress

Para ello se creó el protocolo https en el que se crea como un pasaje cerrado entre el navegador y la máquina donde está hospedada la página. Aún así la petición puede ser interceptada pero ya no en internet. Podría ser interceptada en un ámbito más reducido.

Por qué es necesario usar el protocolo https en WordPress

Si tienes un WordPress en activo, sabrás que para acceder a la administración tienes que entrar tu login y tu contraseña, si además el login está disponible para los usuarios de tu web, la tendrás en la parte frontal con lo que el riesgo de que, algún usuario al entrar, si no usas https su login y contraseña puedan ser interceptados y comprometer la site.

Hace tiempo el protocolo https era caro de implementar, pero con el proyecto Let’s Encrypt se ha favorecido mucho que proveedores de hosting, puedan ponerlo a disposición de sus clientes.

https en wordpress

El protocolo https está funcionando si vemos el candadito cerrado en el navegador (copyright foto Ian Britton)

Si ese es tu caso, si tu proveedor te da la opción de SSL con Let’s Encrypt, puedes implementar https en WordPress siguiendo estas instrucciones.

Una comprobación previa

Primero mira en el panel de control de tu hosting, mira que los redireccionamientos sean los correctos.
Tienes que comprobar que tanto http://tudominio.com y http://www.tudominio.com redirijan a la misma site. Normalmente, se ha de añadir un registro de tipo A que sea @, que dirija a tu ip que corresponda a la máquina.

Cual es la dirección correcta

Cuando se obtiene un certificado Let’s Encrypt, lo obtenemos para www.tudominio.com o para tudominio.com. No es lo mismo, y debemos tomar buena nota de cuál es. Una vez tenemos el certificado tenemos que asegurarnos, que en los ajustes de WordPress es el mismo, si no, no funcionara https en WordPress.
Para ello vamos a los ajustes de WordPress y en generales comprobamos que correspondan en los apartados:

  • Dirección de WordPress (URL)
  • Dirección del sitio (URL)

Es decir, si nuestro certificado es para www.tudominio.com, en estas dos opciones tienen que figurar www.tudominio.com para que funcione https en WordPress correctamente.

Una vez hecho, tenemos que asegurarnos, que siempre cualquier enlace que apunte a http://tudominio.com apunte a https://www.tudominio.com (si fuera la dirección de Let’s Encrypt), modificando el htaccess y el wp-config.

Modificar htaccess y wp-config

Para ello, tenemos que editar el .htacces de nuestro directorio raíz y añadir:

RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Esto obliga a que todos los enlaces se redirigan a https.

Y ya para acabar, tenemos que asegurarnos que la administración de WordPress, quede protegida, forzando a que siempre se tenga que entrar a través del protocolo seguro https.

Para ello editamos el archivo wp-config.php de nuestra instalación y añadimos,

define('FORCE_SSL_ADMIN', true);

antes de la linea donde pone /* ¡Eso es todo, deja de editar! Feliz blogging */ y ¡ya está!

Ya tenemos https en WordPress.


Contacto

Hola, me llamo David y soy un programador experto en PHP, Wordpress y Laravel.
Puedes ponerte en contacto conmigo al móvil / whatsapp +34 692 40 21 62.
Puedes ver mi Linkedin, o también enviarme un mensaje con el siguiente formulario.
Gracias.