¿Cómo activar el certificado SSL en WordPress?

11min

En la era digital actual, la seguridad web no es una opción, es una necesidad. Un certificado SSL (Secure Sockets Layer) es una herramienta fundamental que cifra la conexión entre tu página web profesional y los visitantes, protegiendo la información sensible que se intercambia. Además de la seguridad, Google ha convertido el uso de SSL (y la migración a HTTPS) en un factor de clasificación SEO, lo que significa que un certificado SSL no solo protege a tus usuarios, sino que también mejora la visibilidad de tu sitio web.

Si gestionas un sitio en WordPress, activar el certificado SSL puede parecer un proceso complejo, especialmente si no estás familiarizado con los aspectos técnicos. Pero no te preocupes. Esta guía detallada te llevará de la mano a través de cada paso necesario para activar tu certificado SSL en WordPress, desde la obtención del certificado hasta la configuración final para asegurar que todo tu sitio cargue bajo HTTPS.

Índice

¿Qué es un certificado SSL?

Un certificado SSL es un pequeño archivo de datos que enlaza digitalmente una clave criptográfica a los detalles de una organización. Cuando se instala en un servidor web, activa el protocolo HTTPS (Hypertext Transfer Protocol Secure) y el candado de seguridad en la barra de direcciones del navegador. Su función principal es cifrar la comunicación entre un navegador web y un servidor. Esto significa que cualquier dato enviado entre ambos (como contraseñas, información de tarjetas de crédito o datos personales) viaja de forma segura, ilegible para cualquiera que intente interceptarlo.

Beneficios clave de tener un SSL en WordPress

Los beneficios de tener un certificado SSL activo en tu sitio WordPress son múltiples y significativos:

  • Seguridad de datos. Cifra la información sensible que se intercambia, protegiendo tanto a tus visitantes como a tu negocio de posibles ciberataques y robos de datos.
  • Confianza del usuario. El candado en la barra de direcciones y el prefijo https:// transmiten confianza a tus visitantes. Muchos usuarios son conscientes de la importancia de la seguridad y pueden abandonar un sitio que no es seguro.
  • Mejora del posicionamiento SEO. Google ha confirmado que HTTPS es un factor de clasificación. Tener un certificado SSL puede ayudar a que tu sitio WordPress se posicione mejor en los resultados de búsqueda.
  • Cumplimiento normativo. Para sitios que manejan información personal o pagos, el SSL es a menudo un requisito para cumplir con normativas como el GDPR (Reglamento General de Protección de Datos) y el PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago).
  • Evitar advertencias del navegador. Los navegadores modernos (Chrome, Firefox, Edge) marcan los sitios sin SSL como «No seguros», lo que puede disuadir a los visitantes y dañar la reputación de tu marca.

Tipos de certificados SSL

Existen varios tipos de certificados SSL, que varían en el nivel de validación y el coste:

  • Validación de Dominio (DV SSL): el tipo más básico y rápido de obtener. Solo valida que eres el propietario del dominio. Es ideal para blogs, sitios personales y pequeñas empresas. Muchos proveedores, como Arsys, ofrecen certificados DV gratuitos con sus servicios de hosting (ej. Let’s Encrypt).
  • Validación de Organización (OV SSL): requiere un proceso de validación más exhaustivo, donde la Autoridad Certificadora verifica la existencia de tu organización. Ofrece un nivel de confianza superior.
  • Validación Extendida (EV SSL): el nivel más alto de validación, que muestra el nombre de la organización en la barra de direcciones (en algunos navegadores), proporcionando el máximo nivel de confianza. Ideal para grandes empresas y e-commerce.
  • Wildcard SSL: protege el dominio principal y todos sus subdominios (ej. midominio.com, blog.midominio.com, tienda.midominio.com).
  • Multi-dominio (SAN/UCC SSL): permite proteger múltiples dominios o subdominios no relacionados con un solo certificado.

Para la mayoría de los sitios WordPress, un certificado DV es suficiente para cumplir con los requisitos básicos de seguridad y SEO.

Paso 1: Obtener e instalar el certificado SSL en tu hosting

El primer paso crucial es conseguir un certificado SSL e instalarlo en el servidor de tu proveedor de hosting.

Si necesitas un tipo de certificado SSL (OV, EV, Wildcard, etc.) o si tu plan de hosting no incluye uno gratuito:

  1. Compra el certificado. Adquiérelo a través de Arsys o de otra Autoridad Certificadora de confianza.
  2. Generación de CSR (Certificate Signing Request). Tu proveedor de hosting (Arsys) o la Autoridad Certificadora te guiará para generar una CSR. Esto suele hacerse desde el panel de control del hosting.
  3. Validación. La Autoridad Certificadora validará tu dominio u organización, dependiendo del tipo de certificado. Este proceso puede llevar desde minutos (DV) hasta varios días (OV/EV).
  4. Instalación. Una vez validado y emitido, el certificado debe ser instalado en tu servidor de hosting. En Arsys, este proceso suele ser automático o asistido a través del panel de control. Si lo compraste externamente, deberás cargar los archivos del certificado (CRT, KEY, CA Bundle) en tu panel de hosting.

Verificar la instalación del SSL en el servidor

Una vez que crees que el SSL está instalado, es crucial verificar que el servidor lo está sirviendo correctamente.

  • Accede a tu dominio con HTTPS. Abre tu navegador y escribe https://tudominio.com (reemplaza tudominio.com con tu nombre de dominio).
  • Comprueba el candado. Si la instalación fue exitosa, deberías ver un candado cerrado en la barra de direcciones del navegador. Si aparece un error o una advertencia de «no seguro», el certificado no está bien instalado en el servidor.
  • Herramientas de verificación. Utiliza herramientas online como SSL Labs SSL Server Test para realizar un análisis exhaustivo de la configuración de tu SSL en el servidor. Te dará una calificación y detectará posibles problemas.

Paso 2: Configurar WordPress para usar HTTPS

Una vez que el certificado SSL está activo en tu servidor, el siguiente paso es decirle a WordPress que utilice HTTPS en todas sus URL. Este es el paso más directo para indicarle a WordPress que use HTTPS.

  1. Accede al panel de administración de WordPress. Inicia sesión en https://tudominio.com/wp-admin (por ahora, usa HTTP).
  2. Ve a Ajustes > Generales. En el menú lateral, haz clic en «Ajustes» y luego en «Generales».
  3. Actualiza las direcciones: -En el campo «Dirección de WordPress (URL)», cambia https:// por https://. -En el campo «Dirección del sitio (URL)», cambia https:// por https://.
  4. Guarda los cambios. Haz clic en «Guardar cambios» en la parte inferior de la página.
  5. Reinicio de sesión. Es probable que WordPress te pida que inicies sesión de nuevo, esta vez ya deberías hacerlo bajo https://tudominio.com/wp-admin.

Forzar HTTPS mediante el archivo wp-config.php (opcional, pero recomendado si tienes problemas)

Si el cambio en los ajustes generales no es suficiente o si quieres asegurarte de que WordPress siempre fuerce HTTPS, puedes añadir una línea al archivo wp-config.php.

  1. Accede a los archivos de tu WordPress. Puedes hacerlo a través del Administrador de Archivos en tu panel de control de Arsys o usando un cliente FTP (como FileZilla).
  2. Localiza wp-config.php. Este archivo se encuentra en el directorio raíz de tu instalación de WordPress.
  3. Edita el archivo. Abre wp-config.php para editarlo.
  4. Añade el código: define(‘FORCE_SSL_ADMIN’, true); if (strpos($_SERVER[‘HTTP_X_FORWARDED_PROTO’], ‘https’) !== false) $_SERVER[‘HTTPS’]=’on’;
  5. Guarda y sube el archivo. Guarda los cambios y sube el archivo modificado a tu servidor, sobreescribiendo el anterior.

Utilizar un plugin para la migración HTTPS (si persisten los problemas)

En ocasiones, especialmente en sitios antiguos o con mucho contenido, pueden quedar «mixed content» (contenido mixto), que son recursos (imágenes, CSS, JavaScript) que todavía cargan bajo HTTP, causando advertencias de seguridad. Un plugin puede ayudar a reescribir estas URL automáticamente.

  1. Instala un plugin. En tu panel de administración de WordPress, ve a «Plugins» > «Añadir nuevo». Busca plugins como «Really Simple SSL» o «SSL Insecure Content Fixer».
  2. Instala y activa el plugin.
  3. Configura el plugin. La mayoría de estos plugins son «plug-and-play». «Really Simple SSL», por ejemplo, detectará tu certificado y te dará un botón para «Go ahead, activate SSL!». Esto reescribirá automáticamente las URL de tu base de datos y forzará HTTPS.
  4. Verifica. Después de activar el plugin, revisa tu sitio a fondo para asegurarte de que no haya advertencias de contenido mixto.

Verificar el «contenido mixto»

El contenido mixto ocurre cuando tu sitio carga la página principal a través de HTTPS, pero algunos recursos (imágenes, hojas de estilo CSS, scripts JavaScript, etc.) se cargan a través de HTTP. Los navegadores suelen bloquear este contenido o mostrar advertencias de seguridad, lo que puede afectar la funcionalidad y la confianza.

  1. Inspeccionar el sitio. Abre tu sitio en un navegador (Chrome, Firefox).
  2. Revisa la consola del navegador. Haz clic derecho en cualquier parte de tu página, selecciona «Inspeccionar» (o «Inspeccionar elemento») y ve a la pestaña «Consola». Aquí verás advertencias o errores relacionados con «Mixed Content» o «insecure content».
  3. Identificar y corregir.

Si usaste un plugin como Really Simple SSL, la mayoría de los casos de contenido mixto deberían haberse resuelto automáticamente.

Si persisten, los mensajes de la consola te indicarán qué URL específicas están cargando sobre HTTP. Deberás buscar esos recursos en tu tema, plugins o la base de datos de WordPress y actualizar sus URL a HTTPS. Esto puede requerir edición manual de archivos o el uso de herramientas de búsqueda y reemplazo en la base de datos (con precaución y copia de seguridad previa).

Actualizar enlaces internos en la base de datos

Aunque los plugins de SSL suelen manejar esto, es una buena práctica asegurarse de que todas las URL internas en tu base de datos (enlaces en posts, páginas, widgets) han sido actualizadas de https:// a https://.

  • Plugins de búsqueda y reemplazo. Puedes usar plugins como «Better Search Replace» para buscar https://tudominio.com y reemplazarlo por https://tudominio.com en toda tu base de datos.

Realiza siempre una copia de seguridad completa de tu base de datos antes de hacer cualquier búsqueda y reemplazo.

Configurar redireccionamientos 301 en .htaccess

Es fundamental redirigir todo el tráfico HTTP a HTTPS mediante redirecciones 301 para asegurar que los usuarios y los motores de búsqueda siempre accedan a la versión segura de tu sitio.

  1. Accede a tu archivo .htaccess. Usa el Administrador de Archivos de Arsys o un cliente FTP para acceder al archivo .htaccess en el directorio raíz de tu WordPress.
  2. Añade el código de redirección: RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  3. Este código fuerza una redirección 301 permanente de HTTP a HTTPS para todo el tráfico.
  4. Guarda y sube el archivo .htaccess modificado

Actualizar Google Search Console y Google Analytics

Para que Google y otras herramientas de análisis reconozcan tu sitio bajo HTTPS, debes realizar algunas actualizaciones.

  • Google Search Console. Añade la propiedad HTTPS: Ve a Google Search Console y añade la versión https://tudominio.com de tu sitio como una nueva propiedad. No es necesario eliminar la versión HTTP, pero la HTTPS se convertirá en la principal. Envía un nuevo sitemap y asegúrate de enviar el sitemap (XML) de tu sitio, que ahora debería contener URL HTTPS.
  • Google Analytics. No necesitas crear una nueva propiedad. Ve a «Administrar» > «Configuración de la Propiedad» > «Ajustes de la Vista». En «URL predeterminada», cambia https:// a https://.

Actualizar enlaces externos y redes sociales

Aunque no es estrictamente necesario y los redireccionamientos 301 manejan la mayoría de los casos, es una buena práctica actualizar manualmente los enlaces a tu sitio en:

  • Redes sociales: perfiles de Facebook, X/Twitter, LinkedIn, etc.
  • Directorios: cualquier directorio web o listado donde tengas tu URL.
  • Enlaces internos de otros sitios tuyos: si tienes más sitios que enlazan a este.

Conclusión sobre cómo activar un certificado SSL en WordPress

La activación de un certificado SSL en WordPress es mucho más que un simple paso técnico, es una inversión fundamental en la seguridad, confianza y visibilidad SEO de tu sitio web. Al transformar tu URL de HTTP a HTTPS, no solo proteges los datos de tus visitantes con cifrado robusto, sino que también comunicas una imagen de profesionalidad y fiabilidad, crucial para mantener y atraer a tu audiencia. Al completar estos pasos, habrás asegurado tu sitio WordPress, mejorado su clasificación en los motores de búsqueda y ofrecido una experiencia más segura a tus usuarios. Es un paso adelante en la construcción de una presencia online sólida y protegida.

Alberto Blanch

Artículos relacionados

Productos relacionados: