20/04/2018

https protokoloa

Estamos en el año 2018 y, ahora sí, podemos decir que ya ha llegado la hora de cambiar los sitios web del protocolo HTTP al protocolo seguro HTTPS.

Pero, antes de explicar las razones de dar el salto, empecemos por el inicio.

¿Qué es el protocolo seguro HTTPS?

Aunque últimamente la mayoría de navegadores lo oculten, cuando entramos en un sitio web estamos utilizando el protocolo HTTP. Resumiendo mucho, el protocolo HTTP conecta a la persona usuaria con el sitio web mediante un navegador web.

Pero el protocolo HTTP puede no ser seguro, ya que los datos que se intercambian entre el sitio web y la persona usuaria no están cifrados y, por tanto, cualquier persona dispuesta a actuar de manera maliciosa puede encontrar la vía para obtener dichos datos.

En cambio, el protocolo HTTPS es un protocolo cifrado mediante SSL y, en este caso, la persona que tenga malas intenciones no podrá obtener los datos, aunque lo intente.

Ventajas de cambiar la web al protocolo HTTPS y los problemas que podemos encontrarnos en el camino

A la hora de cambiar un sitio web de HTTP a HTTPS hay dos ventajas principales: la seguridad y el posicionamiento SEO. Ya hemos aclarado la primera… pero, ¿en qué afecta el HTTPS a la hora de posicionar un sitio web?

Pues sí, no decimos nada nuevo al recordar que Google posiciona mejor aquellos sitios web que utilizan el protocolo HTTPS. El uso de dicho protocolo se premia desde 2014 con un mejor posicionamiento, pero últimamente se puede aprec iar una tendencia al cambio mayor.

En TaPuntu, desde 2018 utilizamos el protocolo seguro HTTPS en los sitios web que desarrollamos y, asimismo, nuestro sitio web también funciona mediante HTTPS. En el proceso de cambio, por supuesto, nos hemos encontrado con varios obstáculos.

Hay que tener en cuenta que la dirección del sitio web cambia junto con el protocolo. Google entiende este cambio como si fuera una migración común, aunque los ficheros realmente no se cambien de lugar. Y, como consecuencia, deberemos avisar de estos cambios a Google, igual que en una migración web al uso.

Al mismo tiempo, deberemos cargar todos los recursos externos del sitio web (imágenes, tipografías y demás) mediante el protocolo HTTPS, actualizando todos los vínculos.

Cambia tu web basada en WordPress al protocolo HTTPS en 3 pasos

Hasta este puntu hemos hablado de manera genérica sobre temas que afectan a cualquier sitio web. En lo que respecta a sitios web basados en WordPress, tanto por las herramientas que tenemos a nuestro alcance como por la ayuda que proporciona el propio WordPress, se puede decir que el proceso es algo más fácil. Estos son los tres pasos a seguir:

1. Instalar el certificado SSL en el servidor

Probablemente este sea el aspecto más técnico del proceso, pero al mismo tiempo, en el que menos tenemos que hacer. De esta tarea se debería encargar la empresa que nos provee el servidor.

Instalar dicho certificado ha solido tener un coste anual y en algunos casos sigue teniéndolo. De todas formas, hace poco tiempo han empezado a surgir certificados de código abierto. Desde TaPuntu recomendamos el certificado Let’s Encrypt, por ser gratuito y compatible con los navegadores.

Tras instalar el certificado, podemos acceder a nuestro sitio web a través del protocolo HTTPS, sin que el navegador muestre ningún aviso.

2. Cambiar todos los vínculos guardados en WordPress como HTTP a HTTPS

Tras instalar el certificado mencionado en el primer punto, tenemos que indicar dentro de WordPress que hemos cambiado el protocolo del sitio web. Lo podemos realizar a través de la sección Ajustes del menú lateral. En concreto, cambiando la Dirección de WordPress y la Dirección del sitio.

Con esto, habremos realizado gran parte del cambio. De todas formas, como todas las páginas, entradas y fotografías se incluyeron en su día mediante el protocolo HTTP, deberemos cambiar también todos sus vínculos.

Este es el punto más peligroso del proceso. Por ello, si estás siguiendo estos pasos te recomendamos hacer una copia del sitio web y de la base de datos antes de seguir.

Podríamos cambiar manualmente uno por uno cada vínculo en la base de datos. Pero resultaría muy laborioso y, además, es fácil olvidar algún vínculo sin modificar. Por ello, recomendamos utilizar la herramienta Database search and replace for WordPress.

Tendremos que subir los ficheros de la herramienta al servidor (y eliminarlo tras terminar la tarea). También se podría realizar el proceso a través de un plugin, pero nuestra experiencia ha sido mejor de esta manera.

El funcionamiento es muy sencillo. En los dos cuadrados superiores deberemos escribir el vínculo que queremos buscar y el que le va a sustituir. El nombre de la base de datos, la contraseña y el host los indicará automáticamente. Por supuesto, hemos ocultado nuestros datos por seguridad 😉

Por último, nos queda realizar el cambio. Es posible pulsar primero el botón «dry run» para que se calcule la cantidad de vínculos que se cambiarían si ejecutásemos el proceso. Para ejecutarlo, pulsaremos el botón «live run».

3. Redirigir todo el tráfico antiguo a la dirección HTTPS

Con estos dos pasos habremos «convertido» nuestra web a HTTPS. Es posible que se nos haya escapado algún vínculo exterior (tipografía, algún archivo CSS, …). En ese caso, deberemos modificarlo manualmente. Tras ello, todo el sitio web estará bajo un protocolo seguro.

Nos quedaría un último paso para no perder todo lo conseguido respecto a posicionamiento SEO hasta el momento. Recordemos que para Google ha sucedido un cambio de URL y, por tanto, tendremos que indicarle el cambio realizado.

Tendremos que realizar dos tareas:

  • Cambiar el archivo htaccess del sitio web
  • Realizar los cambios en la herramienta Google Search Console

El primero es el más importante de los dos. Tendríamos que añadir estas dos líneas en nuestro archivo htaccess:

RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,QSA,L]

Tras añadirlos, conseguiremos que todas las personas que accedan al sitio web mediante el protocolo HTTP sean redirigidas automáticamente al protocolo HTTPS.

¿Merece la pena el cambio?

En principio, podemos presuponer que el cambio nos dará dolores de cabeza, hasta poner en duda si el cambio merece la pena. De todas formas, sí que merece el cambio de HTTP a HTTPS.

En TaPuntu tenemos claro que el futuro es el protocolo HTTPS. Lo que hoy en día está envuelto en un mar de dudas, esperamos que dentro de unos años esté automatizado por defecto, dejando de lado el protocolo HTTP.

Cambia ahora tu sitio web del protocolo HTTP al HTTPS  y adelántate al futuro.