¿Cómo agregar manualmente SSL a WordPress gratis usando Let's Encrypt?

¿Está buscando pasar de HTTP a HTTPS e instalar un certificado SSL en su sitio de WordPress? Luego, siga leyendo para aprender cómo agregar SSL a WordPress gratis. Todos los usuarios de Internet comparten mucha información personal todos los días. Todos lo hacemos. Al comprar en línea, crear cuentas, iniciar sesión en diferentes sitios web, etc.

Si no se cifra correctamente, alguien puede obtener esta información. Aquí es donde SSL viene al rescate. Proporciona la tecnología de cifrado para asegurar la conexión entre el navegador de un usuario y el servidor web.

Cada sitio recibe un certificado SSL único con fines de identificación. Si un servidor pretende estar en HTTPS y su certificado no coincide, la mayoría de los navegadores modernos advertirán al usuario cuando se conecte al sitio.

Anteriormente, la única forma de proteger los sitios con SSL era mediante un certificado SSL de pago. Hasta que Let's Encrypt estuvo disponible públicamente .

¿Qué es Let's Encrypt?

Let's Encrypt es una autoridad de certificación abierta y gratuita que proporciona un certificado SSL para el público en general. Es un proyecto de Internet Security Research Group (ISRG). Let's Encrypt está patrocinado por muchas empresas, incluidas Google, Facebook, Sucuri, Mozilla, Cisco, etc.

No hay mejor momento para instalar un certificado SSL en sus sitios web de WordPress. Especialmente cuando el equipo de seguridad de Google Chrome anunció que su navegador comenzará a etiquetar las conexiones HTTP como inseguras a partir de enero de 2017:

A partir de enero de 2017 (Chrome 56), marcaremos los sitios HTTP que transmiten contraseñas o tarjetas de crédito como no seguros, como parte de un plan a largo plazo para marcar todos los sitios HTTP como no seguros ", dijo un miembro del equipo de seguridad de Chrome. Emily Schechter. El primer paso del plan es mostrar una etiqueta de "No seguro" en la barra de direcciones.

Los propietarios de sitios que desean evitar que sus sitios HTTP se etiqueten como no seguros no tienen mucho tiempo para proteger sus sitios.

Otro beneficio de tener SSL en su sitio es la capacidad de utilizar HTTP / 2, que es esencialmente una evolución del protocolo HTTP. Los sitios web con HTTP / 2 son más rápidos ya que permiten transferir varios archivos simultáneamente.

Tenía la intención de implementar SSL en todos mis sitios durante bastante tiempo. El problema era que no sabía cómo implementar Let's Encrypt free SSL.

Leí muchos tutoriales sobre cómo agregar Let's Encrypt SSL a WordPress. Pero todos me parecen complicados. Finalmente, después de leer mucho, encontré una manera fácil de instalar Let's Encrypt SSL.

Mi método se puede encontrar a continuación. También hay otras formas. Esta guía está destinada a ser amigable para principiantes y se basa en mi experiencia para instalar SSL en algunos de mis sitios de WordPress de forma gratuita usando Let's Encrypt.

Sin la necesidad de SSH, acceso de root, ejecución de comandos y otros procesos que el usuario promedio no comprende (incluyéndome a mí) y que mencionan la mayoría de las guías sobre la implementación de SSL de WordPress.

Esta publicación es bastante larga con mucha información, pero si está interesado, antes de saltar a la sección sobre cómo implementar fácilmente Let's Encrypt en sus sitios de WP, consulte las explicaciones de algunos de los términos a continuación.

¿Qué son HTTPS y SSL?

Todos los días compartimos nuestra información personal con diferentes sitios web. Ya sea realizando una compra o simplemente iniciando sesión. Para proteger la transferencia de datos, es necesario crear una conexión segura. Ahí es cuando entran SSL y HTTPS.

Es posible que haya notado que cada vez que interactúa con un sitio seguro (como su portal bancario en línea), la dirección en la barra de su navegador tiene https: // delante en lugar del http H: // habitual.

Además de eso, la mayoría de los navegadores modernos mostrarán un pequeño candado en la barra del navegador cuando esté conectado a dicho sitio.

HTTPS o HTTP seguro es un método de cifrado. Asegura la conexión entre el navegador de los usuarios y su servidor. Esto hace que sea más difícil para los piratas informáticos espiar la conexión.

¿Por qué pasaría de HTTP a HTTPS e instalaría un certificado SSL? El protocolo establece la conexión entre los dos, donde una vez que la relación se establece con éxito, solo se transferirá la información encriptada.

Eso significa que toda la información de texto sin formato que pueda leer cualquier idiota se intercambiará con letras aleatorias y cadenas de números que los humanos no pueden leer.

Si algún pirata informático logra interferir con el intercambio de información, el cifrado hace que sea mucho más difícil encontrarle algún sentido.

Estándares de cifrado

SSL y HTTPS vienen con diferentes estándares de cifrado. El más antiguo se llama SHA y ya no se usa. Su sucesor SHA1 , aunque todavía está en circulación, está actualmente en desuso.

Google Chrome, por ejemplo, comenzó a emitir advertencias para sitios que ejecutan este estándar a principios de 2016.

El estándar de cifrado actual para los protocolos SSL es SHA2 . Sin embargo, en algún momento, dará paso a SHA3 que se encuentra actualmente en desarrollo.

NOTA : SSL ya no es el nombre correcto para el certificado. La tecnología se mejoró a finales de los 90 y su nombre cambió a TLS (Transport Layer Security). Sin embargo, el acrónimo SSL se atascó y evidentemente se está utilizando hasta el día de hoy. Entonces, también lo usaré principalmente en esta publicación.

¿Por qué necesita HTTPS y SSL?

Si está ejecutando un sitio web de comercio electrónico, definitivamente necesita un certificado SSL (Secure Sockets Layer). Especialmente si está recopilando información de pago. La mayoría de los proveedores de pago como Stripe, PayPal Pro, Authorize.net, etc. requerirán que tenga una conexión segura mediante SSL.

Google declaró que están usando HTTPS y SSL como una señal de clasificación en sus resultados de búsqueda. Esto significa que el uso de SSL ayudará a mejorar el SEO de su sitio.

Además, al implementar SSL, puede utilizar HHTP / 2 que, como ya mencioné, permite transferir múltiples archivos simultáneamente, mejorando así el tiempo de carga de su sitio.

Con SSL, no solo puede proteger datos confidenciales , como direcciones de correo electrónico, información de tarjetas de crédito, contraseñas, etc., de posibles ataques de piratas informáticos, sino que también puede mejorar la clasificación y la velocidad de su sitio.

Antes, los certificados SSL eran caros. Desde $ 10 al año hasta $ 200. Pero gracias al proyecto Let's Encrypt, ahora es posible activar un número ilimitado de certificados de forma gratuita.

¿Por qué el sitio de WooCommerce necesita SSL / TLS?

El problema de seguridad es muy importante en cualquier sitio web, especialmente para las tiendas online. Hay muchas interacciones entre un cliente y un servidor en un sitio de comercio electrónico. Su cliente debe proporcionar su información personal, como números de tarjetas de crédito, para finalizar el proceso de pago.

Por lo tanto, debe proteger toda su información privada. También lo ayuda a generar la confianza del cliente, la clave más importante para un sitio de comercio electrónico exitoso. Nadie quiere comprar productos en una tienda en línea no segura donde los piratas informáticos pueden robar su información.

Al utilizar SSL, los datos se cifran inmediatamente , lo que evita que los piratas informáticos lean los datos en tránsito. Cualquier sitio web de WooCommerce que utilice el método de pago estándar de PayPal necesitará un SSL para mayor seguridad, por lo que tener SSL es el requisito para su sitio de WooCommerce en caso de que esté utilizando PayPal para pagar y muchas otras pasarelas de pago.

¿Por qué Let's Encrypt?

Let's Encrypt es un sistema gratuito, automatizado, sin la necesidad de una IP dedicada, y una autoridad de certificación abierta, y muchas empresas lo admiten. Además, muchas empresas de alojamiento, proveedores de CDN y otros han implementado Let's Encrypt, por lo que es aún más fácil aplicarlo en su sitio.

Las principales características de Let's Encrypt son :

• Es gratis: puede instalarlo gratis en todos sus dominios.
• Seguro: utiliza los más altos estándares de seguridad para el intercambio de información.
• Transparente: todos los certificados emitidos o revocados se registrarán y estarán disponibles públicamente para que cualquiera los pueda inspeccionar (esto también puede considerarse una desventaja).
• Sin IP dedicada: no es necesario gastar dinero en una IP dedicada.
• Compatibilidad: compatible con todos los navegadores.
• Alojamiento compartido : se puede utilizar en alojamiento compartido y no solo en VPS o dedicado (consulte los mejores proveedores de alojamiento de WordPress asequibles).

El único inconveniente de Let's Encrypt es que debe renovarse cada 90 días. Pero este proceso se puede automatizar sin su intervención manual.

¿Cómo agregar SSL a WordPress?

A medida que Let's Encrypt se está volviendo popular, muchas empresas de alojamiento de WordPress ya han comenzado a ofrecer una configuración fácil de Let's Encrypt SSL incorporada.

La forma más fácil de agregar Let's Encrypt free SSL a WordPress es registrándose con una empresa de alojamiento que ofrezca una integración incorporada. Desafortunadamente, no todas las empresas de alojamiento admiten Let's Encrypt. Aquí está la lista completa de empresas de alojamiento que admiten Let's Encrypt.

# 1 Su alojamiento ofrece integración Let's Encrypt (MÁS FÁCIL)

Es fácil configurar Let's Encrypt para su sitio si su empresa de alojamiento ofrece integración. Ni siquiera necesita ser un proveedor de alojamiento.

La mayoría de los servicios CDN ofrecen la integración Let's Encrypt de forma gratuita con su servicio. Un ejemplo de esos proveedores de CDN es KeyCDN, MaxCDN, CDNSun o Incapsula (consulte la revisión de Incapsula) que ofrece certificado SSL de forma gratuita con planes pagos.

En estos casos, tampoco debe preocuparse por la renovación del certificado, ya que se realizará automáticamente por usted. Explicaré en el ejemplo de Siteground.

Inicie sesión en su panel de control de cPanel (qué es cPanel) y desplácese hacia abajo hasta la sección de seguridad. Allí deberá hacer clic en el icono Let's Encrypt.

Esto lo llevará a la página de instalación de Let's Encrypt. Deberá seleccionar el nombre de dominio en el que desea utilizar SSL.

Ahora puede hacer clic en el botón de instalación. Let's encrypt emitirá un certificado SSL único para su sitio web. Una vez que haya terminado, verá un mensaje de éxito.

Eso es todo. Ha integrado con éxito Let's Encrypt free SSL en su sitio de WordPress. Aquí no tienes que hacer nada más.

Sin embargo, su sitio de WordPress aún no está listo para usar. Primero, deberá actualizar las URL de WordPress y luego solucionar el problema de contenido inseguro, si lo hubiera. Puede encontrarlo todo a continuación.

# 2 Agregar gratis Let's Encrypt SSL si su alojamiento no ofrece integración

Si su proveedor de alojamiento web no proporciona integración como SiteGround, DreamHost y otras empresas de alojamiento que ofrecen Let's Encrypt, deberá realizar un procedimiento algo largo.

Pero no hay necesidad de entrar en pánico. Le mostraré una manera fácil de agregar SSL al sitio web de WordPress si su alojamiento o CDN no ofrecen integración.

Este método difiere de un servidor web a otro. La mayoría de las empresas de hosting tienen un documento de soporte que explica el proceso. También puede ponerse en contacto con su personal de soporte para obtener instrucciones detalladas o pedirles que lo hagan por usted.

Algunas empresas de alojamiento instalarán el certificado SSL por usted . Solo debe proporcionarles la clave privada, el certificado y la CA. Eso es lo que he hecho con Half Dollar Hosting. Me acabo de contactar con ellos y lo han hecho por mí, ya que no permiten que lo configure usted mismo.

Debe proporcionarles un certificado para cada dominio. Y en el caso de Let's Encrypt , debe contactarlos nuevamente cada 90 días para renovar el certificado para cada sitio.

Instalar un certificado SSL en su servidor manualmente usando cPanel

Primero vaya a SSL gratis. No se preocupe, es seguro de usar y emiten certificados en cooperación con Let's Encrypt. Ingrese su nombre de dominio con www o sin www. SSL For Free también agregará otra versión al certificado, por lo que no importa. De forma predeterminada, uso www con todos mis sitios, por lo que siempre lo pongo como principal.

Luego haga clic en el botón Crear certificado SSL gratuito . A continuación, se le pedirá que verifique que es el propietario del dominio al que desea agregar el certificado. Puede elegir entre Verificación FTP automática y Verificación manual .

Si selecciona Verificación FTP automática, deberá ingresar su información FTP para la cuenta del servidor del dominio, como usuario, contraseña ... y la verificación se realizará automáticamente. Prefiero ir con la verificación manual, por lo que mostraré los pasos para el manual.

Los pasos necesarios en este caso se explican en el sitio para que no pueda equivocarse. Usted descarga archivos, inicia sesión en su cPanel, va a la carpeta de su dominio y crea nuevas carpetas siguiendo los pasos de la página. Luego, cargue los archivos descargados en la carpeta "acme-challenge".

Después de verificar que todo se haya hecho correctamente, haga clic en el botón Descargar certificado SSL . Nunca marco Tengo mi propio CSR. En ese caso, se le proporcionará uno.

Ahora obtendrá la clave privada, el certificado y la CA. Haga clic para descargarlos y obtendrá el archivo .zip. Este archivo lo proporciona a su alojamiento si lo instalarán por usted, o lo extraerá si va a instalar el certificado usted mismo.

También puede habilitar la opción para recibir una notificación cuando su certificado esté a punto de caducar. En caso de que haya olvidado el certificado Let's Encrypt es válido por 90 días. Después de eso, debe renovarlo siguiendo los mismos pasos.

Ahora, después de haber adquirido un certificado. Es hora de instalarlo en el servidor. Siga los pasos a continuación para instalar SSL en su sitio :

1. Inicie sesión en su cuenta de cPanel

2. Busque y haga clic en Administrador SSL / TLS en la sección Seguridad .

3. Haga clic en 'Administrar sitios SSL' en el menú Instalar y administrar SSL para su sitio web (HTTPS) . Si no tiene la opción Administrar sitios SSL , intente comunicarse con su proveedor de alojamiento y pregúntele si pueden instalar el certificado por usted.

4. Copie el código del certificado que recibió, incluidos —– COMENZAR EL CERTIFICADO—– y —– FIN DEL CERTIFICADO—– y péguelo en el campo 'Certificado: (CRT)'.

Puede hacer clic en el botón Autocompletar por certificado , que aparece junto al certificado ingresado. El sistema intentará recuperar el nombre de dominio y la clave privada.

También puede elegir el dominio de la lista desplegable e ingresar manualmente el certificado y la clave privada en los cuadros correspondientes. Recuerde incluir encabezados y pies de página de inicio / fin para el certificado y la clave.

NOTA: Las siguientes imágenes son solo un ejemplo. No tendrás la misma información, emisor, certificado, etc.

Copie y pegue el paquete de CA en el cuadro debajo de Paquete de autoridad de certificación (CABUNDLE). Si desea utilizar este certificado para servicios de correo, marque la casilla de verificación 'Habilitar SNI para servicios de correo'.

En este caso, podrá utilizar su dominio, en el que se ha instalado el certificado SSL, como nombre de host del servidor de correo configurando sus clientes de correo para que funcionen a través de puertos seguros.

Esta opción solo está disponible a partir de cPanel 11.48. Si tiene una versión anterior de cPanel, no puede usar su certificado para correo.

5. Haga clic en el botón ' Instalar certificado '

¡Felicidades! El certificado ahora está instalado en el servidor de su sitio. El sitio ahora debería ser accesible a través de https: //.

Pruebe su certificado y verifique su sitio usando https en el navegador para ver si se muestra correctamente.

Actualización de las URL de WordPress después de configurar SSL mediante el complemento

Después de configurar el certificado SSL gratuito con Let's Encrypt, el siguiente paso es mover la URL de WordPress de HTTP a HTTPS. Un sitio estándar sin certificado SSL utiliza el protocolo HTTP. Esto generalmente se resalta con el prefijo http en las direcciones web, así: http://www.example.com

Los sitios web seguros con certificados SSL utilizan el protocolo HTTPS. Esto significa que sus direcciones se ven así: https://www.example.com. Sin cambiar las URL de su sitio de WordPress, no utilizará SSL y su sitio no será seguro para recopilar datos confidenciales.

1. Actualización de las URL de WordPress a HTTPS para un nuevo sitio web de WordPress

Si está trabajando en un sitio web nuevo, puede ir a su área de administración de WordPress y hacer clic en configuración. Allí deberá actualizar la URL de WordPress y los campos de URL del sitio para usar https.

No olvide guardar sus cambios.

2. Actualización de las URL de WordPress a HTTPS para un sitio de WordPress existente

Si su sitio ha estado activo por un tiempo, entonces lo más probable es que esté indexado por motores de búsqueda. Es posible que otras personas se hayan vinculado a él mediante HTTP en la URL. Debe asegurarse de que todo el tráfico se redirija a la URL https.

Lo que debe hacer es instalar y activar el complemento Really Simple SSL. Este complemento detectará automáticamente su certificado SSL y configurará su sitio web para usarlo. En la mayoría de los casos, no tendrá que realizar más cambios. El complemento también solucionará el problema del contenido inseguro.

3. Actualización de las URL de WordPress después de agregar SSL a un sitio web existente de WordPress sin complemento

Si desea forzar a todo su sitio web a pasar por https, pero sin el uso de un complemento, puede agregar estas reglas a su archivo .htaccess:

Posible problema de error de mezcla de contenido después de la configuración de SSL

Cuando instala un certificado SSL en un nuevo dominio, todas las páginas y todos los recursos, como imágenes, se sirven automáticamente con el protocolo HTTPS.

Pero si el certificado está habilitado en un dominio que ya está en uso, es posible que tenga algunos problemas para mezclar contenido . Eso significa que tiene contenido que se sirve con HTTPS y contenido que se sirve con HTTP.

El contenido mixto ocurre cuando partes de su contenido continúan enviándose a través de HTTP mientras que el resto de su sitio se ha trasladado al HTTPS más seguro.

En este caso, los navegadores modernos mostrarán una advertencia, lo que hará que sus usuarios vean su sitio como inseguro.

Utilice la herramienta gratuita SSL Check para escanear todo su sitio en busca de imágenes, scripts, archivos CSS y otros que no sean seguros. Con esta información, puede tomar medidas correctivas. Una alternativa a la comprobación de páginas singulares es Why No Padlock ?.

También puede buscar el símbolo del candado en la barra de su navegador mientras navega por su sitio. Mostrará una advertencia cuando visite una parte que tenga contenido mixto.

Si encuentra una página de este tipo, puede encontrar al culpable echando un vistazo a la consola en las herramientas de desarrollo de Chrome o Firefox. Este artículo enumera los diversos métodos para resolver el problema de la mezcla de contenido.

Solución de errores de contenido de mezcla con CloudFlare

Si su sitio está en CloudFlare, puede utilizar CloudFlare Automatic HTTPS Rewrites. La reescritura automática de HTTPS es una función que reescribe enlaces a recursos no cifrados de HTTP a HTTPS.

Antes de que se aplique la reescritura y se sirva en el HTML enviado a los visitantes de su web, se verifica un conjunto de reglas para garantizar que las referencias sean accesibles a través de HTTPS.

Si se conecta a su sitio a través de HTTPS y el icono de candado no está presente, o tiene un triángulo de advertencia amarillo, su sitio puede contener referencias a activos HTTP ("contenido mixto").

El contenido mixto a menudo se debe a factores que no están bajo su control. Puede ser contenido de terceros integrado o sistemas de gestión de contenido complejos.

Al reescribir las URL de "http" a "https", Automatic HTTPS Rewrites simplifica la tarea de hacer que todo su sitio web esté disponible a través de HTTPS, lo que ayuda a eliminar errores de contenido mixto y garantiza que todos los datos cargados por su sitio web estén protegidos.

Reparar elementos no seguros en su sitio

Instale el complemento SSL Insecure Content Fixer. Manejará todos los elementos incluidos y arreglará los recursos que no sean https en caso de que existan. Asegúrese de verificar la configuración de los complementos si no funciona de inmediato.

¿Qué sucede si el certificado vence?

Cuando su certificado caduca, los visitantes reciben una advertencia al respecto y se les desaconseja ingresar a su sitio. No debes dejar que esto suceda. Asegúrese siempre de que su certificado se renueve a tiempo . También se puede dar la misma advertencia para los certificados autofirmados que no han sido validados por una autoridad externa.

Actualizar la configuración de Google Analytics después de migrar a HTTPS

Si tiene Google Analytics instalado en su sitio de WordPress, entonces necesita actualizar su configuración y agregar su nueva URL con https. Inicie sesión en su panel de Google Analytics y haga clic en 'Administrador' en el menú superior. A continuación, debe hacer clic en la configuración de la propiedad en su sitio web.

Allí verá la opción de URL predeterminada. Haga clic en HTTP y luego seleccione https. No olvide hacer clic en el botón Guardar para almacenar su configuración. Además, agregue https: // www y sin www a las herramientas para webmasters de Google para su sitio.

Configuración de SSL solo en determinadas páginas

Si por alguna razón, solo desea agregar SSL a páginas específicas de su sitio, entonces necesitaría el complemento llamado WordPress HTTPS (SSL).

A pesar de que este complemento no se ha actualizado durante un tiempo, todavía funciona bien. Tras la activación, el complemento agregará un nuevo elemento de menú etiquetado como HTTPS en su administrador de WordPress. Puede hacer clic en él para visitar la página de configuración del complemento.

La primera opción de la página de configuración le pide que ingrese su host SSL. Principalmente es su nombre de dominio. Sin embargo, si está configurando el sitio en un subdominio y el certificado SSL que obtuvo es para su nombre de dominio principal, ingresará el dominio raíz.

Si está utilizando un certificado SSL compartido proporcionado por su proveedor de alojamiento web , deberá ingresar la información del servidor que le proporcionaron en lugar de su nombre de dominio.

Forzar la configuración de administración de SSL obliga a WordPress a utilizar HTTP en todas las páginas del área de administración. Debe marcar esta casilla para asegurarse de que todo el tráfico a su área de administración de WordPress sea seguro.

La siguiente opción es usar Forzar SSL exclusivamente . Al marcar esta casilla, solo se utilizará SSL en las páginas en las que haya marcado la opción Forzar SSL. Todo el resto del tráfico irá a la URL HTTP estándar.

Esto funciona si solo desea usar SSL en páginas específicas como un carrito de compras, pago, páginas de cuentas de usuario, etc. Haga clic en el botón Guardar cambios para almacenar la configuración de su complemento.

Si desea utilizar HTTPS solo para páginas específicas, debe editar esas páginas y marcar la casilla de verificación Forzar SSL . Una vez hecho esto, visite su página para asegurarse de tener un candado verde en Chrome y otros navegadores.

¿Cómo configurar Let's Encrypt con CloudFlare?

Si está utilizando CloudFlare con su sitio, probablemente conozca CloudFlare Flexible SSL o como lo llaman Universal SSL. Universal SSL es simplemente el nombre del servicio SSL gratuito de CloudFlare.

En 2014, CloudFlare anunció SSL universal gratuito para todos sus usuarios. Esto suena bastante bien, especialmente sabiendo que puedes usarlo en su paquete gratuito.

Pero muchos no entienden cómo funciona exactamente CloudFlare Flexible SSL. La opción de SSL flexible solo proporciona tráfico seguro entre el usuario y la red de CloudFlares .

No entre CloudFlare y su sitio web. Lo que significa que el tráfico del usuario se expone a través de Internet como tráfico HTTP normal.

No se recomienda SSL flexible si tiene información confidencial en su sitio web. Esta opción solo debe usarse como último recurso si no puede configurar SSL en su propio servidor web. Esta opción es mucho menos segura que la opción SSL completa que se indica a continuación. - CloudFlare

Entonces, ¿cuál es el problema con esto? Bueno, el propietario del sitio web puede saberlo o no. Pueden aceptar esto y optar por utilizar el SSL flexible. Son ellos quienes eligen correr el riesgo.

Pero, ¿qué pasa con los usuarios del sitio web? Los usuarios del sitio web no notarán la diferencia. Verán HTTPS.

Piense que es un certificado válido y utilice felizmente el sitio web, proporcione información personal, datos bancarios, etc. sin saber que en realidad están pasando por HTTP inseguro.

Entonces, si usa SSL flexible de CloudFlare, no cambie su sitio a URL HTTPS. Simplemente déjelo como está predeterminado o cámbielo a Full Strict después de instalar Let's Encrypt.

El modo SSL flexible de CloudFlare es el predeterminado para los sitios de CloudFlare en el plan gratuito. Para aprovechar nuestro modo SSL completo y estricto, que cifra la conexión entre CloudFlare y el servidor de origen, es necesario instalar un certificado en el servidor de origen .

Cuando instale el certificado SSL Let's Encrypt en su sitio, vaya a la configuración de CloudFlare Crypto para su sitio en el que instaló el certificado y cambie la configuración SSL a Completo (estricto) .

Ahora tiene el beneficio adicional de una conexión autenticada y encriptada a su servidor de origen.

También puede, en lugar de Let's Encrypt, instalar el certificado de origen de CloudFlare. Los certificados de origen de Cloudflare son certificados TLS gratuitos emitidos por Cloudflare que se pueden instalar en su servidor de origen para facilitar el cifrado de un extremo a otro para sus visitantes mediante HTTPS.

Puede encontrar esa opción en CloudFlare en la pestaña Crypto. De forma predeterminada, los certificados recién generados tienen una validez de 15 años. También puedes acortarlo.

Los navegadores aún no confían en el certificado de origen de CloudFlare. Pero contará con la confianza de CloudFlare , lo que permitirá que la conexión de back-end esté cifrada y autenticada.

Esto también protege su sitio si una de las autoridades de certificación de confianza pública se ve comprometida por los atacantes y se utiliza para emitir certificados ilegítimos.

NOTA: Al pausar CloudFlare o zonas individuales que se nublan en gris, tenga en cuenta que usted y sus visitantes pueden recibir errores en sus navegadores para su sitio con el certificado CloudFlare Origin hasta que los vuelva a poner en la nube naranja (proxy inverso).

Chrome y otros navegadores no confiarán en los certificados de origen de CloudFlare. Estos están destinados solo para ser utilizados por servidores de origen que se encuentran detrás del servicio de CloudFlare.

Pero los certificados raíz también están disponibles. Agregarlos a sus tiendas de confianza TLS locales le permitirá validar directamente, sin pasar por CloudFlare.

CloudFlare Flexible SSL vs Full SSL vs Full SSL Strict

Elija " Flexible " únicamente si su servidor web de origen no puede aceptar conexiones seguras (HTTPS). Seleccione " Completo " si tiene un certificado SSL autofirmado y elija " Completo (estricto) " si tiene un certificado SSL válido.

Apagado : No hay conexión segura entre su visitante y CloudFlare, y tampoco hay conexión segura entre CloudFlare y su servidor web.

Esto significa que los visitantes solo pueden ver su sitio web a través de HTTP, y cualquier visitante que intente conectarse a través de HTTPS recibirá un redireccionamiento HTTP 301 a la versión HTTP simple de su sitio.

SSL flexible : conexión segura entre su visitante y CloudFlare, pero sin conexión segura entre CloudFlare y su servidor web. No necesita tener un certificado SSL en su servidor web, pero sus visitantes aún ven el sitio como HTTPS habilitado.

Esta opción no se recomienda si tiene información confidencial en su sitio web. Solo debe usarse como último recurso si no puede configurar SSL en su propio servidor web. Es menos seguro que cualquier otra opción (incluso "Desactivado"), e incluso podría causarle problemas cuando decida alejarse de él.

SSL completo : conexión segura entre su visitante y CloudFlare, y conexión segura (pero no autenticada) entre CloudFlare y su servidor web. Deberá tener su servidor configurado para responder a conexiones HTTPS, con un certificado autofirmado al menos.

SSL completo (estricto) : conexión segura entre el visitante y CloudFlare, y conexión segura y autenticada entre CloudFlare y su servidor web.

Deberá tener su servidor configurado para responder a conexiones HTTPS, con un certificado SSL válido. Este certificado debe estar firmado por una autoridad certificadora, tener una fecha de vencimiento en el futuro y responder a la solicitud de nombre de dominio (nombre de host).

Tengo un certificado instalado en el servidor. ¿Por qué veo el certificado CloudFlare?

Cuando usa CloudFlare, descifran los datos en su borde para almacenar en caché y filtrar cualquier tráfico incorrecto. Dependiendo de la configuración de SSL, pueden volver a cifrarlo o enviarlo como texto sin formato.

Dado que cada certificado necesita una dirección IP dedicada , agregan su nombre de dominio y dominio comodín (* .domain.com) en la SAN (nombre alternativo del sujeto) al certificado.

Si usa el plan gratuito de CloudFlare y tiene un certificado de terceros instalado (como Let's Encrypt), al verificar el certificado de su sitio, siempre mostrará el certificado de CloudFlare.

Si no desea que se muestre el nombre de CloudFlare cuando un visitante verifica el certificado, necesita el plan CloudFlare Business / Enterprise. En otras palabras, debes pagar.

Los clientes de estos planes pueden cargar su propia clave y certificado SSL, y no se mostrará el nombre de CloudFlare.

¿Cómo transferir un certificado SSL?

¿Se está mudando a un nuevo servidor pero aún le queda tiempo en su certificado anterior? Es posible que pueda mover su certificado al nuevo servidor. Al mover un SSL, el certificado debe ser para el mismo nombre de dominio en el nuevo servidor.

Cómo agregar manualmente SSL a las palabras finales gratuitas de WordPress

En estos días, HTTPS es una necesidad. Aumenta la privacidad de sus usuarios, le permite utilizar nuevas funciones del navegador y le permite conservar el acceso a las funciones existentes.

Como vio, con Let's Encrypt, obtener un certificado SSL es fácil y puede ser gratis . Estamos apenas al comienzo de una pequeña pero significativa revolución en la seguridad de las redes de Internet.

Si está ejecutando un sitio web de WordPress que trata con datos confidenciales, debe tener SSL. Sin cifrado de tráfico, el riesgo de que se intercepte la información de su cliente es demasiado alto.

Además de ser un proveedor de servicios responsable, la capa adicional de seguridad también es una señal positiva para los motores de búsqueda . So if you don't do it for your clients, at least do it for the rankings.

I have already started installing SSL certificate on my WordPress websites. Soon you will also see HTTPS on kasareviews.com. I recommend you taking the same step.

Remember, an ounce of prevention is worth a pound of cure. Take WordPress security seriously . Your visitors and customers will thank you.