WordPress HTTPS, SSL y TLS-A Guía para administradores de sitios web

Cuando visita un sitio web, su navegador (también conocido como cliente) envía una solicitud HTTP a un servidor web. Una vez que el servidor web envía una respuesta HTTP, el navegador puede reproducir la página en la pantalla. Sin embargo, el tráfico HTTP tiene un problema; Es un protocolo de texto simple. Esto lo hace susceptible a espiar y mezcla. Si un atacante está en la misma red que puede interceptar y leer el tráfico HTTP. También pueden cambiar sus solicitudes al servidor y las respuestas del servidor a usted. Se conoce como un ataque de hombre en el medio (MITM). Esto puede suceder fácilmente en las redes WiFi públicas, como las del lobby del hotel y los espacios públicos.
Por lo tanto, un sitio web debe estar en HTTPS, por lo que el tráfico no puede ser interceptado. Este artículo explica qué son HTTPS, SSL y TLS. También explique cómo puede configurar su sitio de WordPress para trabajar en HTTPS. contenido
¿Qué es SSL y TLS?
¿Qué es HTTPS?
¿Cómo funcionan los https?
TLS TLS
Claves públicas y privadas (par de claves)
¿Realmente necesito https en mi sitio web de WordPress?
Obtener un certificado HTTPS TLS (certificado SSL)
HTTPS en alojamiento y alojamiento de WordPress administrado
Configuración de WordPress HTTPS
Configuración del servidor web
Configuración de la URL de WordPress en HTTPS
Aplicación TLS en WordPress Dashboard (consejos de bonificación)
Agregar HTTP Strict Transport Security (HSTS)
Configuración de HSTS en el servidor web
TLS Cifras
Mi WordPress se ejecuta en HTTPS, ¿es seguro?
¿Qué es SSL y TLS? Una vez que Internet ha comenzado a crecer, se hizo evidente que necesitamos un mecanismo para transferir información entre un cliente y un servidor, sin que nadie pueda escuchar o modificar el tráfico: ingrese SSL o la capa de socket segura. SSL es un protocolo de seguridad para Internet, desarrollado por primera vez por Netscape en 1995 para resolver este problema.
Cifrado: para encriptar el tráfico para que no pueda ser interceptado por un tercero no autorizado por intercepción,
Autenticación: para asegurarse de que el servidor con el que habla el cliente es de hecho el servidor que digo es,
Integridad: para garantizar que los datos enviados entre el cliente y el servidor no sean modificados por otra persona.
Sin embargo, con el tiempo, los investigadores de seguridad han identificado una serie de problemas de seguridad en SSL. Por lo tanto, SSL ha sido reemplazado por TLS (Protocolo de seguridad de la capa de transporte). Si bien las diferencias bajo el capó entre SSL y TLS son drásticas, el propósito de TLS sigue siendo en gran medida igual.
Nota: Con frecuencia puede ver SSL utilizado para referirse a TLS. SSL es un protocolo antiguo y ya no está seguro de usar. Sin embargo, debido a su popularidad, muchos todavía usan SSL como acrónimo, pero significa TLS. ¿Qué es HTTPS? HTTPS o Protocolo de transferencia de hipertexto seguro es una versión segura del protocolo HTTP. HTTPS se basa en el transporte de seguridad de la capa (TLS), un protocolo mejorado y más seguro que el de la capa de socket (SSL) mejorada anteriormente. TLS ofrece cifrado, autenticación e integridad a las solicitudes y respuestas HTTPS. Puede pensar en HTTPS como solicitudes y respuestas HTTP (esta es la versión de protocolo simple) que pasa a través de un túnel TLS. El término técnico para esto es la encapsulación. Es relevante tener en cuenta que TLS se puede usar para encapsular otros protocolos, no solo HTTP. Puede identificar sitios web que usan HTTP al comienzo de la URL (comienza con HTTPS) en la barra de navegación del navegador o a través de la cerradura verde. Si navega por un sitio web en HTTP, los navegadores lo marcan como sin garantía.
¿Cómo funcionan los https? Al solicitar una página web utilizando HTTPS, el navegador y el servidor web inician un proceso llamado TLS HandShake. Manejar TLS es una forma en que el cliente y el servidor pueden decidir si deben comunicarse y cómo deben comunicarse. Durante el apretón de manos TLS, el cliente y el servidor hacen lo siguiente:
Decide la versión del protocolo TLS para usar (TLS 1.0, 1.2, 1.3 …),

Para acordar la suite de cifrado (un conjunto de algoritmos de cifrado utilizados para establecer comunicaciones seguras) para usar,
autenticar la identidad del servidor,
Genere claves de cifrado para usarlas después de la sacudida de la mano, para comunicarse de manera segura. TLS se esfuerza a mano durante las manos TLS, el servidor envía al cliente para verificar si puede autenticar el servidor. Un certificado es similar a un pasaporte: es emitido por una autoridad central confiable llamada Autoridad de Certificación (CA), que establece de forma independiente la identidad del sitio web, se puede demostrar a su navegador.
Certificado TLS de claves públicas y privadas (pares de clave) (a menudo llamado certificado SSL) que el servidor web envía al cliente contiene la clave pública. La clave pública es una de las dos claves especiales llamadas un par de claves. Un par de claves consta de dos claves; la clave pública y la clave privada. Si bien la clave pública se comparte con los clientes, la clave privada se mantiene secreta en el servidor y nunca se revela. El par de claves se forjan juntas. El par de claves públicas y privadas tiene una relación muy interesante: sin conocer la clave del servidor privado (esto es secreto y solo el servidor debe saberlo), un cliente puede cifrar los datos utilizando la clave pública El servidor que el servidor puede descifrar. usando su llave privada. .
Si esto suena confundido, piénselo como si el “servidor” hubiera enviado una abierta (clave pública) para protegerse con un bloqueo que coloca algo en su maleta y bloquea el bloqueo, simplemente “el servidor” con la llave Desde Lacăt (clave privada) puede ver lo que hay dentro. ¿Realmente necesito https en mi sitio web de WordPress? Sí. Independientemente del tipo de tráfico que sirva su sitio (ya sea información de identificación personal (PII), soporte de tarjetas o imágenes de CAT), no hay absolutamente ninguna razón para transmitir su sitio a través de HTTPS. En primer lugar, cuando ejecuta su sitio en HTTP, los hackers pueden robar fácilmente sus contraseñas y credenciales de WordPress y romper su sitio. Pueden hacer todo esto utilizando herramientas gratuitas disponibles. Además de los beneficios de seguridad y una mejor experiencia del usuario, el nuevo protocolo HTTP/2, que ofrece varios beneficios de rendimiento, no se puede usar sin TLS en los navegadores web. Además, HTTPS también tiene beneficios de optimización para los motores de búsqueda (SEO) y es parte del algoritmo de búsqueda de Google. Obteniendo un certificado HTTPS TLS (alias de certificado SSL) para configurar HTTPS, necesitará un certificado TLS si configura todo usted mismo. Aunque verá docenas de ofertas de certificados TLS pagados, puede obtener un certificado TLS gratuito de una autoridad de certificación sin fines de lucro llamada Let’s Cintpt. No hay absolutamente nada diferente entre un certificado que obtiene libre de Let’s Encrypt y uno por el que paga.
HTTPS en la casa y alojamiento administrado de WordPress, tenga en cuenta que para soluciones de alojamiento administradas o compartidas, su proveedor de alojamiento puede o no cobrar por agregar HTTPS; si este es el caso, antes de pagar dinero por un certificado, solicite al servicio del servicio del Servicio del Servicio de Servicio de Servicio Soporte si puede usar un certificado de encriptación con servicio. Vamos a encrypt los foros de la comunidad también son un excelente recurso que puede ayudarlo. Configuración de HTTPS WordPress (aplicación TLS en su sitio web de WordPress) Hay algunas formas de aplicar TLS en su sitio de WordPress, dependiendo de su configuración en la mayoría de los casos, ya sea configurar su Web de servidor para redirigir todo el tráfico HTTP a HTTPS (consulte el generador de configuración SSL . Además, debe configurar WordPress para escuchar HTTPS. Puede hacerlo con arados como realmente SSL o WP Force SSL. En este ejemplo, veremos cómo hacerlo sin usar complementos adicionales. Configuración de la atención del servidor web
Tenga cuidado al copiar/pegar las configuraciones del servidor web y asegúrese de saber exactamente lo que hacen consultando la documentación de su servidor web
Puede encontrar muchos ejemplos en línea utilizando %{http_host} (servidor http apache) o $ http_host (nginx); ambos podrían hacer que su sitio sea susceptible a http host encabezado su configuración como se ve a continuación.
Si usa NGINX, puede configurar lo siguiente:
servidor {

Lista 80;
Server_name Ejemplo.com www.example.com;
Return 301 https: //example.com$request_uri;
}
Alternativamente, si usa el servidor apache http, puede configurar lo siguiente: & amp; lt; ifmodule mod_rewrite.c & amp; gt; rewritengine on
RewriteCond %{https} OFF
Rewriterule ^(.*) $ Https: //www.example.com% {request_uri [l, r = 301] & amp; lt; ifModule & amp; gt;
Configurar la URL de WordPress en HTTPS después de activar HTTPS en su servidor web también deberá configurar WordPress. En teoría, puede hacer esto manualmente: simplemente cambie la dirección de WordPress y la dirección del sitio en la configuración general de WordPress. También debe hacer una búsqueda y reemplazar en la base de datos para cambiar todos los enlaces HTTP HTTP. [Captura de pantalla] Por lo tanto, lo más probable es que sea mucho más fácil usar un complemento para cambiar su sitio web de WordPress a HTTPS. Puede usar un complemento popular, como SSL realmente simple, para ayudarlo durante el proceso. La implementación de TLS en el tablero de WordPress TLS es útil solo si se usa. Como tal, debe asegurarse de que su sitio de WordPress no solo acepte TLS, sino que también lo impone. Debido a que siempre se debe acceder al tablero de WordPress a través de HTTPS, WordPress incluye la opción de configuración especial Forr_SSL_Admin, que se puede configurar en True en wp-config.php.define (‘force_ssl_admin’, true);
Cuidadoso
Dependiendo de la configuración y la configuración de su sitio web (en particular, si usa un proxy inverso), esto puede hacer las solicitudes a la placa de WordPress en un bucle de redirección infinito. Para obtener información adicional sobre cómo solucionar esto, consulte la documentación de WordPress y siempre pruebe los cambios en un entorno de capacitación antes de iniciarlos. Además, asegúrese de tener TLS configurado y funcione correctamente antes de configurar Force_SSL_Admin en True.
Consejo de bonificación 1: Agregar seguridad de transporte estricto HTTP (HST) Aunque la redirección de todo el tráfico a HTTPS es un gran movimiento, desafortunadamente, los atacantes aún pueden tener algunos trucos en la manga. Un ataque conocido como cinta SSL permitiría a un atacante engañar al navegador para que navegue por el sitio en HTTP en lugar de HTTPS asegurados, en realidad derrotar su arduo trabajo. Para obtener más detalles (muy técnicos) sobre los ataques de SSL Strip, siga el discurso de Moxie Marlinspike a continuación.
Como resultado, los navegadores ahora se implementan HTTP Strictly Transport Security o HSTS. HSTS no es más que un encabezado HTTP simple que le dice al navegador que nunca se debe acceder a este sitio web a través de HTTP, derrotando cualquier ataque de SSL Strip. Configuración de HSTS en la atención del servidor web
No active HSTS hasta que confíe en HTTPS; cualquier visitante que reciba este encabezado HTTP solo verá su sitio a través de HTTPS
Siempre establezca el atributo de edad máximo: opcional, puede optar por establecer un valor bajo por primera vez que implementa HSTS (para limitar cualquier problema potencial) y aumentarlo cuando tenga más confianza con HSTSDA, puede configurar lo siguiente en el bloque del servidor que escucha el puerto 443:# HSTS (se requiere NGX_HTP_HEADERS_MODULE) (63072000 segundos)
Add_header Strict-Transport-Security “Max-Age = 63072000” siempre;
Alternativamente, si usa el servidor Apache HTTP, puede configurar lo siguiente en VirtualHost escuchando el puerto 443:# HTTP Strict Transport (se requiere mod_headers)
(63072000 segundos)
El encabezado siempre establece la seguridad de transporte estricto “Max-Age = 63072000”
Consejo de bonificación 2: Configuración de dígitos TLS para garantizar que la transferencia de datos entre el navegador y el servidor sea segura, ambas partes aceptan usar lo que se conoce como suite de cifrado: una combinación de autenticación, cifrado y algoritmos de código. Autenticación de mensajes (Mac) – para negociar Configuración de seguridad, así como para transferir datos a segura. Desafortunadamente, muchas figuras antiguas tienen vulnerabilidades de seguridad y ya no son particularmente seguros de usar. Si bien decidir qué cifras usar es un negocio difícil, el generador de configuración de Mozilla SSL hace que la elección de un conjunto de figuras TLS que demanden sus necesidades. Cuando sea posible, intente usar perfiles modernos o intermedios, pero dependiendo de su caso de uso, especialmente si necesita aceptar navegadores antiguos o cumplir con los requisitos reglamentarios y de cumplimiento, es posible que deba utilizar configuraciones de un conjunto de cifrado ligeramente diferente. Si usa NGINX, puede configurar los siguientes dígitos TLS (según el generador de configuración de Mozilla SSL):
SSL_CIPHERS ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-LAES128-GCM-SHA256: ECDHE-ECDSA -25
6-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDH
E -RSA-CHACHA20-POLY1305: DHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384;
SSL_PERFER_SERVER_CIPHERS OFF;
Alternativamente, si usa el servidor Apache HTTP, configure los siguientes dígitos TLS (basado en el generador de configuración de Mozilla SSL):# Configuración intermedia
Sslprotocol all -slv3 -tlsv1 -tlsv1.1
Sslciphersute ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSAAES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-AEE256-GCM-SHA384: ECDHE-ECCACA20-PLY1305: Poly1305: DHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384
Sslhonororciphirter apagado
SslseSsotickets apagado
También puede probar la puntuación de configuración TLS de su sitio utilizando una herramienta SSLABS gratuita para obtener información aún más técnica. Mi WordPress se ejecuta en HTTPS, ¿es seguro? Los iconos de bloqueo verde y las palabras “aseguradas” cerca de la barra de direcciones de su navegador le han hecho pensar que HTTPS es una varita mágica que resuelve todos los problemas de seguridad del sitio. Lamentablemente no.
HTTPS es solo una pequeña parte de la seguridad de WordPress: permite a los visitantes navegar por su sitio a través de una conexión segura. Sin embargo, no protege su sitio web como un firewall WordPress y no lo hace más seguro. Esto no significa que sea más seguro que un sitio que se ejecuta en HTTP. Como cualquier otra defensa de seguridad, HTTPS ayuda a resolver una parte del problema. En otras palabras, aunque definitivamente debe implementar e imponer HTTPS, esto no significa que pueda permanecer callado y no preocuparse por la seguridad. Debería continuar:
Agregar dos factores autenticación
Instale un complemento de monitoreo de integridad de archivos
Aplicar políticas de contraseña de WordPress fuertes
Mantenga un diario de actividad de WordPress como un registro de todos los cambios que tienen lugar en su sitio web
Usa un buen firewall.