Elegir el certificado HTTPS correcto para su sitio web de WordPress

En nuestra publicación anterior de WordPress HTTPS, SSL y TLS-A Guide para administradores de sitios web, expliqué qué son HTTPS y todos los demás términos técnicos y cómo funciona. En este artículo, estamos discutiendo los certificados HTTPS, sobre las diferentes formas en que puede obtener uno para su sitio de WordPress y por qué debería o no pagar por uno. Vamos a bucear directamente. ¿Qué es un certificado HTTPS? Antes de que podamos hablar sobre cómo y por qué los certificados HTTPS, debemos discutir qué es un certificado. Se utiliza un certificado para:
Cifrar tráfico entre servidor web y navegador web,
Verifique que el servidor web al que está conectado es en realidad quién dice ser (un medio de identificación).
Un certificado HTTPS (Certificado TLS) contiene pruebas criptográficas de que una entidad confiable puede garantizar la identidad del Sitio. Esta entidad se llama Autoridad de Certificación (CA). Que juega un papel crucial cuando se trata de certificados HTTPS.
Puede pensar en una autoridad de certificación similar a una “oficina de pasaporte” que verifica independientemente su identidad y le ofrece un “pasaporte” (certificado) para probar la identidad de los demás. Sin embargo, para que alguien (un navegador web) valida su “pasaporte”, debe confiar en la “Oficina de Passport” (la Autoridad de Certificación) que emitió el “Pasaporte” (Certificado). Similar a un pasaporte, un certificado habrá creado características de seguridad para dificultar la falsificación. En otras palabras, para brindarle el sitio web a través de HTTPS, necesita una autoridad de certificación para proporcionarle un certificado que demuestre la identidad de su sitio de WordPress (usted es quien es). Aunque puede no ser inmediatamente obvio, hay 3 Diferentes tipos de certificados que puede obtener:
Validación de dominio (DV)
Validación de la organización (OV)
Validación extendida (EV).
Los certificados DV son, con mucho, los certificados más comunes. Cuando obtenga un certificado TI, verá la interfaz de usuario del navegador habitual que esperaría. Tenga en cuenta que esto difiere de un navegador a un navegador e incluso de una versión de navegador a otro, pero generalmente verá un bloqueo y, a veces, la palabra “segura”. Los certificados OV son más difíciles de obtener que sus certificados, ya que requiere más validación. Sin embargo, rara vez se usan. Se ven exactamente igual para el usuario final, no ofrecen beneficios tangibles para sus certificados y cuestan más.
Esto deja certificados EV: los certificados de validación extendida deben requerir un proceso de verificación exhaustivo para que una organización obtenga uno. Son considerablemente más caros y, en el pasado, han sido tratados de manera ligeramente diferente por los navegadores en términos de su interfaz de uso. En todas ellas, en las versiones recientes de Chrome, Firefox y Safari, este indicador se ha trasladado a una sección menos menos visible. Esto se debe en gran medida al hecho de que no hay evidencia de que los certificados EV transmitan un nivel significativo de confianza a los usuarios finales. En algunos casos, EV en realidad puede causar más confusión a los usuarios finales. Tanto que la gran mayoría de los sitios web más populares en Internet pasan de certificados EV a sus certificados.
¿Qué tipo de certificado necesita para su sitio web de WordPress? Entonces, en resumen, desea un certificado de validación de dominio (DV) para su sitio de WordPress. No hay una razón real por la que deba necesitar un Certificado de Validación Extendida (EV), especialmente ahora que los navegadores eliminan casi cualquier ventaja de mantener uno (además, son bastante caros). Obtener un certificado HTTPS tradicional, obtener un certificado HTTPS significó el pago de una autoridad de certificación (CA) de un impuesto anual para ellos. El proceso fue manual y bastante molesto para los administradores.

Afortunadamente, en 2012, Mozilla comenzó a trabajar en lo que se hizo conocido como Let’s Encrypt; Una autoridad de certificación sin fines de lucro dirigida por Internet Security Research Group (JSP). Proporciona certificados HTTPS gratuitos para todos. No es de extrañar que en unos pocos meses se convirtiera en el más grande que en Internet. Además, era simplemente un gratis, Cifron WeMe fue revolucionario, porque fue el primero en usar el Protocolo ACME. El protocolo ACME permite la renovación automática del certificado. Esto permite encriptarse crear certificados con una vida útil más corta (90 días), lo cual es más seguro. Además, los administradores del sistema no tienen que preocuparse por renovar certificados debido a herramientas como CERTBOT.

Para cifrar las limitaciones de los certificados HTTPS, aunque hay miles de artículos en línea sobre cómo hacer que Cifrar funcionemos para su sitio de WordPress, es importante darse cuenta de que puede haber casos en los que no pueda usar sus certificados. Esto es especialmente cierto si paga un certificado HTTPS como parte de su alojamiento web o si no tiene control total sobre su servidor web. En este caso, verifique si puede usar un certificado de encriptación con su asistencia de cliente de su proveedor de alojamiento antes de gastar dinero en un certificado. Actualmente, la mayoría de los servicios de alojamiento de WordPress aceptan certificados de encrypt.

Si no es posible utilizar un certificado de encriptamiento con su plan de alojamiento, es posible que necesite un certificado HTTPS comercial o utilice una protección en línea de WordPress / CDN Service. La mayoría de ellos ofrecen certificados HTTPS gratuitos como parte de sus servicios. Configuración de WordPress en HTTPS además de obtener un certificado HTTPS y activar HTTPS en su servidor web, también querrá asegurarse de que su sitio de WordPress también esté configurado para HTTPS. Aunque puede hacer esto sin usar complementos, probablemente sea más fácil para la mayoría de los administradores de WordPress usar un complemento popular como realmente SSL. Con dicho complemento, se asegura de que todos sus enlaces indiquen correctamente la versión HTTPS de su sitio. También es importante tener en cuenta que los motores de búsqueda tratan HTTP y HTTPS como sitios diferentes. Por lo tanto, si aún no lo ha hecho, también debe enviar su sitio HTTPS a la consola de búsqueda de Google. ¿Son realmente buenos los certificados HTTPS? Muchos propietarios de sitios de WordPress todavía son escépticos sobre el uso del certificado HTTPS gratuito de Let’s Cintpt. Algunos están preocupados de mostrar una imagen que no toman en serio la seguridad, por lo que tienen miedo de perder a sus clientes. Otros creen que los certificados HTTPS gratuitos no son tan buenos como los pagos. No lo culpo: ningún producto/buen servicio está realmente disponible de forma gratuita. Sin embargo, este es un caso diferente.


Cifrar es gratuito para usted como usuario, pero no es un proyecto gratuito. ¡Pueden emitir certificados HTTPS gratuitos debido a patrocinadores como Google, Facebook, Microsoft, Cisco y muchos otros! Entonces, suponga que todas estas grandes corporaciones pagan por su certificado HTTPS de sitio de WordPress. Vamos a encrypt es una autoridad de certificación completa. No hay nada diferente, especialmente en términos de capacidades de cifrado, entre los certificados TLS gratuitos de Let’s Cicrypt y uno pagado. Dicho esto, no hay daño en el pago de un certificado HTTPS, si puede justificar el costo. Desafortunadamente, nada es 100% seguro, y HTTPS no es una excepción a esta regla. HTTPS es solo una pequeña parte del programa de seguridad de su sitio de WordPress. Habilitar:
Sus usuarios están conectados de forma segura a su sitio web, sin que su comunicación sea interceptada por los ojos indiscretos en la misma red.
Ayuda a parte del desafío constante que es la seguridad del sitio web.
Sin embargo, no es una bala de plata: aunque sin duda debe implementar e imponer HTTPS, esto no significa que haya terminado de asegurar su sitio de WordPress. ¿Qué más puedo hacer para asegurarme de que mi sitio de WordPress sea seguro? Hay muchas cosas que puede hacer para mejorar la seguridad de su sitio de WordPress. Le recomendamos que comience con lo siguiente:
Use un firewall WordPress,
Aplicar políticas de contraseña de WordPress fuertes,
Instale un complemento de monitoreo de integridad de archivos,
Mantenga un diario de todos los cambios que tienen lugar en WordPress,