Entre las amenazas globales de ciberseguridad cada vez mayores y el endurecimiento de los estándares de seguridad de Google, es más importante que nunca que los propietarios de negocios tomen medidas activas para proteger sus sitios.
De lo contrario, estás poniendo en riesgo tanto a ti mismo como a tus clientes. No es bueno.
Pero hay esperanza! Puedes demostrar a los usuarios que pueden confiar en ti ofreciéndoles una experiencia segura y cifrada a través de algo llamado Protocolo seguro de transferencia de hipertexto (HTTPS). Para usar HTTPS, necesitarás comprar un certificado de Capa de Sockets Seguros (SSL) o Seguridad de la Capa de Transporte (TLS), que demuestra que tu sitio es seguro. Hablaremos más sobre esto más adelante.
Esta publicación explicará qué son SSL/TLS y HTTPS y discutirá la importancia de tener estas funcionalidades en su sitio web. Luego, le mostraremos cómo implementar un certificado SSL/TLS. ¡Empecemos!
Introducción a SSL/TLS y HTTPS
SSL y TLS son certificados que puedes agregar a tu sitio web. Crean conexiones cifradas entre navegadores y servidores web. Cuando visitas un sitio que utiliza una conexión certificada con SSL o TLS, solo ese sitio puede acceder a los datos que envías.
SSL es el predecesor de TLS, que ahora es considerado obsoleto e inseguro. Sin embargo, el acrónimo ‘SSL’ se utiliza a menudo indistintamente cuando se refiere a cualquier tipo de certificado. Por lo tanto, nos referiremos a ellos como ‘SSL/TLS’.
Para configurar SSL/TLS, necesitarás instalar un certificado en tu sitio. Esto reafirmará a los usuarios que tu sitio es seguro. En la práctica, tu sitio utilizará el protocolo HTTPS para establecer conexiones. Puedes reconocer esto como la versión segura del HTTP estándar.
Así es como HTTPS protege tu sitio web
- Cifrado para evitar que los datos sean interceptados durante el proceso de intercambio.
- Integridad de los datos para que los intentos de manipulación sean detectables.
- Autenticación para prevenir ataques y construir confianza en los usuarios.
SSL/TLS te permite ofrecer tu sitio utilizando HTTPS, lo que asegura una conexión segura y privada entre tu sitio y tus usuarios. Si la URL de un sitio utiliza http://, no está asegurada con SSL/TLS. Sin embargo, si utiliza https:// es segura — y necesitas un certificado SSL/TLS para que eso suceda.
En Google Chrome, puedes identificar los sitios que se sirven a través de HTTPS por el icono de candado en la barra del navegador. Cuando un visitante solicita conectar con un sitio web, la página envía el certificado SSL, que contiene la llave pública necesaria para asegurar la sesión. Luego, el servidor y el navegador entran en un proceso conocido como el apretón de manos SSL/TLS. En resumen, los ordenadores se comunican entre sí para establecer una conexión segura.
Por qué un certificado SSL/TLS es importante para tu sitio web
Tener un certificado SSL/TLS (y, por lo tanto, ofrecer una conexión HTTPS) es crucial para la seguridad de tu sitio web. Asegura que nadie podrá interceptar o acceder a la transferencia de datos entre tu servidor y los navegadores de tus visitantes (también conocido como ataques de intermediario).
Estos no son los únicos tipos de ataques. A principios de año, se encontró una vulnerabilidad en mitmproxy: un proxy HTTPS de código abierto que permitiría ataques de contrabando de solicitudes HTTP.
Con tantas amenazas de seguridad acechando en internet, usar el protocolo HTTPS es imprescindible. De hecho, a partir de julio de 2018, Google Chrome comenzó a listar sitios que usan HTTP como “no seguros”:
Perder la confianza de Google puede afectar gravemente a tus clasificaciones de búsqueda. También puede hacer que los visitantes desconfíen de tu sitio. Después de todo, si su navegador les advierte que tu sitio podría ser peligroso, es más probable que veas una pérdida de tráfico.
Google comenzó a cambiar su algoritmo en 2014 para favorecer a los sitios que utilizan certificados SSL. Hoy en día, le da aún más importancia, indicando que aquellos con certificados SSL tendrán una mejor posición que aquellos sin ellos, incluso cuando todos los demás factores sean iguales.
Otra razón importante para instalar un certificado SSL/TLS es si te encuentras en una industria que requiere cumplir con ciertos estándares. Por ejemplo, en la industria financiera, se requiere cumplir con estándares de seguridad respecto a la información de pagos. La Industria de Tarjetas de Pago (PCI) establece directrices que los propietarios de sitios deben cumplir para aceptar información de tarjetas de crédito de manera segura en sus sitios web.
Cómo saber si tu sitio web está utilizando SSL/TLS
Es importante asegurarse de que su sitio web esté utilizando un certificado SSL o TLS. También es esencial monitorearlo continuamente para asegurarse de que no haya caducado. Un informe de Keyfactor encontró que, en los últimos dos años, el 81% de las empresas enfrentaron una interrupción relacionada con certificados.
Si tu certificado expira inesperadamente, puede poner tu sitio en riesgo. Las interrupciones pueden tardar horas en recuperarse, y el tiempo de inactividad prolongado puede perjudicar tu negocio.
Comprobar si tienes un certificado SSL/TLS válido es un proceso muy sencillo. Para comenzar, abre tu sitio web en Google Chrome (o cualquier otro navegador). Luego, revisa la barra de direcciones en la parte superior de tu navegador para ver si tu sitio utiliza http:// o https://.
También puedes ver un candado de color junto a la URL. Si el color es rojo, entonces tu sitio no utiliza SSL/TLS. Sin embargo, si tu sitio está asegurado con SSL/TLS, puedes ver un candado verde:
Sin embargo, no todos los sitios certificados por SSL/TLS muestran este ícono. Su presencia depende del tipo de validación utilizado (más sobre esto más adelante). Por ejemplo, algunos certificados SSL/TLS mostrarán un ícono gris simple en su lugar:
Esto significa que el sitio puede no estar seguro, pero el navegador tampoco puede determinarlo con certeza. Si tu sitio no parece estar asegurado con SSL/TLS, es posible que aún tengas un certificado. Sin embargo, lo más probable es que haya caducado, lo cual puedes verificar haciendo clic en el icono de advertencia al lado de la URL:
Aquí, puedes hacer clic en el enlace del Certificado para ver más información. Por ejemplo, podemos ver que este sitio tiene un certificado SSL/TLS, pero ha expirado:
Finalmente, también es posible que tengas un certificado SSL/TLS válido y actualizado, pero que tu sitio no lo use por defecto. En ese caso, necesitarás forzar a tu sitio a redirigir a HTTPS.
Diferentes Tipos de Certificados SSL
Si has descubierto que tu sitio no tiene un certificado SSL/TLS, necesitarás comprar uno. Antes de hacer eso, sin embargo, necesitas saber qué tipo de certificado estás buscando.
Los certificados SSL/TLS vienen en muchas formas, cada uno con sus únicos pros y contras. Para adquirir uno, tu sitio necesitará ser verificado por una Autoridad Certificadora (CA). Dependiendo del tipo de certificado SSL/TLS que decidas comprar, tu sitio necesitará ser revisado por diferente información.
Su elección de certificado depende en gran medida de sus requisitos y presupuesto. Vamos a revisar las diferentes categorías para ayudarlo a encontrar la opción que mejor se adapte a usted:
Validación de Dominio (DV)
Este tipo de certificado requiere que demuestres que tienes el derecho de usar un dominio específico. Esto lo convierte en la opción menos segura. Sin embargo, también es el tipo de certificado SSL/TLS más económico, y podrías incluso conseguir uno gratis. También puedes obtener la aprobación muy rápidamente — incluso en minutos. Esto se recomienda para sitios más pequeños que no manejan datos sensibles, como blogs o portafolios.
Validación de Organización (OV)
Esta es una opción más segura, que requiere una revisión más exhaustiva de su sitio web. La CA investigará su organización para asegurarse de que es legítima y confiable. Como tal, también es un poco más costosa y tomará un poco más de tiempo en obtenerse. Sin embargo, se recomienda este tipo de certificado para sitios más grandes que manejan datos de usuarios y compras.
Validación Extendida (EV)
Esta es la opción más segura pero también la más costosa y que más tiempo consume. Adquirir una validación extendida requiere un proceso de verificación exhaustivo y suele ser más caro que la opción anterior. Esto también significa que tarda más en ser aprobada. Este tipo de certificado está dirigido a sitios muy grandes y con mucho tráfico, como los negocios de comercio electrónico y los sitios oficiales del gobierno.
Como señalamos anteriormente, el tipo de certificado SSL/TLS que necesitas depende completamente del propósito y los requisitos de tu sitio. Te recomendamos que leas más sobre los diferentes niveles de certificados para asegurarte de que estás eligiendo la opción correcta.
Dónde obtener un certificado SSL/TLS para su sitio web
En este momento, sabes que necesitas un certificado SSL/TLS. Además, tienes una idea del tipo de certificado que requiere tu sitio. Ahora, solo necesitas comprar uno.
Puedes obtener un certificado SSL/TLS de una CA, como GlobalSign. Además, algunos proveedores de alojamiento los ofrecen como extras gratuitos o incluidos en sus planes de pago.
En DreamHost, los certificados SSL/TLS pueden ser fácilmente agregados a tu sitio desde tu panel de control. Vamos a ver las opciones disponibles:
Certificado SSL verificado por Sectigo
Este es un certificado DV (anteriormente conocido como Comodo) que cuesta $15 por año. Asegurará que su sitio aparezca en los navegadores como completamente seguro. Esto lo convierte en la mejor opción para sitios comerciales o sitios que manejan datos sensibles.
Let’s Encrypt SSL/TLS
Este es otro certificado DV gratuito, pero uno que es más seguro que la opción anterior. El certificado Let’s Encrypt es casi tan seguro como Sectigo. Como tal, es ideal para sitios más pequeños que no manejan muchos datos personales, como blogs.
Si ya tienes una cuenta de DreamHost, puedes adquirir uno de estos certificados navegando a Websites > Secure Certificates en tu panel de control. Aquí, verás todos tus dominios y las opciones disponibles de SSL/TLS:
Haz clic en el botón Añadir junto a tu nombre de dominio. Esto te llevará a una pantalla donde podrás elegir entre un certificado SSL gratuito de Let’s Encrypt o un certificado DV de Sectigo pagado.
Cuando hayas decidido cuál opción es la mejor para tu sitio, haz clic en Selecciona este Certificado:
Tu sitio web de DreamHost ahora estará protegido por SSL/TLS. Por favor, espera 15 minutos para que los cambios se apliquen en el servidor.
Sin embargo, podrías estar preguntándote: ¿qué pasa si quiero usar un certificado SSL/TLS que ya compré en otro lugar? En la siguiente sección, te mostraremos cómo instalar un certificado que fue comprado a un tercero.
Cómo Instalar un Certificado SSL/TLS en Tu Sitio Web de WordPress (2 Opciones)
Si has comprado un certificado SSL/TLS de una CA externa, necesitarás conectarlo a tu sitio e instalarlo. El proceso puede variar dependiendo de tu sitio, tu alojamiento web y el tipo de certificado que hayas elegido.
Sin embargo, existen dos métodos básicos para instalar un certificado SSL/TLS: utilizando un plugin y tu panel de control de hosting. Veamos más de cerca cada método.
Opción 1: Instala el Plugin Really Simple SSL
Una de las maneras más fáciles de agregar un certificado SSL/TLS a tu sitio es usar un plugin. Really Simple SSL es una herramienta que hace honor a su nombre:
La herramienta es gratuita para descargar e instalar, aunque existe una versión premium disponible. También es increíblemente fácil de usar, con un proceso de configuración simple y una interfaz amigable.
El plugin realizará todo el proceso de instalación y activación por ti. Todo lo que necesitas es un certificado SSL/TLS, y la herramienta se encarga de prácticamente todo lo demás.
Comienza por instalar y activar Really Simple SSL en tu sitio de WordPress. Luego, un mensaje aparecerá en tu panel con información adicional sobre lo que necesitas hacer antes de activar SSL/TLS. Asegúrate de completar todos estos pasos antes de continuar:
Si tu sitio ya tiene un certificado SSL/TLS conectado, verás la opción ¡Adelante, activa SSL! Si haces clic en ese botón, el plugin instalará y activará tu certificado.
Sin embargo, si no has añadido SSL/TLS a través de tu alojamiento web, verás un mensaje informándote de ese hecho. Necesitarás volver al panel o Panel de control de tu host y seguir sus instrucciones específicas para añadir tu certificado.
Una vez hecho esto, puedes volver a tu Panel de WordPress y activar tu certificado SSL/TLS:
Durante el proceso de instalación, la herramienta te mantendrá informado sobre el estado. Puedes ver algunas tareas que aún puedas necesitar atender, así como actualizar el proceso en cualquier momento.
Opción 2: Utiliza el Panel de Control de DreamHost
Ya te hemos mostrado cómo DreamHost facilita la compra y activación de un certificado SSL/TLS desde tu panel de control. Puedes usar un proceso similar para añadir un certificado de terceros.
Primero, necesitarás iniciar sesión en tu cuenta y navegar a Websites > Certificados Seguros. Luego, selecciona la pestaña Importar un Certificado. En esta pantalla, podrás instalar un certificado SSL/TLS de terceros en tu sitio:
Necesitará agregar el certificado SSL/TLS, junto con su llave privada y la solicitud de firma del certificado. Si tiene un certificado intermedio, también necesitará agregar esa información aquí. Es importante que todos provengan del mismo CA y se hayan comprado simultáneamente, de lo contrario, no serán compatibles.
Además, querrás asegurarte de incluir todo cuando agregues esta información. Por ejemplo, cuando pegues tu certificado, también deberías incluir las líneas —–BEGIN CERTIFICATE—– y —–END CERTIFICATE—– al principio y al final, respectivamente.
Cuando hayas añadido todos los detalles necesarios, haz clic en Guardar cambios. Si el certificado SSL/TLS es válido y has ingresado todo correctamente, ahora estará activo en tu sitio.
Puedes probar para asegurarte de que el proceso funcionó correctamente utilizando el método que te mostramos anteriormente. Simplemente accede a tu sitio en un navegador y asegúrate de que usa https:// y tiene un candado verde al lado de la URL (si corresponde). Si es así, ¡has agregado SSL/TLS a tu sitio web de WordPress con éxito!
¿Existen riesgos al cambiar su sitio a HTTPS?
Los riesgos de cambiar tu sitio de HTTP a HTTPS son mínimos, y los beneficios superan ampliamente cualquier posible inconveniente. El único riesgo real es que tu sitio podría estar temporalmente no disponible durante el proceso. Sin embargo, esto generalmente es un problema menor que se puede resolver rápidamente.
Dicho esto, hay algunas cosas que tener en cuenta al pasar de HTTP a HTTPS. La mejor manera de asegurar una transición segura y sin problemas es planificar con anticipación.
Antes de comenzar el proceso de migración, es importante asegurarse de que el certificado SSL que compraste funcione. Puedes hacerlo utilizando la herramienta de prueba SSL Labs:
También querrás crear un plan de migración y redirección detallado. Se debe colocar una redirección 301 en cada URL HTTP apuntando a su equivalente HTTPS.
También hay varios factores de Optimización para Motores de Búsqueda (SEO) que considerar. Querrás asegurarte de que tu mapa del sitio XML esté actualizado e incluya solo tus URLs HTTPS. También es importante actualizar todos tus enlaces internos, así como cualquier enlace externo que apunte a tu sitio y sobre el que tengas control.
También recomendamos utilizar la ayuda de un desarrollador o experto en WordPress para asistir en el proceso de migración. Después de completar la migración, verifica que tu versión HTTPS esté conectada a tus cuentas de Google Analytics y Search Console.
El Futuro de la Seguridad de los Sitios Web
A medida que Internet continúa evolucionando, también lo hace la necesidad de seguridad en los sitios web. En el pasado, las actualizaciones de seguridad se lanzaban según se necesitaban, típicamente en respuesta a una amenaza específica o vulnerabilidad que se había descubierto.
Sin embargo, el clima de seguridad de los sitios web de hoy es muy diferente. Con el aumento de ataques sofisticados y nuevas amenazas que aparecen todos los días, los propietarios de sitios web ya no pueden permitirse el lujo de esperar a que algo salga mal para tomar medidas.
En lugar de eso, necesitan ser proactivos respecto a la seguridad del sitio web y estar siempre alerta de nuevas maneras de proteger sus activos en línea. Esto significa mantenerse actualizado sobre las últimas tendencias de seguridad y estar atento a nuevas actualizaciones que puedan ayudar a mejorar las defensas de su sitio web.
El futuro de la seguridad de los sitios web está en constante evolución, y mantenerse al día con las últimas tendencias y tecnologías puede ser un desafío. En los próximos años, esperamos ver una serie de actualizaciones de seguridad importantes que podrían tener un impacto significativo en la forma en que los propietarios de sitios web protegen sus sitios. Echemos un vistazo a algunas tendencias emergentes que creemos que jugarán un papel en el futuro de la seguridad de los sitios web.
Cambio predeterminado a HTTPS
Uno de los cambios más grandes en la seguridad de sitios web es el cambio a HTTPS por defecto. Este cambio ha estado en proceso durante varios años, pero finalmente está comenzando a convertirse en una realidad.
Google ha estado impulsando este cambio desde 2014, e incluso ha comenzado a dar preferencia a los sitios HTTPS en sus resultados de búsqueda. Por lo tanto, todos los sitios web deberían hacer el cambio a HTTPS si quieren mantenerse a la vanguardia. No solo ayudará con el SEO, sino que también hará que su sitio sea más seguro para sus usuarios.
Nuevas Funcionalidades de Seguridad de Nombre de Dominio
Para ayudar a proteger contra el secuestro de nombres de dominio, la Internet Corporation for Assigned Names and Numbers (ICANN) introdujo un nuevo conjunto de características de seguridad para todos los dominios registrados después del 1 de enero de 2018. Estas características incluyen el Bloqueo de Dominio, que impide cambios no autorizados en los registros DNS, y el Bloqueo de Registrador, que evita la transferencia no autorizada de un dominio a otro registrador.
Actualmente, estas medidas de seguridad no son obligatorias. Sin embargo, probablemente se vuelvan más populares porque podrían contribuir significativamente a proteger tu nombre de dominio de ser secuestrado.
Otro gran cambio que llegará en 2022 es la introducción de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC). Este nuevo protocolo de seguridad ayudará a proteger los servidores DNS de ser explotados y hará más difícil para los atacantes falsificar registros DNS.
DNSSEC ya está siendo utilizado por algunas de las empresas más grandes del mundo, incluyendo Google, Facebook y Netflix. Es solo cuestión de tiempo antes de que se convierta en un requisito para todos los sitios web.
Ataques Más Sofisticados
A medida que los hackers se vuelven más astutos, podemos esperar ver ataques más sofisticados. Esto podría incluir todo desde ataques de phishing dirigidos hasta ataques a gran escala de Denegación de Servicio Distribuido (DDoS). Los propietarios de sitios web necesitan estar preparados para estas amenazas y tener un plan de recuperación establecido.
Mayor Regulación
Con la introducción del Reglamento General de Protección de Datos (GDPR) y otras regulaciones de privacidad de datos, podemos esperar ver un mayor escrutinio sobre cómo los propietarios de sitios web recopilan y utilizan datos personales. Esto podría llevar a requisitos más estrictos para los sitios web, así como mayores penalizaciones para aquellos que no cumplan con las nuevas regulaciones.
Mayor Conciencia de los Riesgos de Seguridad
A medida que la seguridad de los sitios web se convierte en una preocupación más generalizada, podemos esperar que más personas tomen medidas para proteger su información en línea. Esto podría incluir desde usar contraseñas seguras hasta invertir en productos y servicios de seguridad para sitios web. Al mantenerte actualizado sobre las últimas tendencias de seguridad de sitios web, puedes ayudar a mantener tu sitio seguro contra ataques.
Protege Tu Sitio Web de WordPress
Mantener tu sitio web seguro es una consideración siempre presente, y es igualmente importante asegurarse de que tus usuarios sepan que pueden confiar en ti. Al agregar un certificado SSL/TLS a tu sitio y forzar conexiones seguras a través de HTTPS, puedes protegerte a ti y a tus usuarios, mientras te aseguras de que todos sepan que tu sitio es seguro para usar.
Afortunadamente, hay varios tipos diferentes de certificados SSL/TLS disponibles. Encontrar un certificado que coincida con tus requisitos no debería ser difícil una vez que sepas lo que necesitas. Incluso podrías obtener uno a través de tu proveedor de alojamiento web. Además, instalar un certificado SSL/TLS también es muy fácil, gracias a WordPress y DreamHost.
En DreamHost, nuestros planes incluyen una variedad de funciones de seguridad administrada. ¡Consúltalas hoy para aprender más sobre cómo DreamHost puede optimizar la seguridad de tu sitio!
Toma el Control con el Hosting VPS Flexible
Aquí te explicamos cómo se diferencia la oferta de VPS de DreamHost: seguridad administrada, soporte al cliente 24/7, un panel intuitivo, RAM escalable, ancho de banda ilimitado, dominios de hosting ilimitados y almacenamiento SSD.
Elige Tu Plan VPS