ReInSpirit

HTTPS y WordPress ¿Realmente es necesario?

por 2 comentarios

Internet no es un lugar muy seguro para la charlas confidenciales. Hay miles de miradas indiscretas a la espera de saquear nuestra información personal, dirección, número de teléfono y la información de la tarjeta de crédito. Es por eso que la mayoría de las empresas utilizan el protocolo HTTP seguro (HTTPS) al procesar tareas confidenciales. Hoy vamos a hablar de HTTPS y el debate sobre si realmente lo necesitamos en nuestros sitios de WordPress.

Algunas cuestiones técnicas

HTTP es un protocolo utilizado por los servidores web y clientes (navegadores) para comunicar y transferir páginas web y archivos. Hay un montón de otros protocolos como FTP, SSH y BitTorrent.

HTTPS es una versión segura del protocolo HTTP que utiliza el cifrado SSL (Secured Socket Layer). Cómo SSL funciona en segundo plano requiere una licenciatura en ciencias de la computación y un sólido conocimiento de la criptografía. Todo esto es muy complicado y solo tenemos que tener presente lo siguiente:

HTTP + SSL = HTTPS

En pocas palabras, HTTPS utiliza un juego de clave pública y privada antes de la transferencia de datos. Una vez que la unión hace esto, se establece la conexión y comienza una sesión segura. Cuando visitamos un sitio HTTPS, todo esto sucede casi instantáneamente antes de que vea la luz verde en la barra de direcciones de su navegador.

Cuatro razones por las que HTTPS es importante

1. Primera categoría de seguridad: Con SSL, la conexión está encriptada. Se crea un túnel virtual a través de los cuales sólo el servidor y el navegador se pueden comunicar. Nadie más puede interpretar ese canal. Incluso si un atacante accede en ese canal, no sería capaz de dar sentido a los datos cifrados. Necesitaría la clave privada que sólo es conocida por el navegador.

2. Examen previo: HTTPS requiere de un certificado SSL y la adquisición de este último para que una empresa pase por un proceso serio. Es necesario contar con documentos oficiales que sean presentados y verificadas por el autorizador de certificados (CA). Sólo cuando los documentos pasan las pruebas de validación, se emite el certificado SSL.

3. Empresas legítimas: Cuando visitamos un sitio seguro SSL, podemos estar seguro de la credibilidad del sitio. Siempre se puede obtener los datos de contacto necesarios del propietario del certificado SSL del sitio.

4. Integridad de datos: La integridad de datos se refiere a la consistencia de los datos solicitados y los datos reales recibidos. Considera este ejemplo: alguien visita tu sitio para una determinada entrada de instrucciones de configuración del servidor. Al final del post, tenemos puesto un enlace de afiliado.. En un sitio no seguro, un atacante podría atacar fácilmente en la conexión y enviar a tu visitante los datos comprometidos. Con toda probabilidad, va a reemplazar tu red de afiliados, con un enlace de phishing. Por lo tanto hay una diferencia monumental en los datos solicitados y los datos realmente recibidos. La integridad de los datos se destruye. Con SSL, ¡nada de esto es posible!

Aquí está el truco:

El establecimiento de una conexión segura requiere una potencia de cálculo considerable, tanto por el servidor y el cliente. Esto da como resultado una velocidad de transferencia más lenta cuando se compara con HTTP. Es por eso que la mayoría de los sitios no usan HTTPS todo el tiempo. Estos esperan hasta el momento en que intenta acceder o hacer una compra. Los sitios de comercio electrónico como Amazon y Newegg siguen esta regla. De esta manera la navegación es veloz y las compras son seguras.

¿Es realmente necesario HTTPS en mi sitio de WordPress?

Buena pregunta, pero no es un sí sencillo o no hay respuesta. Así que vamos a discutir esto en detalle.

Los motores de búsqueda prefieren sitios HTTPS (sí)

He aquí una cita de un reciente post en el blog de ​​Google Webmaster Central.

… En los últimos meses hemos estado corriendo pruebas teniendo en cuenta si los sitios usan conexiones cifradas y seguras como señal en nuestra búsqueda de algoritmos de clasificación.

Esto no quiere decir que si no tenemos HTTPS en nuestro sitio, el ranking SERP caerá (por ahora). La mayoría de los SEOs toman esto como un indicador temprano de lo que depara el futuro. Mucha gente se queja y cuestiona la decisión de Google. ¿Por qué todo el mundo tiene que incluir HTTPS en su blog? ¿Para evitar que los hackers lean los comentarios de los usuarios? ¡Incluso el blog del Webmaster de Google no utiliza SSL!

Escenarios donde los sitios deberían usar HTTPS

Hay un montón de situaciones donde HTTPS debería ser usado como una capa adicional de seguridad. Estos son algunos ejemplos en los que se debe aplicar:

1. Tiendas de comercio electrónico

Si está ejecutando una tienda de WordPress utilizando WooCommerce o iThemes Exchange, sería más aconsejable utilizar HTTPS en las páginas de transacciones del sitio. Como ya sabemos, HTTPS es más lento que HTTP y por lo tanto lleva a un impacto en la experiencia de navegación del usuario. Sin embargo, cuando se trata de información confidencial de alguien como dirección, número de teléfono o los datos de la tarjeta de crédito, sacrificar la velocidad sobre la seguridad es una necesidad. Debes usar siempre HTTPS en los siguientes escenarios:

  • Un nuevo usuario se registra o se logea
  • Un usuario está a punto de hacer un pago

2. Páginas de Donación

Algunos sitios muestran un pequeño botón de donar en su barra lateral y casi la totalidad de ellos no usan HTTPS. Esto es lo que puede salir mal. Dado que el sitio no está asegurado, el atacante puede manipular fácilmente los datos del sitio para mostrar información fraudulenta, como reemplazar el botón de donación de PayPal con algún sitio de phishing. Cuando un visitante hace clic en ese enlace fraudulento, su cuenta corre el riesgo de verse comprometida. Por lo tanto, si estamos usando un botón de Donar en nuestro sitio, trata de incorporar SSL.

3. Sitios de membresía

Una gran cantidad de empresarios de Internet dirigen foros privados y sitios de menbresias que utilizan WordPress. Tales sitios llevan datos privados. Datos que no desean que el público vea. Si SSL se utiliza en estos casos, se puede eliminar las amenazas de integridad de datos y crear un entorno seguro para sus miembros al interactuar. Es como golpear dos pájaros de un tiro:

  • Mayor seguridad
  • Aumenta la confidencialidad del cliente y la confianza

4. Sitios hackeados en el pasado

Si nuestro sitio es víctima de un ataque dirigido o fue hackeado recientemente, entonces deberías considerar seriamente el cambio a un sitio con SSL cifrado. Para recuperarse de un sitio hackeado se puede hacer utilizando la experiencia personal y/o la ayuda de expertos en seguridad de WordPress.

Para protegerte de futuros ataques y añadir una capa extra de seguridad, utiliza HTTPS en todo tu sitio. Sin embargo, como SSL consume una gran cantidad de recursos del servidor, el sitio podría llegar a ser bastante lento dependiendo de la configuración del servidor. Si no queremos eso, también se puede utilizar selectivamente SSL sólo en las páginas de inicio de sesión y mientras se trabaja en el panel de administrador de WordPress.

Configuración de SSL en WordPress

Configuración de SSL es un proceso complicado y tedioso. Se requiere experiencia técnica, mucho tiempo y hay un montón de posibilidades para el error. Se recomienda hablar con el equipo de soporte del alojamiento para ayudar a poner en marcha el SSL. Si estamos decididos a cambiar a un sitio HTTPS, entonces es una apuesta segura suponer que nuestro presupuesto puede incorporar el costo de una empresa de hosting WordPress administrado.

Nosotros utilizamos Hostgator y nuestro sitio está protegido de los piratas informáticos, malware y ataques de DDoS. Empresas como Hostgator nos dan la opción de comprar un certificado SSL integrado. El coste varía desde 29 hasta 143 dólares al año por un alojamiento dedicado (utilizando el cupón «rebajade25» que ofrecemos nosotros aún sale mas económico). También puedes utilizar los servicios de un tercero para el SSL que te ayudará a instalar y configurar HTTPS en tu sitio. En el siguiente video donde me estreno realizando video tutoriales puedes ver como contratar el hosting de hostgator:

Conclusión

Tienes la última palabra ¿Cuáles son tus pensamientos sobre este tema en particular? ¿Si o no al HTTPS? ¿Has utilizado SSL en tu sitio antes? ¡Comparte tu opinión con nosotros!

..Entradas Relacionadas

Sobre el autor

Pedro Mendez. Webmaster apasionado de WordPress. Autodidacta empedernido buscando siempre nuevas fuentes de conocimientos.

Comentarios

  1. Carlos Julián dice

    Gracias por el artículo, realmente necesitaba informar un poco más sobre HTTPS ya que ahora mismo me veo obligado a aplicarlo, así que lo tendré que hacer. Además de algunos clientes me lo han solicitado recientemente.

    Saludos !

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.