Por que es obligatorio usar HTTPS en WordPress
HTTPS (HyperText Transfer Protocol Secure) es la version cifrada del protocolo HTTP que garantiza que toda la comunicacion entre el navegador del usuario y el servidor web esta encriptada. Sin HTTPS, los datos transmitidos, incluyendo contrasenas, informacion de formularios y datos de pago, pueden ser interceptados por terceros en la misma red.
Desde 2018, Google Chrome marca como "No seguro" todos los sitios que no usen HTTPS, lo que genera desconfianza en los usuarios. Ademas, Google utiliza el uso de HTTPS como factor de ranking positivo en sus resultados de busqueda. Para sitios de comercio electronico, el HTTPS es un requisito obligatorio de los procesadores de pago como Stripe y PayPal.
Paso 1: Instalar el certificado SSL en el servidor
En la mayoria de los planes de hospedaje con cPanel, los certificados SSL gratuitos de Let's Encrypt se pueden instalar directamente:
- Acceder a cPanel y buscar la seccion Seguridad > SSL/TLS o AutoSSL.
- Hacer clic en Ejecutar AutoSSL o en Instalar certificado SSL gratuito.
- Esperar a que el proceso complete. El certificado se instalara automaticamente para el dominio y sus subdominios.
Paso 2: Configurar WordPress para usar HTTPS
- Acceder al panel de administracion de WordPress en Ajustes > Generales.
- Cambiar la Direccion de WordPress (URL) y la Direccion del sitio (URL) de
http://ahttps://. - Guardar los cambios. El sitio pedira iniciar sesion nuevamente con la nueva URL.
Paso 3: Forzar HTTPS con redireccion en .htaccess
Para garantizar que todas las visitas al sitio usen HTTPS, agregar el siguiente codigo al inicio del archivo .htaccess, antes de las reglas de WordPress:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Paso 4: Resolver el problema de contenido mixto (Mixed Content)
Despues de activar HTTPS, es comun que algunas imagenes, scripts o estilos sigan cargando desde URLs con http://, lo que el navegador bloquea como contenido mixto. Para solucionarlo:
- Instalar el plugin Better Search Replace y reemplazar todas las ocurrencias de
http://tudominio.comporhttps://tudominio.comen la base de datos. - Usar el plugin SSL Insecure Content Fixer para corregir automaticamente las URLs de recursos.
- Verificar con la herramienta Why No Padlock que no queda contenido mixto en el sitio.
| Verificacion | Herramienta | Resultado esperado |
|---|---|---|
| Certificado valido | SSL Labs (ssllabs.com/ssltest) | Calificacion A o A+ |
| Sin contenido mixto | Why No Padlock (whynopadlock.com) | Sin advertencias |
| Redireccion HTTP a HTTPS | Redirect Checker | Redireccion 301 correcta |
| HTTPS en WordPress | Ajustes > Generales | URL comienza con https:// |
