Seguridad por Noberto Chavez Tapia

Seguramente ya conoces o en más de una ocasión has oído hablar de «HTTPS«, pero quizás no estás realmente seguro de lo que significa y qué ventajas o inconvenientes conlleva. En esta entrada intentaré aclarar algunos conceptos, su importancia para el SEO y cómo pasar de uno a otro en WordPressSi no eres un gran amante de la tecnología, tranquilo; intentaré que esta entrada sea sencillita de leer… 😉

HTTP

El Protocolo de Transferencia de Hipertexto (HyperText Transfer Protocol o HTTP, por sus siglas en inglés), es un protocolo utilizado en sistemas de redes, diseñado con el propósito de definir y estandarizar la sintaxis y la semántica de las transacciones que se llevan a cabo entre los distintos equipos que conforman una red. Es decir, la manera en que un servidor web se comunica con navegadores como Google Chrome o Mozilla Firefox.

La principal característica de este protocolo es que es un sistema orientado a una comunicación del tipo “petición-respuesta”, lo que significa que en la estructura debe existir un cliente (por ejemplo, tu navegador) y un servidor (por ejemplo, el hosting de la web a la que accedes), siendo el cliente el que efectúa las peticiones y el servidor el que las responde. Las respuestas del servidor pueden ser la descarga de un archivo o la apertura de una página web, dependiendo del tipo de petición solicitada. Es decir, si en el navegador escribes una dirección web y pulsas la tecla «Intro», el servidor te responderá devolviendo lo deseado.

HTTPs

El Protocolo de Transferencia de Hipertexto Seguro (HyperText Transfer Protocol Secure o HTTPS) es un sistema que se basa en una combinación de dos protocolos diferentes, HTTPS y SSL/TLS (protocolos criptográficos que proporcionan comunicaciones seguras por una red o internet). HTTPS se refiere al uso del HTTP sobre una Capa de Protección Segura (SSL por sus siglas en inglés) o una conexión con Seguridad de la Capa de Transporte (TLS), de forma que un mensaje HTTP es cifrado antes de la transmisión y descifrado una vez se recibe.

Explicado de forma sencilla, el principal beneficio de HTTPS es que hace que tu sitio sea más seguro para tus usuarios. O más concretamente, es más seguro cuando un usuario te proporciona cualquier tipo de información. De hecho, es imprescindible cuando los usuarios te dan cualquier tipo de información de carácter personal, y una buena idea en cualquier web.

Cuando un usuario nos envía cualquier tipo de información hacia nuestro servidor, ¿qué añade HTTPS? Esencialmente proporciona todo un conjunto de capas de protección:

  • encriptación: si algún atacante consigue interceptar esa información, no le servirá para nada ya que no sabrá descifrarla (pero tú sí).
  • integridad de datos: los atacantes no podrán “modificar” el contenido del mensaje enviado.
  • autenticación: se evitan los ataques de suplantación de identidad o intermediarios («man in the middle») en el que tu usuario proporciona información a terceros cuando cree que te los está dando a ti.

¿Necesito HTTPS?

Hasta aquí, ya te puede haber quedado claro que uno de los beneficios de tener HTTPS es que con HTTPS, tu sitio web es más segura para tus usuarios. Pero si yo sólo tengo un blog, no se realizan compras en mi web y como mucho pido el nombre y correo electrónico a mis lectores para que se suscriban a mi lista de correo… ¿es necesario?

¡Ojo! Recuerda que el correo electrónico se considera información de carácter personal. Dicho esto, si este es tu caso, posiblemente no sea estrictamente necesario el cambio a HTTPS. Pero si tu web acepta pagos o cualquier otra información de carácter personal, necesitas HTTPS en, como mínimo, las páginas de pago o donde recojas esa información.

SEO

Quizás recuerdes que hace unos pocos meses Google comunicó que HTTPS era un factor más a tener en cuenta en el posicionamiento. Y en cualquier caso, viendo la gráfica de Google Trends, comparando con hace un par de años, parece ser que el término «HTTPS SEO» ha pasado a ser de más interés para la gente.

Gráfica de Google Trends con el término "HTTPS SEO"
Gráfica de Google Trends con el término «HTTPS SEO»

Por lo tanto, parece que HTTPS tiene algún impacto en el SEO de tu web. De hecho, volviendo a lo que comentó Google en agosto del 2014 (y por eso el pico en la gráfica anterior):

For now it’s only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content — while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.

Aquí la traducción: «Por ahora solo se trata de un factor muy ligero (afecta a menos del 1% de consultas globales y tiene menos peso que otros factores, como el contenido de alta calidad), mientras dejamos que los webmasters pasen a utilizar HTTPS. Con el tiempo, es posible que decidamos reforzarlo, porque queremos animar a todos los propietarios de sitios web a cambiar de HTTP a HTTPS para que todos los usuarios estén protegidos en la Web.»

Incluso ahora, estamos hablando de un factor (1%) pequeño y está claro que cambiar a HTTPS posiblemente no va a tener un impacto inmediato ni decisivo.

¿Qué recomendaría en este caso? Pues que tomes la decisión dependiendo del volumen de visitas. Si tienes una gran volumen, un posible aumento de solo un 1% sigue siendo un impacto suficientemente grande para que lo tengas en cuenta. Y por este motivo verás que la mayoría de webs con grandes volúmenes de visitas tienen HTTPS.

Facebook tiene HTTPS
Facebook tiene HTTPS.

Pasos a seguir

A continuación te explico cuáles son los pasos que has de seguir para pasar de HTTP a HTTPS.

1. Adquirir un certificado SSL

Para poder usar HTTPS necesitarás instalar un certificado SSL.

Aunque existen muchísimos tipos de certificado SSL, los más comunes soportan un solo dominio, aunque a partir de ahí podemos encontrar diferentes tipos de certificados SSL con diferentes precios anuales:

  • Certificados que validan dominios (uno sólo, varios o todos los subdominios): el más barato y más básico sólo cubre la encriptación (de los tres puntos comentados antes).
  • Certificados que validan una organización: también incluye autenticación. Si recopilas información personal, deberías considerar esta opción.
  • Certificados con validación extendida: que ofrecen el mejor nivel de seguridad y tiene sentido para grandes sitios de e-commerce donde también recogen información como tarjetas de crédito o webs que recogen información personal de nivel alto.

Google recomienda instalar certificados de 2048 bits.

¿Dónde adquirirlo y qué precios tiene?

La mayoría de servicios de hosting o dominios ofrecen la posibilidad de comprar algún tipo de certificado SSL y los precios pueden rondar desde los 50€ al año el más básico hasta unos 300€ el más sofisticado. Y seguramente tu proveedor de hosting también incluya unas instrucciones sencillas para que lo puedas instalar. No debería ser mucho más complicado de lo que supone rellenar un formulario.

2. Reemplaza todos los enlaces HTTP a HTTPS

WordPress guarda la URL del sitio en la base de datos desde la configuración (Ajustes » Generales); podrías cambiar esta configuración e introducir la versión HTTPS de tu dominio y listo, pero las imágenes insertadas en entradas un otros enlaces internos no quedarían actualizados con HTTPS.

Por eso, deberías asegurarte que en tu base de datos cualquier elemento de tu web con formato (http://tuweb.com) es reemplazado con la forma segura (https://tuweb.com)

Una manera alternativa a programar este cambio es utilizar la herramienta que recomienda WordPress.org para esta tarea: Database search and replace for WordPress. Si sigues las instrucciones que aparecen en su página, que son sencillas, podrás asegurarte de que todos los enlaces se han actualizado. También tienes otras opciones explicadas aquí.

Herramienta Search and Replace Database
Herramienta Search and Replace Database

3. Redirige todo el tráfico a HTTPS

Después del «buscar y reemplazar» anteriormente comentado, WordPress puede redireccionar de forma automática las solicitudes HTTP a HTTPS. Pero esa redirección implica que se cargue WordPress, se redirija al usuario y se vuelva a cargar WordPress. Para ahorrar recursos puedes utilizar una RewriteRule en tu archivo .htaccess.

Verás que en el archivo .htaccess predeterminado de WordPress hay un bloque que comienza así:

# BEGIN WordPress

Esa línea marca el comienzo de las reglas de reescritura que WordPress aplica (y que, por lo tanto, puede «machacar» a su antojo). Así pues, antes de esa línea, debes añadir lo siguiente:

RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Ejecutando la redirección en .htaccess no se llega a cargar ni una sola línea de PHP y es mucho más eficiente. Además al ser una redirección 301, no pierdes nada de posicionamiento en buscadores ni tampoco te puede penalizar Google por contenido duplicado.

4. Alta de nuevo en Google y Google Search Console

Para el posicionamiento SEO deberías «avisar» a Google de todos los cambios hechos. Para ello, primero has de ir a modificar el documento sitemap.xml que es el que Google utiliza para saber las páginas que componen tu web. Si utilizar el plugin de Yoast, encontrarás la opción XML Sitemap en el menú de Yoast y desde allí podrás acceder.

XML Sitemaps
XML Sitemaps

A continuación, has de volver a añadir tu sitio web en Google Search Console ya que para Google HTTPS es un sitio totalmente distinto.

Selecciona la opción Añadir una Propiedad.

Google webmaster tools
Añadir una propiedad en Google webmaster tools

E introduce tu nuevo dominio con HTTPS.

5. Realiza un rápido test y asegúrate de que todo ha funcionado correctamente

Si todo ha funcionado correctamente, en pocos días deberías estar igual o mejor en los rankings de búsqueda. Si has tenido un gran descenso de tráfico es que algún punto no lo has hecho correctamente. Comprueba que hayas instalado y configurado correctamente el certificado SSL. Puedes hacer un test del certificado SSL en SSL server test.

SSL Test
Introduce el nombre de dominio que quieres testear en SSL server Test
SSL server Test
Resultado del SSL server Test.

Si no te sale todo correcto, supervisa los pasos anteriores. Y, en cualquier caso, creo que es importante que te acostumbres a revisar con cierta frecuencia la configuración de tu web para asegurarte de que todo esté bien y evitar pillarte los dedos.

Finalmente, también es importante que contactes con los webmasters de las webs más importantes que te están enlazando. A fin de cuentas, ellos son los que contribuyen a la credibilidad y posicionamiento SEO de tu web, así que conseguir que apunten a la nueva URL en lugar de a la vieja es una tarea importantísima para tu campaña de «link building».

Conclusión

Un cambio de HTTP a HTTPS es conveniente en muchos casos, pero no siempre imprescindible. Básicamente has de tener claro que los factores más importantes de cara a tomar dicha decisión son:

  • La seguridad de tus usuarios
  • Volumen de visitas a tu web e impacto en el SEO

Y, por supuesto, si tienes claro que deberías cambiar, intenta hacerlo de forma correcta para que no suponga un impacto negativo en tu SEO.

Imagen destacada de Seguridad de Norberto Chavez-Tapia.

14 respuestas a «HTTP vs HTTPS: ¿debería realmente cambiar?»

  1. Avatar de Eric Liebstreich

    Excelente árticulo y muy bien explicado!!!

  2. […] Si bien hace años no había muchos servidores que utilizasen esta tecnología para securizar las conexiones a nuestro servidor, hoy en día sí que es bastante importante, sobretodo si queremos usar nuestro sitio como e-commerce o tenemos gran volumen de usuarios y queremos que éstos se sientan seguros visitando nuestro sitio (un buen post acerca de HTTPS, aquí). […]

  3. Avatar de JuanSe

    Acabo de migrar a https ¿hay forma en Google Search Console de establecer como versión preferida la HTTPS? no encuentro esa opción y solo me permite elegir con www y sin www.
    Un saludo

    1. Avatar de Antonio

      Según Google, si tu sitio web es compatible con varios protocolos (http:// y https://), debes añadir cada uno de ellos como un sitio web individual. La versión preferido es sólo para el dominio, no para el protocolo.

  4. Avatar de Felipe

    Hola tengo un blog con una buena cantidad de visitas me da miedo realizar el cambio puedo perder las visitas?

    1. Avatar de David Aguilera

      Hola, Felipe.

      Sinceramente, no veo por qué deberías perder visitas por cambiar a HTTPS. Recuerda que tu web seguiría siendo accesible desde el protocolo HTTP; lo que habría que hacer es redireccionar a un usuario que llega a http://ejemplo.com hacia https://ejemplo.com. De todas formas, si tienes dudas, habla con tu proveedor de hosting (que es el que debería ayudarte a pasar a HTTPS).

      Un saludo,
      David

  5. Avatar de joan
    joan

    Buenas.

    En mi caso, tenemos cientos de webs sin el certificado ssl. En Search console, esta puesta siempre que el dominio preferido sea con 3W.

    Ahora bien. Queremos hacer la migración de todas las webs a https. ¿Es necesario añadir los dos certificados, (con 3W y sin 3W) para el https? Teniendo en cuenta que el dominio con https y sin 3W no existe ni tiene contenido.
    ¿Afectaría al SEO si no lo añadimos?

    Muchas gracias.

    1. Avatar de David Aguilera

      Hola, Joan.

      Hasta donde yo sé, la mayoría de certificados SSL que te venden, te valen para ejemplo.com y www.ejemplo.com. Por otro lado, yo te recomendaría que sí aceptaras entrar a tu web sin www (y que redireccione a la versión sin las uve-dobles).

      Un saludo,
      David

  6. Avatar de Fernando de JuegosKids

    Hice el cambio de http a https hace dos meses exactamente y con 1020 posts, ya tengo todo en https, pero mi tráfico disminuyó en un 60%, apenas estoy viendo que algunas páginas están comenzando a subir de posiciones y la página principal aparece y desaparece de los resultados de búsqueda, aunque cuando aparece se ve que va aumentando poco a poco posiciones. Dicho esto, por el momento me fue mal con el cambio, espero en poco tiempo ver recuperado mi tráfico.

    1. Avatar de David Aguilera

      Gracias por compartir tu experiencia con nosotros, Fernando. Efectivamente, todo cambio en los enlaces de nuestra web suele llevar asociada una caída en el tráfico que recibimos. Para minimizar el impacto, es muy importante definir las reglas de redirección (en tu caso, que las URL http pasen a https). Espero que puedas recuperar (y superar) pronto el tráfico que tenías antes del cambio 🙂

  7. Avatar de seo Madrid

    Me ha venido genial para el cambio que ha sufrido la web con el protocolo, al principio daba miedo por el miedo a perdida de posicionamiento en motores de búsqueda pero un cambio para mejor.

  8. Avatar de Luis Alberto Cabrera Huerta

    Yo recuerdo que hace unos pocos meses Google comunicó que HTTPS era un factor más a tener en cuenta en el posicionamiento.

    Y que viendo la gráficas de Google Analytics de otros blogs con https, era evidente que estaban mejor posicionados que yo.

    Hace un par de semanas pasé mi blog de http a https pero he notado una reducción considerable de tráfico orgánico.

    ¿Sabes a que se debe? ¿Mis backlinks se habrán perdido o entraron en alguna especie de proceso de updating?

    1. Avatar de Antonio Villegas

      Asegúrate de que cuando pones tu enlace con HTTP automáticamente se pasa a HTTPS y no devuelve un error 404. Si es el caso, todo debería funcionar igual que antes.

  9. Avatar de JP de Juegos Friv
    JP de Juegos Friv

    Recientemente leí este artículo, de hace 6 años ya, y hoy en día todos los sitios cuentan con su certificado SSL para mostrar las páginas con https, eso es genial en realidad. Creo que además de eso todas las páginas deberían contar con una página de contacto con su domicilio real, especialmente las de compras, pero en todas debería aplicar lo mismo. En juegos.games tenemos más de 10 años usando https por ejemplo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad de Nelio Software

Tus datos personales se almacenarán en SiteGround y serán usados por Nelio Software con el único objetivo de publicar tu comentario aquí. Con el envío de este comentario, nos das el consentimiento expreso para ello. Escríbenos para acceder, rectificar, limitar o eliminar tus datos personales.