Google ha anunciado que a partir de julio de 2018 marcará como inseguras las páginas web que no tengan instalado un certificado de seguridad SSL y no utilicen el protocolo HTTPS. Esto, irremediablemente, afectará a la experiencia del usuario, a la confianza que tengan en navegar por nuestra web y, en consecuencia, al tráfico hacia nuestra web y al posicionamiento SEO en buscadores.

Google da una gran importancia a la seguridad en la web y ya desde 2014 lleva anunciando que el cifrado HTTPS se valoraría positivamente en el posicionamiento SEO. En su momento no tuvo un gran impacto, pero, con el paso de los años y especialmente en el último año, hemos visto cómo se van posicionando mejor las páginas que utilizan un certificado SSL.

Además, Chrome (el navegador de Google) lleva tiempo incorporando en la barra de dirección de su interfaz un candado cerrado y verde cuando una web utiliza https y un icono con una «i» de información si no tiene el certificado SSL. Si se hace clic sobre esta «i», aparece un mensaje «Tu conexión con este sitio web no es segura. No deberías introducir información confidencial en este sitio web porque los atacantes podrían robarla.»

En la siguiente imagen, vemos cómo muestra Chrome una web con htttp en la actualidad.

Y en esta imagen, vemos cómo muestra una web segura, que utiliza https://

A partir de julio de este año, el aviso todavía será más llamativo y meterá el miedo en el cuerpo de muchos usuarios. En realidad, si tu web es meramente informativa y no tiene formularios, no tendría por qué ser tan importante esta conexión cifrada ya que el usuario no envía datos en ningún momento. Pero, aun así, Google mostrará un aviso de que tu web es insegura.

En la siguiente imagen se ve la diferencia del aviso actual con el aviso que veremos dentro de unos días:

De cara al posicionamiento SEO, ¿conviene migrar la web a https?

En principio, parece que Google no va a penalizar las webs que en julio sigan usando el protocolo http, pero sí que va a premiar a las webs seguras, por lo tanto nosotros sí que recomendamos instalar el certificado SSL y migrar a https.

Además, si en la barra de direcciones, Chrome marca tu web como insegura, determinados usuarios pueden asustarse y abandonar tu página, reduciendo el tráfico y aumentando el porcentaje de rebote, lo que sí que repercutirá negativamente en tu SEO.

¡Aviso! Si estás decidido a migrar tu web a https, hazlo bien y redirecciona todas las URL’s antiguas a las nuevas (http a https) o puede ser peor el remedio que la enfermedad y afectar negativamente al posicionamiento en buscadores.

¿Cómo migrar una web a https?

  • Lo primero de todo, hay que instalar un certificado SSL en el servidor. Hay certificados de pago y gratuitos. Casi todos los proveedores de hosting tienen en su panel de control la opción de instalar un certificado gratuito SSL de Let’s Encrypt.
  • Hay que cambiar la url base y todos los enlaces internos al protocolo https://.  Si es una web hecha a medida, lo tendrás que hacer de forma manual y, si estás utilizando un CMS, podrás ayudarte de plugins o módulos que te facilitarán la vida y lo harán casi todo por ti.
  • Si se te olvida cambiar alguna de las url’s, te encontrarás contenido mixto (mixed content), es decir, que tu página en https estará cargando contenido no seguro mediante http. Esto es frecuente cuando insertas una imagen y en la ruta pones http, en vez de https.

Ej. <img src="https://www.tictacsoluciones.com/mi-imagen1" />

  • Crea redirecciones 301 de todas tus páginas indexadas como http a https
  • Cambia el protocolo en Google Analytics
  • Crea 2 nuevas propiedas en Google Search Console asociadas a https://www.tudominio.com y https://tudominio.com y métete en las propiedas asociadas con http:// y, desde ahí, indica que la dirección ha cambiado a través del panel de configuración.

¿Cómo saber si has instalado bien el certificado SSL y está activo?

Intenta accerder al dominio de tu web utilizando https:// y, si accedes sin problemas, todo está bien.

¿Como pasar una web de http a https en WordPress?

Opción 1

  1. Aseguráte de que tienes instalado y activo el certificado SSL en tu servidor.
  2. Instala el plugin Really Simple SSL. Todas las peticiones entrantes se redirigen a https mediante una redirección interna de WordPress, pero también puedes activar la redirección de .htaccess (recomendable). Además, tu contenido inseguro se repara reemplazando todas las urls http:// por https://, excepto enlaces a otros dominios. Se hace de manera dinámica, así que no se hacen cambios en la base de datos (excepto en el siteurl y homeurl).
  3. Ve a Ajustes > Generales y, en los campos de dirección de WordPress y dirección del sitio, asgúrate de que se incluye el protocolo https:// en vez de http://. En principio, esto se habrá hecho automáticamente con el plugin Really Simple SSL, pero asegúrate de todas formas.
  4. Mucha gente recomienda reemplazar, además, las rutas que hay almacenadas en la base de datos. Para ello, instala el plugin Better Search Replace. Es un plugin que te permite buscar cadenas en la BD y sustituirlas por lo que quieras.
  5. Si te siguiese apareciendo algún aviso de que hay contenido mixto (es decir, llamadas a elementos de la página a través de http y no de https), puedes probar con el plugin SSL Insecure Content Fixer

Opción 2

  1. Asegúrate de que tienes instalado y activo el certificado SSL en tu servidor
  2. Instala el plugin Duplicator
  3. Crea un paquete con la copia actual de tu web
  4. Descarga la carpeta .zip y el installer.php que se crean
  5. Conectate por FTP al servidor y pasa todos los archivos de tu web a otra carpeta «web antigua», por ejemplo.
  6. Subir la carpeta .zip y el installer.php que has creado anteriormente.
  7. Crea una nueva BD vacía y apunta sus credenciales.
  8. Ejecuta https://www.tudominio.com/installer.php
  9. Introduce los datos de la nueva base de datos.
  10. Lo bueno es que este plugin te permite indicar una nueva ruta de instalación y ahí, puedes poner tu ruta con https en vez de http.
  11. Terminas el proceso de instalación y ya estará todo hecho, sin necesidad de instalar más plugins. Nosotros nos sentimos más cómodos con este método que no es el que se suele recomendar en otros blogs, pero que sólo instala un plugin y, además, te hace un copia de seguridad de la web por si te encuentras con algún problema en el proceso. El único inconveniente es que iguale están unos minutillos más con tu web inoperativa mientras completas la migración.
  12. Tendrías que redireccionar, a través del .httacess o algún plugin de redirecciones que te permita incluir expresiones regulares, la redirección de cualquier URL de tu dominio que empiece por http a https. Si lo haces a través del .httacess, puedes usar esta directiva:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

No olvides hacer los cambios que te indicamos más arriba en Google Analytics y Google Search Console.

Cambios en Google Analytics al migrar de http:// a https://

Tienes que iniciar sesión en tu cuenta de Google Analyitcs y dirigirte a: «Administrar > Configuración de la propiedad > URL predeterminada».

Ahí, deberás cambiar el protocolo de http a https.

Cambios en Google Search Console al migrar de http:// a https://

  1. Crearemos 2 nuevas propiedas en Google Search Console asociadas a https://www.tudominio.com y https://tudominio.com
  2. Deberemos indicar cuál es la propiedad principal (si con www o sin ellas). Para ello, nos meteremos en la secundaria, haremos clic sobre el icono de configuración (icono con el eje) y seleccionaremos la opción «configuración del sitio». Ahí, podremos indicar cuál es el dominio preferido.