Padre, marido y friki

Poniendo https a un blog de wordpress hospedado… ¡y gratis!

Hace algunos meses leí este post en Google Plus del maese Alfredo Amatriain donde daba un listado de tiendas de rol online españolas (a la que había que añadir Dracotienda, por cierto) que no tenían implementado el https. Prácticamente todas, por cierto. Y tiene toda la razón, resulta incompresible que una tienda online no tenga un elemento tan básico de protección, no sólo para ellos, sino para nosotros, sus clientes.

Desde entonces, de la lista del maese Amatriain sólo Tesoros de la Marca del Este y Callejón Dragón han añadido este elemento de seguridad online. El resto, a día de hoy, no.

En ese mismo post me enteré de que la nueva versión de Chrome iba a mostrar advertencias chungas de seguridad en las páginas que pidieran datos y no tuvieran el https. Pensé que eso no afectaría al blog, ya que no tengo tienda online y no hay más usuarios que yo mismo, así que no le di mayor importancia.

Pues bien, hace unos días recibí en el correo el siguiente mensaje de Google:

Las páginas no seguras que recopilen contraseñas generarán advertencias en Chrome 56 para https://erekibeon.com/

To: propietario de https://erekibeon.com/

A partir de enero de 2017 Chrome (versión 56 y posterior) marcará como no seguras aquellas páginas que recopilen contraseñas o información sobre tarjetas de crédito, a menos que se publiquen a través del protocolo HTTPS.

Las URL siguientes incluyen campos para introducir contraseñas o datos de tarjeta de crédito por los que se mostrará la nueva advertencia de Chrome. Repasa estos ejemplos para ver dónde aparecerán las notificaciones y puedas tomar las medidas necesarias para seguir protegiendo los datos de los usuarios. No es una lista completa; solo son ejemplos.

https://www.erekibeon.com/blog/hercules-and-xena-roleplaying-game-el-contenido/

Esta nueva advertencia es la primera fase de un plan a largo plazo para marcar como no seguras todas aquellas páginas que no estén encriptadas con el protocolo HTTP.

Todo un detallazo, hay que reconocerlo. Ni se me había ocurrido que sí tengo campos con contraseñas: los comentarios. Así que no me quedaba otra que meterme en el jaleo de cambiar el blog a https. Menudo marrón.

Y ¿qué es eso del https?

Pues, como bien dice la wikipedia, se trata de hacer que el http de toda la vida encripte la transmisión de datos entre el servidor de la página y el navegador. De esa manera, alguien que intercepte esa transmisión sólo obtendrá un chorro de código cifrado en lugar de nuestras contraseñas, tarjetas bancarias, etc.

La movida está, según me ha parecido entender, en que esa encriptación se basa en un certificado SSL que debe expedir una «autoridad de internet» reconocida. Y aquí está la madre del cordero, porque esto es otra de las fuentes tradicionales de ingresos de la mayor parte de las empresas «gordas» de hosting. Por ejemplo, Godaddy te cobra por el certificado 84,69€ al año (61,70€ el primer año), mientras mi hosting actual, A Small Orange, cobra 39,95$.

Por supuesto, esto es además de lo que te cuesta habitualmente el alojamiento de tu web, por lo que estas empresas se deben estar frotando las manos ante el anuncio de Google.

Entonces ¿no queda otra que pasar por caja?

Pues no, gracias a Crom. Resulta que desde abril de 2016 existe una «autoridad certificadora reconocida» que está expidiendo gratuitamente estos certificados: Let’s Encrypt. Esta autoridad es una de las iniciativas de la Internet Security Research Group, una fundación benéfica cuyo objetivo es universalizar las comunicaciones seguras, y para ello ofrece herramientas gratuitas y fáciles de integrar.

Lo mejor es que no son cuatro hippies, no. En su junta directiva hay gente de Mozilla, de Cisco Systems, de Akamai… y encima están patrocinados por todas estas empresas:

Vamos, que en principio parecen gente seria. Es más, cada vez son más las empresas de hosting que están ofreciendo hacer el certificado SSL con ellos. Aquí hay una lista, entre las que destaca OVH. Si estás en una de ellas, esa suerte que tienes, amigo, porque seguramente te lo habrán puesto tan fácil como apretar un par de botones.

Guay, viva el gratis total. Ahora ¿qué tengo que hacer?

Si tienes un blog hospedado en Blogger o en WordPress.com, nada en absoluto. Ya lo tienes en https. ¿Qué haces leyendo esto? 😛

Lo que viene a continuación es para páginas hechas con wordpress, pero alojadas en una empresa de hosting… y que utiliza cPanel como panel de control. Seguro que para otros paneles habrá otras soluciones, pero eso ya lo dejo en manos de vuestro Google Fu.

El proceso es tan sencillo como instalar dos plugins, bajarnos tres ficheros desde tu espacio web y entrar en dos apartados de tu cPanel. Bueno, y arreglar una cosilla en Google Analytics, si lo utilizamos. Total de tiempo: escasamente media hora. Una hora si tenemos que preparar y servir un biberón entre medias. 😛

Pues venga, vamos allá.

1. Instalar y poner en marcha el plugin Wp Encrypt

Una vez instalado y activado, vamos a la pantalla de settings, rellenamos los campos con nuestra información y ponemos dos checks:

En realidad bastaría con el de «Auto-generate Certificate», pero no viene mal que nos avisen unos días antes y revisemos, vaya a ser que algo falle.

Una vez rellenado, pulsamos Guardar cambios y Register Account, y después…

Hacemos click en Generate Certificate y ¡ya tenemos certificado SSL válido!

Ahora hay que fijarse en esas cuatro líneas de abajo: Certificate, Certificate Chain, Certificate Full Chain y Private Key. Son cuatro archivos que el plugin ha creado en el directorio de tu página web, y en la línea completa aparece en qué carpeta están. Tendremos que acceder a nuestro cPanel y bajarnos cert.pem, chain.pem y private.pem a nuestro ordenador.

Una vez los tengamos descargados, hay que abrirlos con el Bloc de Notas. Y cuando tengamos abierto uno, vamos a…

2. Rellenar la sección «SSL/TLS» del cPanel

que está en el apartado «Seguridad». Al entrar hay que seleccionar la última opción, bajo «Instalar y administrar SSL para el sitio (HTTPS)». Después de seleccionar en el combo el dominio de nuestra página, nos encontramos tres grandes campos. En ellos hay que pegar el contenido de los siguientes archivos:

  • cert.pem en el campo Certificado (CRT)
  • private.pem en Clave Privada (KEY)
  • chain.pem en Paquete de entidad de certificación (CABUNDLE)

Le damos a Instalar certificado… y voilà, ya tenemos nuestro certificado SSL instalado para nuestro dominio. Y lo mejor es que se irá renovando solo cada vez que caduque gracias al WP Encrypt.

Sin embargo, ahora hay que decirle a nuestro blog de wordpress que utilice el certificado. Y claro, habrá que redirigir todas las URLs para que utilicen el Https, y que los enlaces que haya por ahí fuera a nuestro blog sigan funcionando correctamente. No problem, para eso tenemos que…

3. Instalar y poner en marcha el plugin Really Simple SSL

En cuanto lo hagamos aparecerá algo así:

Basta con darle a activate SSL y el plugin ya se encarga de hacer todas las redirecciones. Eso sí, cualquier contenido que tengas incrustado y que provenga de una dirección que no sea segura… pues te aparecerá de esta guisa:

¿En serio? ¿La Cadena Ser no tiene https? O_o

Pero bueno, supongo que será cuestión de tiempo. Fijo que todo el mundo acabará pasándose a https…

Y en principio ya estaría todo hecho: nuestro blog con su certificado de seguridad (que podemos verificar aquí, por ejemplo) y funcionando con https. Y manteniendo su posicionamiento y todo.

Si utilizas Google Analytics, ya sólo nos quedaría un último paso:

4- Actualizar los ajustes en Google Analytics

Tan sencillo como entrar en tu panel, pestaña superior de «Administrador» y «Configuración de la propiedad»

Y en el combo de URL predeterminada, seleccionamos «https». Tu Google Analytics te seguirá midiendo correctamente. Y ahora sí que ya hemos terminado.

Concluyendo

Como veis, es posible tener el https gratis en vuestro blog de WordPress, y gracias a esos plugins no es muy complicado. Claro, el tema está en que hay que saber que se hace así 😛 . En mi caso, si no fuera por estos posts en inglés de wpexplorer y wpbeginner, aún estaría pegándome con ello.

Y como nota final, seguir tirando de las orejas a todas las tiendas online que aún no lo tienen implementado. Tal vez este artículo consiga que dejen a un lado el reparo número 1 en estos casos (la pasta) y hagan que sus webmasters lo incorporen cuanto antes.

Editado: Comentarios a la entrada en Google Plus

Etiquetas:

Comentarios

4 respuestas a «Poniendo https a un blog de wordpress hospedado… ¡y gratis!»

  1. Avatar de Lula
    Lula

    Gracias por tu trabajo, amigo. Aunque no soy nada mañoso voy a intentar trastear en las tripas de mi sitio para dejarlo seguro.
    Saludos.

    Responder
    1. Avatar de Erekíbeon
      Erekíbeon

      ¡De nada, maese Lula! Espero que lo hayas conseguido ^.^ ¡Gracias por pasarte!

      Responder
  2. Avatar de Laura
    Laura

    Muchas gracias!! Me voy a poner a probarlo a ver, pero hay algo raro: estoy en chrome y veo que tu página la marcan como segura, pero a la derecha de la barra de direcciones al lado de la estrella de favoritos aparece un escudo con una cruz roja. Pasando el ratón por encima dice que «esta página está intentando cargar secuencias de comandos de fuentes no autorizadas». Al darle clic el escudo se quita y entonces tu página aparece marcada como no segura! :O

    Responder
    1. Avatar de Erekíbeon
      Erekíbeon

      ¡Hola, Laura! Muchas gracias por el aviso. Al parecer Chrome considera en general el javascript como inseguro. Se supone que con el escudo está avisándote de que está bloqueando lo que haya de javascript en la página, y que te está «manteniendo a salvo» de lo que haya en la página. Vamos, que si no tocas el escudo, todo seguirá yendo bien.

      Eso sí, a ver si consigo localizar el dichoso javascript ese…

      ¡Gracias de nuevo por avisar!

      Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Sobre el autor

Soy Erekíbeon Barbagrís, un tipo del 74, felizmente casado con mi Reina, y con dos hijos: mi Princesa y mi PequePirata. Empleado con una hipoteca. Un españolito medio, sí, pero que escribe por aquí desde nada menos que 2008. 😛

Entradas relacionadas

Etiquetas

android aplicaciones blogs Canción de Hielo y Fuego cine d&d d6 dados disney evangelización frikismo geralt de rivia gygax historia internet libros Ludo Ergo Sum Mazes & Minotaurs mecánicas extrañas medieval Música niños padre Pathfinder piratas poliedro Reseñas risus rol rol con niños roleando rolesfera rol español rol gratis rol para niños Star Wars superhéroes taller televisión terror tiendas videojuegos videos vieja escuela zombis

Blogs de rol en Castellano

  • Crónica de un torneo: Conquest First Blood
    por williamdarkgates
    Hace un año, por estas mismas fechas, participé en mi primer torneo de Conquest: First Blood, un wargame de fantasía creado por Parabellum Games. En él, distintas facciones —algunas claramente inspiradas en culturas históricas, pero […]
  • Screamsheet Octubre 2025
    por sayko2020
  • CP Critical Red – Rol: Doll
    por Rafael Pardo
    Esclavas de los deseos de otros, las muñecas, dolls, o marionetas asumen la personalidad que los clientes desean. La inmensa mayoría trabajan para un salón, que además de proporcionar un lugar seguro, se encargan de […]
  • Reseña: The Brightest and the Best — La Legión Alfa recluta con estilo (y con sangre)
    por williamdarkgates
    Una de las razones por las que me embarqué en las lecturas sobre la Legión Alfa fue un reel que vi en YouTube. En él se explicaba, a través de una cita, cómo esta legión […]
  • Cuando la gente hace cosas hermosas con lo que creas
    por Ramón Nogueras Pérez
    Hace un tiempo ya que frecuento el grupo de Telegram Charlas desde Shadowlands, que es un sitio majísimo para hablar de rol, y especialmente de los juegos de la editorial, como es lógico. Aunque se […]
  • Blagdaross ya galopa: empezó el mecenazgo de la AMED
    por Teotimus
    Bueno, pues por fin llegó el día. Después de muchos preparativos, hoy por fin se ha lanzado el mecenazgo de la Ars Magica Edición Definitiva. Desde hoy y hasta el 31 de octubre, cualquier interesado […]
  • Se cierra la Mermelada Rolera 2025
    por seppuskull
    Es momento de destapar los botes y probar su sabroso contenido Hoy se pone punto final a la Mermelada Rolera 2025, y no podemos estar más contentos.Este verano invitamos a mezclar ingredientes y cocinar juegos […]
  • Edgerunners INC: Akira
    por sayko2020
    Edgerunners INC es una nueva sección del blog en que se presentaran perfiles y estadísticas de juego de personajes de la ambientación de Cyberpunk 2020 (y posiblemente de Cyberpunk RED y Edgerunner), un poco a la forma del suplemento Edgerunners INC en que […]
  • OotDL: Xotiká (Elfos)
    por Rafael Pardo
    Los elfos son un recuerdo viviente de la era primigenia. Cuando el mundo era joven y los titanes caminaban por la tierra, el esplendor de las grandes civilizaciones élficas coronaba la tierra. Ahora solo quedan […]
  • Refugio Bizarro #4
    por Tristán Oberón
    A principios de este año os hablaba de una nueva revista electrónica con relatos lovecraftianos, Refugio Bizarro, y recientemente han publicado ya su cuarto número. Un ejemplar conmemorativo del nacimiento de los Mitos de Cthulhu, […]

Blogs de rol en Inglés

Ha ocurrido un error que, probablemente, implique que se ha caído el feed. Prueba de nuevo más tarde.

Más artículos