{"id":13766,"date":"2017-01-25T14:52:36","date_gmt":"2017-01-25T13:52:36","guid":{"rendered":"https:\/\/erekibeon.com\/blog\/?p=13766"},"modified":"2025-04-26T19:53:15","modified_gmt":"2025-04-26T17:53:15","slug":"poniendo-https-blog-wordpress-hospedado","status":"publish","type":"post","link":"https:\/\/www.erekibeon.com\/blog\/poniendo-https-blog-wordpress-hospedado\/","title":{"rendered":"Poniendo https a un blog de wordpress hospedado… \u00a1y gratis!"},"content":{"rendered":"\n

Hace algunos meses le\u00ed este post en Google Plus<\/a> del maese Alfredo Amatriain<\/a> donde daba un listado de tiendas de rol online espa\u00f1olas (a la que hab\u00eda que a\u00f1adir Dracotienda, por cierto) que no ten\u00edan implementado el https. Pr\u00e1cticamente todas, por cierto. Y tiene toda la raz\u00f3n, resulta incompresible que una tienda online no tenga un elemento tan b\u00e1sico de protecci\u00f3n, no s\u00f3lo para ellos, sino para nosotros, sus clientes.<\/p>\n\n\n\n

Desde entonces, de la lista del maese Amatriain<\/strong> s\u00f3lo Tesoros de la Marca del Este<\/a> y Callej\u00f3n Drag\u00f3n<\/a> han a\u00f1adido este elemento de seguridad online. El resto, a d\u00eda de hoy, no.<\/p>\n\n\n\n

En ese mismo post me enter\u00e9 de que la nueva versi\u00f3n de Chrome iba a mostrar advertencias chungas de seguridad en las p\u00e1ginas que pidieran datos y no tuvieran el https. Pens\u00e9 que eso no afectar\u00eda al blog, ya que no tengo tienda online y no hay m\u00e1s usuarios que yo mismo, as\u00ed que no le di mayor importancia.<\/p>\n\n\n\n

Pues bien, hace unos d\u00edas recib\u00ed en el correo el siguiente mensaje de Google:<\/p>\n\n\n\n

\n

Las p\u00e1ginas no seguras que recopilen contrase\u00f1as generar\u00e1n advertencias en Chrome 56 para https:\/\/erekibeon.com\/<\/strong><\/p>\n\n\n\n

To: propietario de https:\/\/erekibeon.com\/<\/p>\n\n\n\n

A partir de enero de 2017 Chrome (versi\u00f3n 56 y posterior) marcar\u00e1 como no seguras aquellas p\u00e1ginas que recopilen contrase\u00f1as o informaci\u00f3n sobre tarjetas de cr\u00e9dito, a menos que se publiquen a trav\u00e9s del protocolo HTTPS.<\/p>\n\n\n\n

Las URL siguientes incluyen campos para introducir contrase\u00f1as o datos de tarjeta de cr\u00e9dito por los que se mostrar\u00e1 la nueva advertencia de Chrome. Repasa estos ejemplos para ver d\u00f3nde aparecer\u00e1n las notificaciones y puedas tomar las medidas necesarias para seguir protegiendo los datos de los usuarios. No es una lista completa; solo son ejemplos.<\/p>\n\n\n\n

\n

https:\/\/www.erekibeon.com\/blog\/hercules-and-xena-roleplaying-game-el-contenido\/<\/p>\n<\/div>\n\n\n\n

Esta nueva advertencia es la primera fase de un plan a largo plazo para marcar como no seguras todas aquellas p\u00e1ginas que no est\u00e9n encriptadas con el protocolo HTTP.<\/p>\n<\/blockquote>\n\n\n\n

Todo un detallazo, hay que reconocerlo. Ni se me hab\u00eda ocurrido que s\u00ed tengo campos con contrase\u00f1as: los comentarios. As\u00ed que no me quedaba otra que meterme en el jaleo de cambiar el blog a https. Menudo marr\u00f3n.<\/p>\n\n\n\n

Y \u00bfqu\u00e9 es eso del https?<\/h2>\n\n\n\n

Pues, como bien dice la wikipedia<\/a>, se trata de hacer que el http de toda la vida encripte la transmisi\u00f3n de datos entre el servidor de la p\u00e1gina y el navegador. De esa manera, alguien que intercepte esa transmisi\u00f3n s\u00f3lo obtendr\u00e1 un chorro de c\u00f3digo cifrado en lugar de nuestras contrase\u00f1as, tarjetas bancarias, etc.<\/p>\n\n\n\n

La movida est\u00e1, seg\u00fan me ha parecido entender, en que esa encriptaci\u00f3n se basa en un certificado SSL que debe expedir una \u00abautoridad de internet\u00bb reconocida. Y aqu\u00ed est\u00e1 la madre del cordero, porque esto es otra de las fuentes tradicionales de ingresos de la mayor parte de las empresas \u00abgordas\u00bb de hosting<\/em>. Por ejemplo, Godaddy<\/strong> te cobra por el certificado 84,69\u20ac al a\u00f1o (61,70\u20ac el primer a\u00f1o)<\/a>, mientras mi hosting<\/em> actual, A Small Orange,<\/strong> cobra 39,95$<\/a>.<\/p>\n\n\n\n

Por supuesto, esto es adem\u00e1s de lo que te cuesta habitualmente el alojamiento de tu web, por lo que estas empresas se deben estar frotando las manos ante el anuncio de Google.<\/p>\n\n\n\n

Entonces \u00bfno queda otra que pasar por caja?<\/h2>\n\n\n\n

Pues no, gracias a Crom. Resulta que desde abril de 2016 existe una \u00abautoridad certificadora reconocida<\/a>\u00bb que est\u00e1 expidiendo gratuitamente<\/strong> estos certificados: Let’s Encrypt<\/a>. Esta autoridad es una de las iniciativas de la Internet Security Research Group<\/a>, una fundaci\u00f3n ben\u00e9fica cuyo objetivo es universalizar las comunicaciones seguras, y para ello ofrece herramientas gratuitas y f\u00e1ciles de integrar.<\/p>\n\n\n\n

Lo mejor es que no son cuatro hippies, no. En su junta directiva<\/a> hay gente de Mozilla, de Cisco Systems, de Akamai<\/a>… y encima est\u00e1n patrocinados por todas estas empresas:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Vamos, que en principio parecen gente seria. Es m\u00e1s, cada vez son m\u00e1s las empresas de hosting<\/em> que est\u00e1n ofreciendo hacer el certificado SSL con ellos. Aqu\u00ed hay una lista<\/a>, entre las que destaca OVH<\/a>. Si est\u00e1s en una de ellas, esa suerte que tienes, amigo, porque seguramente te lo habr\u00e1n puesto tan f\u00e1cil como apretar un par de botones.<\/p>\n\n\n\n

Guay, viva el gratis total. Ahora \u00bfqu\u00e9 tengo que hacer?<\/h2>\n\n\n\n

Si tienes un blog hospedado en Blogger o en WordPress.com, nada en absoluto. Ya lo tienes en https. \u00bfQu\u00e9 haces leyendo esto? \ud83d\ude1b<\/p>\n\n\n\n

Lo que viene a continuaci\u00f3n es para p\u00e1ginas hechas con wordpress, pero alojadas en una empresa de hosting<\/em>… y que utiliza cPanel<\/a> como panel de control. Seguro que para otros paneles habr\u00e1 otras soluciones, pero eso ya lo dejo en manos de vuestro Google Fu.<\/p>\n\n\n\n

El proceso es tan sencillo como instalar dos plugins<\/em>, bajarnos tres ficheros desde tu espacio web y entrar en dos apartados de tu cPanel. Bueno, y arreglar una cosilla en Google Analytics, si lo utilizamos. Total de tiempo: escasamente media hora. Una hora si tenemos que preparar y servir un biber\u00f3n entre medias. \ud83d\ude1b<\/p>\n\n\n\n

Pues venga, vamos all\u00e1.<\/p>\n\n\n\n

1. Instalar y poner en marcha\u00a0el plugin<\/em>\u00a0Wp Encrypt<\/a><\/h3>\n\n\n\n

Una vez instalado y activado, vamos a la pantalla de settings<\/em>, rellenamos los campos con nuestra informaci\u00f3n y ponemos dos checks<\/em>:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

En realidad bastar\u00eda con el de \u00abAuto-generate Certificate\u00bb<\/em>, pero no viene mal que nos avisen unos d\u00edas antes y revisemos, vaya a ser que algo falle.<\/p>\n\n\n\n

Una vez rellenado, pulsamos Guardar cambios<\/span> y Register Account<\/span>, y despu\u00e9s…<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Hacemos click en Generate Certificate<\/span> y \u00a1ya tenemos certificado SSL v\u00e1lido!<\/p>\n\n\n\n

Ahora hay que fijarse en esas cuatro l\u00edneas de abajo: Certificate, Certificate Chain, Certificate Full Chain<\/em> y Private Key. <\/em>Son cuatro archivos que el plugin ha creado en el directorio de tu p\u00e1gina web, y en la l\u00ednea completa aparece en qu\u00e9 carpeta est\u00e1n. Tendremos que acceder a nuestro cPanel y bajarnos cert.pem, chain.pem <\/strong>y private.pem <\/strong>a nuestro ordenador.<\/p>\n\n\n\n

Una vez los tengamos descargados, hay que abrirlos con el Bloc de Notas. Y cuando tengamos abierto uno, vamos a…<\/p>\n\n\n\n

2. Rellenar la secci\u00f3n \u00abSSL\/TLS\u00bb del cPanel<\/h3>\n\n\n\n

que est\u00e1 en el apartado \u00abSeguridad\u00bb. Al entrar hay que seleccionar la \u00faltima opci\u00f3n, bajo \u00abInstalar y administrar SSL para el sitio (HTTPS)\u00bb. Despu\u00e9s de seleccionar en el combo el dominio de nuestra p\u00e1gina, nos encontramos tres grandes campos. En ellos hay que pegar el contenido de los siguientes archivos:<\/p>\n\n\n\n