¿Cómo vigilas tu certificado SSL en un sitio de WordPress?

Ya sea que haya hecho un negocio en la web o simplemente un usuario que consume contenido, probablemente haya oído hablar del certificado SSL. Todo el mundo "más o menos" sabe lo que representa el certificado SSL: algo sobre la seguridad de un sitio, pero de qué se trata.

El acrónimo SSL significa Capa de sockets seguros. Ha sido un pilar y elemento básico de la seguridad en línea durante unos 25 años. Ha pasado por un par de versiones en ese momento, convirtiéndose en la principal forma en que los navegadores distinguen los sitios seguros de los potencialmente peligrosos.

El certificado tiene dos propósitos principales: identificar el sitio y permitir conexiones encriptadas, tanto los datos provenientes de los usuarios como los datos en las propias páginas.

Cada servicio y plataforma en línea busca esos certificados válidos de los navegadores de Google, por lo que un sitio debe obtener uno. Si el certificado es válido, el usuario accederá libremente al sitio, pero el navegador bloqueará automáticamente el sitio si no lo es. Todo el proceso de autenticación se realiza en segundo plano y está completamente automatizado.

¿SSL o TLS?

Si bien el término SSL es ampliamente reconocido, no podemos decir lo mismo de TLS. Transport Layer Security o TLS representa la versión mejorada de SSL (TLS está hasta la versión 1.3): ambos están diseñados para hacer lo mismo, es decir, autenticar y cifrar datos. Sin embargo, la forma en que cada protocolo cifra los datos es diferente, siendo TLS la opción mucho mejor.

Es importante tener en cuenta que los certificados y los protocolos no son lo mismo. Debido a lo que solo puede describirse como coloquialismo, el término "certificado SSL" se ha arraigado tanto que se ha convertido en la designación predeterminada, aunque casi todos los sitios relevantes utilizan protocolos TLS dentro de ese certificado "SSL". Ha sido un punto de interés en la web corregir el término y usar certificados TLS, lo cual es correcto según los protocolos subyacentes, pero en realidad no ha tenido tanto éxito.

¿Cómo obtener un certificado SSL?

Obtener un certificado SSL no es tan difícil. Por lo general, obtendrá gratis con su servicio de alojamiento. Alternativamente, si usa WordPress, puede emplear muchos complementos o usar un servicio como Let's Encrypt que ofrece certificados gratuitos. La elección de cómo obtener una certificación depende principalmente de usted. Sin embargo, hay algo más que tendrás que tener en cuenta. Es decir, su vencimiento es fundamental para conocer los certificados SSL. Para que los certificados sean relevantes, deben renovarse periódicamente. Debido a esto, necesita un sistema que realice un seguimiento de su certificado.

Monitoreando tu SSL

Al cuidar el estado de su certificado, es importante cubrir una amplia variedad de situaciones. Existen numerosas formas que puede elegir para mantener sus certificados bajo control, desde manejarlos manualmente (no recomendado) hasta un enfoque totalmente automatizado. Un complemento como WP Force SSL pasa automáticamente por la lista de verificación completa de acciones que garantizan que no tendrá ningún problema con respecto a SSL:

• ¿El sitio está en localhost? Si un sitio se ejecuta solo de forma local, no es necesario un certificado, es decir, un sitio de prueba/escenario; una vez que se activa, necesitas uno.
• Comprobación del certificado SSL y la fecha de caducidad: bastante obvio, lo primero que hace el complemento es comprobar el estado de SSL. Cuando caduca, se le notifica de inmediato de este último de forma automática.
• Problemas de SSL relacionados con el complemento: el complemento busca la última versión de WP Force SSL que esté disponible y busca cualquier otro complemento compatible con SSL activo que pueda tener.
• ¿La URL está configurada correctamente? Tanto la URL de la dirección de WP como la URL de inicio de WP deben configurarse para SSL: WP Force SSL verifica el estado y le permite tomar las medidas correspondientes.
• Supervisión de SSL: la mejor función que encontrará en el complemento: supervisión constante de SSL en segundo plano; profundizaremos en esto rápidamente.
• Estado de redirección: el complemento verifica si sus redirecciones HTTPS y sus redirecciones de archivos funcionan, así como si las redirecciones 404 están habilitadas
• Si HSTS, una capa de seguridad adicional que requiere conexiones seguras (HTTPS) para acceder al sitio, está activo y habilitado, el navegador rechazará todas las conexiones HTTP como configuración predeterminada.
• Contenido mixto: es posible que se encuentre en una situación en la que su sitio se carga a través de una conexión HTTPS, pero el contenido multimedia, como imágenes o videos, continúa cargándose a través de una conexión HTTP: WP Force SSL le permite evitar el problema y marcar toda la página como segura.
• Comprobación del archivo .htaccess: el complemento comprueba si el archivo está disponible y se puede escribir. Teniendo en cuenta que es su archivo de configuración principal de WP, no querrá meterse con él, por lo que es recomendable dejar que el complemento verifique todo por sí mismo.

Lo principal que desea que haga su complemento SSL es saber siempre el estado del certificado. WP Force SSL funciona constantemente en segundo plano (desde el momento en que se activa), monitorea el estado, notifica si el certificado está a punto de caducar o si aparece uno de los más de 50 errores documentados, lo que garantiza que esté completamente seguro en cada situación. .

Si desea estar más seguro de que todo está en óptimas condiciones, también puede utilizar el escáner de contenido manual para eliminar los errores de contenido mixto. Por ejemplo, sus archivos de video usan la conexión HTTP para que todo su sitio, de lo contrario, use la conexión HTTPS más segura, baje un nivel dejándolo abierto a ataques. Puede identificar el problema y llevar todo a HTTPS a través del escáner.

Resumen

Absolutamente todos los sitios en la web deben tener un certificado SSL. Como tal, es esencial contar con las herramientas adecuadas que eliminen cualquier problema potencial que pueda tener con sus certificados. Con WP Force SSL, no obtendrá solo un complemento de notificación simple, sino una forma de automatizar todo el proceso SSL, que incluye obtener un certificado, así como monitorearlo y mantenerlo, la mayor parte del cual se hace en segundo plano. sin necesidad de ninguna acción por su parte: la solución perfecta.