Internet no es un lugar muy seguro para conversaciones confidenciales. Hay miles de miradas indiscretas esperando para filtrar su información personal: su dirección postal, su número de teléfono y la información de su tarjeta de crédito. Es por eso que la mayoría de las empresas utilizan el protocolo HTTP seguro (HTTPS) cuando procesan tareas confidenciales. Hoy hablaremos sobre HTTPS y debatiremos si realmente lo necesitamos en nuestros sitios.
Un poco de té técnico
HTTP es un protocolo utilizado por servidores web y clientes (navegadores) para comunicarse y transferir páginas web y archivos. Hay muchos otros protocolos como FTP, SSH y BitTorrent.
HTTPS es una versión segura del protocolo HTTP que utiliza encriptación SSL (Secured Socket Layer). El funcionamiento de SSL en segundo plano requiere una licenciatura en Ciencias de la Computación y una sólida comprensión de la criptografía. Gracias al concepto de abstracción, no debemos preocuparnos por eso. Solo recuerda:
HTTP + SSL = HTTPS
En pocas palabras, HTTPS utiliza un «mecanismo de reconocimiento» de clave pública y privada antes de transferir datos. Una vez que se realiza el protocolo de enlace, se establece la conexión y comienza la sesión segura. Cuando visita un sitio HTTPS, todo esto sucede casi instantáneamente antes de que vea el indicador verde en la barra de direcciones de su navegador.
Cuatro razones por las que HTTPS es genial
1. Seguridad de primer nivel: Con SSL, su conexión está encriptada. Se crea un túnel virtual a través del cual solo el servidor y el navegador pueden comunicarse. Nadie más puede interpretar ese canal. Incluso si el atacante se conecta a ese canal, no podría entender los datos cifrados. Necesitaría la clave privada que solo conoce el navegador.
2. Escrutinio: HTTPS requiere un certificado SSL y adquirir este último para una empresa es un proceso serio. Requiere que se presenten documentos oficiales que sean verificados por el Autorizador de Certificación (CA). Solo cuando los documentos pasan las pruebas de validación, se emite el certificado SSL.
3. Legitima las empresas: Cuando visita un sitio protegido por SSL, puede estar seguro de la credibilidad del sitio. Siempre puede obtener los datos de contacto necesarios del propietario del certificado SSL del sitio.
4. Integridad de los datos: La integridad de los datos se refiere a la coherencia de los datos solicitados y los datos reales recibidos. Considere este ejemplo: alguien visita su sitio para una publicación en particular en Instrucciones de configuración del servidor XYZ. Al final de la publicación, dejas un enlace de afiliado. En un sitio no seguro, un atacante podría acceder fácilmente a la conexión y enviar a su visitante la comprometido datos. Con toda probabilidad, reemplazará su enlace de afiliado con un enlace de phishing. Por lo tanto, hay una diferencia monumental entre los datos solicitados y los datos realmente recibidos: se destruye la integridad de los datos. ¡Con SSL, nada de esto es posible!
Aquí está la trampa:
Establecer una conexión segura requiere potencia de cálculo sustancial tanto por el servidor como por el cliente. Este resultado es un tasa de transferencia más lenta en comparación con HTTP. Es por eso que la mayoría de los sitios no usan HTTPS todo el tiempo. Esperan hasta el momento en que intente iniciar sesión o realizar una compra. Los sitios de comercio electrónico como Amazon y Newegg siguen esta regla. De esta manera, la navegación es increíblemente rápida y las compras son seguras.
¿Realmente necesito HTTPS en mi sitio de WordPress?
Buena pregunta, pero no es una simple respuesta de sí o no. Así que vamos a discutir esto en profundidad.
Los motores de búsqueda prefieren los sitios HTTPS (sí)
Aquí hay una cita de un publicación reciente en el blog del Centro para webmasters de Google.
… Durante los últimos meses hemos estado realizando pruebas teniendo en cuenta si los sitios utilizan conexiones seguras y cifradas como señal en nuestros algoritmos de clasificación de búsqueda.
Esto no significa que si no tiene HTTPS en su sitio, su rango SERP disminuirá. Por ahora. Las personas atentas tomarán esto como un indicador temprano de lo que depara el futuro. Mucha gente se queja y cuestiona la decisión de Google. ¿Por qué demonios usarías HTTPS en tu blog estático? ¿Para evitar que los piratas informáticos lean los comentarios de sus visitantes? ¡Diablos, incluso el Blog para webmasters de Google no usa SSL!
Escenarios en los que los sitios deberían usar HTTPS
Hay muchas situaciones en las que HTTPS debe usarse como una capa adicional de seguridad. A continuación, se muestran algunos ejemplos en los que debería aplicarse:
1. Tiendas de comercio electrónico
Si está ejecutando una tienda de WordPress usando WooCommerce o iThemes Exchange, sería más prudente usar HTTPS en las páginas de transacciones del sitio. Como ya sabe, HTTPS es más lento que HTTP y, por lo tanto, tiene un impacto en la experiencia de navegación del usuario. Sin embargo, cuando se trata de información confidencial de alguien, como la dirección de la casa, el número de teléfono o los detalles de la tarjeta de crédito, sacrificar la velocidad en lugar de la seguridad es una necesidad. Siempre debe usar HTTPS en los siguientes escenarios:
- Un nuevo usuario se registra o inicia sesión
- Un usuario está a punto de realizar un pago.
2. Páginas de donaciones
Algunos sitios muestran un pequeño botón de donación en su barra lateral y casi todos no usan HTTPS. Esto es lo que puede salir mal. Dado que el sitio no está protegido, el atacante puede manipular fácilmente los datos del sitio para mostrar información fraudulenta, como reemplazar el botón de donación de PayPal con algún sitio de phishing. Cuando un visitante (en lugar de un donante) hace clic en ese enlace fraudulento, su cuenta corre el riesgo de verse comprometida. Por lo tanto, si está utilizando un botón de donación en su sitio, intente incorporar SSL.
3. Sitios de membresía
Muchos emprendedores de Internet dirigen foros privados y sitios de membresía utilizando WordPress. Tales sitios llevan privado datos: datos que no desea que el público vea. Si se utiliza SSL en tales casos, eliminaría las amenazas a la integridad de los datos y crearía un entorno seguro para que sus miembros interactúen. Es como golpear dos pájaros de un tiro:
- Mejor seguridad
- Aumente la confianza y la confianza del cliente
4. Sitios pirateados en el pasado
Si su sitio es víctima de un ataque dirigido o fue pirateado recientemente, entonces debería considerar seriamente cambiar a un sitio cifrado con SSL. La recuperación de un sitio pirateado se puede realizar utilizando experiencia personal y / o con la ayuda de expertos en seguridad de WordPress (como Sucuri).
Para protegerse de futuros ataques y agregar una capa adicional de seguridad, fuerce el uso de HTTPS en todo su sitio. Sin embargo, dado que SSL consume muchos recursos del servidor, su sitio puede volverse bastante lento dependiendo de la configuración de su servidor. No quieres eso. Por lo tanto, también puede usar SSL de forma selectiva solo durante las páginas de inicio de sesión y mientras trabaja en el panel de administración de WordPress.
Configuración de SSL en WordPress
Configurar SSL es un proceso complicado y tedioso. Requiere experiencia técnica, tiempo considerable y hay mucho margen de error. Recomiendo encarecidamente hablar con su administrador de alojamiento para que lo ayude a configurar SSL (consulte GoDaddy, con nuestro enlace puede ahorrar un 25% en un certificado SSL). Si está decidido a cambiar a un sitio HTTPS, entonces es una apuesta segura asumir que su presupuesto puede incorporar el costo de una empresa de alojamiento de WordPress administrada.
En Themelocal usamos WPEngine y nuestro sitio está protegido contra piratas informáticos, malware y ataques DDoS. Además, es muy rápido. Empresas como WPEngine le ofrecen la opción de comprar un certificado SSL integrado. El costo varía de 49 a 199 USD al año. También puede usar SSL de terceros y ellos lo ayudarán a instalar y configurar HTTPS en su sitio.
Conclusión
Depende de usted, ¿qué piensa sobre este tema en particular? ¿Sí o no en HTTPS? ¿Ha utilizado SSL en su sitio antes? ¡Comparta sus pensamientos con nosotros!