Todos los que tienen un sitio de WordPress deben priorizar la seguridad. Sin un certificado SSL, los navegadores marcan su sitio como “No seguro” y muchos visitantes abandonarán el sitio ayer de descifrar su contenido o completar una operación.
Es la diferencia entre la URL de su sitio que comienza con HTTP y HTTPS: la “S” adicional indica que el tráfico está enigmático de extremo a extremo mediante TLS (la forma moderna de SSL). Una forma sencilla de recordarlo: S = seguro.
Pegar SSL y HTTPS a su sitio de WordPress demuestra a los usuarios (y a sus navegadores) que la conexión está cifrada y no ha sido manipulada por intermediarios. Esa confianza desbloquea la página en los navegadores modernos en zona de mostrar advertencias.
Los visitantes pueden navegar, comprar e ingresar datos personales con confianza y verán menos rebotes y carritos abandonados causados por advertencias de seguridad.
En 2025, HTTPS es lo imperceptible. La única forma de conseguirlo es instalando un certificado SSL/TLS válido y obligando a todo el tráfico a utilizar HTTPS. Para obtener protección adicional, habilite HSTS (HTTP Strict Transport Security) una vez que todo esté funcionando a través de HTTPS.
Si es la primera vez que obtienes e instalas un certificado SSL, puede resultar intimidante. Utilice esta conductor para sobrevenir de HTTP a HTTPS de la modo correcta, sin dañar su sitio.
5 pasos para pegar SSL y HTTPS en WordPress
He sido propietario y he administrado muchos sitios de WordPress. Este es el flujo de trabajo de cinco pasos más simple y confiable:
- Determine qué tipo de certificado SSL necesita
- Obtenga un certificado SSL
- Instalar el certificado SSL
- Probar la instalación
- Advertir a Google
lo bueno
Para la mayoría de los sitios de WordPress, SSL es regalado. Casi todos los hosts de buena reputación incluyen certificados autoaprovisionados y de renovación cibernética (generalmente a través de Let’s Encrypt, ZeroSSL o Google Trust Services) con cada plan. Incluso cuando necesita un certificado de rama, el rango pagado peculiar de ~50 a $200 por año es pequeño en comparación con la confianza y las conversiones que obtiene.
WordPress en sí es regalado, por lo que entre WordPress y un SSL proporcionado por el host, muchos propietarios de sitios pagan $0 para activar HTTPS.
La verdadera preeminencia comienza a posteriori de la instalación: menos fricción para los usuarios, señales de confianza más fuertes, elegibilidad para funciones modernas del navegador y un pequeño impulso de SEO. Los motores de búsqueda prefieren sitios seguros y los principales navegadores advierten activamente a los usuarios que se alejen de páginas que no sean HTTPS.
Si acepta pagos o planea hacerlo, SSL/TLS no es negociable. Todavía es poco en distracción para cualquier sitio que maneje inicios de sesión o datos de formularios confidenciales. Con HTTPS implementado, puede expandirse con confianza al comercio electrónico, las membresías y otras fuentes de ingresos.
lo malo
El principal obstáculo es la configuración. SSL no proviene de WordPress en sí: lo obtienes a través de tu host o de una autoridad certificadora y luego lo habilitas en tu dominio.
Los usuarios nuevos de WordPress pueden encontrar la interfaz confusa y el proceso puede implicar algunas partes móviles: habilitar el certificado en su host, forzar HTTPS, desempolvar las URL de WordPress y corregir cualquier “contenido fósforo” persistente.
Recuerde igualmente: SSL solo emblema el tráfico entre el navegador y el servidor. Aún necesita alojamiento seguro, contraseñas seguras, 2FA, actualizaciones periódicas, copias de seguridad y un complemento de seguridad para someter otros riesgos que SSL por sí solo no puede cubrir.
Finalmente, la instalación no siempre se propaga instantáneamente. Deberá demostrar que esté activo en todas partes y resolver cualquier expediente que no sea HTTPS al que aún hagan remisión sus páginas. Tenga en cuenta que los navegadores modernos han actualizado sus indicadores de “conexión segura” a lo extenso de los primaveras; busque un ícono de conexión/seguridad en zona de encargar en el antiguo símbolo del candado.
Paso 1: determine qué tipo de certificado SSL necesita
SSL no es igual para todos. Hay varios tipos, que varían según cómo se valida su identidad y cuántos dominios o subdominios cubre el certificado.
En términos generales, hay dos dimensiones a considerar: el nivel de acometividad y el zona de influencia de los dominios que protege el certificado.
Así es como funcionan.
Certificados SSL de nivel de acometividad
Hay tres niveles de acometividad comunes: validado por dominio (DV), validado por ordenamiento (OV) y acometividad extendida (EV). La diferencia son las comprobaciones de identidad, no la solidez del enigmático (todos los certificados modernos utilizan TLS seguro).
Qué significa cada nivel:
- Dominio validado (DV) SSL — El más rápido de obtener e ideal para la mayoría de blogs, portafolios, sitios de pequeñas empresas y tiendas. Usted demuestra el control del dominio (por ejemplo, a través de correo electrónico o DNS). El enigmático es tan cachas como OV/EV.
- SSL validado por ordenamiento (OV) — Agrega controles ligeros de identidad empresarial (el certificado enumera los detalles de su ordenamiento). Útil para empresas que desean señales de seguridad adicionales en los detalles del certificado.
- SSL de acometividad extendida (EV) — Implica el control más riguroso. Históricamente mostraba una interfaz de beneficiario distinta del navegador, pero los navegadores modernos ya no muestran los nombres de las empresas en la mostrador de direcciones. Ahora, los vehículos eléctricos se centran principalmente en una maduro seguro para casos de uso de stop peligro.
Los tres habilitan HTTPS en WordPress. Elija el nivel más bajo que satisfaga sus evacuación de cumplimiento y de las partes interesadas: DV es suficiente para la mayoría de los sitios.
Dominios seguros
El nivel de acometividad no determina cuántos nombres de host protege su certificado. El zona de influencia sí. Decida si necesita proteger un único nombre de host, muchos subdominios o varios dominios diferentes.
SSL de dominio único protege un nombre de dominio completo (FQDN), como www.ejemplo.com. no cubrirá blog.ejemplo.com a menos que esté incluido explícitamente.
SSL comodín asegura un nivel completo de subdominios en un dominio (por ejemplo, *.ejemplo.com cubre www, blog, comercioetc.).
SSL multidominio (SAN/UCC) cubre diferentes nombres de host, incluso en diferentes dominios, bajo un solo certificado. Útil si administra varios sitios y prefiere una única renovación.
Paso 2: obtenga un certificado SSL
Una vez que sepas el tipo que necesitas, obtén el certificado. Puede obtener SSL desde:
- Proveedores de alojamiento web
- Autoridades de certificación (CA)
- Constructores de sitios web
Para la mayoría de los sitios de WordPress, su proveedor de alojamiento es la mejor y más obvio fuente. He aquí por qué y qué considerar en cada decorado.
Cómo obtener un SSL de un proveedor de hosting
El Los mejores proveedores de alojamiento web para WordPress. Incluye certificados SSL gratuitos y de renovación cibernética. Si ya está alojado, consulte su panel; es posible que solo necesite activarlo.
Si su proveedor de alojamiento no proporciona SSL regalado en 2025, eso es una señal de alerta. Considere la posibilidad de cambiar a un proveedor de confianza que lo incluya y facilite la configuración de HTTPS.
Bluehost es una opción sólida y entrañable para principiantes con planes administrados y específicos de WordPress que simplifican la facultad de SSL. En el posterior paso, verá lo obvio que puede ser la instalación y suministro con un host como este.
Durante el proceso de plazo, la mayoría de los servidores incluyen automáticamente un SSL Let’s Encrypt (o similar) regalado con su plan.
Otros hosts importantes ofrecen la misma comodidad, pero nos quedaremos con Bluehost para el tutorial a continuación.
Cómo obtener SSL de una autoridad certificadora (CA)
Puede comprarlo directamente a una autoridad certificadora si necesita un certificado comodín, multidominio, OV o EV. Las opciones populares incluyen:
Esta ruta cuesta más y requiere un poco más de configuración en su servidor, pero es la opción correcta para cumplimiento específico o evacuación de múltiples sitios.
Para la mayoría de los sitios, un certificado DV regalado proporcionado por el host es perfectamente adecuado.
Cómo obtener SSL de un creador de sitios web
A los creadores de sitios web les gusta wix y Espacio cuadrado agrupan SSL con sus plataformas, pero esos certificados no se pueden mover a WordPress. Si está en WordPress, obtenga SSL de su servidor o de una CA.
Paso 3: instale el certificado SSL
Una vez que tenga un SSL, habilítelo para su dominio. Los detalles varían según el huésped. Así es como funciona en huésped azur (otros hosts utilizan pasos similares):
Las etiquetas exactas pueden dilatar, pero el flujo genérico es consistente entre los principales proveedores.
Vaya a su panel de Bluehost
En su panel, haga clic en “Mis sitios”, busque el sitio que desea y elija “Dirigir sitio”.
Habilitar el certificado
Caleta la pestaña Seguridad y busque el dominio “Certificado de seguridad”. Asegúrese de que SSL esté facultado para su dominio y déjelo aprovisionar.
A continuación, fuerce HTTPS en todo el sitio para que cada URL redirija de HTTP a HTTPS. Muchos hosts tienen una opción para rotar con un solo clic. Si el tuyo no lo hace, puedes manejarlo con las herramientas de tu host o un complemento confiable. Mientras lo hace, actualice su dirección de WordPress (URL) y la dirección del sitio (URL) en Configuración> Caudillo para usar https://. Si utiliza una CDN o un proxy inverso (por ejemplo, Cloudflare), habilite HTTPS allí igualmente y borre todos los cachés para evitar contenido fósforo de los activos almacenados en elegancia. Posteriormente de confirmar que todo funciona a través de HTTPS, considere habilitar HSTS.
Paso 4: demostrar la instalación
El aprovisionamiento puede tardar poco tiempo. Si su sitio aún muestra el mensaje “No seguro”, espere un poco y verifique nuevamente. Luego verifique que todo se entregue a través de https:// y que el indicador de conexión de su navegador muestre una conexión segura de modo consistente en todas sus páginas.
Pruebe varias páginas y utilice el panel de conexión/seguridad de su navegador para ver los detalles. Si ve advertencias, es posible que tenga un error de contenido fósforo, que ocurre cuando una página carga imágenes, scripts o estilos a través de HTTP.
Solucionarlo actualizando el código rígido http:// URL en su tema, complementos, saco de datos y CDN para https://. Muchos usuarios manejan esto con un complemento auxiliar de seguridad/SSL y una búsqueda y reemplazo única. Todavía puede utilizar una Política de seguridad de contenido con upgrade-insecure-requests como red de seguridad temporal. Luego purgue los cachés y vuelva a realizar la prueba.
Estos problemas son menos comunes con las instalaciones administradas por host, pero las configuraciones manuales pueden sacar a la luz restos; trabaje con ellos metódicamente hasta que cada solicitud sea HTTPS. Todavía confirme que su certificado esté configurado para renovarse automáticamente (los certificados ACME generalmente se renuevan cada 60 a 90 días).
Paso 5: informar a Google
No espere a que Google descubra el cambio: sea proactivo. En Google Search Console, agregue o verifique su propiedad HTTPS (o use una propiedad de dominio que cubra tanto HTTP como HTTPS) y envíe un carta del sitio que enumere sus nuevas URL HTTPS.
Actualice los enlaces internos, las etiquetas canónicas, hreflang y las etiquetas de gráficos abiertos a HTTPS para que Google vea una traducción coherente y segura en todas partes. Si utiliza examen, confirme que sus transmisiones GA4 estén registrando las URL HTTPS correctamente.
Las clasificaciones pueden caer brevemente durante el cambio. Posteriormente de retornar a indexar, la mayoría de los sitios se recuperan y se benefician de la confianza y el rendimiento que conlleva HTTPS.
