Instalar un certificado ssl en WordPress

Haciendo más seguras tus Webs Instalando un certificado SSL en WordPress

24 Noviembre de 2016

@samuriosa

#WPAsturias

@samuriosaWP Asturias - “Haciendo más seguras tus Webs”

Samuel Álvarez Sariego• Administrador de Sistemas

informáticos en Red

• Desarrollador Web con WordPress

• Organizador de WordPress Asturias

• Colaborador en los equipos de Soporte, Comunidad y Traducciones de WordPress España

[email protected]

@samuriosa

samuriosa.com2

#WPAsturias


¿Cómo harías para trasmitir un mensaje secreto a

alguien de la sala?

3

#WPAsturias


¿Algo así tal vez?

¿O mejor así?

4

#WPAsturias


Protocolos de Comunicación“Hablar el mismo idioma”

“Traducir”

5

#WPAsturias


Modelo OSI

#WPAsturias


La comunicación en internet• En cada capa del

modelo OSI se añaden las cabeceras necesarias para permitir el “entendimiento” y de este modo se va realizando la “traducción”.

#WPAsturias


Criptografía“Cifrado de la información"

8

#WPAsturias


Criptografía SimétricaLa criptografía simétrica (en inglés symmetric key cryptography), también llamada criptografía de clave secreta (en inglés secret key cryptography) o criptografía de una clave (en inglés single-key cryptography), usa una misma clave para cifrar y descifrar mensajes en el emisor y el receptor.

Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar.

Una vez que ambas partes tienen acceso a esta clave, el remitente cifra un mensaje usando la clave, lo envía al destinatario, y éste lo descifra con la misma clave.

9

#WPAsturias


Enigma Sistema de Cifrado Simétrico. Claves simétricas.

Conocidas por emisor y receptor. Propagación de claves10

#WPAsturias


Criptografía AsimétricaLa criptografía asimétrica (en inglés asymmetric key cryptography), también llamada criptografía de clave pública (en inglés public key cryptography) o criptografía de dos claves1 (en inglés two-key cryptography), es el método criptográfico que usa un par de claves para el envío de mensajes.

Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Además, los métodos criptográficos garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves.

11

#WPAsturias


Usos Criptografía Asimétrica1 Ana redacta un mensaje2 Ana cifra el mensaje con la clave pública de

David3 Ana envía el mensaje cifrado a David a través

de internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio

4 David recibe el mensaje cifrado y lo descifra con su clave privada

5 David ya puede leer el mensaje original que le mandó Ana

1 David redacta un mensaje2 David firma digitalmente el mensaje con su clave

privada3 David envía el mensaje firmado digitalmente a Ana

a través de internet, ya sea por correo electrónico, mensajería instantánea o cualquier otro medio

4 Ana recibe el mensaje firmado digitalmente y comprueba su autenticidad usando la clave pública de David

5 Ana ya puede leer el mensaje con total seguridad de que ha sido David el remitente

12

#WPAsturias


Internet es una red de comunicación

Si no estás de acuerdo, puedes abandonar la sala

13

#WPAsturias


SSL / TLSUn certificado SSL sirve para brindar seguridad al visitante de tu página web, una manera de decirles a tus clientes que el sitio es auténtico, real y confiable para ingresar datos personales.

Las siglas SSL responden a los términos en inglés (Secure Socket Layer), el cual es un protocolo de seguridad que hace que sus datos viajen de manera íntegra y segura, es decir, la transmisión de los datos entre un servidor y usuario web, y en retroalimentación, es totalmente cifrada o encriptada.

#WPAsturias


#WPAsturias


SSL vs TLSLos certificados SSL (capa de sockets seguros) son una pieza esencial de la seguridad de los sitios web. Al visitar un sitio web con SSL, el certificado SSL del sitio web permite cifrar los datos que se envían, como la información sobre tarjetas de créditos, nombres y direcciones de modo que ningún hacker pueda acceder a ellos.

El protocolo TLS (seguridad de la capa de transporte) es solo una versión actualizada y más segura de SSL. Si bien aún denominamos a nuestros certificados de seguridad SSL porque es un término más común, al comprar certificados SSL, en realidad se compran los certificados TLS más actualizados con la opción de cifrado ECC, RSA o DSA.

#WPAsturias


¿Es oro todo lo que reluce?

• Todo el trafico entre tus visitantes y el servidor será cifrado, empleando la clave pública de tu certificado.

• Legitimas tu web porque consigues que una entidad independiente te dé el visto bueno

• Un certificado SSL es muy costoso, esto puede ser el número uno de las desventajas.

• Se requiere más recursos del servidor cuando se envía la información cifrada.

DesventajasVentajas

“Google da prioridad a sitios con Certificado SSL en la clasificación”

#WPAsturias


HTTP/1.1 vs HTTP/2• Única conexión. Para poder descargar todos los elementos de una web ya no será

necesario el uso de múltiples conexiones simultáneas, sino que con una sola conexión será suficiente para responder a múltiples peticiones simultáneas.

• Multiplexación. Esto permite que un servidor pueda responder a varias peticiones al mismo tiempo, mejorando la velocidad y disminuyendo el tiempo de carga del servidor.

• Compresión. HTTP/2 utiliza compresión, por lo que los tiempos de respuesta son menores y se alcanza un mayor grado de eficiencia que la versión anterior.

• Menor latencia. Durante una misma conexión, este nuevo protocolo de comunicación no envía información redundante, por lo que el consumo de recursos es considerablemente menor.

• Envío de información. El protocolo HTTP/2 permite realizar estimaciones para que el servidor pueda enviar la información que necesita el navegador para que el contenido de una web esté disponible de manera prácticamente inmediata.

#WPAsturias


En HTTP/2 el uso de cifrado TLS (Transport Layer Security) es opcional. De todos modos un gran número de fabricantes de software (Firefox, Internet Explorer o Google Crome por ejemplo) ya han anunciado que sus implementaciones solo soportarán HTTP 2.0 sobre TLS.

Recordemos que TLS es un protocolo criptográfico de la capa de transporte (de criptografía asimétrica), que proporciona comunicaciones seguras por la red. El uso de TLS añade un retardo adicional.

HTTP/2 y TLS

#WPAsturias


¿Y todo esto, cómo lo hacemos?

#WPAsturias


A nivel de Servidor

• Creamos el Certificado

• Instalamos el certificado en nuestro sitio

#WPAsturias


A nivel de WordPress

WP-config.php

define('FORCE_SSL_LOGIN', true);define('FORCE_SSL_ADMIN', true);

#WPAsturias


A nivel de WordPress• Forzar SSL

• Redirección en .htaccess

• Plugins

• Force SSL everywhere

• WordPress HTTPS (SSL). Solo ciertas páginas

.htaccess

RewriteEngine OnRewriteCond %{SERVER_PORT} 80RewriteRule ^(.*)$ https://TUDOMINIO.ES/$1 [R,L]

http://wordpress.org/plugins/wordpress-https/

http://wordpress.org/plugins/wordpress-https/

#WPAsturias


A nivel de WordPress

• Remplazar todas las URLs con http por las correspondientes con https

phpmyadmin

UPDATE wp_posts set ‘post_content’= replace(post_content,’http://tuweb.com’,’https://tuweb.com');

#WPAsturias


Audita tu SSL• https://www.ssllabs.com/ssltest/

https://www.ssllabs.com/ssltest/

#WPAsturias


$ sudo kill @samuriosa

¡¡Gracias por seguir despiertos hasta el final!!

Instalar un certificado ssl en WordPress

Internet

Transcript of Instalar un certificado ssl en WordPress