Google marcará como no seguras las páginas que no usen HTTPS
A partir de Julio de este año 2018, con la salida de la versión 68 de Chrome, Google marcará como no seguras todas las páginas web que aún usan el protocolo HTTP.
No es la primera vez que Google presiona a los desarrolladores para lograr una Web más segura, pero este cambio va a ser bastante importante, sobretodo para aquellas páginas en las que se pueda realizar cualquier transacción comercial (tiendas y similar).
La diferencia entre como muestra actualmente Google las páginas no seguras y como las mostrará a partir de Julio se puede observar en la siguiente imagen;
Puede parecer trivial, pero no hay que infravalorar el efecto psicológico que puede ejercer en muchos usuarios que su navegador de confianza les marque como «no segura» una página.
Para solucionar este problema es muy importante que intentéis poneros en contacto lo antes posible con vuestro hosting a fin de adquirir un certificado seguro para vuestra página web. Actualmente, muchos hostings ofrecen certificados gratuitos de Let’s Encrypt. Por lo que ya no hay excusa para seguir teniendo una página no segura.
Para poder realizar el cambio, no es suficiente con tener el certificado. Dependiendo de como sea nuestra página web, es posible que tengamos que hacer varios tipos de adaptaciones a fin de asegurarnos de que todo funciona correctamente. Básicamente hay dos factores muy importantes que hemos de tener en cuenta a la hora de realizar este cambio.
1.- Hemos de asegurarnos de no usar rutas absolutas con nuestro dominio en nuestra web, de forma que al cambiar http por https, todo funcione a traves de https sin redireccionamientos. Una forma rápida y fácil de lograr esto en WordPress implica exportar nuestra base de datos a un archivo y con un editor de texto plano (como por ejemplo, Atom o Visual Studio Code) podemos reemplazar todas las rutas de nuestro dominio por rutas relativas que no indiquen el dominio. Así, si nuestro dominio es www.espai.es, deberíamos reemplazar «http://www.espai.es/» por «/».
2.- Evitar contenido duplicado y redireccionar las rutas no seguras a rutas seguras. Si permitimos que se pueda acceder a nuestra página por http y por https, para Google y otros buscadores, eso significará que tendremos contenido duplicado y nos pueden penalizar. Hay que dejar solo activo el acceso a través de https. Para esto, lo más fácil es realizar un redireccionamiento a nivel de servidor web. Si usamos Apache, podemos añadir algo similar a lo siguiente en la sección del mod_rewrite del archivo .htaccess;
RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.espai.es/$1 [R,L]
De este modo, le indicamos al servidor Apache que cualquier petición al puerto 80 (http) debe de redirigirse a la misma dirección pero con el https.
Y en general, con esos dos pasos (que no siempre son fáciles y libres de problemas), suele ser suficiente. De todas formas, si tenéis problemas lo mejor es que consultéis con vuestro hosting o con un profesional para que os ayuden a realizar este cambio.