Charla sobre la instalación de un certificado SSL en WordPress para la meetup de WordPress Asturias celebrada el día 24 de noviembre de 2016 en Gijón (Asturias)
1. Haciendo más seguras tus Webs
Instalando un certificado SSL en WordPress
24 Noviembre de 2016
@samuriosa
2. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
Samuel Álvarez Sariego
• Administrador de Sistemas
informáticos en Red
• Desarrollador Web con
WordPress
• Organizador de WordPress
Asturias
• Colaborador en los equipos
de Soporte, Comunidad y
Traducciones de WordPress
España
samugrandiella@gmail.com
@samuriosa
samuriosa.com
2
7. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
La comunicación en internet
• En cada capa del
modelo OSI se
añaden las
cabeceras
necesarias para
permitir el
“entendimiento” y
de este modo se
va realizando la
“traducción”.
9. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
Criptografía Simétrica
La criptografía simétrica (en inglés symmetric key cryptography), también
llamada criptografía de clave secreta (en inglés secret key cryptography) o
criptografía de una clave (en inglés single-key cryptography), usa una misma
clave para cifrar y descifrar mensajes en el emisor y el receptor.
Las dos partes que se comunican han de ponerse de acuerdo de antemano
sobre la clave a usar.
Una vez que ambas partes tienen acceso a esta clave, el remitente cifra un
mensaje usando la clave, lo envía al destinatario, y éste lo descifra con la misma
clave.
9
10. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
Enigma
Sistema de Cifrado Simétrico. Claves simétricas.
Conocidas por emisor y receptor. Propagación de claves
10
11. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
Criptografía Asimétrica
La criptografía asimétrica (en inglés asymmetric key cryptography), también llamada
criptografía de clave pública (en inglés public key cryptography) o criptografía de dos claves1
(en inglés two-key cryptography), es el método criptográfico que usa un par de claves para el
envío de mensajes.
Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una clave es
pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella. Además, los métodos criptográficos
garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede
asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de
claves.
11
12. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
Usos Criptografía Asimétrica
1 Ana redacta un mensaje
2 Ana cifra el mensaje con la clave pública de
David
3 Ana envía el mensaje cifrado a David a través
de internet, ya sea por correo electrónico,
mensajería instantánea o cualquier otro medio
4 David recibe el mensaje cifrado y lo descifra
con su clave privada
5 David ya puede leer el mensaje original que le
mandó Ana
1 David redacta un mensaje
2 David firma digitalmente el mensaje con su clave
privada
3 David envía el mensaje firmado digitalmente a Ana
a través de internet, ya sea por correo electrónico,
mensajería instantánea o cualquier otro medio
4 Ana recibe el mensaje firmado digitalmente y
comprueba su autenticidad usando la clave
pública de David
5 Ana ya puede leer el mensaje con total seguridad
de que ha sido David el remitente
12
13. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
Internet es una red de
comunicación
Si no estás de acuerdo, puedes abandonar la sala
13
14. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
SSL / TLS
Un certificado SSL sirve para brindar
seguridad al visitante de tu página web, una
manera de decirles a tus clientes que el sitio
es auténtico, real y confiable para ingresar
datos personales.
Las siglas SSL responden a los términos en
inglés (Secure Socket Layer), el cual es un
protocolo de seguridad que hace que sus
datos viajen de manera íntegra y segura, es
decir, la transmisión de los datos entre un
servidor y usuario web, y en
retroalimentación, es totalmente cifrada o
encriptada.
16. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
SSL vs TLS
Los certificados SSL (capa de sockets seguros) son una pieza esencial de la seguridad de los
sitios web. Al visitar un sitio web con SSL, el certificado SSL del sitio web permite cifrar los datos
que se envían, como la información sobre tarjetas de créditos, nombres y direcciones de modo
que ningún hacker pueda acceder a ellos.
El protocolo TLS (seguridad de la capa de transporte) es solo una versión actualizada y más
segura de SSL. Si bien aún denominamos a nuestros certificados de seguridad SSL porque es
un término más común, al comprar certificados SSL, en realidad se compran los certificados TLS
más actualizados con la opción de cifrado ECC, RSA o DSA.
17. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
¿Es oro todo lo que reluce?
• Todo el trafico entre tus visitantes y el
servidor será cifrado, empleando la
clave pública de tu certificado.
• Legitimas tu web porque consigues
que una entidad independiente te dé el
visto bueno
• Un certificado SSL es muy costoso, esto
puede ser el número uno de las
desventajas.
• Se requiere más recursos del servidor
cuando se envía la información cifrada.
DesventajasVentajas
“Google da prioridad a sitios con Certificado SSL en la
clasificación”
18. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
HTTP/1.1 vs HTTP/2
• Única conexión. Para poder descargar todos los elementos de una web ya no será
necesario el uso de múltiples conexiones simultáneas, sino que con una sola conexión será
suficiente para responder a múltiples peticiones simultáneas.
• Multiplexación. Esto permite que un servidor pueda responder a varias peticiones al mismo
tiempo, mejorando la velocidad y disminuyendo el tiempo de carga del servidor.
• Compresión. HTTP/2 utiliza compresión, por lo que los tiempos de respuesta son menores y
se alcanza un mayor grado de eficiencia que la versión anterior.
• Menor latencia. Durante una misma conexión, este nuevo protocolo de comunicación no
envía información redundante, por lo que el consumo de recursos es considerablemente
menor.
• Envío de información. El protocolo HTTP/2 permite realizar estimaciones para que el
servidor pueda enviar la información que necesita el navegador para que el contenido de una
web esté disponible de manera prácticamente inmediata.
19. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
En HTTP/2 el uso de cifrado TLS (Transport Layer Security) es opcional. De todos modos
un gran número de fabricantes de software (Firefox, Internet Explorer o Google Crome por
ejemplo) ya han anunciado que sus implementaciones solo soportarán HTTP 2.0 sobre
TLS.
Recordemos que TLS es un protocolo criptográfico de la capa de transporte (de criptografía
asimétrica), que proporciona comunicaciones seguras por la red. El uso de TLS añade un
retardo adicional.
HTTP/2 y TLS
21. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
A nivel de Servidor
• Creamos el Certificado
• Instalamos el certificado
en nuestro sitio
22. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
A nivel de WordPress
WP-config.php
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
23. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
A nivel de WordPress
• Forzar SSL
• Redirección en .htaccess
• Plugins
• Force SSL everywhere
• WordPress HTTPS
(SSL). Solo ciertas
páginas
.htaccess
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://
TUDOMINIO.ES/$1 [R,L]
24. #WPAsturias
@samuriosaWP Asturias - “Haciendo más seguras tus Webs”
A nivel de WordPress
• Remplazar todas las URLs
con http por las
correspondientes con https
phpmyadmin
UPDATE wp_posts set
‘post_content’=
replace(post_content,’http://
tuweb.com’,’https://tuweb.com');