Si tu web todavía muestra «No es seguro» en la barra del navegador, estás perdiendo visitas. Los usuarios lo ven y muchos simplemente cierran la pestaña, sobre todo si tienen que ingresar datos. Google también penaliza en posicionamiento a los sitios sin HTTPS. La buena noticia es que instalar un certificado SSL ya no cuesta nada: Let’s Encrypt lo ofrece gratis y la mayoría de hostings lo incluyen por defecto.

Aquí te explico qué es un SSL, cómo instalarlo y qué hacer después para que todo funcione bien.

Qué es un certificado SSL y para qué sirve

SSL (Secure Sockets Layer) es el protocolo que cifra la conexión entre el navegador del usuario y tu servidor. Cuando está activo, la URL de tu web empieza con «https://» y aparece un candado en la barra del navegador. Eso le dice al usuario que la comunicación es privada, que nadie puede interceptar lo que envía.

Es obligatorio si tienes un formulario de contacto, una tienda online, un área de login o cualquier campo donde el usuario ingrese información personal. Sin SSL, los navegadores modernos muestran advertencias que generan desconfianza inmediata.

Formas de obtener un SSL gratis

Hay tres caminos principales:

• Desde el panel de tu hosting: la mayoría de proveedores como Hostinger, SiteGround o incluso hostings peruanos ya incluyen Let’s Encrypt con un clic desde cPanel o el panel propio.
• A través de Cloudflare: si usas Cloudflare como CDN (lo cual también mejora la velocidad), activas el SSL desde su panel y listo, sin tocar el servidor.
• Manualmente con Certbot: si tienes un VPS o servidor propio con acceso SSH, puedes instalar Let’s Encrypt directamente con la herramienta Certbot. Es más técnico pero da control total.

Cómo instalar SSL desde cPanel (el caso más común)

Si tu hosting usa cPanel, el proceso es sencillo:

• Entra a cPanel y busca la sección «Seguridad».
• Haz clic en «SSL/TLS» o directamente en «Let’s Encrypt SSL» si tu proveedor tiene esa opción.
• Selecciona el dominio para el que quieres activar el certificado.
• Haz clic en «Instalar» o «Emitir certificado».
• Espera unos minutos. El certificado se genera automáticamente y se renueva solo cada 90 días.

Si no ves esa opción en tu cPanel, escríbele a soporte de tu hosting. Muchos la tienen pero no está visible por defecto.

Forzar HTTPS en WordPress después de instalar el SSL

Instalar el certificado no basta. Tienes que indicarle a WordPress que use HTTPS en todas las URLs. Si no lo haces, tu web puede cargar a veces con HTTP y a veces con HTTPS, lo que causa el problema de «contenido mixto» y el candado aparece tachado o con advertencias.

Opción con plugin: Really Simple SSL

Es el método más sencillo. Instala el plugin Really Simple SSL desde el repositorio de WordPress, actívalo y él solo detecta el certificado y redirige todo el tráfico a HTTPS. Funciona en la mayoría de casos sin configuración adicional.

Opción manual: editar wp-config.php y .htaccess

Si prefieres no usar un plugin adicional, puedes hacer dos cambios:

• En el archivo wp-config.php agrega la línea: define(‘FORCE_SSL_ADMIN’, true);
• En el archivo .htaccess agrega una regla de redirección de HTTP a HTTPS usando mod_rewrite.

Esta opción requiere acceso al servidor vía FTP o desde el administrador de archivos de cPanel.

El problema del contenido mixto

Después de activar HTTPS, es común que algunas imágenes, scripts o estilos sigan cargando desde URLs con HTTP. Eso provoca que el candado aparezca con advertencia aunque el certificado esté activo. Para detectarlo, abre las herramientas de desarrollador del navegador (F12 en Chrome) y mira la consola: verás qué recursos están cargando por HTTP.

El plugin Really Simple SSL también tiene una opción para corregir URLs mixtas en el contenido. Si el problema persiste, el plugin Better Search Replace te permite buscar todas las URLs con http:// en la base de datos y reemplazarlas por https:// en bloque. Ojo: haz un respaldo antes de hacer ese cambio masivo.

Verificar que el SSL está bien instalado

Una vez activo, entra a tu web y fíjate en el candado de la barra del navegador. Si está verde y cerrado, todo está correcto. Para una revisión más detallada, puedes usar la herramienta SSL Labs (ssllabs.com/ssltest), que analiza el certificado y te da una calificación. La mayoría de instalaciones con Let’s Encrypt obtienen una A.

También puedes revisar la fecha de vencimiento del certificado. Let’s Encrypt dura 90 días pero se renueva automáticamente. Si por algún motivo no se renueva (por cambios en el dominio o DNS), recibirás un aviso del hosting antes de que expire. Si tu web requiere soporte técnico continuo, en KOM Agencia Digital te podemos ayudar con eso.

¿Cuándo conviene pagar por un SSL?

Para la mayoría de webs y tiendas online, Let’s Encrypt es más que suficiente. Los SSL de pago tienen sentido en casos específicos: certificados de validación extendida (EV) que muestran el nombre de la empresa en la barra del navegador, o certificados wildcard para múltiples subdominios cuando el proveedor de hosting no incluye esa opción gratuitamente. Para un emprendimiento o pyme peruana que está empezando, el gratuito cubre todo perfectamente.

Qué hacer si el hosting no ofrece SSL gratis

Algunos hostings económicos o muy básicos no incluyen Let’s Encrypt en su panel, aunque es raro hoy en día. En ese caso tienes dos opciones. La primera es migrar a un proveedor que sí lo incluya, y la diferencia de precio suele ser mínima. La segunda es activar Cloudflare como proxy para tu dominio: el plan gratuito de Cloudflare incluye SSL universal y funciona aunque el servidor no tenga certificado propio.

Para activar Cloudflare, cambias los nameservers de tu dominio a los de Cloudflare desde el panel de tu registrador de dominios. El cambio puede tardar entre una y dos horas en propagarse. Una vez activo, el SSL de Cloudflare cubre la conexión entre el usuario y los servidores de Cloudflare, aunque la conexión entre Cloudflare y tu servidor puede quedar sin cifrar si usas el modo «Flexible». Para mayor seguridad usa el modo «Full» o «Full (Strict)» si tu servidor también tiene certificado.

SSL y el impacto en la velocidad de la web

Hay un mito de que el SSL ralentiza la web. En la práctica, con los servidores modernos que soportan TLS 1.3 y HTTP/2, la diferencia es imperceptible para el usuario. De hecho, HTTP/2 (que requiere HTTPS obligatoriamente) puede hacer que tu web cargue más rápido que antes gracias a la multiplexación de recursos. Así que el SSL no solo protege: en muchos casos mejora el rendimiento general del sitio.

Preguntas frecuentes

¿Let's Encrypt es seguro para una tienda online?

Sí. Let’s Encrypt es un certificado SSL reconocido por todos los navegadores y cifra la conexión igual que cualquier certificado de pago. Miles de tiendas online en el mundo lo usan sin problema. Lo importante es tenerlo activo y renovado, no si es gratuito o de pago.

¿Qué pasa si mi certificado SSL vence?

Los navegadores mostrarán una advertencia de sitio inseguro y muchos usuarios no pasarán de esa pantalla. Let’s Encrypt se renueva automáticamente cada 90 días, pero si el proceso falla (por cambios de DNS o configuración), tu hosting debería avisarte antes de que expire.

¿Puedo instalar SSL en un dominio .pe?

Sí, sin ningún problema. Let’s Encrypt emite certificados para cualquier dominio, incluidos los .pe. El proceso es el mismo que con cualquier otro dominio. Solo necesitas que el dominio apunte correctamente a tu servidor al momento de generar el certificado.

¿Por qué mi web muestra el candado con advertencia aunque ya instalé el SSL?

Probablemente tienes contenido mixto: algunas imágenes, videos o scripts todavía se cargan desde URLs con http:// en vez de https://. Usa el plugin Really Simple SSL o Better Search Replace para corregir esas URLs en la base de datos de WordPress.

¿Necesito SSL aunque mi web no tenga tienda ni formularios?

Técnicamente no es obligatorio, pero Google lo toma en cuenta para el posicionamiento y los navegadores muestran advertencias de todos modos. Instalar SSL es gratis y tarda minutos, así que no hay razón para dejarlo sin activar en ninguna web.