En resumen: Cómo añado SSL a WordPress
La mayoría de los hosts de WordPress incluyen ahora un certificado SSL gratuito, por lo que el trabajo se divide en dos partes: activar el certificado y luego forzar a WordPress a cargar a través de HTTPS. Este es el orden que sigo.
- Activar el certificado gratuito: Activa el SSL que tu host incluye (normalmente Let’s Encrypt) desde tu panel de control de alojamiento.
- Forzar HTTPS con un plugin: Instala Really Simple SSL para redirigir automáticamente cada URL a HTTPS.
- Actualizar las URL de tu sitio: Cambia ambas direcciones en Ajustes a HTTPS, manualmente o a través del plugin.
- Corregir contenido mixto: Busca cualquier imagen o script HTTP restante que bloquee el candado.
- Comprobar que funciona: Confirma que aparece el candado y realiza una comprobación rápida con SSL Labs.
¿Necesitas añadir SSL a WordPress para que tu sitio muestre el candado seguro HTTPS?
La mayoría de los hosts de WordPress incluyen ahora un certificado SSL gratuito con cada plan. Todo lo que necesitas hacer es activarlo en tu panel de control de alojamiento y forzar a WordPress a cargar a través de HTTPS.
En esta guía, te guiaré paso a paso, incluyendo cómo usar el plugin gratuito Really Simple SSL y cómo corregir las advertencias de "No seguro" en Chrome.
- ¿Qué es un certificado SSL en WordPress?
- ¿Por qué cada sitio de WordPress necesita SSL?
- ¿Necesitas comprar un certificado SSL?
- Cómo obtener un certificado SSL gratuito
- Cómo añadir SSL a WordPress automáticamente (Método con plugin)
- Cómo añadir SSL a WordPress manualmente (Avanzado)
- Solución de problemas comunes de SSL (Errores de contenido mixto)
- Cómo comprobar que tu SSL funciona
- Preguntas frecuentes sobre cómo añadir SSL a WordPress
¿Qué es un certificado SSL en WordPress?
Un certificado SSL es un pequeño archivo de datos que cifra la conexión entre el navegador de un visitante y tu sitio de WordPress. SSL son las siglas de Secure Sockets Layer, el protocolo de seguridad que protege la información mientras se mueve entre ambos.
Todos compartimos datos cuando navegamos, y en los sitios de comercio electrónico a menudo se trata de información sensible como detalles de tarjetas o credenciales de inicio de sesión.
El HTTP normal envía esos datos a la vista, lo que los deja expuestos a cualquiera que observe la conexión. Un certificado SSL, también conocido como HTTPS, cierra esa brecha.
Tu sitio necesita un certificado emitido por una autoridad de certificación reconocida. Una vez verificado, tu navegador muestra un candado en la barra de direcciones y la URL cambia de HTTP a HTTPS.

La protección proviene del cifrado. Cuando visitas un sitio certificado con SSL, tu navegador comprueba el certificado y luego codifica tus datos con la clave pública del sitio para que nadie en el medio pueda leerlos. El sitio los descifra al llegar utilizando una clave privada correspondiente.
¿Por qué cada sitio de WordPress necesita SSL?
Todo sitio debería funcionar con SSL/HTTPS, porque Google ahora considera la conexión segura como un estándar web básico.
Alrededor del 95% o más de todo el tráfico de Chrome ahora se carga a través de HTTPS, según el Informe de Transparencia de HTTPS de Google. Si tu sitio todavía está en HTTP, Chrome puede mostrar una advertencia de "No seguro" que merma la confianza de los visitantes.
SSL es más importante cuando recopilas cualquiera de los siguientes:
- Detalles de la tarjeta de cr uevo
- Informaci uevo de pago
- Credenciales de inicio de sesi uevo
Un certificado verificado protege esos datos, y muchos servicios de pago requieren HTTPS antes de permitirte aceptar pagos. Si tienes una tienda, SSL es una parte de un trabajo más amplio, por lo que vale la pena saber cómo asegurar una tienda WooCommerce de principio a fin.

Esa marca de "No seguro" hace más que quedar mal. Hace que la gente se vaya antes de leer una palabra, lo que reduce silenciosamente la participación y las conversiones. SSL es una base, no el trabajo completo, por lo que se combina de forma natural con los pasos más amplios para proteger todo tu sitio contra hackers.
La mayoría de la gente añade SSL justo cuando está configurando o relanzando un sitio, que es el momento delicado que los visitantes no deberían ver. Mantengo el front-end oculto detrás de una página de "próximamente" con marca de SeedProd mientras activo el certificado y corrijo cualquier contenido mixto.
SeedProd es un creador de sitios web de arrastrar y soltar para WordPress, y sus páginas de "próximamente" y modo de mantenimiento te permiten poner una página de espera pulida en pocos minutos. Los visitantes ven un mensaje ordenado de "lanzaremos pronto" en lugar de un sitio a medio terminar que muestra advertencias de seguridad.
¿Necesitas comprar un certificado SSL?
Para la mayoría de los sitios, no. El certificado gratuito de tu hosting es suficiente y no necesitas pagar por uno.
Esto confunde a mucha gente. He visto a propietarios de sitios comprar un certificado de 200 € sin darse cuenta de que el certificado gratuito Let’s Encrypt que su hosting ya ofrece habría hecho el mismo trabajo. Un certificado gratuito cifra el tráfico exactamente de la misma manera que uno de pago.
Los certificados de pago todavía tienen un lugar si deseas validación adicional o una garantía. Los precios varían mucho, desde menos de 10 € al año para un certificado básico validado por dominio hasta más de 100 € para validación de organización o extendida. Para un blog estándar o un sitio de pequeña empresa, ese gasto rara vez cambia algo que un visitante ve.
Una guía rápida de los tipos principales, si decides pagar:
- Validado por Dominio (DV): Adecuado para blogs, sitios personales y la mayoría de los sitios de pequeñas empresas.
- Validación de Organización o Extendida (OV/EV): Vale la pena para tiendas, membresías y sitios que manejan inicios de sesión o pagos.
- Comodín o Multidominio: Útil si administras subdominios como blog.ejemplo.com o varios dominios bajo un mismo techo.
Si no estás seguro, empieza con el certificado gratuito. Siempre puedes actualizar más tarde. Aquí te explicamos cómo activar el gratuito.
Cómo obtener un certificado SSL gratuito
La mayoría de los hostings ahora incluyen un certificado gratuito, por lo que en la mayoría de los casos solo tienes que activar un interruptor. Los certificados gratuitos provienen de Let’s Encrypt, una autoridad sin ánimo de lucro que hizo que SSL fuera gratuito y automático para sitios pequeños.
Estas empresas de hosting de WordPress incluyen un certificado SSL gratuito con sus planes:
Usando Bluehost como ejemplo, ve a la sección Sitios web en tu panel de control y haz clic en el botón Ajustes debajo de tu sitio.

Desde allí, cambia a la pestaña Seguridad y activa el certificado SSL gratuito. En la mayoría de los casos, Bluehost lo habilita automáticamente para ti.

Si tu hosting no es Bluehost, los pasos pueden ser un poco diferentes. Puedes pedirle a tu proveedor de hosting que lo active si no lo encuentras en tu área de administrador o cPanel.
Si tu hosting no ofrece SSL en absoluto, puedes comprar uno a autoridades como Comodo, GeoTrust, GlobalSign y RapidSSL, o conseguir uno gratuito directamente de Let’s Encrypt.
Una cosa que debes saber es que los certificados Let’s Encrypt caducan cada 90 días. Los hosts administrados los renuevan automáticamente, por lo que la mayoría de las personas nunca tocan la renovación. Si configuras el certificado tú mismo en tu propio servidor, deberás automatizar la renovación, o tu sitio dejará de funcionar el día que caduque.
Ahora hagamos que WordPress cargue a través de HTTPS con tu nuevo certificado.
Cómo añadir SSL a WordPress automáticamente (Método con plugin)
Con el certificado habilitado en tu host, el siguiente trabajo es hacer que WordPress use HTTPS para cada URL de tu sitio.
La forma más fácil es el plugin Really Simple SSL. Es uno de los mejores plugins de WordPress para esto, y hace la mayor parte del trabajo por ti. Si eres nuevo en la instalación de plugins, esta guía paso a paso te guiará a través de él.
Después de activar el plugin, abre su configuración desde tu panel de WordPress. Really Simple SSL detecta tu certificado y fuerza HTTPS en todas tus URLs, luego activa la redirección de HTTP a HTTPS automáticamente.

El plugin también reescribe las URL antiguas de HTTP que están incrustadas en tus publicaciones y configuraciones, corrigiéndolas sobre la marcha a medida que las páginas se cargan. Eso te ahorra una búsqueda y reemplazo manual en la base de datos, que es el paso que la mayoría de la gente omite.
Incluso una sola URL HTTP que quede hace que un navegador trate la página como insegura. Really Simple SSL se encarga de ellas, pero si alguna se cuela, la herramienta de inspección del navegador te la señalará.

¿Lanzando o relanzando un sitio?
Oculta el trabajo detrás de una página de "próximamente" con marca.
Mientras activas SSL y eliminas el contenido mixto, mantén a los visitantes en una página de espera pulida en lugar de un sitio a medio terminar. SeedProd crea una en minutos, sin código.
Quiero crear una página de "próximamente"Cómo añadir SSL a WordPress manualmente (Avanzado)
El método del plugin anterior es la ruta más fácil. Pero es posible que desees mover tu sitio de HTTP a HTTPS manualmente en su lugar.
Esto implica editar archivos de WordPress, así que solo síguelo si te sientes cómodo pegando fragmentos de código.
Primero, ve a la página de Ajustes » Generales en tu panel. Cambia tanto el campo Dirección de WordPress como el de Dirección del sitio de HTTP a HTTPS.

Después de guardar, WordPress te desconecta y necesitarás volver a iniciar sesión.
Actualiza las URL codificadas en tu base de datos: Esos dos campos solo cubren la dirección principal de tu sitio. Los sitios más antiguos también tienen URL HTTP guardadas dentro de publicaciones, páginas y opciones, y esas no se actualizarán solas.
Este es el paso que los seguidores manuales omiten con más frecuencia, y es por eso que todavía ven contenido mixto después. Ejecuta una búsqueda y reemplazo en la base de datos para cambiar http:// por https://, usando un plugin como Better Search Replace o el comando WP-CLI wp search-replace 'http://example.com' 'https://example.com'. Haz una copia de seguridad de tu base de datos primero.
Redirige HTTP a HTTPS en Apache: Añade esto a tu archivo .htaccess para que cada visitante aterrice en la versión segura.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
Una advertencia: si tu host termina SSL en un proxy o usas el SSL flexible de Cloudflare, esta regla puede leer tu conexión como insegura y crear un bucle de redirección. En esas configuraciones, deja que tu host o Really Simple SSL manejen la redirección en lugar de editar .htaccess.
Redirigir HTTP a HTTPS en Nginx: Si tu sitio se ejecuta en Nginx, añade esto a tu archivo de configuración en su lugar. Reemplaza "example.com" con tu propio dominio.
server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}
Estas redirecciones detienen el error de que HTTPS de WordPress no funciona, ya que cada página ahora se carga a través de HTTPS.
Forzar SSL en las páginas de administración e inicio de sesión: Para proteger tus páginas de inicio de sesión, añade esta línea a wp-config.php, justo encima de la línea "That’s all, stop editing!".
define('FORCE_SSL_ADMIN', true);
Esto fuerza SSL y HTTPS en toda el área de administración de WordPress.
Solución de problemas comunes de SSL (Errores de contenido mixto)
Una vez que tu sitio esté en SSL, es posible que sigas viendo errores de contenido mixto. Estos ocurren cuando las imágenes, scripts o hojas de estilo todavía se cargan a través de HTTP, lo que impide que aparezca el candado aunque tu certificado esté activo.

Algunos navegadores bloquean los recursos inseguros y muestran una notificación en la barra de direcciones en su lugar.

Para encontrar lo que todavía está en HTTP, abre la herramienta de inspección de tu navegador y revisa la consola. Cada elemento de contenido mixto aparece como una advertencia con la URL infractora.

La mayoría de estos son imágenes, iframes y galerías, con algún script o hoja de estilo ocasional de un plugin o tema.
Tienes dos maneras de solucionarlos. La más sencilla es dejar que Really Simple SSL se encargue de ello, ya que reescribe los recursos HTTP a HTTPS a medida que las páginas se cargan. Si no estás usando el plugin, ejecuta una búsqueda y reemplazo en la base de datos (Better Search Replace o WP-CLI) para intercambiar cada referencia http:// por https://, lo que limpia las URLs en el origen.
Si un solo recurso todavía se niega a cargarse de forma segura, normalmente está codificado en un widget, una opción de tema o una incrustación externa. Actualiza esa única URL manualmente y el candado volverá a aparecer.
Cómo comprobar que tu SSL funciona
No asumas que funcionó. Una comprobación rápida confirma que el certificado está activo y que nada se está cargando todavía a través de HTTP.
- Comprueba el candado: Visita tu sitio y busca el candado en la barra de direcciones, con la URL comenzando por https://.
- Ejecuta una prueba de SSL Labs: Introduce tu dominio en SSL Labs (ssllabs.com/ssltest) para obtener un informe completo de tu certificado y configuración.
- Escanea en busca de contenido mixto: Abre algunas páginas clave con la consola de la herramienta de inspección abierta y confirma que no aparecen advertencias HTTP.
Cuando el candado aparezca en cada página y SSL Labs te dé una calificación limpia, tu sitio estará completamente en HTTPS.
Preguntas frecuentes sobre cómo añadir SSL a WordPress
¿Cuánto tiempo tarda en funcionar SSL en WordPress después de habilitarlo?
Una vez que actives el certificado en tu hosting, normalmente se activa en unos pocos minutos o un par de horas. Después de eso, forzar HTTPS con un plugin como Really Simple SSL surte efecto de inmediato.
¿Necesito actualizar las URLs de mi base de datos después de añadir SSL, o el plugin se encarga de ello?
Really Simple SSL reescribe automáticamente las URLs antiguas de HTTP en tu contenido a medida que las páginas se cargan, por lo que la mayoría de la gente nunca toca la base de datos.
Si mueves un sitio manualmente en su lugar, necesitarás una búsqueda y reemplazo en la base de datos con una herramienta como Better Search Replace o WP-CLI para intercambiar http:// por https:// en el origen.
¿Añadir SSL a un sitio de WordPress existente romperá mis enlaces o imágenes?
No debería, siempre que manejes el cambio de URL correctamente. Really Simple SSL reescribe los enlaces internos y las imágenes a HTTPS por ti.
Lo único a tener en cuenta es el contenido mixto, donde una imagen o script errante todavía se carga a través de HTTP. Corregir esas URL restaura el candado sin romper nada.
¿Mi certificado SSL se renueva automáticamente o tengo que hacerlo yo mismo?
Si tu proveedor de hosting emitió el certificado, casi siempre se renueva automáticamente, por lo que nunca tienes que pensar en ello.
Los certificados Let's Encrypt caducan cada 90 días. Los hosts gestionados se encargan de eso por ti, pero si instalaste uno tú mismo en tu propio servidor, necesitarás configurar la renovación automática.
Asegura tu sitio de WordPress por completo
Eso es todo. Una vez que el candado aparezca en cada página, los visitantes confiarán más en tu sitio y dejarás de perderlos por las advertencias de "No seguro".
Si estás configurando SSL como parte de un lanzamiento, SeedProd te permite mantener el sitio detrás de una página de "Próximamente" personalizada mientras terminas el trabajo. Empieza con SeedProd y crea una en minutos.
Si encontraste útil esta guía, también te pueden interesar nuestros tutoriales sobre cómo configurar una dirección de correo electrónico profesional y cómo crear una página de destino en WordPress.
¡Gracias por leer! Nos encantaría conocer tu opinión, así que únete a la conversación en YouTube, X y Facebook para obtener más consejos y contenido útil para hacer crecer tu negocio.