لماذا تعتبر HTTPS و SSL لمواقع WordPress ضرورية للغاية

نشرت: 2018-06-25

شهادة SSL هي إجراء أمني يقوم بتشفير الاتصال بين موقع الويب الخاص بك والمستخدم النهائي ، مما يساعد على حماية كلا الطرفين. عند التثبيت على مجال ، تظهر البادئة "https" في عنوان الويب.

على الرغم من أنه ليس إلزاميًا ، إلا أنه من أفضل الممارسات لكل موقع WordPress على خادم مباشر أن يتم تزويده بشهادة SSL. يساعد ذلك في زيادة الأمان وحماية موقع الويب الخاص بك والزائرين من المتسللين الذين يسرقون المعلومات الشخصية ويكسرون موقعك بالإضافة إلى منع انتشار البريد العشوائي والبرامج الضارة كما هو موضح سابقًا في الإحصاء أعلاه.

في هذا المنشور ، سأشارك المزيد من التفاصيل حول HTTPS و SSL لـ WordPress ، ولماذا من الأهمية بمكان الحصول عليها بالإضافة إلى قائمة بالخطوات القابلة للتنفيذ لتثبيت شهادة SSL على موقع الويب الخاص بك.

ما هو SSL و HTTPS؟

HTTPS هو الامتداد الآمن لبروتوكول Hypertext Transfer Protocol (HTTP) ، وهو مجموعة القواعد الخاصة بنقل البيانات بين متصفحك. HTTPS يعني أن جميع الاتصالات مشفرة لمنع الوصول غير المصرح به.

غالبًا ما يتم استخدام HTTPS لتشفير مواقع الويب التي تعالج التفاصيل الشخصية مثل تسجيل الدخول والمبيعات وصفحات المنتج بالإضافة إلى النماذج.

طبقة مآخذ التوصيل الآمنة (SSL) هي نوع من البروتوكولات التي يستخدمها HTTPS. يمكن شراؤها كشهادة SSL لمجال. يوفر تأكيدًا على أن النطاق في حيازة مالك الموقع وأن الاتصال بين الزائر والموقع الإلكتروني مشفر.

عندما يستخدم موقع ويب طبقة المقابس الآمنة ، تظهر البادئة "https" في عنوان URL بدلاً من "http". يظهر رمز القفل الأخضر أيضًا في حقل العنوان. تتضمن أنواع معينة من الشهادات ذات مستوى أعلى من الأمان اسم الشركة بجانب القفل.

مثال على موقع آمن مع SSL.

يتم تمكين SSL على موقع Stylemix Themes. في حين أن شهادة SSL ترفع مستوى أمان موقع الويب ، فإنها لا تضمن شرعية موقع الويب حيث يمكن لأي شخص تثبيت شهادة أساسية ، لذلك لا يزال من المهم بذل العناية الواجبة للتأكد من ذلك. تقوم بزيارة موقع آمن.

على الرغم من أنه إذا كان عنوان موقع الويب يتضمن البادئة "https" ولكن لم يتم تثبيت شهادة SSL ، فإن أكثر المتصفحات شيوعًا تُعلم المستخدمين بتحذير قبل الاتصال.

قد يكون من المهم أيضًا ملاحظة أن بروتوكول أمان طبقة النقل (TLS) هو في الواقع مقدمة لـ SSL وغالبًا ما يتم استخدامها بالتبادل.

لمزيد من التفاصيل ، راجع دليل التفاصيل لـ HTTP إلى HTTPS Migration على WordPress.

لماذا تحتاج SSL لـ WordPress

إذا كان الوصول إلى ملفات تعريف الارتباط أو أي نوع من النماذج التي تعالج معلومات تسجيل الدخول أو المعلومات الشخصية بما في ذلك أرقام بطاقات الائتمان مطلوبًا ، فإن SSL for WordPress ضروري للغاية لمنع اختراق المعلومات.

ضع في اعتبارك أن كل موقع WordPress يتطلب أيضًا الوصول إلى ملفات تعريف الارتباط بشكل افتراضي.

بدون شهادة SSL ، يكون موقع الويب عرضة لهجمات مثل حقن SQL (SQLI) ، والبرمجة عبر المواقع (XSS) ، وتزوير طلب المواقع المتقاطعة (CSRF) ، وتجاوز المصادقة ، وتحميل الملفات والعديد من أنواع الهجمات الأخرى. يمكن للقراصنة سرقة المعلومات الشخصية ، أو الاستيلاء على اتصال المتصفح الخاص بك ، أو حقن برامج ضارة أو بريد عشوائي في موقعك ، أو الوصول بطريقة أخرى للقيام بما يريدون.

لن يؤدي الحصول على شهادة SSL إلى حمايتك أنت والمستخدمين فحسب ، بل يمكن أن يساعد أيضًا في بناء الثقة بين موقعك ومستخدميه.

لهذا السبب في عام 2014 ، أعلنت Google أن موقع الويب الذي يحتوي على شهادات SSL سيحصل على تعزيزات في تصنيفات محرك البحث.

وضع الاتحاد الأوروبي أيضًا اللائحة العامة لحماية البيانات في مايو 2018 ، وبينما لا يذكر القانون الجديد استخدام شهادات SSL على وجه التحديد ، فإنه يتطلب أن تضمن مواقع الويب بشكل كافٍ أمان وخصوصية أي زائر من الاتحاد الأوروبي.

على الرغم من أن شهادة SSL وحدها لا تكفي لضمان أمان موقع WordPress الخاص بك ، إلا أنها خطوة أولى مهمة.

كيف تعمل شهادات SSL؟

عندما يحتوي موقع ويب على شهادة SSL ، يتم تشفير جميع المعلومات التي يتم تمريرها من متصفح إلى خادم في سلسلة عشوائية من الأحرف والأرقام بدلاً من النص العادي ، وهي كلمات يمكن للبشر قراءتها.

يمكن لمالكي مواقع الويب شراء شهادات SSL من شركة مُصدرة تُعرف باسم المرجع المصدق (CA).

فيما يلي خطوات الحصول على شهادة SSL الخاصة بك:

  1. شراء شهادة من CA.
  2. قدم بياناتك الشخصية بما في ذلك اسمك وبريدك الإلكتروني وتفاصيل أخرى.
  3. يتم إعطاؤك مفتاحًا عامًا وخاصًا ، وهما سلاسل مشفرة من الأحرف والأرقام التي تتلاءم معًا رياضيًا. يتم استخدامها لمصادقة المجال الخاص بك وتشفيره أثناء عملية التثبيت. يجب أن يظل مفتاحك الخاص سراً.
  4. قم بإرسال مفتاحك العام مع التفاصيل التي قدمتها مسبقًا في طلب توقيع الشهادة (CSR).
  5. إذا كانت المعلومات متطابقة وصحيحة ، يتم توقيع الشهادة باستخدام خوارزمية التجزئة الآمنة (SHA).
  6. يتم إصدار شهادة SSL ويمكنك تثبيتها على الخادم الخاص بك.

عندما يقوم المستخدم بإدخال عنوان URL في المستعرض ، تحدث مصافحة SSL تلقائيًا:

  1. يتصل المتصفح بخادم (خادم ويب أو موقع ويب) ويطلب تأكيدًا للهوية.
  2. يرسل الخادم نسخة من شهادة SSL الخاصة به ، والتي تحتوي على مفتاح عام.
  3. يتحقق المستعرض من الشهادة التي يمتلكها المرجع المصدق ، ويتأكد من أنها تتمتع بسمعة طيبة ، ثم يرسل مرة أخرى مفتاحًا للجلسة.
  4. يفك الخادم تشفير مفتاح الجلسة بمفتاح خاص ويعيد مفتاح جلسة مشفر.
  5. أصبح الارتباط بين المتصفح والخادم الآن آمنًا وجميع البيانات التي تمر بينهما مشفرة.

شراء شهادة SSL

كما ذكرنا سابقًا ، يمكن شراء شهادات SSL من خلال CA ومعظم شركات استضافة مواقع الويب لديها أيضًا شهادات متاحة للشراء مع خطة الاستضافة.

هناك أيضًا أنواع مختلفة من شهادات SSL الموجودة لمتطلبات مواقع الويب المختلفة ومستوى الأمان المطلوب كما هو موضح أدناه.

مستوى التحقق

  • التحقق من صحة المجال - يؤكد المرجع المصدق (CA) أن المنظمة تمتلك نطاق موقع الويب. هذه شهادة أساسية.
  • التحقق من صحة المنظمة - يتم التحقق من المؤسسة الحاملة للشهادة والمصادقة عليها.
  • المصادقة الممتدة - تؤكد CA هوية المنظمة ووجودها القانوني وموقعها والمزيد. هذا هو أعلى مستوى للتحقق من صحة الشهادة.

عدد المجالات الآمنة

  • SSL أحادي الاسم - يحمي نطاقًا فرعيًا واحدًا أو اسم مضيف واحد
  • Wildcard SSL - لعدد غير محدود من المجالات الفرعية لمجال واحد
  • Unified / Multi-site / SAN SSL - يحمي ما يصل إلى 100 نطاق بأسماء مختلفة

يمكنك أيضًا إصدار شهادة SSL الخاصة بك والتوقيع عليها ، والمعروفة باسم الشهادة الموقعة ذاتيًا ، لكن معظم المتصفحات لا تتعرف على هذه الشهادات على أنها صالحة.

يمكن أن تتراوح تكلفة شهادة تمكين SSL لـ WordPress من مجاني إلى 800 دولار أو أكثر سنويًا ، اعتمادًا على نوع الشهادة و CA.

الخيار المجاني غير المرتبط بالاستضافة هو Let's Encrypt ، وهو مرجع مصدق آلي تديره منظمة غير ربحية مكرسة لجعل الإنترنت مكانًا أكثر أمانًا. عقدت Let's Encrypt شراكة مع العديد من مضيفي الويب المختلفين لإنشاء تثبيت سريع وسلس.

للحصول على التفاصيل ، راجع دليل Server Guy's An Ultimate لأنواع شهادات SSL وأفضل 5 مراجع تصديق من SSL الأكثر شيوعًا التي تمت مراجعتها.

إعداد SSL لـ WordPress

على الرغم من حصولك على شهادة SSL ، فإن هذا لا يعني أن موقعك سيكون آمنًا تلقائيًا. هناك بعض الخطوات التي تحتاج إلى اتخاذها أولاً للتثبيتات الفردية والمتعددة المواقع وهي موضحة بالتفصيل أدناه.

1. قم بتغيير عنوان URL

قبل تثبيت شهادتك ، تحتاج إلى تحديث عنوان URL لموقعك.

في لوحة تحكم المسؤول ، انتقل إلى الإعدادات> عام وقم بتغيير كل من عنوان WordPress وعنوان الموقع لتضمين "https" بدلاً من "http" لعمليات التثبيت الفردية لـ WordPress باستخدام خوادم Apache.

بالنسبة لعمليات التثبيت متعددة المواقع ، يمكنك إجراء هذا التغيير في ملف wp-config.php أعلى السطر أدناه:

 / * هذا كل شيء ، توقف عن التحرير! تدوين سعيد. * /

أضف الكود التالي ، ولكن تأكد من استبدال mysite.com بنطاقك الحقيقي:

 حدد ('WP_HOME'، 'https: //mysite.com') ؛
حدد ('WP_SITEURL'، 'https: //mysite.com') ؛

2. فرض استخدام SSL

بعد ذلك ، قم بتكوين موقعك بحيث يفرض استخدام SSL لصفحة تسجيل الدخول إلى WordPress ولوحة تحكم المسؤول.

أضف الكود أدناه إلى ملف wp-config.php ، أعلى سطر "مدونة سعيدة":

 تعريف ('FORCE_SSL_ADMIN' ، صحيح) ؛

3. إعادة التوجيه إلى HTTPS

أخيرًا ، قم بإعداد إعادة التوجيه 301 بحيث يتم إعادة توجيه الزوار تلقائيًا إلى الإصدار الذي يدعم SSL من موقعك

 أدخل هذا الرمز في & amp؛ amp؛ amp؛ lt؛ em & amp؛ amp؛ amp؛ gt؛ .htaccess & amp؛ amp؛ amp؛ lt؛ / em & amp؛ amp؛ amp؛ gt؛ ملف فوق أي رمز موجود بالفعل:


& amp ؛ amp ؛ lt ؛ IfModule mod_rewrite.c & amp ؛ amp ؛ GT ؛
أعد كتابة المحرك
RewriteCond٪ {SERVER_PORT} 80
RewriteRule ^ (. *) $ https://www.mysite.com/$1 [R = 301، L]
& amp؛ amp؛ amp؛ lt؛ / IfModule & amp؛ amp؛ amp؛ gt؛

تأكد من استبدال www.mysite.com بعنوان URL لموقعك الحقيقي وأدخل منفذ الخادم الصحيح إذا لم يكن منفذك 80.

احفظ جميع ملفاتك وأعد زيارة موقعك لاختباره. إذا رأيت https وقفل أخضر ، فقد نجحت في تثبيت شهادة SSL على موقع WordPress الخاص بك.

ضع في اعتبارك أنه إذا لم تنجح هذه الخطوات ، فقد تحتاج إلى مسح ذاكرة التخزين المؤقت للمتصفح وموقع الويب والخادم.

يمكنك أيضًا اختيار أتمتة هذه العملية باستخدام مكون إضافي مثل Really Simple SSL.

تغليف

تعد SSL لمواقع WordPress مكسبًا كبيرًا للزائرين لأنها الخطوة الأولى والحاسمة نحو تأمين موقعك.

هل تمكنت من تثبيت شهادة SSL؟ هل كانت هناك أي تفاصيل SSL لـ WordPress لم يتم تفويتها؟ شارك بأفكارك في التعليقات أدناه.