Mengapa HTTPS dan SSL untuk Situs WordPress Sangat Penting

Sertifikat SSL adalah ukuran keamanan yang mengenkripsi koneksi antara situs web Anda dan pengguna akhir, membantu melindungi kedua belah pihak. Saat diinstal pada domain, awalan "https" muncul di alamat web.

Meskipun tidak wajib, praktik terbaiknya adalah agar setiap situs WordPress di server langsung dilengkapi dengan sertifikat SSL. Ini membantu meningkatkan keamanan, dan melindungi situs web dan pengunjung Anda dari peretas yang mencuri informasi pribadi, merusak situs Anda, serta mencegah penyebaran spam dan malware seperti yang dijelaskan sebelumnya dalam statistik di atas.

Dalam posting ini, saya akan membagikan detail lebih lanjut tentang HTTPS dan SSL untuk WordPress, mengapa sangat penting untuk memilikinya serta daftar langkah-langkah yang dapat ditindaklanjuti untuk memasang sertifikat SSL di situs web Anda.

Apa itu SSL dan HTTPS?

HTTPS adalah ekstensi aman dari Hypertext Transfer Protocol (HTTP), yang merupakan seperangkat aturan untuk mentransfer data antar browser Anda. HTTPS berarti bahwa semua komunikasi dienkripsi untuk mencegah akses yang tidak sah.

HTTPS sering digunakan untuk mengkodekan situs web yang memproses detail pribadi seperti login, penjualan, dan halaman produk serta formulir.

Secure Socket Layer (SSL) adalah jenis protokol yang digunakan HTTPS. Itu dapat dibeli sebagai sertifikat SSL untuk domain. Ini memberikan konfirmasi bahwa domain dimiliki oleh pemilik situs dan koneksi antara pengunjung dan situs web dienkripsi.

Saat situs web menggunakan SSL, awalan "https" muncul di URL, bukan "http". Simbol gembok hijau juga muncul di bidang alamat. Jenis sertifikat tertentu dengan tingkat keamanan yang lebih tinggi mencantumkan nama perusahaan di samping gembok.

SSL diaktifkan di situs web Stylemix Themes. Meskipun sertifikat SSL meningkatkan keamanan situs web, itu tidak menjamin bahwa situs web itu sah karena siapa pun dapat memasang sertifikat dasar sehingga tetap penting untuk melakukan uji tuntas untuk memastikan Anda sedang mengunjungi situs web yang aman.

Meskipun, jika alamat situs web menyertakan awalan “https” tetapi tidak memiliki sertifikat SSL yang terpasang, browser paling populer akan memberi tahu pengguna dengan peringatan sebelum terhubung.

Penting juga untuk dicatat bahwa Transport Layer Security (TLS) sebenarnya adalah pendahulu SSL dan mereka sering digunakan secara bergantian.

Untuk detailnya, lihat Panduan detail untuk Migrasi HTTP ke HTTPS di WordPress.

Mengapa Anda Membutuhkan SSL untuk WordPress

Jika akses ke cookie atau jenis formulir apa pun yang memproses login atau informasi pribadi termasuk nomor kartu kredit diperlukan, SSL untuk WordPress sangat penting untuk mencegah informasi tersebut disusupi.

Perlu diingat bahwa setiap situs WordPress juga memerlukan akses ke cookie secara default.

Tanpa sertifikat SSL, sebuah website rentan terhadap serangan seperti SQL injection (SQLI), Cross-site Scripting (XSS), Cross-Site Request Forgery (CSRF), Authentication Bypass, file upload dan banyak jenis serangan lainnya. Peretas dapat mencuri informasi pribadi, membajak koneksi browser Anda, menyuntikkan malware atau spam ke situs Anda, atau mendapatkan akses untuk melakukan apa pun yang mereka inginkan.

Sertifikat SSL tidak hanya akan melindungi Anda dan pengguna Anda, tetapi juga dapat membantu membangun kepercayaan antara situs Anda dan penggunanya.

Itu sebabnya pada tahun 2014, Google mengumumkan bahwa situs web dengan sertifikat SSL akan diberikan peningkatan peringkat mesin pencari.

Uni Eropa juga melembagakan Peraturan Perlindungan Data Umum pada Mei 2018 dan meskipun undang-undang baru tersebut tidak secara khusus menyebutkan penggunaan sertifikat SSL, undang-undang tersebut mengharuskan situs web memastikan keamanan dan privasi pengunjung dari Uni Eropa secara memadai.

Meskipun sertifikat SSL saja tidak cukup untuk memastikan keamanan situs WordPress Anda, ini adalah langkah pertama yang penting.

Bagaimana Cara Kerja Sertifikat SSL?

Ketika sebuah situs web memiliki sertifikat SSL, semua informasi yang dikirimkan dari browser ke server dikodekan dalam serangkaian huruf dan angka acak, bukan dalam teks biasa, yang merupakan kata-kata yang dapat dibaca manusia.

Pemilik situs web dapat membeli sertifikat SSL dari perusahaan penerbit yang dikenal sebagai Certificate Authority (CA).

Berikut adalah langkah-langkah untuk mendapatkan sertifikat SSL Anda sendiri:

1. Beli sertifikat dari CA.
2. Berikan detail pribadi Anda termasuk nama, email, dan detail lainnya.
3. Anda diberi kunci publik dan pribadi, yang merupakan rangkaian huruf dan angka samar yang cocok secara matematis. Mereka digunakan untuk mengautentikasi dan mengenkripsi domain Anda selama proses instalasi. Kunci pribadi Anda harus tetap menjadi rahasia.
4. Kirimkan kunci publik Anda dengan detail yang Anda berikan sebelumnya dalam Permintaan Penandatanganan Sertifikat (CSR).
5. Jika informasi cocok dan benar, sertifikat ditandatangani dengan Secure Hash Algorithm (SHA).
6. Sertifikat SSL dikeluarkan dan Anda dapat menginstalnya di server Anda.

Saat pengguna memasukkan URL ke browser, handshake SSL terjadi secara otomatis:

1. Browser terhubung dengan server (server web, atau situs web) dan meminta konfirmasi identitas.
2. Server mengirimkan salinan sertifikat SSL-nya, yang berisi kunci publik.
3. Peramban memeriksa sertifikat yang dimiliki Otoritas Sertifikat, memastikan bahwa sertifikat tersebut memiliki reputasi baik, lalu mengirimkan kembali kunci untuk sesi tersebut.
4. Server mendekripsi kunci sesi dengan kunci pribadi dan mengembalikan kunci sesi terenkripsi.
5. Tautan antara browser dan server sekarang aman dan semua data yang melewati di antara keduanya dienkripsi.

Membeli Sertifikat SSL

Seperti disebutkan sebelumnya, sertifikat SSL dapat dibeli melalui CA dan sebagian besar perusahaan hosting situs web juga memiliki sertifikat yang tersedia untuk dibeli dengan paket hosting.

Ada juga berbagai jenis sertifikat SSL yang ada untuk persyaratan situs web yang berbeda dan tingkat keamanan yang diperlukan seperti yang diuraikan di bawah ini.

Tingkat Validasi

• Validasi Domain – CA mengonfirmasi bahwa organisasi memegang domain situs web. Ini adalah sertifikat dasar.
• Validasi Organisasi – Organisasi yang memegang sertifikat diselidiki dan diautentikasi.
• Validasi Diperpanjang – CA mengonfirmasi identitas, keberadaan hukum, lokasi, dan lainnya dari organisasi. Ini adalah tingkat validasi tertinggi untuk sebuah sertifikat.

Jumlah Domain Terjamin

• SSL nama tunggal – Melindungi satu subdomain atau nama host
• Wildcard SSL – Untuk jumlah subdomain yang tidak terbatas untuk satu domain
• Unified / Multi-site / SAN SSL – Melindungi hingga 100 domain dengan nama berbeda

Anda juga dapat menerbitkan dan menandatangani sertifikat SSL Anda sendiri, yang dikenal sebagai sertifikat yang ditandatangani sendiri, tetapi sebagian besar browser tidak mengenalinya sebagai sertifikat yang valid.

Sertifikat untuk mengaktifkan SSL untuk WordPress dapat berkisar dari biaya gratis hingga $800 atau lebih per tahun, tergantung pada jenis sertifikat dan CA.

Opsi gratis yang tidak berafiliasi dengan hosting adalah Let's Encrypt, yang merupakan CA otomatis yang dijalankan oleh organisasi nirlaba yang didedikasikan untuk menjadikan internet tempat yang lebih aman. Let's Encrypt telah bermitra dengan banyak web host yang berbeda untuk membuat instalasi yang cepat dan mulus.

Untuk detailnya, lihat Panduan Utama Server Guy untuk Jenis Sertifikat SSL dan 5 Otoritas Sertifikat SSL Paling Populer yang Diulas.

Menyiapkan SSL untuk WordPress

Meskipun Anda telah mendapatkan sertifikat SSL, bukan berarti situs Anda akan aman secara otomatis. Ada beberapa langkah yang perlu Anda ambil terlebih dahulu untuk penginstalan tunggal dan multisitus, dan langkah-langkah tersebut diuraikan secara rinci di bawah ini.

1. Ubah URL

Sebelum memasang sertifikat, Anda perlu memperbarui URL situs.

Di dasbor admin Anda, buka Pengaturan> Umum dan ubah Alamat WordPress dan Alamat Situs Anda untuk menyertakan "https" alih-alih "http" untuk pemasangan tunggal WordPress menggunakan server Apache.

Untuk instalasi Multisite, Anda dapat membuat perubahan ini di file wp-config.php Anda di atas baris di bawah ini:

 /* Itu saja, berhenti mengedit! Selamat ngeblog. */

Tambahkan kode berikut, tetapi pastikan untuk mengganti mysite.com dengan domain asli Anda:

 define('WP_HOME','https://situssaya.com');
define('WP_SITEURL','https://situssaya.com');

2. Paksa Penggunaan SSL

Selanjutnya, konfigurasikan situs Anda sehingga memaksa penggunaan SSL untuk halaman login WordPress dan dasbor admin.

Tambahkan kode di bawah ini ke dalam file wp-config.php Anda, tepat di atas baris “happy blogging”:

 define('FORCE_SSL_ADMIN', benar);

3. Arahkan ulang ke HTTPS

Terakhir, siapkan pengalihan 301 sehingga pengunjung secara otomatis dialihkan ke versi situs Anda yang mendukung SSL

 Masukkan kode ini ke <em>.htaccess</em> Anda file di atas kode apa pun yang sudah ada:


<IfModule mod_rewrite.c>
Mesin Tulis Ulang Hidup
Tulis Ulang %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.mysite.com/$1 [R=301,L]
</IfModule>

Pastikan Anda mengganti www.mysite.com dengan URL situs asli Anda dan masukkan port server yang benar jika port Anda bukan 80.

Simpan semua file Anda dan kunjungi kembali situs Anda untuk mengujinya. jika Anda melihat https dan gembok hijau, Anda telah berhasil menginstal sertifikat SSL di situs WordPress Anda.

Ingatlah bahwa jika langkah-langkah ini tidak berhasil, Anda mungkin perlu mengosongkan cache browser, situs web, dan server Anda.

Anda juga dapat memilih untuk mengotomatiskan proses ini dengan plugin seperti SSL Benar-Benar Sederhana.

Membungkus

SSL untuk situs WordPress adalah kemenangan besar bagi pengunjung Anda karena ini adalah langkah pertama dan penting untuk mengamankan situs Anda.

Apakah Anda dapat menginstal sertifikat SSL? Apakah ada detail SSL untuk WordPress yang terlewat? Bagikan pemikiran Anda di komentar di bawah.