Dlaczego HTTPS i SSL dla witryn WordPress są absolutnie niezbędne?

Certyfikat SSL to środek bezpieczeństwa, który szyfruje połączenie między Twoją witryną a użytkownikiem końcowym, pomagając chronić obie strony. Po zainstalowaniu w domenie w adresie internetowym pojawia się prefiks „https”.

Chociaż nie jest to obowiązkowe, najlepszą praktyką jest, aby każda witryna WordPress na aktywnym serwerze była wyposażona w certyfikat SSL. Pomaga to zwiększyć bezpieczeństwo oraz chronić Twoją witrynę i odwiedzających przed hakerami kradnącymi dane osobowe, uszkadzającymi witrynę, a także zapobiega rozprzestrzenianiu się spamu i złośliwego oprogramowania, jak opisano wcześniej w powyższej statystyce.

W tym poście przedstawię więcej szczegółów na temat HTTPS i SSL dla WordPress, dlaczego ich posiadanie jest kluczowe, a także listę możliwych do wykonania kroków, aby zainstalować certyfikat SSL w swojej witrynie.

Co to jest SSL i HTTPS?

HTTPS to bezpieczne rozszerzenie protokołu Hypertext Transfer Protocol (HTTP), czyli zestawu reguł przesyłania danych między przeglądarkami. HTTPS oznacza, że ​​cała komunikacja jest szyfrowana, aby zapobiec nieautoryzowanemu dostępowi.

HTTPS jest często używany do kodowania stron internetowych przetwarzających dane osobowe, takie jak strony logowania, strony sprzedaży i produktów, a także formularze.

Secure Socket Layer (SSL) to typ protokołu używanego przez HTTPS. Można go kupić jako certyfikat SSL dla domeny. Zapewnia potwierdzenie, że domena jest w posiadaniu właściciela witryny, a połączenie między odwiedzającym a witryną jest szyfrowane.

Gdy witryna korzysta z protokołu SSL, w adresie URL pojawia się przedrostek „https” zamiast „http”. W polu adresu pojawia się również zielony symbol kłódki. Niektóre rodzaje certyfikatów o wyższym poziomie bezpieczeństwa zawierają obok kłódki nazwę firmy.

SSL jest włączony w witrynie Stylemix Themes. Chociaż certyfikat SSL podnosi bezpieczeństwo witryny, nie gwarantuje to, że witryna jest wiarygodna, ponieważ każdy może zainstalować podstawowy certyfikat, więc nadal ważne jest, aby zachować należytą staranność, aby zapewnić odwiedzasz bezpieczną witrynę.

Chociaż, jeśli adres strony internetowej zawiera prefiks „https”, ale nie ma zainstalowanego certyfikatu SSL, najpopularniejsze przeglądarki powiadamiają użytkowników przed połączeniem.

Warto również zauważyć, że Transport Layer Security (TLS) jest w rzeczywistości prekursorem SSL i często są one używane zamiennie.

Aby uzyskać szczegółowe informacje, zapoznaj się ze szczegółowym przewodnikiem migracji HTTP do HTTPS na WordPress.

Dlaczego potrzebujesz SSL dla WordPress

Jeśli wymagany jest dostęp do plików cookie lub dowolnego rodzaju formularza, który przetwarza dane logowania lub dane osobowe, w tym numery kart kredytowych, SSL dla WordPress jest absolutnie niezbędny, aby zapobiec naruszeniu informacji.

Pamiętaj, że każda witryna WordPress domyślnie wymaga również dostępu do plików cookie.

Bez certyfikatu SSL strona internetowa jest podatna na ataki, takie jak wstrzykiwanie SQL (SQLI), Cross-site Scripting (XSS), Cross-Site Request Forgery (CSRF), Authentication Bypass, przesyłanie plików i wiele innych rodzajów ataków. Hakerzy mogą ukraść dane osobowe, przejąć połączenie z przeglądarką, wprowadzić do witryny złośliwe oprogramowanie lub spam lub w inny sposób uzyskać dostęp do robienia tego, co chcą.

Posiadanie certyfikatu SSL nie tylko chroni zarówno Ciebie, jak i Twoich użytkowników, ale może również pomóc w budowaniu zaufania między Twoją witryną a jej użytkownikami.

Dlatego w 2014 roku firma Google ogłosiła, że ​​strona z certyfikatami SSL uzyska awans w rankingach wyszukiwarek.

Unia Europejska ustanowiła również Ogólne rozporządzenie o ochronie danych w maju 2018 r. i chociaż nowe prawo nie wspomina wyraźnie o korzystaniu z certyfikatów SSL, wymaga, aby strony internetowe w wystarczającym stopniu zapewniały bezpieczeństwo i prywatność wszystkich odwiedzających z Unii Europejskiej.

Chociaż sam certyfikat SSL nie wystarczy do zapewnienia bezpieczeństwa Twojej witryny WordPress, jest to krytyczny pierwszy krok.

Jak działają certyfikaty SSL?

Gdy witryna ma certyfikat SSL, wszystkie informacje przekazywane z przeglądarki do serwera są zakodowane w losowej serii liter i cyfr zamiast w postaci zwykłego tekstu, czyli słów czytelnych dla człowieka.

Właściciele witryn mogą kupować certyfikaty SSL od firmy wydającej, znanej jako urząd certyfikacji (CA).

Oto kroki, aby uzyskać własny certyfikat SSL:

1. Kup certyfikat od CA.
2. Podaj swoje dane osobowe, w tym imię i nazwisko, adres e-mail i inne dane.
3. Dostajesz klucz publiczny i prywatny, które są tajemniczymi ciągami liter i cyfr, które pasują do siebie matematycznie. Służą do uwierzytelniania i szyfrowania Twojej domeny podczas procesu instalacji. Twój klucz prywatny powinien pozostać tajny.
4. Prześlij swój klucz publiczny z wcześniej podanymi danymi w żądaniu podpisania certyfikatu (CSR).
5. Jeśli informacje są zgodne i poprawne, certyfikat jest podpisany za pomocą algorytmu Secure Hash Algorithm (SHA).
6. Certyfikat SSL jest wystawiony i możesz go zainstalować na swoim serwerze.

Gdy użytkownik wprowadza adres URL do przeglądarki, uzgadnianie SSL następuje automatycznie:

1. Przeglądarka łączy się z serwerem (serwerem internetowym lub stroną internetową) i żąda potwierdzenia tożsamości.
2. Serwer wysyła kopię swojego certyfikatu SSL, która zawiera klucz publiczny.
3. Przeglądarka sprawdza certyfikat, który posiada urząd certyfikacji, upewniając się, że jest szanowany, a następnie odsyła klucz sesji.
4. Serwer odszyfrowuje klucz sesji kluczem prywatnym i zwraca zaszyfrowany klucz sesji.
5. Połączenie między przeglądarką a serwerem jest teraz bezpieczne, a wszystkie dane, które przechodzą między nimi, są szyfrowane.

Zakup certyfikatu SSL

Jak wcześniej wspomniano, certyfikaty SSL można kupić za pośrednictwem urzędu certyfikacji, a większość firm hostingowych ma również certyfikaty dostępne do zakupu z planem hostingowym.

Istnieją również różne typy certyfikatów SSL, które istnieją dla różnych wymagań strony internetowej i wymaganego poziomu bezpieczeństwa, jak opisano poniżej.

Poziom walidacji

• Walidacja domeny — urząd certyfikacji potwierdza, że ​​organizacja posiada domenę witryny. To jest podstawowy certyfikat.
• Walidacja organizacji — organizacja posiadająca certyfikat jest badana i uwierzytelniana.
• Weryfikacja rozszerzona — urząd certyfikacji potwierdza tożsamość, istnienie prawne, lokalizację i inne elementy organizacji. To najwyższy poziom walidacji certyfikatu.

Liczba zabezpieczonych domen

• SSL z jedną nazwą — chroni pojedynczą subdomenę lub nazwę hosta
• Wildcard SSL – dla nieograniczonej liczby subdomen dla jednej domeny
• Unified / Multi-site / SAN SSL – Chroni do 100 domen o różnych nazwach

Możesz również wystawić i podpisać własny certyfikat SSL, znany jako certyfikat z podpisem własnym, ale większość przeglądarek nie rozpoznaje go jako ważnego.

Koszt certyfikatu włączającego SSL dla WordPressa może wahać się od bezpłatnego do 800 USD lub więcej rocznie, w zależności od typu certyfikatu i urzędu certyfikacji.

Bezpłatną opcją niezwiązaną z hostingiem jest Let's Encrypt, czyli zautomatyzowany urząd certyfikacji prowadzony przez organizację non-profit, której celem jest uczynienie Internetu bezpieczniejszym miejscem. Let's Encrypt współpracuje z wieloma różnymi hostami internetowymi, aby stworzyć szybką i bezproblemową instalację.

Aby uzyskać szczegółowe informacje, zapoznaj się z Server Guy's The Ultimate Guide to Types of SSL Certificates and The Top 5 najpopularniejszych recenzowanych urzędów certyfikacji SSL.

Konfiguracja SSL dla WordPress

Nawet jeśli wydano Ci certyfikat SSL, nie oznacza to, że Twoja witryna będzie automatycznie bezpieczna. Jest kilka kroków, które musisz najpierw wykonać w przypadku instalacji pojedynczej i wielostanowiskowej, które zostały szczegółowo opisane poniżej.

1. Zmień adres URL

Przed zainstalowaniem certyfikatu musisz zaktualizować adres URL swojej witryny.

W panelu administratora przejdź do Ustawienia > Ogólne i zmień zarówno adres WordPress, jak i adres witryny , aby zawierały „https” zamiast „http” w przypadku pojedynczych instalacji WordPressa przy użyciu serwerów Apache.

W przypadku instalacji wielostanowiskowych możesz wprowadzić tę zmianę w pliku wp-config.php nad poniższą linią:

 /* To wszystko, przestań edytować! Miłego blogowania. */

Dodaj następujący kod, ale pamiętaj, aby zastąpić mysite.com swoją prawdziwą domeną:

 define('WP_HOME','https://mysite.com');
define('WP_SITEURL','https://mysite.com');

2. Wymuś użycie SSL

Następnie skonfiguruj swoją witrynę tak, aby wymuszała użycie SSL dla strony logowania WordPress i pulpitu administracyjnego.

Dodaj poniższy kod do pliku wp-config.php, tuż nad wierszem „szczęśliwego blogowania”:

 define('FORCE_SSL_ADMIN', prawda);

3. Przekieruj do HTTPS

Na koniec skonfiguruj przekierowanie 301, aby odwiedzający byli automatycznie przekierowywani do wersji Twojej witryny obsługującej SSL

 Wstaw ten kod do pliku <em>.htaccess</em> plik powyżej kodu, który już istnieje:


<IfModule mod_rewrite.c>
Przepisz silnik włączony
PrzepiszCond %{SERVER_PORT} 80
Przepisz regułę ^(.*)$ https://www.mysite.com/$1 [R=301,L]
</IfModule>

Upewnij się, że zastąpiłeś www.mojawitryna.com prawdziwym adresem URL witryny i wprowadź poprawny port serwera, jeśli nie jest to 80.

Zapisz wszystkie pliki i ponownie odwiedź witrynę, aby ją przetestować. jeśli widzisz https i zieloną kłódkę, oznacza to, że pomyślnie zainstalowałeś certyfikat SSL na swojej stronie WordPress.

Pamiętaj, że jeśli te kroki nie pomogły, może być konieczne wyczyszczenie pamięci podręcznej przeglądarki, witryny i serwera.

Możesz także zautomatyzować ten proces za pomocą wtyczki, takiej jak Really Simple SSL.

Zawijanie

SSL dla witryn WordPress to duża korzyść dla odwiedzających, ponieważ jest to pierwszy i kluczowy krok w kierunku zabezpieczenia Twojej witryny.

Czy udało Ci się zainstalować certyfikat SSL? Czy były jakieś szczegóły SSL dla WordPressa, które zostały pominięte? Podziel się swoimi przemyśleniami w komentarzach poniżej.