Почему HTTPS и SSL для веб-сайтов WordPress абсолютно необходимы

SSL-сертификат — это мера безопасности, которая шифрует соединение между вашим веб-сайтом и конечным пользователем, помогая защитить обе стороны. При установке на домен в веб-адресе появляется префикс «https».

Хотя это и не является обязательным, рекомендуется, чтобы каждый веб-сайт WordPress на рабочем сервере был оснащен SSL-сертификатом. Это помогает повысить безопасность и защитить ваш веб-сайт и посетителей от хакеров, крадущих личную информацию, взламывающих ваш сайт, а также предотвращает распространение спама и вредоносных программ, как описано ранее в статистике выше.

В этом посте я поделюсь более подробной информацией о HTTPS и SSL для WordPress, почему так важно их иметь, а также приведу список практических шагов для установки SSL-сертификата на ваш сайт.

Что такое SSL и HTTPS?

HTTPS — это безопасное расширение протокола передачи гипертекста (HTTP), представляющего собой набор правил для передачи данных между вашими браузерами. HTTPS означает, что все коммуникации шифруются для предотвращения несанкционированного доступа.

HTTPS часто используется для кодирования веб-сайтов, которые обрабатывают личные данные, такие как логин, страницы продаж и продуктов, а также формы.

Secure Socket Layer (SSL) — это тип протокола, который использует HTTPS. Его можно приобрести как SSL-сертификат для домена. Это подтверждает, что домен принадлежит владельцу сайта, а соединение между посетителем и сайтом зашифровано.

Когда веб-сайт использует SSL, префикс «https» появляется в URL-адресе вместо «http». В поле адреса также появляется зеленый символ замка. Некоторые типы сертификатов с более высоким уровнем безопасности содержат название компании рядом с замком.

SSL включен на веб-сайте Stylemix Themes. Хотя сертификат SSL повышает безопасность веб-сайта, он не гарантирует, что веб-сайт является законным, поскольку любой может установить базовый сертификат, поэтому по-прежнему важно проявлять должную осмотрительность, чтобы убедиться, что вы посещаете безопасный веб-сайт.

Хотя, если адрес веб-сайта содержит префикс «https», но не имеет установленного SSL-сертификата, самые популярные браузеры уведомляют пользователей предупреждением перед подключением.

Также может быть важно отметить, что безопасность транспортного уровня (TLS) на самом деле является предшественником SSL, и они часто используются взаимозаменяемо.

Для получения дополнительной информации ознакомьтесь с подробным руководством по миграции с HTTP на HTTPS в WordPress.

Зачем вам нужен SSL для WordPress

Если требуется доступ к файлам cookie или формам любого типа, которые обрабатывают логин или личную информацию, включая номера кредитных карт, SSL для WordPress абсолютно необходим для предотвращения компрометации информации.

Имейте в виду, что каждый сайт WordPress также требует доступа к файлам cookie по умолчанию.

Без сертификата SSL веб-сайт уязвим для таких атак, как SQL-инъекции (SQLI), межсайтовый скриптинг (XSS), подделка межсайтовых запросов (CSRF), обход аутентификации, загрузка файлов и многие другие типы атак. Хакеры могут украсть личную информацию, взломать соединение с вашим браузером, внедрить вредоносное ПО или спам на ваш сайт или иным образом получить доступ, чтобы делать все, что захотят.

SSL-сертификат не только защитит вас и ваших пользователей, но и поможет установить доверие между вашим сайтом и его пользователями.

Вот почему в 2014 году Google объявил, что веб-сайты с SSL-сертификатами получат повышение в рейтинге поисковых систем.

Европейский союз также ввел в мае 2018 года Общее положение о защите данных, и, хотя в новом законе конкретно не упоминается использование SSL-сертификатов, он требует, чтобы веб-сайты в достаточной степени обеспечивали безопасность и конфиденциальность любых посетителей из Европейского Союза.

Хотя одного SSL-сертификата недостаточно для обеспечения безопасности вашего сайта WordPress, это важный первый шаг.

Как работают SSL-сертификаты?

Когда веб-сайт имеет SSL-сертификат, вся информация, передаваемая из браузера на сервер, кодируется случайным набором букв и цифр, а не простым текстом, который представляет собой слова, понятные человеку.

Владельцы веб-сайтов могут приобрести SSL-сертификаты у компании-эмитента, известной как Центр сертификации (ЦС).

Вот шаги, чтобы получить собственный SSL-сертификат:

1. Купите сертификат в ЦС.
2. Укажите свои личные данные, включая ваше имя, адрес электронной почты и другие данные.
3. Вам дается открытый и закрытый ключи, представляющие собой загадочные цепочки букв и цифр, которые математически сочетаются друг с другом. Они используются для аутентификации и шифрования вашего домена в процессе установки. Ваш закрытый ключ должен оставаться в секрете.
4. Отправьте свой открытый ключ с ранее предоставленными данными в запросе на подпись сертификата (CSR).
5. Если информация совпадает и верна, сертификат подписывается с помощью алгоритма безопасного хеширования (SHA).
6. Сертификат SSL выдан, и вы можете установить его на свой сервер.

Когда пользователь вводит URL-адрес в браузер, рукопожатие SSL происходит автоматически:

1. Браузер подключается к серверу (веб-серверу или веб-сайту) и запрашивает подтверждение личности.
2. Сервер отправляет копию своего SSL-сертификата, содержащего открытый ключ.
3. Браузер проверяет сертификат центра сертификации, убеждается в его надежности, а затем отправляет обратно ключ для сеанса.
4. Сервер расшифровывает сеансовый ключ с помощью закрытого ключа и возвращает зашифрованный сеансовый ключ.
5. Связь между браузером и сервером теперь защищена, и все данные, которые проходят между ними, зашифрованы.

Покупка SSL-сертификата

Как упоминалось ранее, SSL-сертификаты можно приобрести через ЦС, и у большинства компаний, предоставляющих хостинг веб-сайтов, также есть сертификаты, доступные для покупки с планом хостинга.

Существуют также различные типы SSL-сертификатов, которые существуют для различных требований веб-сайта и необходимого уровня безопасности, как указано ниже.

Уровень проверки

• Проверка домена — ЦС подтверждает, что организация владеет доменом веб-сайта. Это базовый сертификат.
• Проверка организации. Организация, имеющая сертификат, исследуется и аутентифицируется.
• Расширенная проверка — ЦС подтверждает личность, юридическое существование, местонахождение и многое другое организации. Это самый высокий уровень проверки сертификата.

Количество защищенных доменов

• SSL с одним именем — защищает один субдомен или имя хоста.
• Wildcard SSL — для неограниченного количества субдоменов для одного домена
• Унифицированный / многосайтовый / SAN SSL — защищает до 100 доменов с разными именами

Вы также можете выпустить и подписать свой собственный SSL-сертификат, известный как самозаверяющий сертификат, но большинство браузеров не распознают его как действительный.

Стоимость сертификата для включения SSL для WordPress может варьироваться от бесплатного до 800 долларов и более в год, в зависимости от типа сертификата и ЦС.

Бесплатный вариант, не связанный с хостингом, — это Let’s Encrypt, который представляет собой автоматизированный ЦС, управляемый некоммерческой организацией, призванной сделать Интернет более безопасным местом. Let's Encrypt сотрудничает со многими различными веб-хостингами, чтобы обеспечить быструю и беспроблемную установку.

Для получения дополнительной информации ознакомьтесь с «Полным руководством по типам SSL-сертификатов» от Server Guy и с обзором пяти самых популярных центров сертификации SSL.

Настройка SSL для WordPress

Даже если вам был выдан SSL-сертификат, это не означает, что ваш сайт будет автоматически защищен. Есть несколько шагов, которые необходимо выполнить в первую очередь для установки на одном и нескольких сайтах, и они подробно описаны ниже.

1. Измените URL-адрес

Перед установкой сертификата необходимо обновить URL-адрес вашего сайта.

На панели администратора перейдите в « Настройки»> «Основные» и измените адрес WordPress и адрес сайта , чтобы включить «https» вместо «http» для одиночных установок WordPress с использованием серверов Apache.

Для многосайтовых установок вы можете внести это изменение в файл wp-config.php над строкой ниже:

 /* Все, прекратите редактирование! Удачного ведения блога. */

Добавьте следующий код, но обязательно замените mysite.com своим реальным доменом:

 определить('WP_HOME','https://mysite.com');
определить('WP_SITEURL','https://mysite.com');

2. Принудительно использовать SSL

Затем настройте свой сайт так, чтобы он принудительно использовал SSL для страницы входа в WordPress и панели администратора.

Добавьте приведенный ниже код в файл wp-config.php, чуть выше строки «счастливого ведения блога»:

 определить('FORCE_SSL_ADMIN', правда);

3. Перенаправление на HTTPS

Наконец, настройте перенаправление 301, чтобы посетители автоматически перенаправлялись на версию вашего сайта с поддержкой SSL.

 Вставьте этот код в ваш <em>.htaccess</em> файл над любым кодом, который уже существует:


<IfModule mod_rewrite.c>
RewriteEngine включен
RewriteCond %{SERVER_PORT} 80
Правило перезаписи ^(.*)$ https://www.mysite.com/$1 [R=301,L]
</IfModule>

Убедитесь, что вы заменили www.mysite.com своим реальным URL-адресом сайта и указали правильный порт сервера, если у вас не 80.

Сохраните все свои файлы и снова посетите свой сайт, чтобы протестировать его. если вы видите https и зеленый замок, вы успешно установили SSL-сертификат на свой сайт WordPress.

Имейте в виду, что если эти шаги не сработали, вам может потребоваться очистить кеш браузера, веб-сайта и сервера.

Вы также можете автоматизировать этот процесс с помощью плагина, такого как Really Simple SSL.

Подведение итогов

SSL для сайтов WordPress — это большая победа для ваших посетителей, поскольку это первый и решающий шаг к обеспечению безопасности вашего сайта.

Удалось ли вам установить SSL-сертификат? Были ли пропущены какие-либо детали SSL для WordPress? Поделитесь своими мыслями в комментариях ниже.