WordPress Web Siteleri için HTTPS ve SSL Neden Kesinlikle Gereklidir?

SSL sertifikası, web siteniz ile son kullanıcı arasındaki bağlantıyı şifreleyen ve her iki tarafın da korunmasına yardımcı olan bir güvenlik önlemidir. Bir etki alanına yüklendiğinde, web adresinde "https" öneki görünür.

Zorunlu olmasa da, canlı bir sunucudaki her WordPress web sitesinin bir SSL sertifikası ile donatılması en iyi uygulamadır. Bu, güvenliği artırmaya yardımcı olur ve web sitenizi ve ziyaretçilerinizi kişisel bilgileri çalan, sitenizi kıran bilgisayar korsanlarından korumanın yanı sıra, yukarıdaki istatistikte daha önce açıklandığı gibi spam ve kötü amaçlı yazılımların yayılmasını önler.

Bu yazıda, WordPress için HTTPS ve SSL hakkında daha fazla ayrıntıyı, bunlara sahip olmanın neden çok önemli olduğunu ve web sitenize bir SSL sertifikası yüklemek için uygulanabilir adımların bir listesini paylaşacağım.

SSL ve HTTPS nedir?

HTTPS, tarayıcınız arasında veri aktarımı için kurallar kümesi olan Köprü Metni Aktarım Protokolünün (HTTP) güvenli uzantısıdır. HTTPS, yetkisiz erişimi önlemek için tüm iletişimlerin şifrelendiği anlamına gelir.

HTTPS genellikle oturum açma, satış ve ürün sayfaları ile formlar gibi kişisel bilgileri işleyen web sitelerini kodlamak için kullanılır.

Güvenli Yuva Katmanı (SSL), HTTPS'nin kullandığı bir protokol türüdür. Bir alan adı için SSL sertifikası olarak satın alınabilir. Alan adının site sahibine ait olduğunu ve ziyaretçi ile web sitesi arasındaki bağlantının şifreli olduğunu onaylar.

Bir web sitesi SSL kullandığında, URL'de "http" yerine "https" öneki görünür. Adres alanında ayrıca yeşil bir asma kilit sembolü görünür. Daha yüksek güvenlik düzeyine sahip bazı sertifika türleri, asma kilidin yanında şirket adını içerir.

SSL, Stylemix Themes web sitesinde etkindir. Bir SSL sertifikası bir web sitesinin güvenliğini artırırken, herhangi biri temel bir sertifika yükleyebileceğinden bir web sitesinin meşru olduğunu garanti etmez, bu nedenle, sizi güvenceye almak için gerekli özeni göstermeniz önemlidir. güvenli bir web sitesini ziyaret ediyorsunuz.

Bir web sitesi adresi “https” önekini içeriyorsa ancak SSL sertifikası yüklü değilse, en popüler tarayıcılar bağlanmadan önce kullanıcıları bir uyarı ile bilgilendirir.

Aktarım Katmanı Güvenliği'nin (TLS) aslında SSL'nin öncüsü olduğunu ve genellikle birbirinin yerine kullanıldığını belirtmek de önemli olabilir.

Ayrıntılar için, WordPress'te HTTP'den HTTPS'ye Geçiş için Ayrıntı kılavuzuna bakın.

WordPress için Neden SSL'ye İhtiyacınız Var?

Tanımlama bilgilerine veya kredi kartı numaraları dahil olmak üzere oturum açma veya kişisel bilgileri işleyen herhangi bir form türüne erişim gerekiyorsa, bilgilerin güvenliğinin ihlal edilmesini önlemek için WordPress için SSL kesinlikle gereklidir.

Her WordPress sitesinin varsayılan olarak çerezlere erişim gerektirdiğini unutmayın.

Bir SSL sertifikası olmadan, bir web sitesi SQL enjeksiyonları (SQLI), Siteler Arası Komut Dosyası Çalıştırma (XSS), Siteler Arası İstek Sahteciliği (CSRF), Kimlik Doğrulama Atlaması, dosya yükleme ve diğer birçok saldırı türü gibi saldırılara karşı savunmasızdır. Bilgisayar korsanları kişisel bilgileri çalabilir, tarayıcı bağlantınızı ele geçirebilir, sitenize kötü amaçlı yazılım veya istenmeyen e-posta gönderebilir veya başka bir şekilde istedikleri her şeyi yapmak için erişim elde edebilir.

Bir SSL sertifikasına sahip olmak hem sizi hem de kullanıcılarınızı korumakla kalmaz, aynı zamanda siteniz ve kullanıcıları arasında güven oluşmasına da yardımcı olabilir.

Bu nedenle 2014 yılında Google, SSL sertifikasına sahip web sitelerinin arama motoru sıralamalarında yükselme sağlanacağını duyurdu.

Avrupa Birliği ayrıca Mayıs 2018'de Genel Veri Koruma Yönetmeliğini yürürlüğe koydu ve yeni yasa SSL sertifikalarının kullanımından özel olarak bahsetmese de, web sitelerinin Avrupa Birliği'nden gelen ziyaretçilerin güvenliğini ve gizliliğini yeterince sağlamasını şart koşuyor.

WordPress sitenizin güvenliğini sağlamak için bir SSL sertifikası tek başına yeterli olmasa da, bu kritik bir ilk adımdır.

SSL Sertifikaları Nasıl Çalışır?

Bir web sitesi SSL sertifikasına sahip olduğunda, tarayıcıdan sunucuya iletilen tüm bilgiler, insan tarafından okunabilen kelimeler olan düz metin yerine rastgele bir dizi harf ve sayı ile kodlanır.

Web sitesi sahipleri, Sertifika Yetkilisi (CA) olarak bilinen veren bir şirketten SSL sertifikaları satın alabilir.

Kendi SSL sertifikanızı alma adımları şunlardır:

1. Bir CA'dan sertifika satın alın.
2. Adınız, e-posta adresiniz ve diğer ayrıntılar dahil olmak üzere kişisel bilgilerinizi sağlayın.
3. Size matematiksel olarak birbirine uyan şifreli harf ve sayı dizileri olan bir genel ve özel anahtar verilir. Yükleme işlemi sırasında alan adınızı doğrulamak ve şifrelemek için kullanılırlar. Özel anahtarınız bir sır olarak kalmalıdır.
4. Ortak anahtarınızı, bir Sertifika İmzalama İsteğinde (CSR) önceden sağladığınız ayrıntılarla birlikte gönderin.
5. Bilgiler eşleşir ve doğruysa, sertifika bir Güvenli Karma Algoritması (SHA) ile imzalanır.
6. SSL sertifikası verilir ve sunucunuza yükleyebilirsiniz.

Bir kullanıcı tarayıcıya bir URL girdiğinde, otomatik olarak bir SSL anlaşması gerçekleşir:

1. Tarayıcı bir sunucuya (bir web sunucusu veya bir web sitesi) bağlanır ve bir kimlik onayı ister.
2. Sunucu, ortak anahtar içeren SSL sertifikasının bir kopyasını gönderir.
3. Tarayıcı, Sertifika Yetkilisinin sahip olduğu sertifikayı kontrol ederek saygın olduğundan emin olur ve ardından oturum için bir anahtar geri gönderir.
4. Sunucu, oturum anahtarının şifresini özel bir anahtarla çözer ve şifreli bir oturum anahtarı döndürür.
5. Tarayıcı ve sunucu arasındaki bağlantı artık güvenli ve aralarından geçen tüm veriler şifreleniyor.

SSL Sertifikası Satın Alma

Daha önce de belirtildiği gibi, SSL sertifikaları bir CA aracılığıyla satın alınabilir ve çoğu web sitesi barındırma şirketinin ayrıca bir barındırma planıyla satın alınabilecek sertifikaları vardır.

Farklı web sitesi gereksinimleri ve aşağıda belirtildiği gibi gereken güvenlik düzeyi için farklı türlerde SSL sertifikaları da vardır.

Doğrulama Seviyesi

• Etki Alanı Doğrulaması – CA, kuruluşun web sitesinin etki alanına sahip olduğunu onaylar. Bu temel bir sertifikadır.
• Organizasyon Validasyonu – Sertifikaya sahip olan organizasyon araştırılır ve kimliği doğrulanır.
• Genişletilmiş Doğrulama – CA, kuruluşun kimliğini, yasal varlığını, konumunu ve daha fazlasını onaylar. Bu, bir sertifika için en yüksek doğrulama düzeyidir.

Güvenli Alan Sayısı

• Tek ad SSL - Tek bir alt etki alanını veya ana bilgisayar adını korur
• Wildcard SSL – Tek bir alan adı için sınırsız sayıda alt alan adı için
• Birleşik / Çoklu site / SAN SSL – Farklı adlara sahip 100'e kadar etki alanını korur

Kendinden imzalı sertifika olarak bilinen kendi SSL sertifikanızı da düzenleyebilir ve imzalayabilirsiniz, ancak çoğu tarayıcı bunları geçerli olarak tanımaz.

WordPress için SSL'yi etkinleştirmek için bir sertifikanın maliyeti, sertifikanın türüne ve CA'ya bağlı olarak ücretsiz ile 800 ABD Doları veya daha fazla arasında değişebilir.

Barındırma ile bağlantılı olmayan ücretsiz bir seçenek, interneti daha güvenli bir yer haline getirmeye adamış, kar amacı gütmeyen bir kuruluş tarafından yürütülen otomatik bir CA olan Let's Encrypt'tir. Let's Encrypt, hızlı ve sorunsuz bir kurulum oluşturmak için birçok farklı web barındırıcısıyla ortaklık kurdu.

Ayrıntılar için, Server Guy'ın SSL Sertifikaları Türlerine İlişkin Nihai Kılavuza ve İncelenen En Popüler 5 SSL Sertifika Yetkilisine göz atın.

WordPress için SSL kurulumu

Size bir SSL sertifikası verilmiş olsa bile bu, sitenizin otomatik olarak güvenli olacağı anlamına gelmez. Tekli ve Çoklu Site kurulumları için ilk olarak atmanız gereken birkaç adım vardır ve bunlar aşağıda ayrıntılı olarak özetlenmiştir.

1. URL'yi değiştirin

Sertifikanızı yüklemeden önce sitenizin URL'sini güncellemeniz gerekir.

Yönetici kontrol panelinizde Ayarlar > Genel'e gidin ve Apache sunucularını kullanan tek WordPress yüklemeleri için hem WordPress Adresinizi hem de Site Adresinizi "http" yerine "https" içerecek şekilde değiştirin.

Multisite kurulumları için bu değişikliği wp-config.php dosyanızda aşağıdaki satırın üzerinde yapabilirsiniz:

 /* Hepsi bu, düzenlemeyi bırakın! Mutlu bloglar. */

Aşağıdaki kodu ekleyin, ancak mysite.com'u gerçek alan adınızla değiştirdiğinizden emin olun:

 define('WP_HOME','https://mysite.com');
define('WP_SITEURL','https://mysite.com');

2. SSL Kullanımını Zorlayın

Ardından, sitenizi WordPress giriş sayfası ve yönetici panosu için SSL kullanımını zorlayacak şekilde yapılandırın.

Aşağıdaki kodu wp-config.php dosyanıza “mutlu bloglama” satırının hemen üstüne ekleyin:

 define('FORCE_SSL_ADMIN', true);

3. HTTPS'ye Yönlendirin

Son olarak, ziyaretçilerin otomatik olarak sitenizin SSL etkin sürümüne yönlendirilmeleri için bir 301 yönlendirmesi ayarlayın.

 Bu kodu <em>.htaccess</em> zaten var olan herhangi bir kodun üstündeki dosya:


<IfModule mod_rewrite.c>
Yeniden YazmaMotoru Açık
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.mysite.com/$1 [R=301,L]
</IfModule>

www.mysite.com'u gerçek site URL'nizle değiştirdiğinizden emin olun ve sizinki 80 değilse, doğru sunucu bağlantı noktasını girin.

Tüm dosyalarınızı kaydedin ve test etmek için sitenizi tekrar ziyaret edin. Bir https ve yeşil bir asma kilit görürseniz, WordPress sitenize başarıyla bir SSL sertifikası yüklediniz.

Bu adımlar işe yaramadıysa tarayıcınızın, web sitenizin ve sunucunuzun önbelleğini temizlemeniz gerekebileceğini unutmayın.

Ayrıca, Really Simple SSL gibi bir eklenti ile bu işlemi otomatikleştirmeyi seçebilirsiniz.

Toplama

WordPress siteleri için SSL, sitenizin güvenliğini sağlamaya yönelik ilk ve çok önemli adım olduğundan, ziyaretçileriniz için büyük bir kazançtır.

Bir SSL sertifikası yükleyebildiniz mi? Kaçırılan WordPress ayrıntıları için SSL var mıydı? Düşüncelerinizi aşağıdaki yorumlarda paylaşın.