Używasz SSL i HTTPS w swojej witrynie WordPress?
Opublikowany: 2017-10-10Używasz SSL i HTTPS w swojej witrynie WordPress?
Udostępnianie informacji w Internecie jest powszechne. Jednak nie zastanawiamy się nad tym. Każdego dnia udostępniamy nasze dane osobowe na stronach internetowych lub na innych platformach. To udostępnianie może mieć formę płatności za rachunki/usługi za pomocą karty kredytowej. Może to być również udostępnianie adresów, e-maili, a nawet zakupy spożywcze. Mogą one zagrażać bezpieczeństwu Twojej witryny WordPress.
Jako właściciel witryny ponosisz ogromną odpowiedzialność za przechowywanie informacji. Musisz zachować go zgodnie z odpowiednimi standardami bezpieczeństwa i zapewnić jego poufność. W tym miejscu pojawia się SSL. Celem SSL jest ochrona informacji udostępnianych przez użytkowników online. Poza tym SSL zapobiega nadużywaniu go przez niewłaściwą osobę
Ponadto działanie SSL jest proste. SSL szyfruje informacje przekazywane przez serwer witryny do przeglądarki. W rezultacie unika informacji, które pozostają widoczne jako zwykły tekst. Oznacza to, że tekst układa się w losowe nieczytelne cyfry i litery zamiast czytelnych słów
Dlaczego protokół Secure Socket Layer (SSL) jest ważny?
Można określić znaczenie ochrony informacji użytkownika w Internecie. Co więcej, z faktu, że w 2016 roku Google ogłosiło podniesienie rankingu wyszukiwania stron internetowych przy użyciu SSL. Chociaż w tym czasie można było zaobserwować wzrost o 1%, wyszukiwarka zaplanowała zwiększenie tego wzrostu z czasem. W związku z tym daje każdemu uczciwą szansę na zmianę.
Poza tym potrzebujesz ochrony SSL, jeśli użytkownik musi podać dane osobowe w Twojej witrynie, takie jak adres, imię i nazwisko oraz dane karty kredytowej. W przeciwnym razie istnieje większe prawdopodobieństwo narażenia na szwank informacji użytkownika.
Tworzenie bezpiecznego połączenia SSL
Aby utworzyć ochronne połączenie SSL w swojej witrynie, musisz uzyskać certyfikat SSL. Powinieneś jednak otrzymać go od firmy wydającej, znanej jako Urząd certyfikacji. Może utrzymać bezpieczeństwo każdej witryny, w tym sklepu internetowego eCommerce. Możesz również przeczytać o tym, jak możesz zabezpieczyć swoją witrynę eCommerce.
Po dokonaniu zakupu dane firmy i strony internetowej są przekazywane organowi. Obejmuje to Twój adres, imię i nazwisko oraz numer telefonu. Podobnie właściciel witryny z kolei otrzymuje klucz prywatny i publiczny. Klucz publiczny nie musi być ukrywany. Jednak klucz prywatny jest jak hasło i nie wolno go nikomu udostępniać.
Podobnie jak pasujący zamek i klucz, są to prosty ciąg zagadkowych cyfr i liter. Jednak matematycznie i wyraźnie do siebie pasują. Zazwyczaj są one budowane za pomocą algorytmu Secure Hash.
Później klucz publiczny zostanie przesłany do organu wraz z wprowadzonymi informacjami. Ponadto są one przesyłane w pliku znanym jako żądanie podpisania certyfikatu. Następnie organ sprawdza dokładność informacji poprzez weryfikację. Zapewnia również, że nie jesteś hakerem ani oszustem. Gdy wszystko jest jasne, certyfikat SSL zostaje podpisany przy użyciu SHA.
Witryna może korzystać z połączenia szyfrowanego SSL po wydaniu certyfikatu. Dlatego, gdy użytkownik odwiedza witrynę SSL, serwer dopasowuje klucz prywatny do certyfikatu SSL. Jeśli kombinacja jest zgodna, ustanawiane jest zaszyfrowane łącze.
Link znajduje się między użytkownikiem a jego przeglądarką, a także witryną i jej serwerem.
Wygląd strony internetowej chronionej SSL
Domyślny prefiks to HTTP. Jednak wraz z adresem URL zacznie pojawiać się inny prefiks „ https ”. Ponadto w polu adresowym przeglądarki wyświetli się zielona kłódka. Odnosi się również do witryny chronionej SSL.
Pasek adresu zmienia kolor na zielony, gdy kupujesz certyfikat SSL o wydłużonej ważności. Lub będzie miał nazwę firmy (z zielonym tłem przed adresem URL). Rozszerzony certyfikat walidacji zapewnia dodatkowe bezpieczeństwo.
Certyfikat jest wydawany po przejściu przez firmę bardzo szczegółowego procesu aplikacyjnego. Poza tym, zgodnie ze standardowymi wymaganiami, firma musi przedstawić dowód legalnego działania. Dodatkowo muszą podać swój adres fizyczny.
Korzystanie z SSL w witrynie opartej na WordPress
Gotowy certyfikat SSL można wykorzystać w witrynie WordPress. Jednak zanim wprowadzisz dalsze zmiany, musisz wykonać kopię zapasową całej witryny. Dzięki temu unikniesz utraty wszystkiego w przypadku złego ruchu.
Omówione poniżej kroki są używane zarówno w przypadku instalacji jedno-, jak i wielostanowiskowych. Najpierw edytuj następujący kod w pliku wp-config.php . Wymusi to zarówno dostęp, jak i logowanie do obszaru administracyjnego WordPress w celu korzystania z SSL. zdefiniuj ('FORCE_SSL_ADMIN', prawda);
Upewnij się, że jest umieszczony tuż nad linią z napisem- /* To wszystko, przestań edytować! Miłego blogowania. */
Następnym krokiem jest ustawienie przekierowania 301. W związku z tym odwiedzający witrynę internetową są automatycznie przekierowywani do witryny zabezpieczonej SSL. Musisz jednak używać https zamiast HTTP.
Jeśli plik .htaccess jeszcze nie istnieje, utwórz nowy lub edytuj istniejący. W przypadku, gdy już go posiadasz, umieść kod ponad wszystkimi rzeczami, które już tam są.
<IfModule mod_rewrite.c>
RewriteEngine OnRewriteCond %{SERVER_PORT} 80
Przepisz regułę ^(.*)$ https://www.mysite.com/$1 [R,L]
</IfModule>
Kiedy umieszczasz kod, nie zapomnij dobrze wyedytować portalu domeny i serwera. Czas przetestować wysiłki, odwiedzić adres URL swojej witryny. Jeśli zobaczysz zieloną kłódkę obok adresu URL, pomyślnie podjęto próbę certyfikacji SSL.
Kiedy Twój SSL przestaje działać?
Jeśli certyfikat SSL stanie się nieważny, samopodpisany lub wygasł. W ten sposób kłódka albo zmienia kolor na czerwony, albo czasami przechodzi przez nią kreskę. Aby odnowić szyfrowanie, właściciel witryny musi odnowić SSL. Niemniej jednak odbywa się to za pośrednictwem urzędu po wygaśnięciu certyfikatu. Aby zapewnić bezproblemowe bezpieczeństwo przez cały czas, nie pozwól, aby certyfikacja wygasła. Upewnij się również, że odnawiasz go w odpowiednim czasie.
Certyfikaty z podpisem własnym
Jeśli w przypadku korzystania z certyfikatu z podpisem własnym, oznacza to, że złożyłeś wniosek o taki certyfikat. Poza tym wydałeś swój certyfikat. W ten sposób nie przeszedłeś przez urząd certyfikacji. Ponadto organ nie potwierdził Ciebie ani Certyfikatu.
Aby zachować rozróżnienie, wiele przeglądarek wykazuje zaufanie tylko do certyfikatów SSL. Są one wydawane przez autorytet zaufania. Alternatywnie przeglądarki wyświetlają ostrzeżenie w każdej witrynie przy użyciu samodzielnie zaprojektowanego certyfikatu. Dlatego ważne jest, abyś wybierał tylko wysokiej rangi urząd certyfikacji.
W przeciwnym razie Twoja witryna może nadal zostać rozpoznana za korzystanie z certyfikatu z podpisem własnym. Jednak Twój certyfikat SSL może stać się nieważny z wielu innych powodów. Może również stać się nieważny, jak przestarzałe szyfrowanie SHA. Jeśli przeglądarka nie zweryfikuje certyfikatu urzędu, certyfikat SSL stanie się nieważny.
Zwykle dzieje się tak, gdy nazwa domeny certyfikatu nie jest zgodna z rzeczywistą witryną, która z niej korzysta. Najlepszym sposobem rozwiązania tych problemów jest zaktualizowanie certyfikatu za pomocą urzędu. Upewnij się również, że postępujesz zgodnie z instrukcjami.
haszowanie
Haszowanie wykorzystuje zestaw reguł matematycznych. Są one stosowane do konwersji całej informacji zapisanej jako znaki na klucz. Co więcej, aby utrzymać wysoki poziom bezpieczeństwa, potrzebujesz solidnego hashowania. Dzieje się tak, ponieważ technologia się rozwija.
W przypadku wielu wersji SHA, SHA0 nie nadaje się już do użytku. Poza tym SHA1 został już wycofany przez większość przeglądarek. Należą do nich Internet Explorer.
Google Chrome ogłosił, że będzie publikował ostrzeżenia po 1 stycznia 2016 r. dla witryn korzystających do tego czasu z protokołu SHA1. Później standard szyfrowania SHA2 również został nieco wycofany. Było to jednak na korzyść standardu szyfrowania SHA3.
Żółta kłódka
Jeśli zauważysz miniznak zwrotu z kłódką, oznacza to, że linki w Twojej witrynie odnoszą się do niezabezpieczonej strony. Dlatego upewnij się, że pozycje menu, wszystkie obrazy i linki używają „https” w swoich adresach URL.
Jeśli jednak chcesz poznać źródło nieprawidłowego certyfikatu, użyj darmowego narzędzia Why No Padlock . Natychmiast informuje o konkretnym problemie, który może występować. Poza tym zawiera skrypty lub obrazy.
streszczenie
Uzyskanie certyfikatu SSL w celu ochrony informacji o użytkownikach w Twojej witrynie ma kluczowe znaczenie. Niezbędne jest również zdobycie zaufania odwiedzających. Nie jest to jednak jedyne rozwiązanie zabezpieczające, jakie możesz uzyskać. Zapewnij integralność swojej witryny, wybierając premium wtyczkę bezpieczeństwa WordPress. Na przykład iThemes Security Pro lub Wordfence . Aby uzyskać więcej wskazówek na temat korzystania z SSL z WordPress, rozważ konkretne wymagania. Możesz również uzyskać pomoc z sekcji strony WordPress Codex „Administracja przez SSL”.