ใช้ SSL และ HTTPS สำหรับไซต์ WordPress ของคุณหรือไม่

เผยแพร่แล้ว: 2017-10-10

ใช้ SSL & HTTPS สำหรับไซต์ WordPress ของคุณหรือไม่

การแบ่งปันข้อมูลบนอินเทอร์เน็ตเป็นเรื่องปกติ ถึงกระนั้น เราแทบจะไม่คิดเลยด้วยซ้ำ ทุกวัน เราแบ่งปันข้อมูลส่วนบุคคลของเราผ่านเว็บไซต์หรือบนแพลตฟอร์มอื่นๆ การแบ่งปันนี้สามารถอยู่ในรูปแบบของการชำระบิล/บริการโดยใช้บัตรเครดิต นอกจากนี้ยังอาจเป็นการแบ่งปันที่อยู่ อีเมล หรือแม้แต่การซื้อของชำ สิ่งเหล่านี้สามารถคุกคามความปลอดภัยของเว็บไซต์ WordPress ของคุณ

ในฐานะเจ้าของเว็บไซต์ คุณมีหน้าที่รับผิดชอบอย่างมากในการเก็บข้อมูล คุณต้องรักษาให้เป็นไปตามมาตรฐานความปลอดภัยที่เกี่ยวข้อง และเพื่อให้มั่นใจในการรักษาความลับ ดังนั้นนั่นคือที่มาของ SSL จุดประสงค์ของ SSL คือการปกป้องข้อมูลที่ผู้ใช้แบ่งปันทางออนไลน์ นอกจากนี้ SSL ยังป้องกันไม่ให้ถูกนำไปใช้ในทางที่ผิดโดยบุคคลอื่น

นอกจากนี้ การทำงานของ SSL นั้นเรียบง่าย SSL เข้ารหัสข้อมูลที่ส่งผ่านเซิร์ฟเวอร์ของเว็บไซต์ไปยังเบราว์เซอร์ ด้วยเหตุนี้ มันจึงหลีกเลี่ยงข้อมูลที่ยังคงสามารถดูได้ในรูปแบบข้อความธรรมดา ดังนั้นจึงหมายความว่าข้อความถูกจัดเรียงเป็นตัวเลขและตัวอักษรที่อ่านไม่ออกแบบสุ่มแทนคำที่อ่านได้

เหตุใด Secure Socket Layer (SSL) จึงมีความสำคัญ

ความสำคัญของการปกป้องข้อมูลผู้ใช้บนอินเทอร์เน็ตสามารถกำหนดได้ ยิ่งไปกว่านั้น จากข้อเท็จจริงที่ว่าในปี 2559 Google ได้ประกาศเพิ่มอันดับการค้นหาเว็บไซต์โดยใช้ SSL แม้ว่าคุณอาจเห็นการเพิ่มขึ้น 1% ในขณะนั้น แต่เสิร์ชเอ็นจิ้นได้วางแผนที่จะเพิ่มการเพิ่มขึ้นตามเวลา ดังนั้นจึงให้โอกาสทุกคนในการเปลี่ยนผ่านอย่างยุติธรรม

นอกจากนี้ คุณต้องมีการป้องกัน SSL หากผู้ใช้ต้องให้ข้อมูลส่วนบุคคลในไซต์ของคุณ เช่น ที่อยู่ ชื่อ และรายละเอียดบัตรเครดิต เป็นต้น มิฉะนั้น คุณมีแนวโน้มที่จะประนีประนอมกับข้อมูลของผู้ใช้มากขึ้น

การสร้างการเชื่อมต่อ SSL ที่ปลอดภัย

ในการสร้างการเชื่อมต่อ SSL แบบป้องกันบนเว็บไซต์ของคุณ คุณต้องได้รับใบรับรอง SSL อย่างไรก็ตาม คุณควรได้รับจากบริษัทผู้ออกใบรับรองที่เรียกว่า Certificate Authority สามารถรักษาความปลอดภัยของทุกเว็บไซต์รวมถึงร้านค้าอีคอมเมิร์ซออนไลน์ คุณยังสามารถอ่านเกี่ยวกับวิธีการรักษาความปลอดภัยให้กับไซต์อีคอมเมิร์ซของคุณได้

เมื่อทำการซื้อแล้ว รายละเอียดบริษัทและเว็บไซต์จะถูกส่งไปยังหน่วยงานที่มีอำนาจ ซึ่งรวมถึงที่อยู่ ชื่อ และหมายเลขโทรศัพท์ของคุณ ในทำนองเดียวกัน เจ้าของไซต์จะได้รับคีย์ส่วนตัวและคีย์สาธารณะ กุญแจสาธารณะไม่จำเป็นต้องถูกซ่อน อย่างไรก็ตาม คีย์ส่วนตัวก็เหมือนรหัสผ่าน และต้องไม่แชร์กับใคร

เช่นเดียวกับแม่กุญแจและลูกกุญแจ สิ่งเหล่านี้คือสตริงตัวเลขและตัวอักษรที่คลุมเครืออย่างง่าย อย่างไรก็ตามพวกเขาจับคู่ทางคณิตศาสตร์และชัดเจน โดยปกติแล้ว จะถูกสร้างขึ้นโดย Secure Hash Algorithm

ต่อมา คีย์สาธารณะจะถูกส่งไปยังหน่วยงานที่มีข้อมูลที่คุณป้อน นอกจากนี้ยังส่งไฟล์ที่เรียกว่าคำขอลงนามใบรับรอง เจ้าหน้าที่จะตรวจสอบความถูกต้องของข้อมูลผ่านการตรวจสอบ นอกจากนี้ยังช่วยให้แน่ใจว่าคุณไม่ใช่แฮ็กเกอร์หรือนักต้มตุ๋น เมื่อทุกอย่างชัดเจนแล้ว ใบรับรอง SSL จะได้รับการลงนามโดยใช้ SHA

เว็บไซต์มีสิทธิ์ใช้การเชื่อมต่อที่เข้ารหัส SSL หลังจากออกใบรับรอง ดังนั้น เมื่อผู้ใช้เยี่ยมชมไซต์ SSL เซิร์ฟเวอร์จะจับคู่คีย์ส่วนตัวกับใบรับรอง SSL หากชุดค่าผสมตรงกัน ลิงก์ที่เข้ารหัสจะถูกสร้างขึ้น

ลิงก์อยู่ระหว่างผู้ใช้กับเบราว์เซอร์ ตลอดจนไซต์และเซิร์ฟเวอร์

ลักษณะของเว็บไซต์ที่มีการป้องกัน SSL

คำนำหน้าเริ่มต้นคือ HTTP แต่คำนำหน้าอื่น ' https ' จะเริ่มปรากฏพร้อมกับ URL นอกจากนี้ แม่กุญแจสีเขียวจะแสดงในช่องที่อยู่ของเบราว์เซอร์ นอกจากนี้ยังหมายถึงไซต์ที่ได้รับการป้องกันด้วย SSL

แถบที่อยู่จะเปลี่ยนเป็นสีเขียวเมื่อคุณซื้อใบรับรอง SSL ที่มีอายุการใช้งานยาวนานขึ้น หรือจะมีชื่อบริษัท (โดยมีพื้นหลังสีเขียวปรากฏก่อน URL) ใบรับรองการตรวจสอบแบบขยายเพิ่มการรักษาความปลอดภัย

ใบรับรองจะออกเมื่อบริษัทผ่านขั้นตอนการสมัครที่มีรายละเอียดมาก นอกจากนี้ ข้อกำหนดมาตรฐาน บริษัทต้องแสดงหลักฐานการดำเนินการทางกฎหมาย นอกจากนี้ พวกเขาต้องระบุที่อยู่จริง

การใช้ SSL กับเว็บไซต์ที่ใช้ WordPress ของคุณ

สามารถใช้ใบรับรอง SSL ที่พร้อมใช้งานในไซต์ WordPress อย่างไรก็ตาม ก่อนที่คุณจะทำการเปลี่ยนแปลงใดๆ เพิ่มเติม คุณต้องสำรองข้อมูลทั้งไซต์ เป็นผลให้คุณจะป้องกันการสูญเสียทุกอย่างในกรณีที่ทำผิดพลาด

ขั้นตอนที่กล่าวถึงด้านล่างใช้สำหรับการติดตั้งทั้งแบบเดี่ยวและแบบหลายไซต์ ประการแรก แก้ไขโค้ดต่อไปนี้ใน ไฟล์ wp-config.php ของคุณ การดำเนินการนี้จะบังคับทั้งการเข้าถึงและการเข้าสู่ระบบในพื้นที่ผู้ดูแลระบบ WordPress เพื่อใช้ SSL กำหนด ('FORCE_SSL_ADMIN', จริง);

ตรวจสอบให้แน่ใจว่าได้วางไว้เหนือบรรทัดที่เขียนว่า - /* แค่นั้น หยุดแก้ไข! บล็อกที่มีความสุข */

ขั้นตอนต่อไปคือการตั้งค่าการเปลี่ยนเส้นทาง - 301 ดังนั้นผู้เยี่ยมชมเว็บไซต์จะถูกเปลี่ยนเส้นทางไปยังไซต์ที่มีการรักษาความปลอดภัย SSL ของคุณโดยอัตโนมัติ อย่างไรก็ตาม คุณต้องใช้ https แทน HTTP

หากไม่มีไฟล์ .htaccess ให้สร้างไฟล์ใหม่หรือแก้ไขไฟล์ที่มีอยู่ ในกรณีที่มีอยู่แล้ว ให้วางโค้ดไว้เหนือของที่มีอยู่แล้วทั้งหมด

<IfModule mod_rewrite.c>
RewriteEngine OnRewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.mysite.com/$1 [R,L]
</IfModule>

เมื่อคุณวางรหัส อย่าลืมแก้ไขโดเมนและพอร์ทัลเซิร์ฟเวอร์ให้ดี ถึงเวลาทดสอบความพยายามแล้ว ไปที่ URL ของเว็บไซต์ของคุณ หากคุณเห็นแม่กุญแจสีเขียวข้าง URL แสดงว่าคุณพยายามรับรอง SSL สำเร็จแล้ว

SSL ของคุณหยุดทำงานเมื่อใด

หากใบรับรอง SSL ใช้งานไม่ได้ ลงชื่อเองหรือหมดอายุ ดังนั้นแม่กุญแจอาจเปลี่ยนเป็นสีแดงหรือมีเส้นผ่านในบางครั้ง ในการต่ออายุการเข้ารหัส เจ้าของเว็บไซต์ต้องได้รับการต่ออายุ SSL อย่างไรก็ตาม ใบรับรองจะหมดอายุเมื่อใบรับรองหมดอายุ เพื่อรักษาความปลอดภัยอย่างราบรื่นตลอด อย่าให้การรับรองหมดอายุ นอกจากนี้ ให้แน่ใจว่าคุณต่ออายุได้ทันท่วงที

ใบรับรองที่ลงนามเอง

หากในกรณีที่คุณใช้ใบรับรองที่ลงนามเอง แสดงว่าคุณได้สมัครแล้ว นอกจากนี้ คุณได้ออกใบรับรองของคุณ ดังนั้น คุณจึงไม่ผ่านผู้ออกใบรับรอง นอกจากนี้ ผู้มีอำนาจไม่ได้ยืนยันคุณหรือใบรับรอง

เพื่อรักษาความแตกต่าง เบราว์เซอร์จำนวนมากจะแสดงเฉพาะความเชื่อถือสำหรับใบรับรอง SSL เท่านั้น สิ่งเหล่านี้ได้รับการออกโดยผู้มีอำนาจแห่งความมั่นใจ อีกทางหนึ่ง เบราว์เซอร์จะแสดงคำเตือนในทุกไซต์โดยใช้ใบรับรองที่ออกแบบเอง ดังนั้นจึงเป็นสิ่งสำคัญที่คุณจะต้องเลือกผู้ออกใบรับรองระดับสูงเท่านั้น

มิฉะนั้น เว็บไซต์ของคุณอาจยังคงได้รับการยอมรับจากการใช้ใบรับรองที่ลงนามเอง อย่างไรก็ตาม ใบรับรอง SSL ของคุณอาจใช้ไม่ได้ด้วยเหตุผลอื่นๆ มากมาย นอกจากนี้ยังอาจใช้ไม่ได้เช่นการเข้ารหัส SHA ที่ล้าสมัย หากเบราว์เซอร์ล้มเหลวในการตรวจสอบใบรับรองสิทธิ์ ใบรับรอง SSL จะไม่ถูกต้อง

ซึ่งมักเกิดขึ้นเมื่อชื่อโดเมนของใบรับรองไม่ตรงกับไซต์จริงที่ใช้งาน วิธีที่ดีที่สุดในการแก้ไขปัญหาเหล่านี้คือการอัปเดตใบรับรองที่มีอำนาจ นอกจากนี้ ให้แน่ใจว่าคุณปฏิบัติตามคำแนะนำ

แฮชชิ่ง

การแฮชใช้ชุดกฎทางคณิตศาสตร์ สิ่งเหล่านี้ใช้เพื่อแปลงข้อมูลทั้งหมดที่เขียนเป็นอักขระเป็นคีย์ นอกจากนี้ เพื่อให้มีความปลอดภัยสูง คุณต้องมีแฮชที่ทนทาน ทั้งนี้เป็นเพราะความก้าวหน้าทางเทคโนโลยี

ด้วย SHA หลายเวอร์ชัน SHA0 จึงไม่สามารถใช้งานได้อีกต่อไป นอกจากนี้ SHA1 ได้ถูกยกเลิกโดยเบราว์เซอร์ส่วนใหญ่แล้ว ซึ่งรวมถึง Internet Explorer

Google Chrome ได้ประกาศออกคำเตือนหลังวันที่ 1 มกราคม 2016 สำหรับไซต์ที่ใช้ SHA1 ในขณะนั้น ต่อมา มาตรฐานการเข้ารหัสของ SHA2 ก็ถูกยกเลิกไปบ้างเช่นกัน อย่างไรก็ตาม สิ่งนี้สนับสนุนการเข้ารหัสมาตรฐาน SHA3

แม่กุญแจสีเหลือง

หากคุณสังเกตเห็นเครื่องหมายค้ำยันขนาดเล็กที่มีแม่กุญแจ แสดงว่าลิงก์ของเว็บไซต์ของคุณอ้างถึงหน้าที่ไม่ปลอดภัย ดังนั้น ตรวจสอบให้แน่ใจว่ารายการเมนู รูปภาพทั้งหมด และลิงก์ใช้ 'https' ใน URL

อย่างไรก็ตาม หากคุณต้องการทราบแหล่งที่มาของใบรับรองที่ไม่ถูกต้อง ให้ใช้ Why No Padlock เป็นเครื่องมือฟรี โดยจะแจ้งให้คุณทราบทันทีถึงปัญหาที่อาจพบได้บ่อย นอกจากนี้ยังรวมถึงสคริปต์หรือรูปภาพ

สรุป

การได้รับใบรับรอง SSL เพื่อปกป้องข้อมูลผู้ใช้ในไซต์ของคุณเป็นสิ่งสำคัญ นอกจากนี้ยังจำเป็นต้องได้รับความมั่นใจจากผู้เข้าชม อย่างไรก็ตาม นั่นไม่ใช่โซลูชันความปลอดภัยเดียวที่คุณจะได้รับ ตรวจสอบความสมบูรณ์ของเว็บไซต์ของคุณโดยเลือกปลั๊กอินความปลอดภัย WordPress ระดับพรีเมียม ตัวอย่างเช่น iThemes Security Pro หรือ Wordfence หากต้องการทราบคำแนะนำเพิ่มเติมเกี่ยวกับการใช้ SSL กับ WordPress ให้พิจารณาข้อกำหนดเฉพาะ นอกจากนี้ คุณอาจได้รับความช่วยเหลือจากส่วนหน้า WordPress Codex   'การดูแลระบบผ่าน SSL'