كيفية إعداد WordPress SSL / HTTPS: 11 شيئًا مهمًا يجب معرفته

قد تتساءل لماذا نحتاج إلى تطبيق WordPress SSL / TLS ، أو تمكين WordPress على HTTPS؟ قبل أن نبدأ في ذلك ، علينا أن نعطي القليل من التاريخ.

مع وجود 3.9 مليار مستخدم يستخدمون الإنترنت (ويتزايدون كل يوم) و 1.7 مليار موقع على الإنترنت ، يمكننا بالتأكيد أن نقول إن الإنترنت قد ظهر كمنزل ثان لنا - ما كان يُعرف سابقًا باسم "الاتصال بالإنترنت" لم يعد دقيقًا بعد الآن. نحن دائما على اتصال ودائما. نما Facebook إلى أكثر من 2.5 مليار مستخدم نشط شهريًا. اعتدنا التحدث عن "افتراضية" ولكن الإنترنت أصبحت حقيقية بقدر ما يمكن أن تحصل عليها ، وهي جزء من حياتنا اليومية. 

هذه الإحصائيات ببساطة ساحقة! وليس هناك على الإطلاق أي مؤشر على تباطؤه. مع وصول البلدان الناشئة إلى الإنترنت الرخيص ، لا بد أن تستمر الأرقام في النمو في المستقبل المنظور.

نمت WordPress بالتأكيد من بداياتها المتواضعة كمدونة. وعندما يكون لديك الكثير من الأشخاص الذين يزورون أحد مواقع WordPress الخاصة بك ، يصبح من واجبك توفير نظام أساسي آمن للغاية لا يضر بأمنهم.

في منشور اليوم ، وهو جزء من سلسلة دروس WordPress التعليمية (والتي يمكنك رؤيتها في قائمتنا) ، سنوجهك أدناه حول الطرق المختلفة التي يمكنك من خلالها تنفيذ WordPress SSL / TLS أو WordPress HTTPS على موقع الويب الخاص بك.

ملاحظة جانبية: بعض أعمال القراءة والعمل المتضمنة في هذه المقالة تقنية للغاية وتتطلب معرفة المطور. إذا كنت ترغب في توظيف مطور WordPress تحقق من المقالة المرتبطة للتعرف على كل الأشياء التي تحتاج إلى مراعاتها قبل التعاقد مع مطور.

هل تحتاج إلى مساعدة في تأمين موقع الويب الخاص بك؟ جرب هذه العربات ذات الأسعار المعقولة الأعلى تصنيفًا على Fiverr!

اضغط هنا للعثور على خبراء في إعداد شهادات ووردبريس الآمنة.

1. أول الأشياء أولا. هل هو SSL أم TLS؟ أو HTTPS؟

حقًا وصدقًا ، اليوم يجب أن يكون TLS (وهو اختصار لـ Transport Layer Security).

هذا لأن TLS هو أحدث إصدار من الشهادات الآمنة التي يجب استخدامها. ومع ذلك ، في الأصل ، كان اسم النقل الأمني ​​المستخدم هو SSL (طبقة مآخذ التوصيل الآمنة).

بينما ، في الواقع ، يتم استخدام TLS اليوم ، يشير معظم الأشخاص إلى الشهادات الآمنة على أنها شهادات SSL. بالمعنى الدقيق للكلمة ، يجب أن نطلق عليهم الشهادات الآمنة فقط.

HTTPS يعني HTTP تسليمها Sاتصالات ecure. يتم تنفيذ HTTPS اليوم من خلال استخدام الشهادات الآمنة عبر TLS.

2. دور الشهادات الآمنة ومدى ملاءمتها لأمن WordPress

SSL هو اختصار يشير إلى Secure Sockets Layer وهو تقنية تستخدم لإجراء اتصالات آمنة عبر الشبكة.

يتم تحقيق هذا الشكل الآمن من النقل عن طريق إنشاء ارتباط مشفر بين جهاز العميل والخادم. في معظم الحالات ، سيكون هذا خادم ويب ومتصفح عميل سيتم عرض موقع الويب عليه ؛ أو في حالة عملاء البريد مثل MS Outlook ، يتم تكوين اتصال بخادم البريد الإلكتروني.

عادةً ما يتم إصدار الشهادة الآمنة بواسطة مرجع مصدق مثل Comodo SSL. هذا يعني أن سلطة مركزية موثوقة "تؤيد" للخادم. بشكل أساسي ، عندما يقوم خادم الويب بتشفير رسالة ما ، فإنهم "يوقعون" للتحقق من صحتها بشهادة من السلطة.

ثم يتحقق المتصفح من التوقيع ويتحقق من أن التوقيع يأتي من سلطة "موثوقة". إذا كانت الشهادة موثوقة ، فسيتم تحقيق اتصال آمن بين العميل والخادم.

ثم يتم استخدام الشهادة لفك تشفير الرسالة وقراءة محتوياتها.

يتيح ذلك إمكانية وجود اتصال آمن لا يمكن لأطراف أخرى قراءته. يمنح هذا الضوء الأخضر للمستخدمين للثقة في أن البيانات السرية التي يرسلونها عبر الإنترنت مثل بيانات اعتماد البنك وبيانات اعتماد تسجيل الدخول وأرقام الضمان الاجتماعي وبيانات التجارة الإلكترونية وتفاصيل بطاقة الائتمان وغيرها من المعلومات السرية ستصل بشكل آمن إلى موقع الويب حيث سيكونون. معالجتها.

لأنه في الواقع ، مشكلة "الثقة" ليست في موقع الويب لكل واحد ، ولكن في الاتصال بين الموقع والعميل.

قبل هذه التقنية ، أو عندما يستخدم موقع الويب HTTP فقط لاتصالاته وليس تلك المتقدمة ، سيتم إرسال البيانات كنص عادي. هذا جعلها عرضة للهجمات الخبيثة - الذين تمكنوا من قراءة البيانات وطبعا استخدامها لأسباب ضارة. على سبيل المثال ، يمكن سرقة بيانات اعتماد تسجيل الدخول للاستيلاء على موقع ويب ، أو يمكن قراءة بيانات بطاقة الائتمان واستخدامها لشراء الأشياء بطريقة احتيالية.  

3. لماذا يجب أن تخدم موقع الويب الخاص بك بشكل آمن؟

إن مالكي مواقع الويب الذين لم يطبقوا HTTPS عرضة لـ "التطفل".

نظرًا لأن خادم الويب غير قادر على تشفير حركة المرور المرسلة إلى المتصفح ، يمكن للقراصنة قراءة جميع اتصالات البيانات بما في ذلك أي بيانات سرية بسهولة بالغة. بشكل أساسي ، يمكن قراءة جميع البيانات التي تمر بين العميل وخادم الويب. إذا كنت تقوم بتسجيل الدخول إلى موقع ويب ، فيمكن قراءة بيانات الاعتماد الخاصة بك. إذا كنت تقوم بتمرير تفاصيل بطاقة الائتمان ، فيمكن سرقتها.

إذا كنت ترسل أي بيانات سرية ، فيمكن قراءتها إذا لم تقم بتنفيذ أمان موقع الويب عبر شهادات آمنة.

إذا لم تقم بتطبيق التشفير الكامل ، فسيكون موقعك عرضة لما يُعرف باسم رجل في الهجوم الأوسط. اقرأ المزيد عن هذا في ويكيبيديا. أدوات مثل يريشارك (أداة مجانية ومتاحة للتنزيل والاستخدام من قبل أي شخص) تجعل من السهل جدًا قراءة حركة المرور عبر الإنترنت ، ويقوم المتسللون بإعداد بنى تحتية كاملة لقراءة البيانات غير المشفرة.

فيما يلي لقطة شاشة لقراءة Wireshark لكلمة مرور تم إرسالها عبر HTTP:

يمتلك المستخدمون الضارون أدوات مثل المذكورة أعلاه قادرة على البحث عن أنماط معينة ، مثل أرقام بطاقات الائتمان وتفاصيل الضمان الاجتماعي وكلمات المرور والبيانات الأخرى التي تعتبر ذات قيمة بالنسبة لهم.

من ناحية أخرى ، إذا قمت بتطبيق HTTPS على WordPress ، فقد قمت بإعداد نظام تشفير يوفر العديد من مزايا الأمان مثل النزاهة والهوية وقبل كل شيء السرية.

يسمح فقط للخادم والمتصفح بفك تشفير النص الذي يتم إرساله عبر قناة الاتصال. يؤكد ما إذا كانت البيانات سليمة ولم يتم تعديلها لضمان سلامة البيانات (أي لم يتم العبث بها).  

4. HTTPS و SEO

تحصل مواقع الويب التي تنفذ بروتوكول HTTP على تعزيز الترتيب في محركات البحث.

شراء مراجعات جوجل في مدونة بعنوان "HTTPS كإشارة تصنيف". أعلنت أنها ستعطي ميزة لتلك المواقع التي تستخدم هذه التقنية الآمنة. 

هذا يجعل أهمية تطبيقه على موقع الويب الخاص بك أعلى من ذلك بكثير. بخلاف ذلك ، يكون موقع الويب الخاص بك في وضع غير مؤات عند مقارنته بالمنافسين الذين قاموا بتطبيق HTTPS.

تريد Google إيلاء أقصى قدر من الاهتمام والأولوية للأمان. تتحمل الشركة مسؤولية التأكد من استخدام الأمان الكامل في جميع أنحاء الصناعة. يضمن ذلك حصول مستخدمي الإنترنت الذين يستخدمون محرك بحث Google وخدماته الأخرى على اتصالات آمنة عبر جميع الخدمات.

لقد توصلوا أيضًا إلى مفهوم "HTTPS في كل مكان" لتعزيز الشعور بأمان الإنترنت المتزايد.

ومع ذلك ، هذا لم يكن كافيا بالنسبة لهم. نظرًا لأن لديهم الكثير من النفوذ ، فقد أضافوا SSL كإشارة تصنيف لكبار المسئولين الاقتصاديين وتصنيفات محرك البحث.

إذا كان موقع الويب الخاص بك يستخدم HTTPS ، فسيكون له ميزة على تلك المواقع التي لا تطبقه (مع تساوي جميع إشارات الترتيب الأخرى).

تفاصيل أكثر: WordPress onpage SEO Checklist: دليل من 19 خطوة بخطوة لزيادة عدد الزيارات.

هل سيؤدي الترحيل من HTTP إلى HTTPS إلى الإضرار بترتيبي؟ 

يتساءل الكثير من الناس عما إذا كان التغيير من HTTP إلى HTTPS سيضر بترتيبهم العضوي الحالي. بالنظر إلى أن إصداري HTTP و HTTPS من موقع ويب يعتبران مختلفين ، فهل هذا يعني أن جميع الروابط الخلفية للإصدار http: // من الموقع مفقودة؟

هذا قلق صحيح للغاية.

لقد عملت كثيرًا للحصول على روابط خلفية ثمينة ، وفقدانها يعني حصولك على تعزيز بسيط في الترتيب ، لكنك تفقد إشارة الترتيب الأكبر القادمة من الروابط.

ومع ذلك ، كما سترون لاحقًا ، سنقوم بإعادة التوجيه 301. هذا يعني أن الخادم الذي كان يعيش هنا قد تم نقله بشكل دائم إلى موقع جديد.

تفهم Google معنى إعادة التوجيه 301 ، "مرحبًا Google - ما زلت أنا ، لكني انتقلت الآن إلى عنوان جديد بشكل دائم". ما يعنيه ذلك هو أنك لن تفقد أيًا من حركة المرور الخاصة بك أو الروابط الخلفية أو عصير الارتباط.

قد ترغب في قراءة المزيد عن إعادة توجيه 301 على موقع Moz. ستجد أنهم سيقدمون توصياتنا الدقيقة.

الشيء الوحيد الذي فقده موقعنا عند إجراء إعادة التوجيه إلى عنوان URL الآمن لموقعنا هو موقعنا أهمية المشاركة الاجتماعية.

هذا لأن Facebook ومعظم عدادات المشاركة الأخرى تعامل https: // www.collectiveray.com و https: // www.collectiveray.com كعناوين URL مختلفة تمامًا. هذا شيء ربما يتعين عليك التعايش معه. في الواقع ، كلما أسرعت في القيام بذلك ، زادت سرعة البدء في الحصول على حصص مشاركة جديدة على عنوانك الآمن.

لقد فعلنا هذا على مواقع متعددة بالإضافة إلى CollectiveRay، ولم يكن هناك أي تأثير سلبي على التصنيف أو حركة المرور. طالما قمت بإجراء إعداد صحيح ، فلا داعي للقلق بشأن هذا الأمر.

قم : أكدت Google مؤخرًا أن عمليات إعادة التوجيه 301 من HTTP إلى HTTPS لا تفقد أي ارتباط على الإطلاق. هذا لأنه ، بالطبع ، ليس من المنطقي الحصول على عقوبة للتحول إلى شيء تدافع عنه Google.

5. ما الذي يجب علي فعله أيضًا بعد تمكين SSL؟

إذا كنت تريد التأكد من إرسال رسالة قوية إلى Google تفيد بأن موقعك قد تم نقله بالفعل ، فالطريقة المثالية هي القيام بذلك عبر Google Search Console.

ما عليك سوى إضافة موقعك كما لو كان موقعًا جديدًا على Google Search Console.

بالطبع ، قد يعني هذا أنك تفقد بعض الأشياء مثل البيانات المنظمة وستحتاج إلى إعادة تقديم ملفات Sitemap الخاصة بك. نونيثless، نعتقد أن هذا مؤشر قوي جدًا لـ Google على أن هذه الهجرة صالحة ومعتمدة بالكامل.

6. كسب الثقة مع الأمن

كما قد تكون معتادًا بالفعل ، ستعرض بعض مواقع الويب شريطًا أخضر في المتصفح. هذا يدل على أن الموقع قد نفذ اتصالات آمنة.

يمكنك رؤية مثال واضح جدًا على هذا على موقع Paypal على الويب.

كيف يمكنك التحقق مما إذا كان موقع الويب الخاص بك محميًا أم لا؟

للتحقق مما إذا كان موقع الويب محميًا بطبقة المقابس الآمنة أم لا ، يمكنك التحقق مما إذا كانت البادئة https: // تظهر أمام عنوان URL بدلاً من http: // العادي.

بصرف النظر عن هذا ، يمكنك أيضًا العثور على قفل موجود في حقل العنوان قبل بدء موقع الويب.

تشير الصورة الموضحة أعلاه إلى أن موقع الويب لديه شهادة SSL معتمدة ، ومع ذلك ، فإن مظهر القفل يختلف من متصفح لآخر. ستعرض مواقع الويب التي اشترت شهادة التحقق من الصحة الممتدة شريط عنوان أخضر تمامًا ، أو سيظهر اسم الشركة قبل عنوان URL.

تعد شهادات التحقق من الصحة الممتدة مكلفة للغاية للشراء والتنفيذ لأنها تتطلب عددًا من الفحوصات المادية للتأكد من أن خادم الويب ينتمي بالفعل إلى الشركة التي تقوم بتطبيقه.

بالنسبة لأولئك الذين يستخدمون Safari ، سيرون أنه يتم استخدام خط أخضر للإشارة إلى أن الشركة تستخدم شهادة EV.

المثال التالي هو شهادة EV مستخدمة لمتصفح Safari. هنا لا يحتوي شريط العنوان على خلفية خضراء مثل المتصفحات الأخرى. بدلاً من ذلك ، اختاروا استخدام خط أخضر.

توفر شهادات التحقق من الصحة الممتدة أمانًا ممتدًا يتضح من الاسم.

يتم إصدار شهادة EV لشركة قامت بمسح جميع الخطوات في عملية التحقق من الصحة. الإجراءات القانونية مثل تقديم دليل على عنوانهم الفعلي والوصول إلى ملفات محددة على الخادم مطلوبة من أجل إكمال التفويض القانوني. هناك أيضًا عدد غير قليل من عمليات التحقق الأخرى التي قد تحتاج الشركة إلى الخضوع لها ، للحصول على شهادة التحقق من الصحة الممتدة الصالحة ، ولكن هذا خارج نطاق هذه المقالة.

يمكنك قراءة المزيد عن تمديد شهادات التحقق من الصحة هنا.

من خلال تطبيق WordPress HTTPS ، تقوم شركة تابعة لجهة خارجية بشكل أساسي بتأكيد والتحقق من أن خادم الويب هو الشخص الذي تدعي أنه موجود. تسمى هذه الوكالة مُصدر الشهادة - وتسمى أيضًا بالمرجع المصدق الموثوق به.

ماذا يحدث عندما تتوقف الشهادات الآمنة عن العمل

باستخدام المؤشرات المذكورة أعلاه ، يمكن للمرء معرفة ما إذا كانت شهاداتهم الآمنة تعمل أم لا.

وبالمثل ، يمكن للمستخدمين أن يفهموا بسرعة أن حركة مرور موقع الويب غير مشفرة أو أن شهادة الأمان الخاصة بهم قد انتهت صلاحيتها. عندما يظهر القفل باللون الأحمر ويظهر خط أحمر فهذا مؤشر على أحد هذه الأشياء:

• يستخدم موقع الويب شهادة موقعة ذاتيًا ، أي صادرة عن نفس خادم الويب. هذا يعني أن الشهادة غير موثوق بها ، لأن الشهادة لم تصدر من قبل مرجع موثوق به
• انقضى تاريخ انتهاء الصلاحية ولم تعد الشهادة صالحة
• تصبح الشهادة غير موثوق بها لأي سبب آخر ويتم تمييزها على أنها باطلة

في الصورة أعلاه ، يمكنك رؤية التحذير قبل زيارة أحد مواقع الويب عندما يدرك المتصفح انتهاء صلاحية الشهادة الآمنة التي يستخدمها موقع الويب الذي أنت بصدد زيارته.

تتمتع معظم المتصفحات الحديثة بهذه القدرة على التحذير بشأن الشهادة غير الصالحة (وبالتالي نقل البيانات غير الآمن) قبل أن يتمكن المستخدم من المضي قدمًا نحو موقع ويب غير آمن.

بعد انتهاء صلاحية الشهادة ، كل ما عليك فعله هو تجديد الشهادة من مكان السلطة (حيث تم الحصول على الشهادة في الأصل). علاوة على ذلك ، يُقترح عدم السماح بانتهاء صلاحية الشهادات على الإطلاق. مثل هذا الفاصل يخلق انطباعًا سيئًا عن موقع الويب لدى الزائرين.

يُقال أن موقع الويب لديه شهادة موقعة ذاتيًا إذا تم إنشاء الشهادة بواسطة خادم الويب نفسه ، بدلاً من إصدارها بواسطة مرجع مصدق موثوق به. هذه الشهادة ليس مستأمن.

لا تثق المستعرضات إلا في شهادات SSL التي يتم تسليمها بواسطة مراجع مصدقة موثوقة. بالنسبة لجميع الحالات الأخرى ، فإنها تعرض تحذيرًا لمواقع الويب التي تعمل بشهادة موقعة ذاتيًا. 

قائمة مراجعة ترحيل HTTP إلى HTTPS

الآن بعد أن فهمنا تمامًا سبب فائدة WordPress HTTPS لموقعنا ، سنشرح بالتفصيل أدناه كيفية تنفيذه على موقع الويب الخاص بك. لدينا أيضًا قائمة مراجعة لترحيل HTTP إلى HTTPS والتي ندرجها أدناه للتأكد من أنك قد غطيت جميع الخطوات المتعلقة بالترحيل إلى HTTPS.

قبل بدء تشغيل WordPress بشكل آمن

أثناء الترحيل الفعلي إلى موقع ويب آمن

بعد إطلاق HTTPS

تم إنشاء قائمة التحقق من ترحيل HTTP إلى HTTPS ومشاركتها مع مجموعة Advanced WP Facebook. 

7. كيف يمكنك إضافة الأمان إلى موقع WordPress الخاص بك؟

دعنا ننتقل إلى التفاصيل الدقيقة ونتسخ أيدينا. هناك طريقتان لإعداد WordPress SSL:

• إعداد SSL يدويًا على موقع WordPress الخاص بك
• استخدام البرنامج المساعد ووردبريس HTTPS

كيفية الحصول على شهادة آمنة

بادئ ذي بدء ، ستحتاج إلى الحصول على شهادة SSL بطريقة ما.

هناك طرق مختلفة للقيام بذلك ، ولكن أسهل طريقة للقيام بذلك هي عبر خادم الاستضافة الخاص بك.

في InMotion hosting ، يمكنك شراء الشهادة وكل ما تحتاجه معها مباشرةً من خلال وحدة التحكم في لوحة إدارة الحساب (AMP). الشيء الجيد هو أنهم سيدعمونك بشكل جيد للغاية إذا كنت لا تريد أن تتسخ يديك.

مشمول في السعر 99 دولارًا في السنة ، سيكون سعر IP المخصص المطلوب. هناك رسوم لمرة واحدة قدرها 25 دولارًا نظرًا لأن الشهادة تحتاج إلى التثبيت على الخادم الذي يشغل موقع الويب الخاص بك.

يمكن التنازل عن هذه الرسوم إذا كان لديك وصول مباشر إلى الخادم ويمكنك تثبيت الشهادة بنفسك.

إذا كان لديك خادم افتراضي خاص ، فمن السهل جدًا تثبيت الشهادة يدويًا. لقد قمنا بتوثيق الخطوات في إن موشن VPS مراجعة ، لذلك لن نراجع ذلك مرة أخرى.

إذا لم تكن مستضافًا مع InMotion ، (لماذا لا؟ ألا تعلم أن خوادمهم أسرع ودعمهم أفضل؟) فسيكون الإجراء مشابهًا.

جرب InMotion Hosting الآن

بمجرد شراء الشهادة وتثبيتها ، تحتاج الآن إلى تمكين WordPress SSL / TLS.

استخدام Let's Encrypt كمرجع مصدق

في نسخة احتياطية في هذه المقالة ، ذكرنا أن الشهادات الآمنة يتم إصدارها من قبل ما يسمى بالمرجع المصدق. هذه هيئة يمكنها "التصديق" على أن الخادم الذي قمت بتثبيت شهادتك فيه هو حقًا الذي تدعي أنه موجود. يتضمن هذا بعض الأعمال بالطبع ، وعادة ما يتم تحصيل رسوم منك مقابل هذا العمل.

Let's Encrypt هو ملف سلطة التصديق التي تريد أن تسهل على الجميع الحصول على شهادة آمنة ، من خلال جعل عملية الحصول على الشهادة آلية ومجانية.

هذه في الأساس سلطة يديرها عدد من الشركات تسمى Internet Security Research Group ، بما في ذلك الأسماء الكبيرة مثل Akamai (CDN) و Google Chrome و Cisco و SiteGroundو Mozilla و Facebook والكثير ممن يرغبون في إجراء عملية الحصول على شهادة أمان: مجاني ، آلي ، آمن ، شفاف ، مفتوح وتعاوني.

لماذا تريد هذه الشركات أن تقدم لك أشياء مجانية؟ لأن الإنترنت الآمن هو هدف مرغوب فيه للجميع.

على الرغم من أنه قد يكون سهلاً نسبيًا ، إلا أنه لا يزال إجراءً تقنيًا إلى حد ما للحصول على الشهادة. ومع ذلك ، فقد قامت معظم شركات استضافة الويب هذه الأيام بدمج الوظائف بحيث يكون الحصول على شهادة Let's Encrypt بالنسبة لمعظم الشركات مسألة تتعلق بالنقر فوق زر وسيتم إنشاء الشهادة وإعدادها.

إنشاء شهادة آمنة يدويًا باستخدام Let's Encrypt

(يمكنك تخطي هذا الجزء إذا كنت لا تخطط لإنشاء شهادة Let's Encrypt الخاصة بك وستحصل عليها من خلال خادم الاستضافة الخاص بك)

ستحتاج إلى الوصول المباشر أو وصول جذر shell إلى الخادم الخاص بك ، لتتمكن من تشغيل الإجراء التالي.

1. قم بتثبيت مكتبة Let's Encrypt على الخادم الخاص بك

قم بتشغيل الأمر التالي لتثبيت مكتبة Let's Encrypt

sudo git clone https://github.com/letsencrypt/letsencrypt / الأراضي الفلسطينية المحتلة / letsencrypt

سيقوم هذا الأمر بتنزيل ونسخ مستودع LetsEncrypt إلى دليل / opt الخاص بك.

2. إنشاء شهادة آمنة

أفضل طريقة لإنشاء شهادة هي استخدام الطريقة المستقلة بحجم مفاتيح 4096 (وهو أمر مخيف للغاية).

$ ./letsencrypt-auto بشكل مؤكد - مستقل - rsa-key-size 4096

بمجرد تشغيل هذا الأمر ، ستظهر نافذة تطلب منك اسم المجال. يُقترح إدخال كل من المجال الجذر والمجالات الفرعية الأخرى التي تخطط لاستخدام الشهادة معها.

الخطوة التالية هي قراءة شروط خدمات دعونا تشفير. بمجرد الموافقة ستتمكن من رؤية مسار ملف .pem. سيكون موجودًا في / etc / Letsencrypt / live / your-domain-name /. إذا واجهت أي أخطاء أثناء إنشاء الشهادة ، فقد ترغب في التحقق من تكوين جدار الحماية الخاص بك لأنه سيتطلب عددًا من الاتصالات لإنشاء الشهادات.

تنتهي صلاحية الشهادة التي تم إنشاؤها في غضون 90 يومًا وسيتعين تجديدها كل 90 يومًا. هذه نقطة سلبية وإيجابية. تستطيع ان تجد أسباب استخدام شهادات 90 يومًا هنا. لتجديد الشهادة ، تحتاج فقط إلى تشغيل البرنامج النصي Let's Encrypt للتجديد.

قد ترغب في كتابة مهمة cron لأتمتة العملية.

هذا مهم بشكل خاص إذا كنت تميل إلى نسيان ذلك. بمجرد انتهاء صلاحية شهادتك ، سترى التحذير الأحمر الزائف الموضح أعلاه ، لذلك قد ترغب في وضع ذلك في الاعتبار.

الخطوة 3: قم بإنشاء أمان تشفير مفتاح عام قوي باستخدام Diffie Hellman Group

لزيادة الأمان بشكل أكبر ، يجب عليك أيضًا إنشاء مجموعة Diffie-Hellman قوية. لإنشاء مجموعة 4096 بت ، استخدم هذا الأمر:

سودو openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096

قد يستغرق هذا بعض الوقت ولكن عند الانتهاء سيكون لديك مجموعة DH قوية في /etc/ssl/certs/dhparam.pem

الآن بعد أن حصلت على شهادة ، ستحتاج إلى تثبيت هذا على خادم الويب الخاص بك من خلال وظيفة SSL / TLS في لوحة التحكم CPanel أو أيًا كان ما تستخدمه شركة الاستضافة الخاصة بك.

إذا كان هذا الإجراء يخيفك ، فضع في اعتبارك أنه في هذه الأيام ، فإن معظم هذه الأشياء مؤتمتة بالكامل على معظم المضيفين.

8. كيفية إعداد WordPress الخاص بك لاستخدام SSL (أو TLS) و HTTPS (الطريقة اليدوية)

بمجرد حصولك على شهادة آمنة ، وتثبيتها أو إتاحتها على الخادم الذي تستضيف فيه موقع الويب الخاص بك ، فأنت بحاجة إلى تنفيذ الخطوات التالية وهي تمكين HTTPS على WordPress.

الخطوة الأولى التي يجب القيام بها هي دمج HTTPS في موقع الويب الخاص بك لتحديث عنوان URL لموقع الويب الخاص بك. للقيام بذلك ، تحتاج إلى النزول إلى الإعدادات → عام وهناك يمكنك تحديث WordPress وحقل عنوان URL الخاص بالموقع.

إذا كان لديك موقع ويب موجود وتقوم بتمكين SSL ، فأنت بحاجة أيضًا إلى تعيين إعادة التوجيه 301 التي تفرض تقديم جميع طلبات HTTP بشكل آمن. سيؤدي هذا أيضًا إلى التأكد من عدم فقد أي من الروابط الحالية الخاصة بك من مواقع الويب الخارجية ، مع عدم فقد أي رابط.

يمكن القيام بذلك عن طريق إضافة مقتطف الشفرة أدناه في ملف htaccess الخاص بمواقع الويب ، والذي يمكنك الوصول إليه عبر CPanel File Manager.

RewriteEngine On RewriteCond٪ {SERVER_PORT} 80 RewriteRule ^ (. *) $ https://www.yourwebsitehere.com/$1 [R = 301، L]

يمكنك أن ترى أن هذه عملية إعادة توجيه 301 ، والتي ستضمن عدم فقد أي رابط. تأكد من أنك استبدلت yourwebsitehere.com بعنوان URL لموقعك على الويب.

ما سبق يفرض على الخادم الخاص بك خدمة المحتوى بأمان. فقط كنقطة ملاحظة ، سيتم تحويل جميع عناوين URL الموجودة ضمن النطاق الرئيسي إلى HTTPS باستخدام ما سبق. لذلك لنفترض أن أيًا من روابطك القديمة على http: // www.collectiverayسيصبح .com / wordpress / تلقائيًا https: // www.collectiveray.com / ووردبريس / 

بالنسبة لأولئك الموجودين على خوادم Nginx ، يجب إضافة إعادة توجيه HTTP أدناه لتحويلها إلى HTTPS:

الخادم {الاستماع 80 ؛ server_name websitename.com www.websitename.com ؛ إرجاع 301 https: //websitename.com$request_uri ؛ }

ستساعدك الخطوات التالية على ضمان تقديم جميع محتويات الموقع بشكل آمن.

تكوين مسؤول آمن

يمكنك تكوين فرض مسؤول WordPress آمن (أي جزء الإدارة من موقع الويب الخاص بك أو / wp-admin) عبر ملف wp-config.php الخاص بك. إذا كنت ترغب في فرض الأمان على موقع WordPress الذي يحتوي على صفحات تسجيل دخول متعددة المواقع أو في منطقة المسؤول ، فكل ما تحتاجه هو إضافة مقتطف الشفرة التالي إلى ملف wp-config.php. 

تعريف ('FORCE_SSL_ADMIN' ، صحيح) ؛

هذا في الغالب هو ، يجب أن تكون الآن قادرًا على الوصول إلى مسؤول WordPress الخاص بك بأمان!

9. تنفيذ HTTPS باستخدام مكونات WordPress SSL الإضافية

هناك طريقة أخرى سهلة لإعداد طبقة المقابس الآمنة (SSL) على موقع الويب الخاص بك وهي استخدام مكون WordPress SSL الإضافي.

باستخدام Really Simple SSL المساعد

المكون الإضافي المفضل لتمكين WordPress HTTPS على موقعك هو Really Simple SSL توصيل في. إنه مكون إضافي مكتوب بشكل رائع بواسطة Rogier Lankhorst. إن الشيء العظيم في هذا المكون الإضافي هو أنه يزيل كل التعقيدات المرتبطة بتمكين الشهادات الآمنة على موقعك.

حقًا وبحق ، هذا مكون إضافي لتنشيط طبقة المقابس الآمنة بنقرة واحدة. 

بعد حصولك على شهادة SSL باستخدام إحدى الطرق الموضحة أعلاه ، وتثبيتها على الخادم الخاص بك ، ما عليك سوى التثبيت و تفعيل ال Really Simple SSL البرنامج المساعد وسيقوم ببقية العمل نيابة عنك.

إنه في الواقع يقوم بالكثير من العمل تحت الغطاء لحل معظم المشكلات المعروفة عند تنشيط HTTPS على موقع الويب الخاص بك. يأخذ في الاعتبار إعداد الخادم ويقوم بإجراء جميع التغييرات حسب الضرورة حتى لا تضطر إلى العبث بأي شيء بنفسك.

ما يلي هو لقطة شاشة للمكوِّن الإضافي بعد التنشيط - لقد قام ببعض الأعمال واكتشف أن هناك بالفعل شهادة مثبتة على الخادم.

كما ترى ، يمكنك الآن فقط النقر فوق "تنشيط SSL" وبذلك تكون قد انتهيت! 

بمجرد تحويل موقع الويب الخاص بك إلى SSL ، يمكنك إلقاء نظرة على الإعدادات ، أو البحث عن أي مشكلات ومشكلات كما يمكن رؤيته في لقطة الشاشة هنا أدناه. 

سيحاول المكون الإضافي بعد ذلك إصلاح أي مشكلات تم العثور عليها.

هذا البرنامج المساعد هو متجرك الشامل لتمكين SSL.

المكونات الإضافية الأخرى لتمكين SSL

بالطبع ، ليس ما سبق هو المكون الإضافي الوحيد الذي يمكنك استخدامه لتمكين الشهادات الآمنة. فيما يلي عدد من الخيارات الأخرى التي قد ترغب في استخدامها. كلاهما يحقق في النهاية نفس الهدف ، وهو تمكين HTTPS على موقع WordPress الخاص بك.

• من السهل إعادة توجيه HTTPS
• زين SSL - هذا مكون إضافي جديد ، فهو يساعدك بالفعل في إنشاء شهادة Let's Encrypt من خلال المكون الإضافي نفسه 

10. اختبار إعداد الشهادة الآمنة الصحيح لموقعك على الويب 

للتأكد من إعداد موقعك بالكامل ، نوصي باختبار موقعك باستخدام هذا مدقق SSL SEO أداة ، والتي تتحقق مما إذا كان لديك إعداد WordPress SSL الموصى به.

بمجرد تشغيل الاختبار ، ستحصل على تقرير SSL مشابه لما يلي:

11. لا تنس تجديد شهادتك الآمنة

الشهادة منتهية الصلاحية هي شهادة ميتة.

إذا انتهت صلاحية الشهادة ، فلا يمكنك تجديدها.

تحتاج إلى الحصول على إصدار جديد مُعاد إصداره وإعادة تثبيته على موقعك. هذا ، بالطبع ، صداع أكثر مما تحتاج إليه حقًا ، لذا تأكد فقط من تذكر تجديده قبل انتهاء صلاحيته.

حدث هذا لنا في الذكرى السنوية للحصول على أول إعداد شهادة آمنة لدينا. ليس من الجيد أن ترى فجأة كل حركة المرور الخاصة بك تذهب إلى الصفر. يشعر الناس بالقلق الشديد من التقدم إلى ما بعد شهادة منتهية الصلاحية ، لذا فإن حركة المرور التي ستحصل عليها ستكون ضخمة.

نقترح إعداد تذكير قبل أسبوعين من انتهاء الصلاحية.

لقد تم تسخينك. الشهادات منتهية الصلاحية تتطلب الكثير من العمل ، لذلك لا تنس تجديدها.

تريد أن تأخذ الطريق السهل؟

بالطبع ، على الرغم من أننا نجعلها تبدو بسيطة ، إلا أن هناك أوقاتًا لا تسير فيها الأمور بالطريقة التي تتوقعها ، لذا تأكد من أن لديك أرقام الدعم الخاصة بك في متناول اليد فقط في حالة حدوث كل شيء بشكل خاطئ أثناء إعداد وظيفة WordPress SSL الخاصة بك .

إذا كنت تريد أن تسلك الطريق السهل ، فما عليك سوى الحصول على InMotion لإعداد كل شيء من أجلك. ستحصل على موقع ويب أسرع ، بالإضافة إلى أنه يتم تشغيله بواسطة SSL. ستحصل أيضًا على مجال مجاني وسيقومون بنقل الموقع لك. CollectiveRay يحصل الزوار أيضًا على خصم حصري بنسبة 47٪ على السعر العادي، لذا انتزع لنفسك صفقة الآن.

هذا عرض لفترة محدودة حتى يونيو 2024، لذا احصل عليه قبل انتهاء العرض.

الأسئلة الشائعة

هل لدى WordPress SSL؟

يدعم WordPress طبقة المقابس الآمنة في كل من الواجهة الأمامية والخلفية. لتمكينه ، تحتاج إلى الحصول على شهادة إما عن طريق شراء واحدة أو باستخدام Let's Encrypt من خلال شركة الاستضافة الخاصة بك وتثبيتها على الخادم. بمجرد تثبيت الشهادة ، يمكنك تمكين HTTPS باستخدام إحدى الطرق المذكورة أعلاه ، مثل استخدام ملف Really Simple SSL البرنامج المساعد.

كيف أقوم بتمكين SSL في WordPress؟

لتمكين SSL في WordPress ، فإن أسهل طريقة هي استخدام مكون إضافي مثل Really Simple SSL. يستخدم هذا الشهادة التي تم إعدادها حاليًا للمجال ، لذا تأكد من تثبيت الشهادة الآمنة بالفعل قبل تنشيطها.

كيف أحصل على SSL مجاني على WordPress؟

للحصول على SSL مجاني على WordPress ، تحتاج إلى استخدام وظيفة Let's Encrypt المتوفرة على خادم الاستضافة الخاص بك. سيؤدي هذا إلى إصدار شهادة آمنة مجانية وتثبيتها على المجال الخاص بك. تقدم معظم شركات الاستضافة هذه الوظيفة اليوم ، يمكنك استخدام InMotion للقيام بذلك.

ما الفرق بين HTTP و HTTPS؟

الفرق بين HTTP و HTTPS هو أن الأخير ينتقل عبر قناة آمنة. تقوم الشهادة الآمنة المثبتة على الخادم بتشفير الرسائل قبل إرسالها بطريقة لا يمكن فك تشفيرها إلا من خلال المتصفح الذي بدأ الاتصال. هذا يعني أنه يمكن إرسال البيانات الحساسة مثل تسجيل الدخول إلى موقع ويب باستخدام اسم مستخدم / كلمة مرور ، وإرسال بيانات حساسة مثل إرسال تفاصيل بطاقة الائتمان أو بيانات أخرى بأمان وأمان.

الخلاصة: HTTPS أمر لا بد منه

كما قد تكون قد رأيت ، على الرغم من أن تنفيذ HTTPS أو SSL ليس دائمًا بشكل مباشر ، إلا أنه ضروري. أعلنت Google مؤخرًا أنها ستصنف مواقع الويب على أنها غير آمنة ، إذا لم تكن مزودة بتقنية SSL. لذا تأكد من حصولك على هذا الإعداد على موقع الويب الخاص بك اليوم.

عن المؤلف

كاتب: ديفيد أتاردالموقع: https://www.linkedin.com/in/dattard/بريد إلكتروني: ديفيد @collectiverayكوم

يعمل ديفيد في مجال الإنترنت والصناعة الرقمية أو حولهما منذ 21 عامًا. يتمتع بخبرة واسعة في مجال البرمجيات وتصميم الويب باستخدام WordPress وJoomla والمنافذ المحيطة بها. وقد عمل مع وكالات تطوير البرمجيات وشركات البرمجيات العالمية ووكالات التسويق المحلية ويشغل الآن منصب رئيس عمليات التسويق في Aphex Media - وهي وكالة تحسين محركات البحث. كمستشار رقمي، ينصب تركيزه على مساعدة الشركات في الحصول على ميزة تنافسية باستخدام مجموعة من مواقعها الإلكترونية والمنصات الرقمية المتاحة اليوم. إن مزيجه من الخبرة التقنية جنبًا إلى جنب مع الفطنة التجارية القوية يضفي ميزة تنافسية على كتاباته.