Możesz się zastanawiać, dlaczego mielibyśmy wdrażać WordPress SSL/TLS lub włączać WordPress na HTTPS? Zanim zaczniemy, musimy podać trochę historii.
Przy 3.9 miliarda użytkowników korzystających z internetu (i rosnących każdego dnia) i 1.7 miliarda stron internetowych możemy z pewnością powiedzieć, że internet stał się naszym drugim domem – to, co kiedyś było znane jako „przechodzenie do sieci”, nie jest już tak naprawdę dokładne. Jesteśmy zawsze połączeni, zawsze aktywni. Facebook rozrósł się do ponad 2.5 miliarda aktywnych użytkowników miesięcznie. Kiedyś mówiliśmy o „wirtualnym”, ale Internet stał się tak realny, jak to tylko możliwe, częścią naszego codziennego życia.
Te statystyki są po prostu przytłaczające! I nie ma absolutnie żadnych oznak spowolnienia. W miarę jak kraje wschodzące uzyskują dostęp do taniego internetu, liczby te z pewnością będą rosły w najbliższej przyszłości.
WordPress z pewnością wyrósł ze swoich skromnych początków jako blog. A kiedy masz tak wiele osób, które odwiedzają jedną z twoich witryn WordPress, obowiązkiem staje się zapewnienie wysoce bezpiecznej platformy, która nie zagraża ich bezpieczeństwu.
W dzisiejszym poście, będącym częścią naszej serii samouczków informacyjnych dotyczących WordPressa (które można zobaczyć w naszym menu), przedstawimy poniżej różne sposoby wdrożenia WordPress SSL/TLS lub WordPress HTTPS w swojej witrynie.
Uwaga dodatkowa: niektóre lektury i prace związane z tym artykułem są wysoce techniczne i wymagają wiedzy programisty. Jeśli chcesz zatrudnić programistę WordPress zapoznaj się z artykułem, do którego prowadzi link, aby dowiedzieć się o wszystkich rzeczach, które należy wziąć pod uwagę przed zatrudnieniem programisty.
Potrzebujesz pomocy w zabezpieczeniu swojej witryny? Wypróbuj te najwyżej oceniane niedrogie koncerty na Fiverr!
Kliknij tutaj znaleźć ekspertów na temat konfigurowanie bezpiecznych certyfikatów WordPress.
1. Najpierw najważniejsze. Czy to SSL czy TLS? Lub HTTPS?
Naprawdę i naprawdę, dzisiaj powinien to być TLS (co jest akronimem od Transport Layer Security).
Dzieje się tak, ponieważ TLS to najnowsza wersja bezpiecznych certyfikatów, których należy używać. Jednak pierwotnie nazwą używanego transportu zabezpieczeń był SSL (Secure Sockets Layer).
Chociaż w rzeczywistości TLS jest dziś używany, większość ludzi nazywa bezpieczne certyfikaty certyfikatami SSL. Ściśle mówiąc, powinniśmy nazywać je tylko bezpiecznymi certyfikatami.
HTTPS oznacza HTTP dostarczone ponad Sbezpieczna komunikacja. HTTPS jest obecnie wdrażany przy użyciu bezpiecznych certyfikatów przez TLS.
2. Rola bezpiecznych certyfikatów i ich dopasowanie do WordPress Security
SSL to akronim oznaczający Secure Sockets Layer i jest technologią używaną do wykonywania bezpiecznej komunikacji w sieci.
Ta bezpieczna forma transportu jest osiągana dzięki utworzeniu zaszyfrowanego łącza między komputerem klienckim a serwerem. W większości przypadków będzie to serwer WWW i przeglądarka klienta, na której będzie wyświetlana strona internetowa; lub w przypadku klientów pocztowych, takich jak MS Outlook, nawiązywane jest połączenie z serwerem pocztowym.
Bezpieczny certyfikat jest zazwyczaj wystawiany przez urząd certyfikacji, taki jak Comodo SSL. Oznacza to, że centralny, zaufany urząd „ręczy” za serwer. Zasadniczo, gdy serwer sieciowy szyfruje wiadomość, „podpisuje” ją, aby zweryfikować jej autentyczność za pomocą certyfikatu urzędu.
Przeglądarka sprawdza następnie podpis i weryfikuje, czy podpis pochodzi od „zaufanego” organu. Jeśli certyfikat jest zaufany, zapewniana jest bezpieczna komunikacja między klientem a serwerem.
Certyfikat jest następnie używany do odszyfrowania wiadomości i odczytania jej zawartości.
Daje to możliwość bezpiecznej komunikacji, której nie mogą odczytać osoby trzecie. Daje to użytkownikom zielone światło, aby mogli ufać, że poufne dane, które wysyłają przez Internet, takie jak dane bankowe, dane logowania, numery ubezpieczenia społecznego, dane eCommerce, dane karty kredytowej i inne poufne, dotrą bezpiecznie na stronę internetową, na której będą obrobiony.
Ponieważ w rzeczywistości problem „zaufania” nie dotyczy strony internetowej, ale komunikacji między stroną internetową a klientem.
Przed tą technologią lub gdy strona internetowa używała HTTP tylko do komunikacji, która nie była tak zaawansowana, dane były przesyłane jako zwykły tekst. To sprawiło, że podatny na złośliwe ataki - które potrafiły odczytać dane i oczywiście wykorzystać je do złośliwych powodów. Na przykład dane logowania mogą zostać skradzione w celu przejęcia witryny internetowej lub dane karty kredytowej mogą zostać odczytane i wykorzystane do nieuczciwego kupowania rzeczy.
3. Dlaczego powinieneś bezpiecznie obsługiwać swoją witrynę?
Właściciele witryn, którzy nie zaimplementowali protokołu HTTPS, są podatni na „podsłuchiwanie”.
Ponieważ serwer WWW nie jest w stanie zaszyfrować ruchu wysyłanego do przeglądarki, WSZYSTKIE przesyłane dane, w tym wszelkie poufne dane, mogą być bardzo łatwo odczytane przez hakerów. Zasadniczo można odczytać wszystkie dane przesyłane między klientem a serwerem sieciowym. Jeśli logujesz się na stronie internetowej, możesz odczytać swoje dane uwierzytelniające. Jeśli przekazujesz dane karty kredytowej, mogą one zostać skradzione.
Jeśli przesyłasz JAKIEKOLWIEK poufne dane, możesz to przeczytać, jeśli nie wdrażasz bezpieczeństwa witryny za pomocą bezpiecznych certyfikatów.
Jeśli nie zaimplementujesz pełnego szyfrowania, Twoja witryna będzie podatna na tzw. atak typu Man in the Middle. Przeczytaj więcej na ten temat na Wikipedia. Narzędzia takie jak Wireshark (bezpłatne narzędzie i dostępne do pobrania i użycia przez każdego) bardzo ułatwia odczytywanie ruchu w Internecie, a hakerzy konfigurują pełną infrastrukturę do odczytywania niezaszyfrowanych danych.
Poniżej znajduje się zrzut ekranu, na którym Wireshark odczytuje hasło wysłane przez HTTP:
Złośliwi użytkownicy mają narzędzia takie jak powyższe, które są w stanie wyszukiwać określone wzorce, takie jak numery kart kredytowych, dane ubezpieczenia społecznego, hasła i inne dane, które są dla nich cenne.
Z drugiej strony, jeśli wdrażasz HTTPS na WordPressie, masz skonfigurowany system szyfrowania, który zapewnia kilka korzyści związanych z bezpieczeństwem, takich jak integralność, tożsamość, a przede wszystkim poufność.
Pozwala jedynie serwerowi i przeglądarce na odszyfrowanie tekstu przesyłanego przez kanał komunikacyjny. Potwierdza, czy dane są nienaruszone i nie zostały zmodyfikowane w celu zapewnienia integralności danych (tj. nie zostały naruszone).
4. HTTPS i SEO
Witryny, które implementują HTTP, zyskują wyższą pozycję w wyszukiwarkach.
Google na blogu zatytułowanym „HTTPS jako sygnał rankingowy”. ogłosił, że da przewagę tym stronom internetowym, które korzystają z tej bezpiecznej technologii.
To sprawia, że waga wdrożenia go na swojej stronie jest znacznie wyższa. W przeciwnym razie Twoja witryna jest w gorszej sytuacji niż konkurenci, którzy wdrożyli HTTPS.
Google chce, aby bezpieczeństwu poświęcono najwyższą uwagę i priorytet. Firma podjęła się zapewnienia pełnego bezpieczeństwa w całej branży. Gwarantuje to, że internauci korzystający z wyszukiwarki Google i jej innych usług będą mieli bezpieczną komunikację we wszystkich usługach.
Wymyślili również koncepcję „HTTPS wszędzie”, aby wzmocnić poczucie zwiększonego bezpieczeństwa w Internecie.
Jednak to im nie wystarczyło. Ponieważ mają tak dużą siłę przebicia, dodali SSL jako sygnał rankingowy dla rankingów SEO i wyszukiwarek.
Jeśli Twoja witryna korzysta z protokołu HTTPS, będzie miała przewagę nad witrynami, które go nie wdrożą (przy wszystkich innych sygnałach rankingowych są takie same).
Czytaj więcej: WordPress na stronie SEO Checklist: 19-krok po kroku, jak zwiększyć ruch.
Czy migracja z HTTP na HTTPS zaszkodzi moim rankingom?
Wiele osób zastanawia się, czy zmiana z HTTP na HTTPS zaszkodzi ich obecnym rankingom organicznym. Biorąc pod uwagę, że wersje HTTP i HTTPS witryny są uważane za różne, czy oznacza to, że wszystkie linki zwrotne do wersji http:// witryny zostaną utracone?
To bardzo ważna sprawa.
Dużo pracowałeś, aby zdobyć cenne linki zwrotne, a ich utrata oznaczałaby niewielki wzrost rankingu, ale utratę większego sygnału rankingowego pochodzącego z linków.
Jednak, jak zobaczysz dalej, przeprowadzimy przekierowanie 301. Oznacza to, że serwer, który kiedyś tu mieszkał, został na stałe przeniesiony do nowej lokalizacji.
Google rozumie, że przekierowanie 301 oznacza: „Witaj Google – to wciąż ja, ale teraz na stałe przeniosłem się pod nowy adres”. Oznacza to, że nie stracisz żadnego ruchu, linków zwrotnych ani soku linków.
Możesz przeczytać trochę więcej o Przekierowanie 301 na stronie Moz. Przekonasz się, że przedstawią nasze dokładne zalecenia.
Jedyną rzeczą, którą nasza witryna straciła podczas wykonywania przekierowania na bezpieczny adres URL naszej witryny, był nasz Liczba udostępnień społecznościowych.
Dzieje się tak, ponieważ Facebook i większość innych liczników udostępniania traktuje https://www.collectiveray.com i https://www.collectiveray.com jako dwa zupełnie różne adresy URL. To jest coś, z czym prawdopodobnie będziesz musiał żyć. W rzeczywistości im szybciej to zrobisz, tym szybciej zaczniesz pozyskiwać nowe liczby udziałów na zabezpieczonym adresie.
Zrobiliśmy to w wielu witrynach poza tym CollectiveRayi nigdy nie miał żadnego negatywnego wpływu na rankingi ani ruch. Dopóki wykonasz prawidłową konfigurację, nie powinieneś się tym martwić.
Aktualizacja: Niedawno Google potwierdziło, że przekierowania 301 z HTTP na HTTPS nie tracą absolutnie żadnego soku z linków. Dzieje się tak dlatego, że oczywiście nie ma sensu otrzymywać kary za przejście na coś, za czym opowiada się Google.
5. Co jeszcze muszę zrobić po włączeniu SSL?
Jeśli chcesz mieć pewność, że wysyłasz do Google silną wiadomość, że Twoja witryna faktycznie została przeniesiona, idealnym sposobem jest zrobienie tego za pomocą Google Search Console.
Po prostu dodaj swoją witrynę tak, jakby była nową witryną w Google Search Console.
Oczywiście, może to oznaczać, że stracisz pewne rzeczy, takie jak Structured Data i będziesz musiał ponownie przesłać swoje mapy witryn. Niemniej jednak uważamy, że jest to bardzo silny wskaźnik dla Google, że jest to prawidłowa i w pełni zatwierdzona migracja.
6. Zdobywanie zaufania dzięki bezpieczeństwu
Jak zapewne już wiesz, niektóre strony internetowe wyświetlają zielony pasek w przeglądarce. Oznacza to, że serwis wdrożył bezpieczną komunikację.
Możesz zobaczyć bardzo wyraźny przykład tego na stronie Paypal.
Jak sprawdzić, czy Twoja witryna jest chroniona, czy nie?
Aby sprawdzić, czy witryna jest chroniona SSL, czy nie, możesz sprawdzić, czy przed adresem URL pojawia się przedrostek https:// zamiast zwykłego http://.
Oprócz tego możesz również znaleźć kłódkę, która znajduje się w polu adresowym przed uruchomieniem strony.
Powyższy obrazek wskazuje, że strona internetowa ma autoryzowany certyfikat SSL, jednak wygląd kłódki różni się w zależności od przeglądarki. Strony internetowe, które kupiły certyfikat rozszerzonej walidacji, będą wyświetlać całkowicie zielony pasek adresu lub nazwa firmy pojawi się przed adresem URL.
Certyfikaty rozszerzonej walidacji są dość drogie w zakupie i wdrożeniu, ponieważ wymagają wielu fizycznych kontroli, aby potwierdzić, że serwer rzeczywiście należy do firmy, która go wdraża.
Ci, którzy korzystają z Safari, zobaczą, że zielona czcionka oznacza, że firma korzysta z certyfikatu EV.
Poniższy przykład to certyfikat EV używany dla przeglądarki Safari. Tutaj pasek adresu nie ma zielonego tła, jak inne przeglądarki. Zamiast tego zdecydowali się użyć zielonej czcionki.
Certyfikaty rozszerzonej walidacji oferują rozszerzone zabezpieczenia, co wynika z nazwy.
Certyfikat EV jest wydawany firmie, która przeszła wszystkie etapy procesu walidacji. Formalności prawne, takie jak potwierdzenie adresu fizycznego i dostęp do określonych plików na serwerze, są wymagane w celu dopełnienia upoważnienia prawnego. Istnieje również wiele innych walidacji, które firma musiałaby przejść, aby uzyskać ważny certyfikat Extended Validation, ale to wykracza poza zakres tego artykułu.
Możesz przeczytać więcej na temat Certyfikaty rozszerzonej walidacji tutaj.
Wdrażając WordPress HTTPS, firma zewnętrzna zasadniczo potwierdza i weryfikuje, czy serwer WWW jest tym, za kogo się podaje. Agencja ta nazywana jest wystawcą certyfikatu – zwanym również zaufanym urzędem certyfikacji.
Co się stanie, gdy bezpieczne certyfikaty przestaną działać?
Korzystając z powyższych wskaźników można wiedzieć, czy ich bezpieczne certyfikaty działają, czy nie.
Podobnie użytkownicy mogą szybko zrozumieć, że ruch w witrynie nie jest szyfrowany lub że ich certyfikat bezpieczeństwa wygasł. Kiedy kłódka wydaje się czerwona i uderza czerwona linia, oznacza to jedną z tych rzeczy:
- strona korzysta z certyfikatu z podpisem własnym, tj. wydanego przez ten sam serwer WWW. Oznacza to, że certyfikat nie jest zaufany, ponieważ certyfikat nie został wydany przez zaufany urząd
- minął termin ważności i certyfikat stracił ważność
- certyfikat staje się niezaufany z jakiegokolwiek innego powodu i zostaje oznaczony jako nieważny
Na powyższym obrazku możesz zobaczyć ostrzeżenie przed odwiedzeniem witryny, gdy przeglądarka rozpozna, że wygasł bezpieczny certyfikat używany przez witrynę, którą odwiedzasz.
Większość nowoczesnych przeglądarek ma możliwość ostrzegania o nieprawidłowym certyfikacie (a tym samym niezabezpieczonego przesyłania danych), zanim użytkownik będzie mógł przejść do niezabezpieczonej witryny.
Po wygaśnięciu certyfikatu wystarczy, że odnowisz certyfikat w urzędzie (miejsce, z którego certyfikat został pierwotnie uzyskany). Ponadto sugeruje się, aby certyfikaty w ogóle nie wygasały. Takie uchybienie powoduje złe wrażenie strony internetowej na odwiedzających.
Mówi się, że witryna internetowa ma certyfikat z podpisem własnym, jeśli certyfikat został utworzony przez ten sam serwer sieciowy, a nie został wydany przez zaufany urząd certyfikacji. Ten certyfikat jest NIE ZAUFANE.
Przeglądarki ufają tylko certyfikatom SSL wydawanym przez zaufane urzędy certyfikacji. We wszystkich innych przypadkach wyświetlają ostrzeżenie dla witryn internetowych, które działają na certyfikacie z podpisem własnym.
Lista kontrolna migracji HTTP do HTTPS
Teraz, gdy w pełni rozumiemy, dlaczego WordPress HTTPS przyniesie korzyści naszej stronie, poniżej szczegółowo wyjaśnimy, jak wdrożyć go na swojej stronie. Mamy również listę kontrolną migracji HTTP do HTTPS, którą podajemy poniżej, aby upewnić się, że wykonałeś wszystkie kroki związane z migracją do HTTPS.
Przed bezpiecznym uruchomieniem WordPress
1.1. | Ustawienie certyfikacji SSL | Uzyskaj, skonfiguruj i przetestuj certyfikat TLS za pomocą SHA-2 dla SSL | . |
1.2. | Rejestracja w Google Search Console | Zarejestruj obie domeny http i https w Google Search Console wraz z wersjami z www i bez www. Jeśli zarejestrowałeś również poszczególne subdomeny lub podkatalogi w Google Search Console, odtwórz tę rejestrację i konfigurację za pomocą ich wersji https. | Konsola wyszukiwania Google |
1.3. | Monitorowanie rankingów | Zacznij monitorować rankingi witryn równolegle z domeną https | Oprogramowanie do śledzenia pozycji |
1.4. | Aktualne najlepsze strony witryny i identyfikacja zapytań | Zidentyfikuj najlepsze strony - i powiązane zapytania - przyciągające widoczność w bezpłatnych wynikach wyszukiwania i ruch, które mają być traktowane priorytetowo podczas walidacji i monitorowania wydajności witryny | Konsola wyszukiwania Google i Google Analytics |
1.5. | Aktualne indeksowanie witryny | Przeszukuj witrynę http, aby zidentyfikować i naprawić wszelkie wewnętrzne uszkodzone łącza i obecną strukturę sieci Web przed przeniesieniem. | Środowisko przejściowe |
1.6. | Nowe ustawienie HTTPS Web ze zaktualizowanymi linkami wewnętrznymi | Ustaw nową wersję internetową, aby wprowadzać zmiany, testować i aktualizować łącza w środowisku pomostowym, aby wskazywać adresy URL (strony i zasoby, takie jak obrazy, js, pdfy itp.) za pomocą protokołu HTTPS | Środowisko przejściowe |
1.7. | Nowa kanonizacja HTTPS Web | Zaktualizuj tagi kanoniczne, aby zawierały bezwzględne adresy URL za pomocą https w środowisku sceny | Środowisko przejściowe |
1.8. | Nowa kanonizacja HTTPS Web | Zweryfikuj w środowisku pomostowym, czy wszystkie dotychczasowe zachowania przepisywania i przekierowań (bez www vs. www; slash vs. non-slash, itp.) są również zaimplementowane w bezpiecznej wersji internetowej, tak jak pracowały na http. | Środowisko przejściowe |
1.9. | Przygotowanie przekierowań | Przygotuj i przetestuj reguły przepisywania, które przekierują 301 ze wszystkich zidentyfikowanych istniejących adresów URL (stron, obrazów, js itp.) w domenie http do https | . |
1.10. | Nowa generacja map witryn XML | Wygeneruj nową mapę witryny XML z zaimplementowanymi adresami URL, które zostaną przesłane do profilu HTTPs Google Search Console po przeniesieniu witryny | Generator map witryn XML |
1.11. | Przygotowanie pliku robots.txt | Przygotuj plik robots.txt do przesłania do wersji domeny https po uruchomieniu witryny, replikując istniejące dyrektywy dla http, ale w razie potrzeby wskazując adresy URL https | Robots.txt |
1.12. | Przygotuj zmiany w reklamach, e-mailach lub kampaniach stowarzyszonych, aby po zakończeniu migracji zacząć wskazywać wersje adresów URL https https | Platformy kampanii | Różne platformy |
1.13. | Zrzeczenie się konfiguracji | Sprawdź, czy w przeszłości były jakieś prośby o zrzeczenie się, które trzeba będzie ponownie przesłać w przypadku wersji z bezpiecznymi adresami URL we własnym profilu Google Search Console | Konsola wyszukiwania Google |
1.14. | Konfiguracja geolokalizacji | Jeśli przenosisz domenę gTLD, na którą kierujesz geograficznie za pomocą Google Search Console (a także jej subdomeny lub podkatalogi, jeśli kierujesz je indywidualnie), pamiętaj o ponownym kierowaniu geograficznym za pomocą bezpiecznej wersji domeny | Konsola wyszukiwania Google |
1.15. | Konfiguracja parametrów adresów URL | Jeśli parametry adresów URL są obsługiwane przez Google Search Console, istniejąca konfiguracja powinna zostać zreplikowana w bezpiecznym profilu witryny | Konsola wyszukiwania Google |
1.16. | Przygotowanie konfiguracji CDN | Jeśli używana jest sieć CDN, sprawdź, czy będą w stanie prawidłowo obsługiwać wersję witryny z bezpieczną domeną i obsługiwać SSL po zakończeniu migracji | Dostawca CDN |
1.17. | Przygotowywanie reklam i rozszerzeń innych firm | Sprawdź, czy kod wyświetlanych reklam, rozszerzenia stron trzecich lub wtyczki społecznościowe używane w witrynie będą działać poprawnie po przeniesieniu do https | Platformy reklam i rozszerzeń |
1.18. | Przygotowanie konfiguracji analizy internetowej Web | Upewnij się, że istniejąca konfiguracja Web Analytics będzie również monitorować ruch w bezpiecznej domenie | Platforma analityki internetowej |
Podczas faktycznej migracji do bezpiecznej strony internetowej
2.1. | Uruchomienie witryny HTTPS | Opublikuj sprawdzoną wersję witryny https na żywo | Środowisko produkcyjne |
2.2. | Nowa wersja HTTPS Sprawdzanie struktury sieci | Sprawdź, czy struktura adresu URL w bezpiecznej wersji witryny jest taka sama jak w HTTP | Środowisko produkcyjne |
2.3. | Łączenie wewnętrzne nowej bezpiecznej wersji | Sprawdź, czy linki witryny skutecznie wskazują jej adresy URL HTTPS | Środowisko produkcyjne |
2.4. | Kanonizacja nowej wersji HTTPS | Sprawdź, czy tagi kanoniczne na stronach wskazują na ich adresy URL HTTPS | Środowisko produkcyjne |
2.5. | Kanonizacja nowej wersji HTTPS | Zaimplementuj przepisywanie i przekierowania z www vs bez www, ukośnik vs. bez ukośnika itp. w nowej bezpiecznej wersji internetowej | Środowisko produkcyjne |
2.6. | Implementacja przekierowania HTTP do HTTPS | Zaimplementuj przekierowania 301 z każdego adresu URL witryny od wersji HTTP do HTTPS | Środowisko produkcyjne |
2.7. | Konfiguracja analityki internetowej | Zanotuj datę migracji na platformie Web Analytics i sprawdź, czy konfiguracja jest ustawiona na śledzenie bezpiecznej wersji internetowej | Platforma analityki internetowej |
2.8. | Walidacja konfiguracji serwera SSL | Sprawdź konfigurację SSL serwera WWW. Możesz korzystać z usług takich jak https://www.ssllabs.com/ssltest/ | Środowisko produkcyjne, test SSL |
2.9. | Aktualizacja pliku robots.txt | Odśwież ustawienia robots.txt w domenie https z odpowiednimi zmianami | Robots.txt |
Po uruchomieniu HTTPS
3.1. | Weryfikacja indeksowania HTTPS | Przeszukuj witrynę, aby sprawdzić, czy bezpieczne adresy URL są tymi, do których można uzyskać dostęp, linkami i obsługą bez błędów, błędnych braków indeksacji, kanonizacji i przekierowań | Środowisko produkcyjne |
3.2. | Weryfikacja przekierowań nowej witryny HTTPS | Sprawdź, czy reguły przekierowań z http vs. https, www vs. non-www i slash vs. non-slash są poprawnie zaimplementowane | Środowisko produkcyjne |
3.3. | Publikowanie i przesyłanie mapy witryny XML | Prześlij i zweryfikuj wygenerowaną mapę witryny XML z wersjami bezpiecznego adresu URL w profilu https Google Search Console | Konsola wyszukiwania Google |
3.4. | Aktualizacja oficjalnych linków zewnętrznych | Zaktualizuj oficjalne linki zewnętrzne prowadzące do witryny, aby przejść do bezpiecznej wersji (witryny partnerów w profilach mediów społecznościowych itp.) | Oficjalna obecność na platformach zewnętrznych |
3.5. | Weryfikacja reklam i rozszerzeń innych firm | Sprawdź, czy wszelkie wtyczki, takie jak przyciski społecznościowe, reklamy i kod strony trzeciej, działają poprawnie w wersjach z bezpiecznymi adresami URL. Możesz przeskanować swoją witrynę w poszukiwaniu niezabezpieczonych treści za pomocą https://www.jitbit.com/sslcheck/ | Platformy reklam i rozszerzeń, kontrola SSL |
3.6. | Aktualizacja kampanii Wykonanie | Wprowadź odpowiednie zmiany w reklamach, e-mailach i kampaniach afiliacyjnych, aby poprawnie odnosić się do wersji HTTPS Web | Platformy kampanii |
3.7. | Monitorowanie indeksowania i indeksowania | Monitoruj indeksację, widoczność i błędy zarówno wersji strony HTTP, jak i HTTPS | Konsola wyszukiwania Google |
3.8. | Rankingi i monitorowanie ruchu | Monitoruj ruch i aktywność w rankingach stron zarówno HTTP, jak i HTTPS | Platformy do analityki internetowej i śledzenia pozycji |
3.9. | Weryfikacja konfiguracji robots.txt | Sprawdź ustawienie robots.txt w bezpiecznej domenie, aby upewnić się, że konfiguracja została poprawnie zaktualizowana | Robots.txt |
Ta lista kontrolna migracji HTTP do HTTPS została uprzejmie utworzona i udostępniona grupie Advanced WP na Facebooku.
7. Jak możesz dodać zabezpieczenia do swojej witryny WordPress?
Przejdźmy do sedna sprawy i ubrudźmy sobie ręce. Istnieją dwa sposoby konfiguracji SSL WordPress:
- Ręczna konfiguracja SSL w witrynie WordPress
- Korzystanie z wtyczki WordPress HTTPS
Jak uzyskać bezpieczny certyfikat
Przede wszystkim musisz w jakiś sposób zdobyć certyfikat SSL.
Można to zrobić na różne sposoby, ale najłatwiej to zrobić za pośrednictwem serwera hostingowego.
W hostingu InMotion możesz kupić certyfikat i wszystko, czego potrzebujesz, bezpośrednio z konsoli Panel zarządzania kontem (AMP). Dobrą rzeczą jest to, że będą cię bardzo ładnie wspierać, jeśli nie chcesz pobrudzić sobie rąk.
W cenie 99 USD/rok wliczona będzie cena wymaganego dedykowanego adresu IP. Pobierana jest jednorazowa opłata w wysokości 25 USD, ponieważ certyfikat musi zostać zainstalowany na serwerze, który obsługuje Twoją witrynę.
Z tej opłaty można zrezygnować, jeśli masz bezpośredni dostęp do serwera i możesz samodzielnie zainstalować certyfikat.
Jeśli masz wirtualny serwer prywatny, ręczna instalacja certyfikatu jest bardzo łatwa. Udokumentowaliśmy kroki w naszym InMotion VPS przegląd, więc nie będziemy przez to ponownie przechodzić.
Jeśli nie korzystasz z InMotion (dlaczego nie? Nie wiesz, że ich serwery są szybsze, a ich obsługa lepiej?) procedura będzie podobna.
Wypróbuj Hosting InMotion teraz
Po zakupie i zainstalowaniu certyfikatu musisz włączyć WordPress SSL/TLS.
Używanie Let's Encrypt jako urzędu certyfikacji
W tym artykule wspomnieliśmy, że bezpieczne certyfikaty są wydawane przez tak zwany urząd certyfikacji. Jest to organ, który może „zaświadczyć”, że serwer, na którym zainstalowałeś swój certyfikat, jest naprawdę tym, za kogo się podaje. Wiąże się to oczywiście z pewną pracą, za którą zazwyczaj płacisz.
Let's Encrypt to nowość urząd certyfikacji która chce ułatwić wszystkim uzyskanie bezpiecznego certyfikatu, czyniąc proces uzyskiwania certyfikatu zautomatyzowanym i bezpłatnym.
Jest to zasadniczo organ prowadzony przez wiele firm zwanych Internet Security Research Group, w tym tak duże nazwy jak Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook i wielu innych, którzy chcą przeprowadzić proces uzyskiwania certyfikatu bezpieczeństwa: Darmowy, Zautomatyzowany, Bezpieczny, Przejrzysty, Otwarty i Kooperacyjny.
Dlaczego te firmy miałyby dawać Ci rzeczy za darmo? Ponieważ bezpieczny i bezpieczniejszy internet jest pożądanym celem dla każdego.
Chociaż może to być stosunkowo łatwe, wciąż jest to poniekąd procedura techniczna, aby uzyskać certyfikat. Jednak obecnie większość firm hostingowych zintegrowała tę funkcjonalność w taki sposób, że w przypadku większości firm uzyskanie certyfikatu Let's Encrypt to kwestia kliknięcia przycisku, a certyfikat zostanie utworzony i skonfigurowany.
Ręczne tworzenie bezpiecznego certyfikatu za pomocą Let's Encrypt
(Możesz pominąć tę część, jeśli nie planujesz tworzyć własnego certyfikatu Let's Encrypt i uzyskasz go za pośrednictwem serwera hostingowego)
Będziesz potrzebować bezpośredniego dostępu lub dostępu do powłoki root na swoim serwerze, aby móc uruchomić poniższą procedurę.
1. Zainstaluj bibliotekę Let's Encrypt na swoim serwerze
Uruchom następujące polecenie, aby zainstalować bibliotekę Let's Encrypt
$ sudo git klon https://github.com/letsencrypt/letsencrypt / opt / letsencrypt
To polecenie pobierze i skopiuje repozytorium LetsEncrypt do katalogu /opt.
2. Wygeneruj bezpieczny certyfikat
Najlepszym sposobem wygenerowania certyfikatu jest użycie metody samodzielnej z rozmiarem klucza 4096 (co jest bardzo mocne).
$ ./letsencrypt-auto oczywiście --standalone --rsa-key-size 4096
Jak tylko uruchomisz to polecenie, pojawi się okno z pytaniem o nazwę domeny. Sugeruje się, aby wprowadzić zarówno domenę główną, jak i inne subdomeny, z którymi planujesz używać certyfikatu.
Następnym krokiem jest przeczytanie i zaakceptowanie warunków korzystania z usług services Szyfrujmy. Gdy wyrazisz zgodę, będziesz mógł zobaczyć ścieżkę do pliku .pem. Będzie on zlokalizowany w /etc/letsencrypt/live/twoja-nazwa-domeny/. Jeśli napotkasz jakiekolwiek błędy podczas tworzenia certyfikatu, możesz chcieć sprawdzić konfigurację zapory, ponieważ do utworzenia certyfikatów będzie potrzebnych kilka połączeń.
Wygenerowany certyfikat wygaśnie za 90 dni i będzie musiał być odnawiany co 90 dni. To trochę negatywny i pozytywny punkt. Możesz znaleźć powody, dla których stosuje się tutaj certyfikaty 90-dniowe. Aby odnowić certyfikat wystarczy uruchomić skrypt odnowienia Let's Encrypt.
Możesz napisać zadanie cron do automatyzacji procesu.
Jest to szczególnie ważne, jeśli o tym zapominasz. Po wygaśnięciu certyfikatu zobaczysz pokazane powyżej niewyraźne czerwone ostrzeżenie, więc warto o tym pamiętać.
Krok 3: Wygeneruj silne bezpieczeństwo kryptografii klucza publicznego za pomocą grupy Diffie Hellman
Aby jeszcze bardziej zwiększyć bezpieczeństwo, powinieneś także stworzyć silną grupę Diffie-Hellman. Aby wygenerować 4096-bitową grupę, użyj tego polecenia:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
Może to zająć chwilę, ale kiedy to się skończy, będziesz miał silną grupę DH w /etc/ssl/certs/dhparam.pem
Teraz, gdy masz już certyfikat, musisz zainstalować go na swoim serwerze internetowym za pomocą funkcji SSL/TLS w CPanel lub w inny sposób, z którego korzysta Twoja firma hostingowa.
Jeśli ta procedura Cię przeraża, pamiętaj, że w dzisiejszych czasach większość tych rzeczy jest w pełni zautomatyzowana na większości hostów.
8. Jak skonfigurować WordPress do korzystania z SSL (lub TLS) i HTTPS (sposób ręczny)
Po uzyskaniu bezpiecznego certyfikatu i zainstalowaniu go lub udostępnieniu na serwerze, na którym hostujesz swoją witrynę, musisz wykonać kolejne kroki, aby włączyć HTTPS w WordPress.
Pierwszym krokiem, który należy wykonać, jest włączenie protokołu HTTPS do witryny, aby zaktualizować adres URL witryny. Aby to zrobić, musisz przejść do Ustawienia → Ogólne i tam możesz zaktualizować swój WordPress i pole adresu URL witryny.
Jeśli masz istniejącą witrynę internetową i włączasz SSL, musisz również ustawić przekierowanie 301, które wymusza bezpieczną obsługę wszystkich żądań HTTP. Zapewni to również, że żaden z Twoich istniejących linków z zewnętrznych stron internetowych nie zostanie utracony, a także nie stracisz soku z linków.
Można to zrobić, dodając poniższy fragment kodu w pliku .htaccess na swoich stronach internetowych, do którego można uzyskać dostęp za pośrednictwem Menedżera plików CPanel.
RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.yourwebsitehere.com/$1 [R=301,L]
Widać, że jest to przekierowanie 301, które zapewni, że nie stracisz żadnego soku linków. Upewnij się, że zastąpiłeś twojąwebsitehere.com adresem URL swojej witryny.
Powyższe fakty wymuszają na Twoim serwerze bezpieczne serwowanie treści. Warto zauważyć, że wszystkie adresy URL w domenie głównej zostaną przekonwertowane na HTTPS przy użyciu powyższego. Więc któryś z twoich starych linków, powiedzmy, http://www.collectiveray.com/wordpress/ automatycznie zmieni się na https://www.collectiveray.com/wordpress/
Dla tych, którzy są na serwerach Nginx, należy dodać poniżej przekierowanie HTTP, aby przekonwertować je na HTTPS:
serwer { nasłuchuj 80; nazwa_serwera nazwa_strony.com www.nazwa_strony.com; zwróć 301 https://nazwastrony.com$request_uri; }
Poniższe kroki pomogą Ci zapewnić, że cała zawartość witryny będzie obsługiwana w bezpieczny sposób.
Skonfiguruj bezpiecznego administratora
Możesz skonfigurować wymuszanie bezpiecznego administratora WordPressa (tj. części administracyjnej Twojej witryny lub /wp-admin) za pomocą pliku wp-config.php. Jeśli chcesz wymusić bezpieczeństwo w witrynie WordPress, która ma wielostronne strony logowania lub w obszarze administracyjnym, wystarczy dodać następujący fragment kodu do pliku wp-config.php.
define('FORCE_SSL_ADMIN', prawda);
To głównie to, teraz powinieneś mieć bezpieczny dostęp do swojego administratora WordPress!
9. Implementuj HTTPS za pomocą wtyczek SSL WordPress
Innym łatwym sposobem na skonfigurowanie SSL w Twojej witrynie jest skorzystanie z wtyczki SSL WordPress.
Korzystanie z Really Simple SSL wtyczka
Wybraną wtyczką do włączania WordPress HTTPS w Twojej witrynie jest Really Simple SSL podłącz. Jest to bardzo ładnie napisana wtyczka Rogiera Lankhorsta. Wspaniałą rzeczą w tej wtyczce jest to, że usuwa całą złożoność związaną z włączaniem bezpiecznych certyfikatów w Twojej witrynie.
Naprawdę i naprawdę jest to wtyczka aktywacyjna SSL jednym kliknięciem.
Po uzyskaniu certyfikatu SSL przy użyciu jednej z metod opisanych powyżej i zainstalowaniu go na serwerze, wystarczy zainstalować i Aktywuj dotychczasowy Really Simple SSL wtyczka i zrobi resztę pracy za Ciebie.
To naprawdę sporo pracy pod maską, aby rozwiązać większość znanych problemów z aktywacją HTTPS w Twojej witrynie. Bierze pod uwagę konfigurację serwera i wykonuje wszystkie niezbędne zmiany, dzięki czemu nie musisz niczego sobie zadzierać.
Poniżej zrzut ekranu wtyczki po aktywacji - wykonała trochę pracy i wykryła, że na serwerze jest już zainstalowany certyfikat.
Jak widać, możesz teraz po prostu kliknąć „Aktywuj SSL” i gotowe!
Gdy Twoja witryna zostanie przekonwertowana na SSL, spójrz na ustawienia lub przeskanuj w poszukiwaniu problemów i problemów, jak widać na zrzucie ekranu poniżej.
Wtyczka podejmie próbę naprawienia znalezionych problemów.
Ta wtyczka to Twój punkt kompleksowej obsługi, aby włączyć SSL.
Inne wtyczki umożliwiające włączenie SSL
Oczywiście powyższe nie jest jedyną wtyczką, której możesz użyć do włączenia bezpiecznych certyfikatów. Poniżej znajduje się kilka innych opcji, z których możesz chcieć skorzystać. Oba ostatecznie osiągają ten sam cel, włączając HTTPS w Twojej witrynie WordPress.
- Łatwe przekierowanie HTTPS
- SSLZen - jest to nowa wtyczka, faktycznie pomaga stworzyć certyfikat Let's Encrypt za pomocą samej wtyczki
10. Testowanie poprawnej konfiguracji bezpiecznego certyfikatu Twojej witryny
Aby upewnić się, że Twoja witryna została w pełni skonfigurowana, zalecamy przetestowanie witryny za pomocą tego Sprawdzanie SEO SSL narzędzie, które sprawdza, czy masz zalecaną konfigurację SSL WordPress.
Po uruchomieniu testu otrzymasz raport SSL podobny do następującego:
11. Nie zapomnij odnowić swojego bezpiecznego certyfikatu
Wygasły certyfikat to martwy certyfikat.
Jeśli certyfikat wygaśnie, nie możesz go odnowić.
Musisz ponownie wystawić nowy i ponownie zainstalować go w swojej witrynie. To oczywiście więcej bólu głowy, niż naprawdę potrzebujesz, więc pamiętaj tylko o odnowieniu go, zanim wygaśnie.
Zdarzyło nam się to w rocznicę uzyskania naszej pierwszej bezpiecznej konfiguracji certyfikatu. To nie jest przyjemna sytuacja, gdy nagle CAŁKOWITY ruch spada do zera. Ludzie bardzo obawiają się wychodzenia poza wygasły certyfikat, więc uzyskany ruch będzie ogromny.
Sugerujemy ustawienie przypomnienia na kilka tygodni przed wygaśnięciem.
Zostałeś ogrzany. Wygasłe certyfikaty to dużo pracy, więc nie zapomnij o ich odnowieniu.
Chcesz pójść na łatwiznę?
Oczywiście, chociaż sprawiamy, że wygląda to na proste, zdarzają się sytuacje, w których coś nie idzie zgodnie z oczekiwaniami, więc upewnij się, że masz pod ręką swoje numery pomocy technicznej, na wypadek gdyby wszystko poszło nie tak podczas konfigurowania funkcji SSL WordPress .
Jeśli chcesz pójść na łatwiznę, po prostu zdobądź InMotion, aby ustawić to wszystko za Ciebie. Otrzymasz szybszą stronę internetową, poza tym, że jest obsługiwana przez SSL. Otrzymasz również darmową domenę, a oni przeniosą witrynę za Ciebie. CollectiveRay odwiedzający otrzymują również EKSKLUZYWNĄ 47% zniżki od normalnej ceny, więc skorzystaj z okazji TERAZ.
Oferta ta jest ograniczona czasowo, obowiązuje do listopada 2024 r., dlatego skorzystaj z niej, zanim wygaśnie.
Często Zadawane Pytania
Czy WordPress ma SSL?
WordPress obsługuje SSL zarówno na froncie, jak i na zapleczu. Aby to umożliwić, musisz nabyć certyfikat, kupując go lub korzystając z Let's Encrypt za pośrednictwem swojej firmy hostingowej i zainstalować go na serwerze. Po zainstalowaniu certyfikatu możesz włączyć HTTPS, korzystając z jednej z powyższych metod, na przykład używając Really Simple SSL wtyczki.
Jak włączyć SSL w WordPressie?
Aby włączyć SSL w WordPressie, najłatwiejszą metodą jest użycie wtyczki, takiej jak Really Simple SSL. Używa on certyfikatu aktualnie skonfigurowanego dla domeny, więc upewnij się, że bezpieczny certyfikat został już zainstalowany, zanim go aktywujesz.
Jak uzyskać bezpłatny SSL na WordPressie?
Aby uzyskać bezpłatny SSL na WordPress, musisz skorzystać z funkcji Let's Encrypt dostępnej na Twoim serwerze hostingowym. Spowoduje to wydanie bezpłatnego, bezpiecznego certyfikatu i zainstalowanie go w Twojej domenie. Większość firm hostingowych oferuje dziś tę funkcjonalność, możesz użyć do tego InMotion.
Jaka jest różnica między HTTP a HTTPS?
Różnica między HTTP i HTTPS polega na tym, że ten ostatni jest przesyłany przez bezpieczny kanał. Bezpieczny certyfikat zainstalowany na serwerze szyfruje wiadomości przed ich wysłaniem w sposób, który może być odszyfrowany tylko przez przeglądarkę, która uruchomiła połączenie. Oznacza to, że wrażliwe dane, takie jak logowanie się na stronie internetowej przy użyciu nazwy użytkownika/hasła, przesyłanie danych wrażliwych, takich jak wysyłanie danych karty kredytowej lub innych danych, mogą być przesyłane bezpiecznie i bezpiecznie.
Wniosek: HTTPS jest koniecznością
Jak zapewne zauważyłeś, chociaż implementacja HTTPS lub SSL nie zawsze jest prosta, jest ona niezbędna. Firma Google ogłosiła niedawno, że będzie oznaczać witryny jako NIEBEZPIECZNE, jeśli nie obsługują one protokołu SSL. Więc upewnij się, że masz to ustawione na swojej stronie już dziś.
Proszę zostaw użyteczny skomentuj swoje przemyślenia, a następnie udostępnij to na swoich grupach na Facebooku, które uznają to za przydatne i wspólnie zbierzmy korzyści. Dziękuję za udostępnienie i bycie miłym!
Ujawnienie: Ta strona może zawierać linki do zewnętrznych witryn produktów, które kochamy i gorąco polecamy. Jeśli kupisz sugerowane przez nas produkty, możemy otrzymać opłatę za polecenie. Takie opłaty nie wpływają na nasze rekomendacje i nie przyjmujemy płatności za pozytywne recenzje.