Sådan opsættes WordPress SSL / HTTPS: 11 vigtige ting at vide

WordPress SSL

Du spekulerer måske på, hvorfor vi skulle bruge WordPress SSL / TLS eller aktivere WordPress på HTTPS? Før vi begynder på det, er vi nødt til at give lidt historie.

Med 3.9 milliarder brugere, der bruger internettet (og vokser hver dag) og 1.7 milliarder websteder på internettet, kan vi helt sikkert sige, at internettet er opstået som vores andet hjem - det, der engang blev kendt som "at gå online", er ikke rigtig nøjagtigt længere. Vi er altid forbundet, altid tændt. Facebook er vokset til mere end 2.5 milliarder aktive brugere hver måned. Vi plejede at tale om "virtuelt", men Internettet er blevet så ægte som det virkelige kan blive, en del af vores hverdag. 

Disse statistikker er simpelthen overvældende! Og der er absolut intet tegn på, at det går langsommere. Da nye lande får adgang til billigt internet, vil antallet sandsynligvis fortsætte med at vokse i overskuelig fremtid.

Indhold[show]
 
Ud af disse mere end en 1.7 milliarder websteder er hele 455,000,000+ (og voksende) baseret på WordPress.com eller WordPress.org
 

WordPress er bestemt vokset fra sin ydmyge begyndelse som en blog. Og når du har så mange mennesker, der besøger et af dine WordPress-websteder, bliver det en pligt at levere en meget sikker platform, der ikke kompromitterer deres sikkerhed.

I dagens indlæg, en del af vores serie af informative WordPress-tutorials (som du kan se i vores menu), vil vi guide dig nedenfor på forskellige måder, hvorpå du kan implementere WordPress SSL / TLS eller WordPress HTTPS på dit websted.

Sidebemærkning: noget af læsningen og arbejdet i denne artikel er meget teknisk og kræver udviklerviden. Hvis du gerne vil ansæt en WordPress-udvikler tjek artiklen linket for at lære om alle de ting, du skal overveje, før du ansætter en udvikler.

Brug for hjælp til at sikre dit websted? Prøv disse toprangerede overkommelige koncerter på Fiverr!

fiverr logo

 

Klik her at finde eksperter på opsætning af sikre WordPress-certifikater.

1. Første ting først. Er det SSL eller TLS? Eller HTTPS?

Virkelig og sandt skal det i dag være TLS (som er et akronym for Transport Layer Security).

Dette skyldes, at TLS er den nyeste version af sikre certifikater, der skal bruges. Oprindeligt var navnet på den anvendte sikkerhedstransport imidlertid SSL (Secure Sockets Layer).

Mens TLS i virkeligheden bruges i dag, henviser de fleste til sikre certifikater som SSL-certifikater. Strengt taget skulle vi kun kalde dem sikre certifikater.

HTTPS betyder HTTP leveret over Secure kommunikation. HTTPS implementeres i dag ved hjælp af sikre certifikater via TLS.

2. Rollen af ​​sikre certifikater, og hvordan det passer med WordPress-sikkerhed

SSL er akronymet, der står for Secure Sockets Layer og er en teknologi, der bruges til at udføre sikker kommunikation over et netværk.

Denne sikre form for transport opnås ved at oprette et krypteret link mellem en klientmaskine og en server. I de fleste tilfælde vil dette være en webserver og en klientbrowser, hvor et websted vises. eller i tilfælde af e-mail-klienter såsom MS Outlook, dannes der en forbindelse til e-mail-serveren.

Det sikre certifikat udstedes typisk af en certifikatmyndighed. Dette betyder, at en central, betroet myndighed "indestår" for serveren. I det væsentlige, når webserveren krypterer en besked, "underskriver" de den for at bekræfte dens ægthed med et certifikat fra autoriteten.

Browseren kontrollerer derefter signaturen og verificerer, at signaturen kommer fra en "betroet" myndighed. Hvis certifikatet er tillid til, opnås sikker kommunikation mellem klienten og serveren.

Certifikatet bruges derefter til at dekryptere meddelelsen og læse dens indhold.

hvordan SSL fungerer

Dette giver mulighed for sikker kommunikation, som ikke kan læses af tredjeparter. Dette giver brugerne grønt lys til at stole på, at de fortrolige data, de sender over internettet, såsom bankoplysninger, loginoplysninger, socialsikringsnumre, e-handelsdata, kreditkortoplysninger og andre fortrolige, kommer sikkert til webstedet, hvor de vil være behandlet.

Fordi i virkeligheden er problemet med "tillid" ikke på hjemmesiden pr., Men kommunikationen mellem hjemmesiden og klienten.

Før denne teknologi, eller når et websted kun bruger HTTP til sin kommunikation, ikke så avanceret, sendes data som almindelig tekst. Dette gjorde det sårbar over for ondsindede angreb - som var i stand til at læse dataene og selvfølgelig bruge dem af ondsindede årsager. For eksempel kan loginoplysninger stjæles for at overtage et websted, eller kreditkortdata kan læses og bruges til at købe ting bedragerisk.  

Følgende video er en god forklaring på, hvad SSL er, og hvorfor du skal have det implementeret på dit websted.

SJJmoDZ3il8

3. Hvorfor skal du betjene dit websted sikkert?

Webstedejere, der ikke har implementeret HTTPS, er modtagelige for "snooping".

Da webserveren ikke er i stand til at kryptere den trafik, der sendes til browseren, kan ALLE datakommunikationer inklusive fortrolige data meget let læses af hackere. I det væsentlige kan alle data, der overføres mellem klienten og webserveren, læses. Hvis du logger ind på et websted, kan dine legitimationsoplysninger læses. Hvis du videregiver kreditkortoplysninger, kan disse blive stjålet.

Hvis du sender ALLE fortrolige data, kan dette læses, hvis du ikke implementerer websidesikkerhed via sikre certifikater.

Hvis du ikke implementerer fuld kryptering, vil dit websted være modtageligt for det, der er kendt som en mand i midten angreb. Læs mere om dette på Wikipedia. Værktøjer som f.eks Wireshark (gratis værktøj og tilgængeligt for download og brug af alle) gør det meget meget let at læse trafik over internettet, og hackere opsætter fuld infrastruktur til at læse ukrypterede data.

Nedenfor er et skærmbillede af Wireshark, der læser en adgangskode sendt via HTTP:

kodeord sniffende wireshark

Ondsindede brugere har værktøjer som ovenstående, der er i stand til at lede efter specifikke mønstre, såsom kreditkortnumre, socialsikringsoplysninger, adgangskoder og andre data, der er værdifulde for dem.

mand i midten angreb 

På den anden side, hvis du implementerer HTTPS på WordPress, har du oprettet et krypteringssystem, der giver flere sikkerhedsfordele såsom integritet, identitet og frem for alt fortrolighed.

Det tillader kun serveren og browseren at dekryptere den tekst, der sendes på tværs af kommunikationskanalen. Den hævder, om dataene er intakte og ikke blev ændret for at sikre integriteten af ​​dataene (dvs. de er ikke blevet manipuleret med).  

4. HTTPS og SEO

Websteder, der implementerer HTTP'er, får et placeringsforøgelse i søgemaskiner.

google i en blog med titlen "HTTPS som et rangsignal." meddelte, at det vil give en fordel til de websteder, der gør brug af denne sikre teknologi. 

Dette gør vigtigheden af ​​at implementere det på dit websted meget højere. Ellers er dit websted i en ulempe sammenlignet med konkurrenter, der har implementeret HTTPS.

Google ønsker, at sikkerhed skal have størst opmærksomhed og prioritet. Virksomheden har påtaget sig at sikre, at der anvendes fuld sikkerhed i hele branchen. Dette sikrer, at internetbrugere, der bruger Googles søgemaskine og dens andre tjenester, får sikker kommunikation på tværs af alle tjenester.

De er også kommet med begrebet "HTTPS overalt" for at skabe en følelse af øget internetsikkerhed.

Dette var dog ikke nok for dem. Da de har så meget indflydelse, tilføjede de SSL som et rangeringssignal for SEO og placering på søgemaskiner.

Hvis dit websted implementerer HTTPS, vil det have en fordel i forhold til de websteder, der ikke implementerer det (med alle andre rangsignaler er ens).

Læs mereWordPress onpage SEO-tjekliste: en 19 trin-for-trin guide til at øge trafikken.

Vil migreringen fra HTTP til HTTPS skade min placering? 

Mange mennesker spekulerer på, om ændringen fra HTTP til HTTPS vil skade deres nuværende organiske placering. I betragtning af at HTTP- og HTTPS-versionerne af et websted betragtes som forskellige, betyder det så, at alle backlinks til http: //-versionen af ​​webstedet går tabt?

Det er en meget gyldig bekymring.

Du har arbejdet meget for at få dyrebare backlinks, og at miste dem vil betyde, at du får et lille ranking boost, men mister det større rangsignal, der kommer fra links.

Som du vil se længere frem, udfører vi dog en 301-omdirigering. Dette betyder, at den server, der tidligere boede her, permanent har flyttet til en ny placering.

Google forstår en 301-omdirigering betyder "Hej Google - dette er stadig mig, men jeg er nu flyttet til en ny adresse permanent". Hvad det betyder er, at du ikke mister noget af din trafik, backlinks eller linkjuice.

Det kan være en god idé at læse lidt mere om 301 omdirigering på Moz-webstedet. Du finder ud af, at de vil give vores nøjagtige anbefalinger.

Den ene ting, som vores site mistede, når vi udførte omdirigering til den sikre URL på vores site, var vores Sociale aktietællinger.

Det skyldes, at Facebook og de fleste andre aktietællere behandler https: // www.collectiveray.com og https: // www.collectiveray.com som to helt forskellige webadresser. Dette er noget, du sandsynligvis bliver nødt til at leve med. I virkeligheden, jo hurtigere du gør dette, jo hurtigere er du i gang med at erhverve nye aktietællinger på din sikrede adresse.

Vi har også gjort dette på flere websteder CollectiveRay, og der var aldrig nogen negativ effekt på placeringer eller trafik. Så længe du udfører en korrekt opsætning, skal du ikke være bekymret over dette.

OPDATER: For nylig har Google bekræftet, at 301 omdirigeringer fra HTTP til HTTPS mister absolut ingen linkjuice. Dette skyldes selvfølgelig ikke mening at få en straf for at skifte til noget, som Google går ind for.

5. Hvad skal jeg ellers gøre, når jeg har aktiveret SSL?

Hvis du vil sikre dig, at du sender en stærk besked til Google om, at dit websted faktisk er flyttet, er den ideelle måde at gøre dette via Google Search Console.

Du skal blot tilføje dit websted, som om det var et nyt sted i Google Search Console.

Dette kan selvfølgelig betyde, at du mister nogle ting som f.eks. Strukturerede data, og du bliver nødt til at indsende dine sitemaps igen. Ikke desto mindreless, vi mener, at dette er en meget stærk indikator for Google på, at dette er en gyldig og fuldt ud godkendt migration.

6. At vinde tillid med sikkerhed

Som du sikkert allerede er bekendt med, vil nogle websteder vise en grøn bjælke i browseren. Dette betyder, at hjemmesiden har implementeret sikker kommunikation.

Du kan se et meget tydeligt eksempel på dette på Paypal-webstedet.

Paypal med ikon for sikre stikkontakter

 

Hvordan kan du kontrollere, om dit websted er beskyttet eller ej?

For at kontrollere, om et websted er SSL-beskyttet eller ej, kan du kontrollere, om præfikset https: // vises foran URL'en i stedet for den almindelige http: //.

Bortset fra dette kan du også finde en hængelås, der findes i adressefeltet, før hjemmesiden begynder.

DART Creations SSL

Ovenstående billede angiver, at et websted har et autoriseret SSL-certifikat, men hængelåsens udseende varierer fra browser til browser. De websteder, der har købt et udvidet valideringscertifikat, viser en helt grøn adresselinje, ellers vises firmaets navn foran URL'en.

Udvidede valideringscertifikater er ret dyre at købe og implementere, fordi de kræver en række fysiske kontroller for at bekræfte, at webserveren faktisk tilhører det firma, der implementerer det.

Elegant Themes Udvidet validering SSL-certifikat

For dem, der bruger Safari, vil de se, at en grøn skrifttype bruges til at angive, at virksomheden bruger et EV-certifikat.

Følgende eksempel er et EV-certifikat, der bruges til Safari-browseren. Her har adresselinjen ikke en grøn baggrund som andre browsere. I stedet har de valgt at bruge en grøn skrifttype.

SSL på Safari

Udvidede valideringscertifikater tilbyder udvidet sikkerhed, hvilket fremgår af navnet.

Et EV-certifikat udstedes til et firma, der har ryddet alle trin i valideringsprocessen. Sådanne juridiske formaliteter som bevis for deres fysiske adresse og adgang til specifikke filer på en server er nødvendige for at udfylde den juridiske autorisation. Der er også en hel del andre valideringer, som et firma skal gennemgå for at få et gyldigt udvidet valideringscertifikat, men dette er uden for denne artikels anvendelsesområde.

Du kan læse mere om Udvidede valideringscertifikater her.

Ved at implementere WordPress HTTPS bekræfter og verificerer et tredjepartsfirma i det væsentlige, at webserveren er den, den hævder at være. Dette agentur kaldes udsteder af certifikatet - også kaldet en betroet certifikatmyndighed.

Hvad sker der, når sikre certifikater holder op med at arbejde

Ved hjælp af ovenstående indikatorer kan man vide, om deres sikre certifikater fungerer eller ej.

På samme måde kan brugerne hurtigt forstå, at et websteds trafik ikke er krypteret, eller at deres sikkerhedscertifikat er udløbet. Når hængelåsen ser rød ud, og en rød linje rammer, er det en indikation af en af ​​disse ting:

  • hjemmesiden bruger et selvsigneret certifikat, dvs. udstedt af den samme webserver. Dette betyder, at certifikatet ikke er tillid til, fordi certifikatet ikke blev udstedt af en betroet myndighed
  • udløbsdatoen er passeret, og certifikatet er ikke længere gyldigt
  • certifikatet bliver ikke betroet af anden grund og markeres som ugyldigt

Sikkerhed ikke implementeret korrekt

På billedet ovenfor kan du se advarslen, inden du besøger et websted, når browseren anerkender, at det sikre certifikat, der er brugt af et websted, du handler om besøget, er udløbet.

De fleste moderne browsere har denne mulighed for at advare om og ugyldigt certifikat (derfor usikker dataoverførsel), før en bruger kan gå videre mod et usikret websted.

Efter udløbet af certifikatet er alt, hvad du skal gøre, at forny certifikatet fra autoritetsstedet (hvor certifikatet oprindeligt blev hentet fra). Desuden foreslås det, at certifikater slet ikke må udløbe. Et sådant bortfald skaber et dårligt indtryk af et websted på de besøgende.

Et websted siges at have et selvsigneret certifikat, hvis certifikatet oprettes af den samme webserver i stedet for at blive udstedt af en betroet certifikatmyndighed. Dette certifikat er IKKE STILLET.

Browsere stoler kun på SSL-certifikater, der uddeles af betroede certifikatmyndigheder. I alle andre tilfælde viser de en advarsel for websteder, der kører på et selvsigneret certifikat. 

HTTP til HTTPS-migreringscheckliste

Nu hvor vi fuldt ud forstår, hvorfor WordPress HTTPS vil være til gavn for vores side, vil vi forklare detaljeret nedenfor, hvordan vi implementerer det på dit websted. Vi har også en HTTP til HTTPS-migrationscheckliste, som vi angiver nedenfor for at sikre, at du har dækket alle trin relateret til migrering til HTTPS.

Før du starter WordPress sikkert

1.1. SSL-certificeringsindstilling Hent, konfigurer og test TLS-certifikatet ved hjælp af SHA-2 til SSL Server
1.2. Registrering af Google Search Console Registrer begge domæner http & https i Google Search Console sammen med dine www- og ikke-www-versioner. Hvis du også havde registreret individuelle underdomæner eller underkataloger i Google Search Console, skal du replikere denne registrering og konfiguration med deres https-version. Google Search Console
1.3. Overvågning af placeringer Begynd at overvåge placeringen af ​​siderne parallelt med https-domænet Rangsporingssoftware
1.4. Nuværende topsider og identifikation af forespørgsler Identificer de øverste sider - og relaterede forespørgsler - tiltrækker organisk søgesynlighed og trafik, der skal prioriteres ved validering og overvågning af webstedsydelsen Google Search Console og Google Analytics
1.5. Nuværende webcrawling Gennemgå http-webstedet for at identificere og rette eventuelle interne ødelagte links og den aktuelle webstruktur, før du flytter. Iscenesættelsesmiljø
1.6. Ny HTTPS-webindstilling m / opdaterede interne links Indstil den nye webversion til at foretage ændringerne, test & opdater linkene i et mellemstatsmiljø for at pege på URL'erne (sider og ressourcer som f.eks. Billeder, js, pdfs osv.) Med HTTPS Iscenesættelsesmiljø
1.7. Ny HTTPS-webkanonisering Opdater de kanoniske tags, så de inkluderer absolutte URL'er ved hjælp af https på scenemiljøet Iscenesættelsesmiljø
1.8. Ny HTTPS-webkanonisering Kontroller i iscenesættelsesmiljøet, at alle de allerede eksisterende omskrivninger og omdirigeringer (ikke-www vs. www; skråstreg vs. ikke-skråstreg osv.) Også er implementeret i den sikre webversion, da de plejede at arbejde på http-en. Iscenesættelsesmiljø
1.9. Omdirigerer forberedelse Forbered og test de omskrivningsregler, der 301 omdirigerer fra alle de identificerede eksisterende webadresser (sider, billeder, js osv.) På http-domænet til https-en Server
1.10. Ny generering af XML-sitemap Generer et nyt XML-sitemap med webadresserne med sikkerhed implementeret til upload i HTTP'erne Google Search Console-profil, når webstedet er flyttet XML Sitemap Generator
1.11. Robots.txt forberedelse Forbered robots.txt, der skal uploades på https-domæneversionen, når webstedet lanceres, og repliker de eksisterende direktiver til http, men ved at pege på https-URL'erne, hvis det er nødvendigt robots.txt
1.12. Forbered ændringer på alle annoncer, e-mails eller tilknyttede kampagner, så de begynder at pege på https-URL-versionerne, når migrationen er udført Kampagneplatforme Forskellige platforme
1.13. Afvis konfiguration Bekræft, om der tidligere er indsendt nogen afvisningsanmodninger, der skal indsendes igen for de sikre URL-versioner i sin egen Google Search Console-profil Google Search Console
1.14. Geolocation-konfiguration Hvis du migrerer en gTLD, som du geografisk målretter gennem Google Search Console (såvel som dens underdomæner eller underkataloger, hvis du individuelt geografisk målretter dem), skal du sørge for at geografisk målrette dem igen med den sikre domæneversion Google Search Console
1.15. URL-parametre Konfiguration Hvis URL-parametre håndteres via Google Search Console, skal den eksisterende konfiguration replikeres i den sikre webstedsprofil Google Search Console
1.16. Forberedelse af CDN-konfiguration Hvis der bruges et CDN, skal du kontrollere, at de er i stand til at betjene den sikre domæneversion af webstedet korrekt og håndtere SSL, når migrationen er udført CDN-udbyder
1.17. Annoncer og forberedelse af udvidelser fra tredjepart Kontroller, at alle viste annoncer, tredjepartsudvidelser eller sociale plugins, der bruges på webstedet, fungerer korrekt, når dette flyttes til https Annoncer og udvidelsesplatforme
1.18. Web Analytics-konfigurationsforberedelse Sørg for, at den eksisterende Web Analytics-konfiguration også overvåger trafikken på det sikre domæne Web Analytics-platform

Under faktisk migration til et sikkert websted

2.1. HTTPS-webstedsstart Offentliggør den validerede https-siteversion live Produktion Miljø
2.2. Ny HTTPS-version Validering af webstruktur Kontroller, at URL-strukturen på den sikre webstedsversion er den samme som den i HTTP Produktion Miljø
2.3. Ny sikker version intern sammenkædning Kontroller, at webstedslinkene peger effektivt på dets HTTPS-URL'er Produktion Miljø
2.4. Ny kanonisering af HTTPS-version Kontroller, at de kanoniske tags på siderne peger på dens HTTPS-URL'er Produktion Miljø
2.5. Ny kanonisering af HTTPS-version Implementere omskrivninger og omdirigeringer fra www vs ikke-www, skråstreg vs. uden skråstreg osv. I den nye sikre webversion Produktion Miljø
2.6. HTTP til HTTPS omdirigering implementering Implementere 301-omdirigeringer fra hver URL på webstedet fra dets HTTP til HTTPS-version Produktion Miljø
2.7. Web Analytics-konfiguration Kommenter migreringsdatoen i din Web Analytics-platform, og kontroller, at konfigurationen er indstillet til at spore den sikre webversion Web Analytics-platform
2.8. Validering af SSL-serverkonfiguration Bekræft SSL-konfigurationen på din webserver. Du kan bruge tjenester som https://www.ssllabs.com/ssltest/ Produktionsmiljø, SSL-test
2.9. Robots.txt opdatering Opdater robots.txt-indstillingen i https-domænet med de relevante ændringer robots.txt

Efter lancering af HTTPS

3.1. HTTPS-gennemgangsvalidering Gennemgå webstedet for at kontrollere, at de sikre webadresser er dem, der er tilgængelige, linkede og serveres uden fejl, fejlagtige noindexationer & kanoniseringer og omdirigeringer Produktion Miljø
3.2. Validering af nyt HTTPS-websted omdirigerer Bekræft, at reglerne for omdirigering fra http vs. https, www vs. ikke-www & skråstreg vs. ikke-skråstreg er korrekt implementeret Produktion Miljø
3.3. XML-sitemap frigivelse og indsendelse Upload & verificer det genererede XML-sitemap med de sikre URL-versioner i https Google Search Console-profilen Google Search Console
3.4. Officiel opdatering af eksterne links Opdater officielle eksterne links, der peger på webstedet for at gå til den sikre version (Social Media-profiler partnerwebsteder osv.) Officiel tilstedeværelse i eksterne platforme
3.5. Annoncer og validering af udvidelser fra tredjepart Kontroller, at alle plugins som sociale knapper, annoncer og tredjepartskode fungerer korrekt i de sikre URL-versioner. Du kan scanne dit websted for at se efter ikke-sikkert indhold med https://www.jitbit.com/sslcheck/ Annoncer og udvidelsesplatforme, SSL-kontrol
3.6. Kampagner opdaterer udførelse Implementér de relevante ændringer af annoncer, e-mail og tilknyttede kampagner for at henvise korrekt til HTTPS-webversionen Kampagneplatforme
3.7. Overvågning af gennemsøgning og indeksering Overvåg indeksering, synlighed og fejl i både HTTP- og HTTPS-siteversionerne Google Search Console
3.8. Rangordninger og trafikovervågning Overvåg både HTTP- og HTTPS-webstedsversioners trafik og placeringsaktivitet Webanalyse & sporingsplatforme
3.9. Validering af konfiguration af Robots.txt Bekræft robots.txt-indstillingen i det sikre domæne for at sikre, at konfigurationen blev opdateret korrekt robots.txt

 

Denne HTTP til HTTPS-migrationscheckliste blev venligt oprettet og delt med Advanced WP Facebook-gruppen. 

7. Hvordan kan du tilføje sikkerhed til dit WordPress-websted?

Lad os komme ned til det nitty-gritty og få vores hænder beskidte. Der er to måder at opsætte WordPress SSL på:

  • Opsætning af SSL manuelt på dit WordPress-websted
  • Brug af WordPress HTTPS Plugin

Sådan får du et sikkert certifikat

Først og fremmest skal du på en eller anden måde erhverve et SSL-certifikat.

Der er forskellige måder at gøre dette på, men den nemmeste måde at gøre dette på er via din hosting-server.

På InMotion-hosting kan du købe certifikatet og alt det, du har brug for med det direkte via AMP-konsollen (Account Management Panel). Det gode er, at de vil støtte dig meget pænt, hvis du ikke ønsker at gøre dine hænder beskidte.

Køb SSL-certifikat

Inkluderet i prisen på $ 99 / år er prisen på den krævede dedikerede IP. Der er et engangsgebyr på $ 25, da certifikatet skal installeres på den server, der driver dit websted.

Dette gebyr kan fraviges, hvis du har direkte adgang til serveren og selv kan installere certifikatet.

Hvis du har en Virtual Private Server, er det meget let at installere certifikatet manuelt. Vi har dokumenteret trinene i vores InMotion VPS gennemgang, så vi går ikke igennem det igen.

Detaljer om køb af dedikeret SSL-certifikat

Hvis du ikke er vært for InMotion (hvorfor ikke? Ved du ikke, at deres servere er hurtigere og deres support bedre?), Vil proceduren være ens.

Prøv InMotion Hosting nu

Når certifikatet er købt og installeret, skal du nu aktivere WordPress SSL / TLS.

Brug af Let's Encrypt som en certifikatmyndighed

Sikkerhedskopieret i denne artikel nævnte vi, at sikre certifikater udstedes af det, der kaldes en certifikatmyndighed. Dette er et organ, der kan "certificere", at den server, hvor du har installeret dit certifikat, virkelig er den, den hævder at være. Dette involverer naturligvis noget arbejde, og typisk vil du blive opkrævet noget for dette arbejde.

Lad os kryptere er en ny certifikat myndighed der ønsker at gøre det lettere for alle at erhverve et sikkert certifikat ved at gøre processen med at erhverve et certifikat automatiseret og gratis.

Dette er i det væsentlige en myndighed, der drives af en række virksomheder kaldet Internet Security Research Group, herunder store navne som Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook og masser af andre, der ønsker at gøre processen med at erhverve et sikkerhedscertifikat: Gratis, automatiseret, sikker, gennemsigtig, åben og kooperativ.

Hvorfor vil disse virksomheder give dig ting gratis? Fordi et sikkert og sikrere internet er et ønskeligt mål for alle.

Selv om det kan være relativt let, er det stadig en teknisk procedure at få certifikatet på plads. Imidlertid har de fleste webhostingfirmaer i disse dage integreret funktionaliteten således, at det for de fleste virksomheder at erhverve et Let's Encrypt-certifikat er et spørgsmål om at klikke på en knap, og certifikatet oprettes og oprettes.

Oprettelse af et sikkert certifikat manuelt ved hjælp af Let's Encrypt

(Du kan springe denne del over, hvis du ikke planlægger at oprette dit eget Let's Encrypt Certificate og erhverver det via din hosting-server)

Du har brug for direkte eller shell root-adgang til din server for at kunne køre følgende procedure.

1. Installer Let's Encrypt-biblioteket på din server

Kør følgende kommando for at installere Let's Encrypt-biblioteket

$ sudo git klon https://github.com/letsencrypt/letsencrypt / Opt / letsencrypt

Denne kommando downloader og kopierer LetsEncrypt-arkivet til dit / opt-bibliotek.

2. Generer et sikkert certifikat

Den bedste måde at generere et certifikat på er at bruge den enkeltstående metode med en nøglestørrelse på 4096 (som er meget freaking stærk).

$ ./letsencrypt-auto certonly --standalone --rsa-key-size 4096

Så snart du kører denne kommando, vises et vindue, der beder dig om domænenavnet. Det anbefales, at du indtaster både dit roddomæne og andre underdomæner, som du planlægger at bruge certifikatet med.

lader kryptere generere certifikat

Det næste trin er at læse og acceptere servicevilkårene for Lad os kryptere. Når du er enig, kan du se stien til .pem-filen. Det vil være placeret i / etc / letsencrypt / live / dit-domænenavn /. Hvis du støder på fejl under oprettelsen af ​​certifikatet, kan du kontrollere din firewall-konfiguration, fordi der kræves et antal forbindelser for at oprette certifikaterne.

Det genererede certifikat udløber om 90 dage og skal fornyes hver 90. dag. Dette er lidt af et negativt og positivt punkt. Du kan finde årsagerne til, at der anvendes 90-dages certifikater her. For at forny certifikatet skal du bare køre Let's Encrypt-fornyelseskriptet.

Det kan være en god idé at skrive et cron-job til automatisering af processen.

Dette er især vigtigt, hvis du har en tendens til at glemme dette. Når dit certifikat udløber, ser du den fugly røde advarsel vist ovenfor, så du vil måske huske dette.

Trin 3: Generer en stærk offentlig nøgle-kryptografisikkerhed ved hjælp af en Diffie Hellman Group

For yderligere at øge sikkerheden skal du også generere en stærk Diffie-Hellman-gruppe. Brug denne kommando til at generere en 4096-bit gruppe:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096

Dette kan tage et stykke tid, men når det er gjort, har du en stærk DH-gruppe på /etc/ssl/certs/dhparam.pem

Nu hvor du har et certifikat, skal du installere dette på din webserver via SSL / TLS-funktionen i CPanel eller hvad som helst dit hostingfirma bruger.

ssl tls cpanel

Hvis denne procedure skræmmer dig, skal du huske, at de fleste af disse ting i disse dage er fuldautomatiske på de fleste værter.

 

8. Sådan opsættes din WordPress til at bruge SSL (eller TLS) og HTTPS (den manuelle måde)

Når du har et sikkert certifikat og har installeret det eller gjort det tilgængeligt på den server, hvor du er vært for dit websted, skal du udføre de næste trin for at aktivere HTTPS på WordPress.

Det allerførste trin, der skal gøres, er at inkorporere HTTPS på dit websted for at opdatere webadressens websted. For at gøre dette skal du gå ned til Indstillinger → Generelt, og der kan du opdatere dit WordPress- og websteds-URL-felt.


Opdater URL til at bruge WordPress SSL

Hvis du har et eksisterende websted og aktiverer SSL, skal du også indstille en 301-omdirigering, der tvinger alle HTTP-anmodninger til at blive serveret sikkert. Dette vil også sikre, at ingen af ​​dine eksisterende links fra eksterne websteder går tabt, mens de heller ikke mister nogen linkjuice.

Dette kan gøres ved at tilføje nedenstående kodestykke i dine websteder .htaccess-fil, som du kan få adgang til via din CPanel File Manager.

RewriteEngine On RewriteCond% {SERVER_PORT} 80 RewriteRule ^ (. *) $ Https://www.yourwebsitehere.com/$1 [R = 301, L]

Du kan se, at dette er en 301-omdirigering, som vil sikre, at du ikke mister nogen linkjuice. Sørg for, at du har erstattet yourwebsitehere.com med webadressen på dit websted.

Ovenstående tvinger din server til at betjene indhold sikkert. Bare som et bemærkningspunkt bliver alle URL'er under hoveddomænet konverteret til HTTPS ved hjælp af ovenstående. Så et af dine gamle links på lad os sige http: // www.collectiveray.com/wordpress/ville automatisk blive https: // www.collectiveray.com/wordpress/ 

For dem, der er på Nginx-servere, skal du tilføje HTTP-omdirigering nedenfor for at konvertere den til HTTPS:

server {lyt 80; servernavn websitename.com www.websitename.com; returner 301 https: //websitename.com$request_uri; }

Følgende trin hjælper dig med at sikre, at alt indholdet på webstedet serveres sikkert.

Konfigurer en sikker administrator

Du kan konfigurere tvang af en sikker WordPress-administrator (dvs. administrationsdelen af ​​dit websted eller / wp-admin) via din wp-config.php-fil. Hvis du ønsker at tvinge sikkerhed til et WordPress-websted, der har login-sider på flere sider eller i admin-området, er alt hvad du behøver at tilføje følgende kodestykke til wp-config.php-filen. 

definere ('FORCE_SSL_ADMIN', sandt);

Det er for det meste det, du skal nu være i stand til at få adgang til din WordPress-administrator sikkert!

9. Implementer HTTPS ved hjælp af WordPress SSL-plugins

En anden nem måde at oprette SSL på dit websted er at gøre brug af et WordPress SSL-plugin.

Brug af Really Simple SSL plugin

really simple ssl plugin

Det valgte plugin til aktivering af WordPress HTTPS på dit websted er Really Simple SSL plugin. Det er et meget pænt skrevet plugin af Rogier Lankhorst. Det fantastiske ved dette plugin er, at det fjerner al den kompleksitet, der er forbundet med at aktivere sikre certifikater på dit websted.

Virkelig og sandt er dette et SSL-aktiverings plugin med et enkelt klik. 

Når du har erhvervet SSL-certifikatet ved hjælp af en af ​​metoderne beskrevet ovenfor, og installeret det på din server, skal du bare installere og Aktivere i Really Simple SSL plugin, og det vil gøre resten af ​​arbejdet for dig.

Det gør faktisk en hel del arbejde under emhætten for at løse de mest kendte problemer med aktivering af HTTPS på dit websted. Det tager hensyn til opsætningen af ​​serveren og udfører alle ændringer efter behov, så du ikke behøver at rode med noget selv.

Nedenfor er et screenshot af pluginet efter aktivering - det har gjort noget arbejde og registreret, at der allerede er et certifikat installeret på serveren.

Som du kan se, kan du nu bare klikke på "Aktiver SSL" og du er færdig! 

WordPress SSL-detektion af SSL-certifikat

Når dit websted er blevet konverteret til SSL, kan du se på indstillingerne eller scanne efter eventuelle problemer og problemer, som det kan ses i skærmbilledet her nedenfor. 

Pluginet forsøger derefter at løse eventuelle fundne problemer.

Dette plugin er din one-stop shop for at aktivere SSL.

really simple ssl scanne for problemer

 

Andre plugins for at aktivere SSL

Naturligvis er ovenstående ikke det eneste plugin, som du kan bruge til at aktivere sikre certifikater. Følgende er et antal andre muligheder, som du måske vil bruge. Begge to når i sidste ende det samme mål om at aktivere HTTPS på dit WordPress-websted.

  • Nem HTTPS omdirigering
  • SSL Zen - dette er et nyt plugin, det hjælper dig faktisk med at oprette Let's Encrypt-certifikatet gennem selve pluginet 

10. Test af den korrekte sikre certifikatopsætning af dit websted 

For at sikre, at dit websted er fuldt konfigureret, anbefaler vi, at du tester dit websted ved hjælp af dette SSL SEO-kontrol værktøj, der kontrollerer, om du har den anbefalede WordPress SSL-opsætning.

Når testen er kørt, får du en SSL-rapport svarende til følgende:

ssl rapport collectiveray 

11. Glem ikke at forny dit sikre certifikat

Et udløbet certifikat er et dødt certifikat.

Hvis et certifikat udløber, kan du ikke forny det.

Du er nødt til at få en ny genudstedt og geninstallere den på dit websted. Det er selvfølgelig mere hovedpine, end du virkelig har brug for, så husk at huske at forny det, før det udløber.

Dette skete med os på årsdagen for at få vores første sikre certifikatopsætning. Det er ikke en behagelig situation at pludselig se AL din trafik gå til nul. Folk er meget forsigtige med at komme videre end et udløbet certifikat, så det trafikhit, du får, bliver enormt.

Vi foreslår, at du opretter en påmindelse et par uger før udløbet.

Du er blevet varm. Udløbne certifikater er meget arbejde, så glem ikke at forny det.

Vil du tage den nemme vej ud?

Selvom vi får det til at se simpelt ud, er der selvfølgelig tidspunkter, hvor ting ikke går som du forventer, så sørg for at have dine supportnumre ved hånden, bare hvis det hele går galt, mens du opsætter din WordPress SSL-funktionalitet .

Hvis du vil tage den nemme vej ud, skal du bare få InMotion til at indstille det hele for dig. Du får et hurtigere websted, udover at det drives af SSL. Du får også et gratis domæne, og de overfører siden til dig. CollectiveRay besøgende får også en EKSKLUSIV 47% rabat på normalprisen, så tag dig selv et godt tilbud NU.

Dette er et tidsbegrænset tilbud indtil oktober 2021, så få det inden tilbuddet udløber.

Ofte stillede spørgsmål

Har WordPress SSL?

WordPress understøtter SSL både på front-end og på backend. For at aktivere det skal du erhverve et certifikat enten ved at købe et eller bruge Let's Encrypt via dit hostingfirma og få det installeret på serveren. Når certifikatet er installeret, kan du aktivere HTTPS ved hjælp af en af ​​metoderne ovenfor, f.eks. Ved hjælp af Really Simple SSL plugin.

Hvordan aktiverer jeg SSL i WordPress?

For at aktivere SSL i WordPress er den nemmeste metode at bruge et plugin som f.eks Really Simple SSL. Dette bruger det certifikat, der aktuelt er konfigureret til domænet, så sørg for, at det sikre certifikat allerede er blevet installeret, før du aktiverer det.

Hvordan får jeg gratis SSL på WordPress?

For at få gratis SSL på WordPress skal du bruge Let's Encrypt-funktionaliteten, der er tilgængelig på din hosting-server. Dette udsteder et gratis sikkert certifikat og installerer det på dit domæne. De fleste hostingfirmaer tilbyder denne funktionalitet i dag, du kan bruge InMotion til at gøre dette.

Hvad er forskellen mellem HTTP og HTTPS?

Forskellen mellem HTTP og HTTPS er, at sidstnævnte transmitteres over en sikker kanal. Det sikre certifikat, der er installeret på serveren, krypterer meddelelser, inden de sendes på en måde, der kun kan dekrypteres af den browser, der startede forbindelsen. Dette betyder, at følsomme data som f.eks. Logning på et websted ved hjælp af et brugernavn / adgangskode, indsendelse af følsomme data såsom afsendelse af kreditkortoplysninger eller andre data kan sendes sikkert og sikkert.

Konklusion: HTTPS er et must

Som du måske har set, er implementeringen af ​​HTTPS eller SSL ikke altid ligetil, men det er vigtigt. Google har for nylig meddelt, at de vil mærke websteder som IKKE SIKKER, hvis de ikke er SSL-aktiverede. Så sørg for at få dette opsætning på dit websted i dag.

 

Om forfatteren
David Attard
Forfatter: David AttardInternet side: https://www.linkedin.com/in/dattard/
David har arbejdet i eller omkring online / digital industri i de sidste 18 år. Han har stor erfaring inden for software- og webdesignindustrien ved hjælp af WordPress, Joomla og nicher, der omgiver dem. Som digital konsulent er hans fokus på at hjælpe virksomheder med at få en konkurrencemæssig fordel ved hjælp af en kombination af deres hjemmeside og digitale platforme, der er tilgængelige i dag.

En ting mere... Vidste du, at folk, der deler nyttige ting som dette indlæg, også ser FANTASTISKE ud? ;-)
Vær venlig forlade a nyttigt kommenter med dine tanker, så del dette på din Facebook-gruppe (r), der ville finde det nyttigt, og lad os høste fordelene sammen. Tak fordi du delte og var god!

Afsløring: Denne side kan indeholde links til eksterne websteder for produkter, som vi elsker og helhjertet anbefaler. Hvis du køber produkter, vi foreslår, tjener vi muligvis et henvisningsgebyr. Sådanne gebyrer påvirker ikke vores anbefalinger, og vi accepterer ikke betalinger for positive anmeldelser.

Forfatter (e) Fremhævet den:  Inc Magazine-logo   Sitepoint-logo   CSS Tricks-logo    webdesignerdepot logo   WPMU DEV-logo   og mange flere ...