Þú gætir velt því fyrir þér hvers vegna verðum við að innleiða WordPress SSL / TLS eða virkja WordPress á HTTPS? Áður en við byrjum á því verðum við að gefa smá sögu.
Með 3.9 milljarða notenda sem nota internetið (og vaxa á hverjum degi) og 1.7 milljarða vefsíðna á internetinu getum við vissulega sagt að internetið hafi komið fram sem annað heimili okkar - það sem áður var þekkt sem „að fara á netið“ er í raun ekki rétt lengur. Við erum alltaf tengd, alltaf á. Facebook hefur vaxið í meira en 2.5 milljarða virka notendur mánaðarlega. Við töluðum áður um „sýndar“ en internetið er orðið eins raunverulegt og raunverulegt getur orðið, hluti af daglegu lífi okkar.
Þessi tölfræði er einfaldlega yfirþyrmandi! Og það er nákvæmlega engin merki um að það hægi á sér. Þar sem nýríki fá aðgang að ódýru interneti munu tölurnar hljóta að vaxa um ókomna framtíð.
WordPress hefur vissulega vaxið frá hógværum byrjun sem blogg. Og þegar þú ert með svo marga sem eru að heimsækja eina af WordPress síðunum þínum, verður það skylda að bjóða upp á mjög öruggan vettvang sem skerðir ekki öryggi þeirra.
Í færslunni í dag, hluti af röð okkar upplýsandi WordPress námskeiða (sem þú getur séð á valmyndinni okkar), munum við leiðbeina þér hér að neðan um ýmsar leiðir sem þú getur innleitt WordPress SSL / TLS eða WordPress HTTPS á vefsíðu þinni.
Hliðar athugasemd: hluti af lestri og vinnu sem fylgir þessari grein er mjög tæknileg og krefst þekkingar verktaki. Ef þú vilt ráða WordPress verktaki skoðaðu greinina sem er tengd til að læra um alla hluti sem þú þarft að huga að áður en þú ræður verktaki.
Þarftu hjálp við að tryggja vefsíðuna þína? Prófaðu þessi vinsælustu tónleikar á Fiverr!
Ýttu hér að finna sérfræðinga um setja upp WordPress örugg skírteini.
1. Fyrstu hlutirnir fyrst. Er það SSL eða TLS? Eða HTTPS?
Sannarlega og sannarlega, í dag ætti það að vera TLS (sem er skammstöfun fyrir Transport Layer Security).
Þetta er vegna þess að TLS er nýjasta útgáfan af öruggum vottorðum sem nota á. Upprunalega var heiti öryggisflutninga sem notaður var SSL (Secure Sockets Layer).
Þó að í raun sé TLS notað í dag vísa flestir til öruggra vottorða sem SSL vottorða. Strangt til tekið ættum við aðeins að kalla þau örugg skírteini.
HTTPS þýðir HTTP skilað yfir Secure samskipti. HTTPS er í dag útfært með því að nota örugg vottorð yfir TLS.
2. Hlutverk öruggra vottorða og hvernig það passar við WordPress öryggi
SSL er skammstöfun sem stendur fyrir Secure Sockets Layer og er tækni sem notuð er til að framkvæma örugg samskipti yfir netkerfi.
Þetta örugga flutningsform er náð með því að búa til dulkóðaðan tengil milli viðskiptavinarvélar og netþjóns. Í flestum tilfellum væri um að ræða vefþjón og viðskiptavinavafra sem vefsíða verður birt á; eða ef um er að ræða póstþjóna eins og MS Outlook myndast tenging við netþjóninn.
Örugga vottorðið er venjulega gefið út af vottunaryfirvöldum eins og Comodo SSL. Þetta þýðir að miðlæg, traust yfirvald „ábyrgist“ fyrir þjóninn. Í meginatriðum, þegar vefþjónninn dulkóðar skilaboð, „undirrita“ þeir það til að staðfesta áreiðanleika þess með vottorði frá yfirvaldinu.
Vafrinn athugar síðan undirskriftina og staðfestir að undirskriftin sé frá „treyst“ yfirvaldi. Ef vottorðinu er treyst, næst örugg samskipti milli viðskiptavinarins og netþjónsins.
Vottorðið er síðan notað til að afkóða skilaboðin og lesa innihald þeirra.
Þetta gerir kleift að eiga örugg samskipti, sem þriðju aðilar geta ekki lesið. Þetta gefur notendum grænt ljós á að treysta því að trúnaðargögnin sem þeir eru að senda um internetið svo sem bankaskilríki, innskráningarskilríki, kennitala, rafræn viðskipti, upplýsingar um kreditkort og önnur trúnaðarmál komi örugglega á vefsíðuna þar sem þau verða afgreitt.
Vegna þess að í raun og veru er vandamálið „traust“ ekki á vefsíðunni, heldur samskiptin milli vefsíðunnar og viðskiptavinarins.
Fyrir þessa tækni, eða þegar vefsíða notar HTTP eingöngu til samskipta, ekki svo háþróað, yrðu gögn send sem óbreyttur texti. Þetta náði því viðkvæmir fyrir illgjarnri árás - sem gátu lesið gögnin og auðvitað notað þau af illgjarnri ástæðu. Til dæmis gæti innskráningarskilríkjum verið stolið til að taka yfir vefsíðu eða kreditkortagögn gætu lesið og notað til að kaupa efni með sviksamlegum hætti.
Eftirfarandi myndband er góð útskýring á því hvað SSL er og hvers vegna þú þarft að láta útfæra það á vefsíðunni þinni.
3. Hvers vegna ættir þú að þjóna vefsíðu þinni á öruggan hátt?
Vefsíðueigendur sem ekki hafa innleitt HTTPS eru næmir fyrir „snuð“.
Þar sem vefþjónninn er ófær um að dulkóða umferðina sem send er í vafrann geta ÖLL gagnasamskipti, þ.mt öll trúnaðargögn, lesið mjög auðveldlega af tölvuþrjótum. Í meginatriðum er hægt að lesa öll gögn sem fara á milli viðskiptavinarins og netþjónsins. Ef þú ert að skrá þig inn á vefsíðu er hægt að lesa heimildir þínar. Ef þú sendir kreditkortaupplýsingar er hægt að stela þeim.
Ef þú ert að senda einhver trúnaðargögn er hægt að lesa þetta ef þú framkvæmir ekki öryggi vefsíðu með öruggum skilríkjum.
Ef þú framkvæmir ekki fulla dulkóðun verður vefsíðan þín næm fyrir því sem kallað er maður í miðárásinni. Lestu meira um þetta á Wikipedia. Verkfæri eins og Wirehark (ókeypis tól og hægt að hlaða niður og nota af hverjum sem er) gera það mjög auðvelt að lesa umferð um internetið og tölvuþrjótar setja upp alla innviði til að lesa ódulkóðuð gögn.
Hér að neðan er skjáskot af Wireshark að lesa lykilorð sent með HTTP:
Skaðlegir notendur hafa verkfæri eins og ofangreint sem geta leitað að sérstökum mynstrum, svo sem kreditkortanúmer, upplýsingar um almannatryggingar, lykilorð og önnur gögn sem eru þeim dýrmæt.
Á hinn bóginn, ef þú innleiðir HTTPS á WordPress, hefur þú sett upp dulkóðunarkerfi sem veitir nokkra öryggisávinninga svo sem heiðarleika, sjálfsmynd og umfram allt trúnað.
Það gerir netþjóninum og vafranum aðeins kleift að afkóða textann sem sendur er yfir samskiptarásina. Það fullyrðir hvort gögnin séu óskemmd og þeim hafi ekki verið breytt til að tryggja heiðarleika gagnanna (þ.e. að ekki hafi verið átt við þau).
4. HTTPS og SEO
Vefsíður sem innleiða HTTP fá stigahækkun í leitarvélum.
Google á bloggi sem ber yfirskriftina „HTTPS sem röðunarmerki.“ tilkynnti að það muni veita þeim vefsíðum forskot sem nýta sér þessa öruggu tækni.
Þetta gerir mikilvægi þess að innleiða það á vefsíðuna þína, það miklu hærra. Annars er vefsíðan þín í óhag miðað við keppinauta sem hafa innleitt HTTPS.
Google vill að öryggi sé veitt ítrustu athygli og forgang. Fyrirtækið hefur lagt áherslu á að ganga úr skugga um að fulls öryggis sé beitt í allri greininni. Þetta tryggir að netnotendur sem nota Google leitarvélina og aðrar þjónustur hennar fá að hafa örugg samskipti yfir alla þjónustu.
Þeir hafa einnig komið með hugmyndina „HTTPS alls staðar“ til að stuðla að tilfinningu um aukið internetöryggi.
Þetta dugði þeim þó ekki. Þar sem þeir hafa svo mikið álag bættu þeir við SSL sem röðunarmerki fyrir SEO og fremstur leitarvéla.
Ef vefsvæðið þitt innleiðir HTTPS mun það hafa forskot á þær vefsíður sem ekki framkvæma það (þar sem öll önnur röðunarmerki eru jöfn).
Lestu meira: WordPress gátlisti SEO á síðunni: 19 skref fyrir skref leiðbeining til að auka umferð.
Mun flutningur úr HTTP í HTTPS skaða fremstur mína?
Margir velta því fyrir sér hvort breytingin úr HTTP í HTTPS muni skaða núverandi lífræna stöðu þeirra. Í ljósi þess að HTTP og HTTPS útgáfur vefsíðu eru taldar ólíkar, þýðir það þá að allar bakslag á http: // útgáfu síðunnar glatist?
Það er mjög gild áhyggjuefni.
Þú hefur unnið mikið að því að fá dýrmæta bakslag og að tapa þeim þýðir að þú færð smá stigahækkun, en missir stærra röðunarmerki sem kemur frá tenglum.
Hins vegar, eins og þú munt sjá lengra á, munum við framkvæma 301 tilvísun. Þetta þýðir að netþjónninn sem áður bjó hér hefur flutt sig til frambúðar á nýjan stað.
Google skilur 301 tilvísun þýðir: „Halló Google - þetta er enn ég, en ég er nú fluttur á nýtt heimilisfang til frambúðar“. Hvað það þýðir er að þú munt ekki tapa neinum af umferðinni þinni, backlinks eða krækjasafa.
Þú gætir viljað lesa aðeins meira um 301 beiðni á vefsíðu Moz. Þú munt komast að því að þeir munu koma með nákvæmar tillögur okkar.
Það eina sem vefsíðan okkar missti þegar vísað var á örugga vefslóð vefsins okkar var okkar Fjöldi félagshluta.
Þetta er vegna þess að Facebook og flestir aðrir hlutabréfamiðlarar meðhöndla https: // www.collectiveray.com og https: // www.collectiveray.com sem tvær gjörólíkar vefslóðir. Þetta er eitthvað sem þú verður líklega að lifa með. Í raun og veru, því fyrr sem þú gerir þetta því fljótlegra ertu að byrja að afla nýrra hlutabréfa á tryggðu heimilisfangi þínu.
Við höfum gert þetta á mörgum stöðum auk þess CollectiveRay, og það hafði aldrei neikvæð áhrif á sæti eða umferð. Svo lengi sem þú framkvæmir rétta uppsetningu ættirðu ekki að hafa áhyggjur af þessu.
UPDATE: Nýlega hefur Google staðfest að 301 tilvísanir frá HTTP til HTTPS tapa nákvæmlega engum hlekkjasafa. Þetta er vegna þess að auðvitað er ekki skynsamlegt að fá refsingu fyrir að skipta yfir í eitthvað sem Google er talsmaður.
5. Hvað annað þarf ég að gera eftir að ég virkja SSL?
Ef þú vilt ganga úr skugga um að þú sendir sterk skilaboð til Google um að vefsvæðið þitt hafi raunverulega flutt, er tilvalin leið til að gera þetta í gegnum Google leitartölvuna.
Bættu einfaldlega við síðuna þína eins og um nýja síðu á Google leitartölvunni væri að ræða.
Auðvitað gæti þetta þýtt að þú tapar sumum hlutum eins og skipulögðum gögnum og þú þarft að senda inn vefkortin þín aftur. Nonetheless, við teljum að þetta sé mjög sterk vísbending fyrir Google um að þetta sé gild og fullkomlega samþykkt flutningur.
6. Að vinna traust með öryggi
Eins og þú þekkir líklega þegar, munu sumar vefsíður sýna græna stiku í vafranum. Þetta táknar að vefsíðan hefur innleitt örugg samskipti.
Þú getur séð mjög skýrt dæmi um þetta á Paypal vefsíðunni.
Hvernig geturðu athugað hvort vefsíðan þín sé vernduð eða ekki?
Til að athuga hvort vefsíða sé SSL varin eða ekki geturðu athugað hvort forskeytið https: // birtist fyrir framan slóðina í stað venjulegs http: //.
Burtséð frá þessu, getur þú líka fundið hengilás sem er til staðar í veffangasvæðinu áður en vefsíðan hefst.
Myndin sem sýnd er hér að ofan gefur til kynna að vefsíða hafi viðurkennt SSL vottorð, en útliti hengilásar er mismunandi frá vafra til vafra. Þessar vefsíður sem keypt hafa framlengt löggildingarvottorð munu sýna algjörlega græna veffangastiku eða nafn fyrirtækisins birtist fyrir slóðinni.
Útbreidd löggildingarvottorð eru nokkuð dýr í innkaupum og útfærslum vegna þess að þau þurfa fjölda líkamlegra athugana til að staðfesta að vefþjónninn tilheyri í raun fyrirtækinu sem er að innleiða það.
Fyrir þá sem eru að nota Safari sjá þeir að grænt letur er notað til að tákna að fyrirtækið sé að nota EV vottorð.
Eftirfarandi dæmi er EV vottorð notað fyrir Safari vafrann. Hér hefur veffangastikan ekki grænan bakgrunn eins og aðrir vafrar. Þess í stað hafa þeir valið að nota grænt letur.
Útvíkkuð löggildingarvottorð bjóða upp á aukið öryggi sem sést á nafninu.
EV-vottorð er gefið út til fyrirtækis sem hefur hreinsað öll skref í löggildingarferlinu. Slík lagaleg formsatriði eins og að færa sönnur á heimilisfang og aðgang að tilteknum skrám á netþjóni er nauðsynleg til að ljúka lagalegri heimild. Það eru líka allnokkur önnur löggilding sem fyrirtæki þyrfti að gangast undir, til að fá gilt Extended Validation vottorð, en þetta er utan gildissviðs þessarar greinar.
Þú getur lesið meira um Útvíkkuð löggildingarvottorð hér.
Með því að innleiða WordPress HTTPS er þriðja aðila fyrirtæki í raun að staðfesta og staðfesta að vefþjónninn sé sá sem hann segist vera. Þessi stofnun er kölluð útgefandi skírteinisins - einnig kölluð traust skírteini.
Hvað gerist þegar örugg skírteini hætta að virka
Með því að nota ofangreindar vísbendingar geta menn vitað hvort örugg skírteini þeirra virka eða ekki.
Sömuleiðis geta notendur fljótt skilið að umferð vefsíðu er ekki dulkóðuð eða að öryggisvottorð þeirra er útrunnið. Þegar hengilásinn birtist rauður og rauð lína slær er það vísbending um einn af þessum hlutum:
- vefsíðan er að nota sjálfundirritað skírteini, þ.e. gefið út af sama netþjóni. Þetta þýðir að vottorðinu er ekki treyst því vottorðið var ekki gefið út af traustum yfirvöldum
- fyrningardagurinn er liðinn og skírteinið er ekki lengur í gildi
- vottorðið verður ótraust af öðrum ástæðum og er merkt sem ógilt
Á myndinni hér að ofan geturðu séð viðvörunina áður en þú heimsækir vefsíðu þegar vafrinn viðurkennir að örugga vottorðið sem notað er af vefsíðu sem þú ert um heimsóknina er útrunnið.
Flestir nútíma vafrar hafa þennan möguleika að vara við og ógilt vottorð (því óörugg gagnaflutningur) áður en notandi getur haldið áfram í átt að ótryggðu vefsvæði.
Eftir að vottorðið er útrunnið er allt sem þú þarft að gera að endurnýja vottorðið frá yfirvaldinu (þar sem vottorðið var upphaflega fengið). Ennfremur er lagt til að skírteini megi alls ekki renna út. Slík brottfall skapar slæma mynd af vefsíðu á gestina.
Sagt er að vefsíða hafi sjálfundirritað skírteini ef skírteinið er búið til af sama netþjóninum í stað þess að vera gefið út af traustri skírteinisstofnun. Þetta vottorð er EKKI TRÚAÐ.
Vafrar treysta eingöngu SSL vottorðum sem eru afhent af traustum vottunaraðilum. Í öllum öðrum tilvikum sýna þeir viðvörun fyrir vefsíður sem eru keyrðar á sjálfundirrituðu skírteini.
HTTP í HTTPS flutningalista
Nú þegar við skiljum að fullu hvers vegna WordPress HTTPS mun gagnast vefnum okkar, munum við útskýra ítarlega hér að neðan hvernig á að útfæra það á vefsíðu þinni. Við höfum einnig HTTP til HTTPS gátlista sem við töldum upp hér að neðan til að tryggja að þú hafir farið yfir öll skrefin sem tengjast flutningi yfir í HTTPS.
Áður en WordPress hleypir af stokkunum á öruggan hátt
| 1.1. | SSL vottunarstilling | Fáðu, stilltu og prófaðu TLS vottorðið með SHA-2 fyrir SSL | Server |
| 1.2. | Google Search Console Skráning | Skráðu bæði lénin http og https í Google Search Console ásamt www og non-www útgáfunum þínum. Ef þú hafðir einnig skráð einstök undirlén eða undirskrár í Google leitartölvuna, endurtaktu þá skráningu og stillingar með https útgáfunni. | Google leitartól |
| 1.3. | Eftirlit með fremstur | Byrjaðu að fylgjast með röðun vefsins samhliða https léninu | Röðunarhugbúnaður |
| 1.4. | Núverandi helstu vefsíður og auðkenni fyrirspurna | Þekkja efstu síður - og tengdar fyrirspurnir - laða að lífræna leitarsýnileika og umferð sem þarf að forgangsraða þegar löggilding og eftirlit með frammistöðu vefsvæðisins er | Google leitartölvan og Google Analytics |
| 1.5. | Núverandi vefskrið | Skrið http síðuna til að bera kennsl á og laga allar innri brotnar krækjur og núverandi vefuppbyggingu áður en þú ferð. | Sviðsetningarumhverfi |
| 1.6. | Ný HTTPS vefstilling með uppfærðum innri tenglum | Settu nýju vefútgáfuna til að gera breytingarnar, prófaðu og uppfærðu krækjurnar á sviðsetningarumhverfi, til að benda á slóðirnar (síður og heimildir eins og myndir, js, pdfs o.s.frv. Líka) með HTTPS | Sviðsetningarumhverfi |
| 1.7. | Ný HTTPS vefskipting | Uppfærðu kanónísk merki þannig að þau innihaldi algerar slóðir með því að nota https á sviðsumhverfinu | Sviðsetningarumhverfi |
| 1.8. | Ný HTTPS vefskipting | Staðfestu í sviðsetningarumhverfinu að öll umritunar- og tilvísunarhegðun sem fyrir er (ekki www vs. www; skástrik vs skástrik osfrv.) Eru einnig útfærð í öruggri vefútgáfu eins og áður fyrr á http | Sviðsetningarumhverfi |
| 1.9. | Beinir undirbúningi | Undirbúið og prófið endurskrifunarreglurnar sem munu 301 beina frá öllum skilgreindum núverandi vefslóðum (síðum, myndum, js osfrv.) Á http léninu til https | Server |
| 1.10. | Ný kynslóð XML sitemap | Búðu til nýtt XML vefkort með vefslóðum með öryggi innleitt til að hlaða inn í HTTP-prófíl Google leitartækisins þegar vefurinn er færður | Rafall XML sitemap |
| 1.11. | Robots.txt undirbúningur | Undirbúið robots.txt sem hlaðið verður upp í https lénútgáfuna þegar vefurinn er settur í gang og endurtekið núverandi tilskipanir fyrir http en með því að benda á https slóðirnar ef nauðsyn krefur | robots.txt |
| 1.12. | Búðu til breytingar á auglýsingum, tölvupósti eða tengdum herferðum til að byrja að benda á https URLs útgáfur þegar flutningi er lokið | Herferðarpallar | Ýmsir pallar |
| 1.13. | Hafna stillingar | Staðfestu hvort einhverjar frávísunarbeiðnir hafi verið sendar inn áður sem þarf að senda aftur fyrir öruggar vefslóðarútgáfur í eigin Google Search Console prófíl | Google leitartól |
| 1.14. | Uppsetning landfræðilegrar staðsetningar | Ef þú ert að flytja gTLD sem þú ert að miða í gegnum Google leitartölvuna (sem og undirlén eða undirmöppur, ef þú miðar þeim sérstaklega), vertu viss um að landmarka þau aftur með öruggri lénútgáfu | Google leitartól |
| 1.15. | Vefslóðir Færibreytur Stillingar | Ef breytur á vefslóðum eru meðhöndlaðar í gegnum Google leitartölvuna ætti að endurtaka núverandi stillingar í örugga vefsíðuprófílnum | Google leitartól |
| 1.16. | CDN stillingar undirbúningur | Ef CDN er notað skaltu ganga úr skugga um að þeir geti þjónað öruggu lénútgáfu síðunnar og séð um SSL þegar flutningi er lokið | CDN veitandi |
| 1.17. | Auglýsingar og undirbúningur viðbóta frá þriðja aðila | Staðfestu að allir birtir auglýsingakóðar, viðbótir frá þriðja aðila eða félagsleg viðbætur sem notaðar eru á vefnum virki rétt þegar þetta er fært á https | Auglýsingar og viðbyggingarpallar |
| 1.18. | Undirbúningur stillingar vefgreiningar | Gakktu úr skugga um að núverandi Web Analytics stillingar muni einnig fylgjast með umferð örugga lénsins | Vefgreiningarvettvangur |
Við raunverulegan flutning á örugga vefsíðu
| 2.1. | HTTPS síða ræst | Birtu fullgilda https-síðuútgáfuna í beinni | framleiðsla Umhverfi |
| 2.2. | Ný HTTPS útgáfa Vefgerð uppbyggingar | Staðfestu að vefslóðaskipan á öruggri vefsíðuútgáfu sé sú sama og sú sem er í HTTP | framleiðsla Umhverfi |
| 2.3. | Ný örugg útgáfa innri tenging | Staðfestu að vefsíðutenglarnir vísi á áhrifaríkan hátt til HTTPS vefslóða | framleiðsla Umhverfi |
| 2.4. | Ný HTTPS útgáfa Canonicalization | Staðfestu að kanónísk merki á síðunum vísi á HTTPS vefslóðir þess | framleiðsla Umhverfi |
| 2.5. | Ný HTTPS útgáfa Canonicalization | Framkvæmdu endurritanir og tilvísanir frá www vs non-www, skástrik vs án skástrik osfrv í nýju öruggu vefútgáfunni | framleiðsla Umhverfi |
| 2.6. | HTTP til HTTPS beina framkvæmd | Framkvæmdu 301 tilvísanir frá hverri slóð vefsins frá HTTP til HTTPS útgáfu | framleiðsla Umhverfi |
| 2.7. | Vefgreiningarstillingar | Tilkynntu flutningsdagsetningu á vefgreiningarvettvangi þínum og staðfestu að stillingin sé stillt til að rekja örugga vefútgáfu | Vefgreiningarvettvangur |
| 2.8. | Staðfesting SSL-stillingar miðlara | Staðfestu SSL stillingar vefþjónsins. Þú getur notað þjónustu eins og https://www.ssllabs.com/ssltest/ | Framleiðsluumhverfi, SSL próf |
| 2.9. | Uppfærsla Robots.txt | Uppfærðu robots.txt stillinguna í https léninu með viðeigandi breytingum | robots.txt |
Eftir að hafa hleypt af stokkunum HTTPS
| 3.1. | HTTPS skrið staðfesting | Skriðið á síðuna til að sannreyna að öruggu vefslóðirnar séu þær sem eru aðgengilegar, tengdar og bornar fram án villna, rangar engar vísbendingar & Canonicalization & tilvísanir | framleiðsla Umhverfi |
| 3.2. | Nýtt HTTPS síða vísar til staðfestingar | Staðfestu að tilvísanir reglur frá http á móti https, www á móti ekki www og skástrik á móti ekki skástrik séu rétt útfærðar | framleiðsla Umhverfi |
| 3.3. | XML Veftré Útgáfa & Uppgjöf | Hladdu upp og staðfestu myndaða XML sitemap með öruggum vefútgáfum í https Google Search Console prófílnum | Google leitartól |
| 3.4. | Opinber uppfærsla utanaðkomandi tengla | Uppfærðu opinbera ytri tengla sem vísa á síðuna til að fara í öruggu útgáfuna (félagasíður félagsmiðla snið osfrv.) | Opinber viðvera á ytri pöllum |
| 3.5. | Auglýsingar og löggilding viðbóta frá þriðja aðila | Staðfestu að öll viðbætur eins og félagslegir hnappar, auglýsingar og kóði frá þriðja aðila virki rétt í öruggum vefslóðarútgáfum. Þú getur skannað vefsíðuna þína til að leita að óöruggu efni með https://www.jitbit.com/sslcheck/ | Auglýsingar og framlengingarpallar, SSL stöðva |
| 3.6. | Herferðir uppfæra framkvæmd | Framkvæma viðeigandi breytingar á auglýsingum, tölvupósti og tengdum herferðum til að vísa rétt til HTTPS vefútgáfunnar | Herferðarpallar |
| 3.7. | Vöktun skriðs og verðtryggingar | Fylgstu með verðtryggingu, sýnileika og villum bæði HTTP og HTTPS útgáfu síðunnar | Google leitartól |
| 3.8. | Fremstur og umferðareftirlit | Fylgstu með bæði HTTP og HTTPS útgáfum á síðum umferðar og virkni | Vefgreining og staðsetningarpallur |
| 3.9. | Staðfestingaruppsetning Robots.txt | Staðfestu robots.txt stillinguna í örugga léninu til að ganga úr skugga um að stillingarnar hafi verið uppfærðar rétt | robots.txt |
Þessi HTTP til HTTPS gátlisti var vinsamlega búinn til og deilt með Advanced WP Facebook hópnum.
7. Hvernig geturðu bætt öryggi við WordPress vefsíðuna þína?
Við skulum fara niður í nitty-gritty og óhreina hendur okkar. Það eru tvær leiðir til að setja upp WordPress SSL:
- Setja upp SSL handvirkt á WordPress vefsíðu þinni
- Notkun WordPress HTTPS viðbótarinnar
Hvernig á að eignast öruggt skírteini
Fyrst af öllu þarftu einhvern veginn að eignast SSL vottorð.
Það eru ýmsar leiðir til að gera þetta, en auðveldasta leiðin til þess er í gegnum hýsingarþjóninn þinn.
Á InMotion hýsingu er hægt að kaupa skírteinið og allt sem þú þarft með því beint í gegnum AMP-stjórnborðið (Account Management Panel). Það góða er að þeir munu styðja þig mjög fallega ef þú vilt ekki verða óhreinn í höndunum.
Innifalið í verðinu $ 99 á ári, verður verð nauðsynlegrar sérstaks IP. Eingreiðsla er 25 $ þar sem setja þarf vottorðið á netþjóninn sem knýr vefsíðuna þína.
Hægt er að falla frá þessu gjaldi ef þú hefur beinan aðgang að netþjóninum og getur sett upp vottorðið sjálfur.
Ef þú ert með Virtual Private Server er mjög auðvelt að setja vottorðið upp handvirkt. Við höfum skjalfest skrefin í okkar InMotion VPS yfirferð, svo við munum ekki fara í gegnum það aftur.
Ef þú ert ekki hýst hjá InMotion, (af hverju ekki? Veistu ekki að netþjónar þeirra eru hraðari og stuðningur þeirra betri?) Aðferðin verður svipuð.
Þegar skírteinið hefur verið keypt og sett upp þarftu nú að virkja WordPress SSL / TLS.
Notum Við skulum dulkóða sem skírteini
Aftur í þessari grein nefndum við að örugg skírteini eru gefin út af því sem kallað er skírteini. Þetta er aðili sem getur „vottað“ að netþjónninn þar sem þú hefur sett skírteinið þitt sé sannarlega sá sem hann segist vera. Þetta felur auðvitað í sér nokkra vinnu og venjulega verður þú rukkaður fyrir þessa vinnu.
Við skulum dulkóða er nýtt skírteinisvald sem vill auðvelda öllum að eignast öruggt skírteini með því að gera öflun skírteinis sjálfvirkt og ókeypis.
Þetta er í grundvallaratriðum heimild sem rekin er af fjölda fyrirtækja sem kallast Internet Security Research Group, þar á meðal svo stór nöfn eins og Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook og fullt af öðrum sem vilja vinna að því að afla sér öryggisvottorðs: Ókeypis, sjálfvirkt, öruggt, gegnsætt, opið og samvinnufyrirtæki.
Af hverju myndu þessi fyrirtæki vilja gefa þér efni ókeypis? Vegna þess að öruggt og öruggara internet er æskilegt markmið fyrir alla.
Þó að það geti verið tiltölulega auðvelt er það samt nokkuð tæknilegt verklag að fá skírteinið á sínum stað. Hins vegar hafa flest vefþjónustufyrirtæki þessa dagana samþætt virkni þannig að fyrir flest fyrirtæki er það að eignast Let's Encrypt skírteini spurning um að smella á hnapp og skírteinið verður búið til og sett upp.
Að búa til öruggt skírteini handvirkt með Encrypt
(Þú getur sleppt þessum hluta ef þú ætlar ekki að búa til þitt eigið Encrypt Certificate og eignast það í gegnum hýsingarþjóninn þinn)
Þú þarft að hafa beinan eða skelrótaraðgang að netþjóninum þínum til að geta keyrt eftirfarandi aðferð.
1. Settu Dulkóðaðu bókasafnið á netþjóninum þínum
Keyrðu eftirfarandi skipun til að setja upp Encrypt bókasafnið
$ sudo git klón https://github.com/letsencrypt/letsencrypt / opt / letsencrypt
Þessi skipun mun hlaða niður og afrita LetsEncrypt geymsluna í / opt möppuna þína.
2. Búðu til öruggt skírteini
Besta leiðin til að búa til skírteini er að nota sjálfstæða aðferð með lyklastærð 4096 (sem er mjög freaking sterk).
$ ./letsencrypt-auto certonly - standalone --rsa-key-size 4096
Um leið og þú keyrir þessa skipun mun gluggi koma upp og biðja þig um lénið. Mælt er með því að þú slærð inn bæði rótarlénið þitt og önnur undirlén sem þú ætlar að nota skírteinið með.
Næsta skref er að lesa og samþykkja þjónustuskilmála Skulum dulrita. Þegar þú hefur samþykkt að þú getir séð slóð .pem skráarinnar. Það verður staðsett í / etc / letsencrypt / live / your-domain-name /. Ef þú lendir í einhverjum villum við gerð skírteinisins gætirðu viljað athuga stillingar eldveggsins vegna þess að fjöldi tenginga þarf til að búa til skírteinin.
Vottorðið sem myndast mun renna út eftir 90 daga og þarf að endurnýja það á 90 daga fresti. Þetta er svolítið neikvæður og jákvæður punktur. Þú getur fundið ástæðurnar fyrir því að 90 daga vottorð eru notuð hér. Til að endurnýja skírteinið þarftu bara að keyra Let's Encrypt endurnýja handritið.
Þú gætir viljað skrifa cron starf til að gera ferlið sjálfvirkt.
Þetta er sérstaklega mikilvægt ef þú hefur tilhneigingu til að gleyma þessu. Þegar vottorð þitt rennur út sérðu fugly rauða viðvörunina hér að ofan, svo þú gætir viljað hafa þetta í huga.
Skref 3: Búðu til sterkt opinbert lykil-dulritunaröryggi með Diffie Hellman Group
Til að auka enn frekar öryggið ættirðu að búa til öflugan Diffie-Hellman hóp. Notaðu þessa skipun til að búa til 4096 bita hóp:
sudo OpenSSL dhparam útritun /etc/ssl/certs/dhparam.pem 4096
Þetta getur tekið nokkrar mínútur en þegar því er lokið verður sterkur DH hópur í /etc/ssl/certs/dhparam.pem
Nú þegar þú ert með skírteini þarftu að setja þetta upp á vefþjóninum þínum í gegnum SSL / TLS aðgerð CPanel eða hvað sem hýsingarfyrirtækið þitt notar.
Ef þessi aðferð hræðir þig skaltu hafa í huga að þessa dagana er flest af þessu efni að fullu sjálfvirkt hjá flestum gestgjöfum.
8. Hvernig á að setja WordPress upp til að nota SSL (eða TLS) og HTTPS (handvirka leiðin)
Þegar þú ert með öruggt skírteini og hefur sett það upp eða gert það aðgengilegt á netþjóninum þar sem þú hýsir vefsíðuna þína þarftu að framkvæma næstu skref er að virkja HTTPS á WordPress.
Fyrsta skrefið sem þarf að gera er að fella HTTPS inn á vefsíðuna þína til að uppfæra slóðina á vefsíðuna þína. Til að gera þetta þarftu að fara niður í Stillingar → Almennt og þar getur þú uppfært WordPress og vefslóð netfangsins.
Ef þú ert með núverandi vefsíðu og er að virkja SSL þarftu einnig að setja 301 tilvísun sem neyðir allar HTTP beiðnir til að þjóna á öruggan hátt. Þetta mun einnig ganga úr skugga um að enginn af núverandi tenglum þínum frá ytri vefsíðum glatist, en missir ekki hlekkjasafa.
Þetta er hægt að gera með því að bæta kóðabútnum hér fyrir neðan í .htaccess skrána á vefsíðunum þínum, sem þú getur fengið aðgang að í gegnum CPanel File Manager þinn.
RewriteEngine On RewriteCond% {SERVER_PORT} 80 RewriteRule ^ (. *) $ Https://www.yourwebsitehere.com/$1 [R = 301, L]
Þú getur séð að þetta er 301 tilvísun, sem tryggir að þú tapar engum hlekkjasafa. Gakktu úr skugga um að þú hafir skipt út vefnum þínum með vefslóð vefsíðu þinnar.
Ofangreint raunverulega neyðir netþjóninn þinn til að þjóna efni á öruggan hátt. Rétt eins og athugasemd verður öllum vefslóðum undir aðalléninu breytt í HTTPS með því að nota ofangreint. Svo einhver af gömlu krækjunum þínum á skulum segja http: // www.collectiveray.com/wordpress/myndi sjálfkrafa verða https: // www.collectiveray.com/wordpress/
Fyrir þá sem eru á Nginx netþjónum ættirðu að bæta við HTTP tilvísuninni hér að neðan til að breyta því í HTTPS:
netþjónn {hlustaðu 80; netþjónanafn vefsíðanafn.com www.websitename.com; skila 301 https: //websitename.com$request_uri; }
Eftirfarandi skref hjálpa þér að tryggja að allt efni síðunnar verði borið fram á öruggan hátt.
Stilltu öruggan stjórnanda
Þú getur stillt þvingun öruggrar WordPress stjórnanda (þ.e. stjórnunarhluta vefsíðu þinnar eða / wp-admin) um wp-config.php skrána þína. Ef þú vilt knýja fram öryggi á WordPress vefsíðu sem er með innskráningarsíður á mörgum stöðum eða á stjórnunarsvæðinu, þá er allt sem þú þarft að bæta eftirfarandi kóðabút við wp-config.php skrána.
skilgreina ('FORCE_SSL_ADMIN', satt);
Það er aðallega það, þú ættir nú að geta fengið aðgang að WordPress stjórnanda þínum á öruggan hátt!
9. Framkvæmdu HTTPS með WordPress SSL viðbótum
Önnur auðveld leið til að setja upp SSL á vefsíðunni þinni er að nýta WordPress SSL viðbót.
Notkun á Really Simple SSL stinga inn
Viðbótin sem valin er til að virkja WordPress HTTPS á vefsvæðinu þínu er Really Simple SSL stinga inn. Það er mjög fallega skrifað viðbót við Rogier Lankhorst. Það frábæra við þetta tappi er að það fjarlægir allan flækjuna sem fylgir því að gera örugg vottorð kleift á vefsvæðinu þínu.
Sannarlega og sannarlega er þetta einn smellur SSL virkjunarforrit.
Eftir að þú hefur fengið SSL vottorð með einni af aðferðunum sem lýst er hér að ofan og sett það upp á netþjóninum þínum þarftu bara að setja upp og Virkja á Really Simple SSL viðbót og það mun gera restina af verkinu fyrir þig.
Það vinnur í raun töluverða vinnu undir hettunni við að leysa þekktustu vandamálin við að virkja HTTPS á vefsíðunni þinni. Það tekur mið af uppsetningu netþjónsins og framkvæmir allar breytingar eftir þörfum svo að þú þurfir ekki að skipta þér af neinu sjálfur.
Hér að neðan er skjáskot af viðbótinni eftir virkjun - það hefur unnið nokkuð og komist að því að þegar er skírteini sett upp á netþjóninum.
Eins og þú sérð geturðu nú bara smellt á „Virkja SSL“ og þú ert búinn!
Þegar vefsíðu þinni hefur verið breytt í SSL, skoðaðu stillingarnar, eða skannaðu eftir vandamálum og vandamálum eins og sjá má á skjámyndinni hér að neðan.
Viðbótin mun síðan reyna að laga öll vandamál sem fundust.
Þessi tappi er einn-stöðva búð til að gera SSL kleift.
Önnur viðbætur til að gera SSL kleift
Auðvitað er ofangreint ekki eina viðbótin sem þú getur notað til að virkja örugg skírteini. Eftirfarandi eru fjöldi annarra valkosta sem þú gætir viljað nota. Báðir ná þeir að lokum sama markmiði, að virkja HTTPS á WordPress síðunni þinni.
- Auðveld HTTPS tilvísun
- SSL Zen - þetta er nýtt viðbót, það hjálpar þér í raun að búa til Let's Encrypt vottorðið í gegnum viðbótina sjálfa
10. Prófun á réttri öruggri uppsetningu skírteina á vefsíðu þinni
Til að ganga úr skugga um að vefsvæðið þitt sé að fullu sett upp mælum við með að þú prófir síðuna þína með því að nota þetta SSL SEO afgreiðslumaður tól, sem athugar hvort þú sért með ráðlagða WordPress SSL uppsetningu.
Þegar prófið er keyrt færðu SSL skýrslu sem svipar til eftirfarandi:
11. Ekki gleyma að endurnýja Öruggt vottorð
Útrunnið vottorð er dautt vottorð.
Ef vottorð rennur út geturðu ekki endurnýjað það.
Þú verður að fá nýtt endurútgefið og setja það aftur upp á síðuna þína. Það er auðvitað meiri höfuðverkur en þú þarft virkilega, svo vertu bara viss um að muna að endurnýja hann áður en hann rennur út.
Þetta kom fyrir okkur á afmælisdegi þess að við fengum fyrstu öruggu skírteini okkar. Það eru ekki skemmtilegar aðstæður að sjá skyndilega ALLA umferðina fara í núll. Fólk er mjög á varðbergi gagnvart því að fara lengra en útrunnið skírteini svo umferðarmarkið sem þú færð verður mikið.
Við mælum með að setja áminningu nokkrum vikum fyrir fyrningu.
Þér hefur verið hlýtt. Útrunnin vottorð eru mikil vinna, svo ekki gleyma að endurnýja það.
Viltu fara auðveldu leiðina út?
Auðvitað, þó að við látum það líta út fyrir að vera einfalt, þá eru það tímar þegar hlutirnir fara ekki eins og þú býst við að þeir geri, svo vertu viss um að hafa stuðningsnúmerin þín fyrir hendi, bara ef allt fer úrskeiðis meðan þú setur upp WordPress SSL virkni þína .
Ef þú vilt fara auðveldu leiðina skaltu bara fá InMotion til að stilla þetta allt fyrir þig. Þú færð hraðari vefsíðu, auk þess sem hún er knúin áfram af SSL. Þú færð líka ókeypis lén og þeir flytja síðuna fyrir þig. CollectiveRay gestir fá einnig EKKI 47% afslátt af venjulegu verði, svo grípaðu til þín kaup núna.
Þetta er takmarkað tímatilboð til maí 2023, svo fáðu það áður en tilboðið rennur út.
Algengar spurningar
Er WordPress með SSL?
WordPress styður SSL bæði á framhliðinni og á bakendanum. Til að gera það kleift þarftu að afla þér vottorðs annaðhvort með því að kaupa það eða nota Let's Encrypt í gegnum hýsingarfyrirtækið þitt og fá það uppsett á netþjóninum. Þegar vottorðið er sett upp geturðu virkjað HTTPS með því að nota eina af aðferðum hér að ofan, svo sem að nota Really Simple SSL tappi.
Hvernig virkja ég SSL á WordPress?
Til að virkja SSL í WordPress er auðveldasta aðferðin að nota viðbót eins og Really Simple SSL. Þetta notar vottorðið sem nú er sett upp fyrir lénið, svo vertu viss um að örugga vottorðið hafi þegar verið sett upp áður en þú virkjar það.
Hvernig fæ ég ókeypis SSL á WordPress?
Til að fá ókeypis SSL á WordPress þarftu að nota Encrypt virkni sem er í boði á hýsingarþjóninum þínum. Þetta mun gefa út ókeypis öruggt skírteini og setja það upp á léninu þínu. Flest hýsingarfyrirtæki bjóða upp á þessa virkni í dag, þú getur notað InMotion til að gera þetta.
Hver er munurinn á HTTP og HTTPS?
Munurinn á HTTP og HTTPS er sá að það síðarnefnda er sent yfir örugga rás. Örugga vottorðið sem sett er upp á netþjóninum dulkóðar skilaboð áður en þau eru send á þann hátt sem aðeins er hægt að afkóða af vafranum sem hóf tenginguna. Þetta þýðir að viðkvæm gögn eins og að skrá þig inn á vefsíðu með notendanafni / lykilorði, senda inn viðkvæm gögn eins og að senda kreditkortaupplýsingar eða önnur gögn er hægt að senda á öruggan og öruggan hátt.
Ályktun: HTTPS er nauðsyn
Eins og þú hefðir kannski séð, þó að innleiðing HTTPS eða SSL sé ekki alltaf beinlínis, þá er það nauðsynlegt. Google hefur nýlega tilkynnt að það muni merkja vefsíður sem EKKI Öruggar, ef þær eru ekki SSL-virkt. Svo vertu viss um að þú fáir þetta uppsett á vefsíðunni þinni í dag.
vinsamlegast yfirgefa a gagnlegt skrifaðu athugasemdir við hugsanir þínar, deildu þessu síðan á Facebook hópinn þinn / hverjum sem myndu finnast þetta gagnlegt og við skulum uppskera ávinninginn saman. Takk fyrir að deila og vera fín!
Birting: Þessi síða getur innihaldið tengla á ytri vefsíður fyrir vörur sem við elskum og mælum af heilum hug. Ef þú kaupir vörur sem við leggjum til gætum við unnið okkur inn tilvísunargjald. Slík gjöld hafa ekki áhrif á ráðleggingar okkar og við tökum ekki við greiðslum fyrir jákvæða dóma.
og margir fleiri ...