Potresti chiederti perché dovremmo implementare WordPress SSL / TLS o abilitare WordPress su HTTPS? Prima di iniziare, dobbiamo dare un po 'di storia.
Con 3.9 miliardi di utenti che utilizzano Internet (e crescono ogni giorno) e 1.7 miliardi di siti Web su Internet, possiamo certamente dire che Internet è emerso come la nostra seconda casa - quello che una volta era conosciuto come "andare online" non è più molto accurato. Siamo sempre connessi, sempre attivi. Facebook è cresciuto fino a superare i 2.5 miliardi di utenti attivi mensilmente. Si parlava di "virtuale", ma Internet è diventato il più reale possibile, parte della nostra vita quotidiana.
Queste statistiche sono semplicemente schiaccianti! E non c'è assolutamente alcun segno di rallentamento. Man mano che i paesi emergenti hanno accesso a Internet a basso costo, i numeri sono destinati a continuare a crescere nel prossimo futuro.
WordPress è sicuramente cresciuto dai suoi umili inizi come blog. E quando hai così tante persone che visitano uno dei tuoi siti WordPress, diventa un dovere fornire una piattaforma altamente sicura che non comprometta la loro sicurezza.
Nel post di oggi, parte della nostra serie di tutorial informativi su WordPress (che puoi vedere nel nostro menu), ti guideremo di seguito sui vari modi in cui puoi implementare WordPress SSL / TLS o WordPress HTTPS sul tuo sito web.
Nota a margine: parte della lettura e del lavoro coinvolti in questo articolo è altamente tecnico e richiede la conoscenza dello sviluppatore. Se lo desideri assumere uno sviluppatore WordPress controlla l'articolo collegato per conoscere tutte le cose che devi considerare prima di assumere uno sviluppatore.
Hai bisogno di aiuto per proteggere il tuo sito web? Prova questi concerti economici di prim'ordine su Fiverr!
CLICCA QUI per trovare esperti su configurazione dei certificati sicuri di WordPress.
1. Per prima cosa. È SSL o TLS? O HTTPS?
In realtà, oggi dovrebbe essere TLS (che è l'acronimo di Transport Layer Security).
Questo perché TLS è l'ultima versione dei certificati protetti da utilizzare. Tuttavia, in origine, il nome del trasporto di sicurezza utilizzato era SSL (Secure Sockets Layer).
Sebbene, in realtà, TLS sia utilizzato oggi, la maggior parte delle persone si riferisce ai certificati protetti come certificati SSL. A rigor di termini, dovremmo chiamarli solo certificati sicuri.
HTTPS significa HTTP consegnato Scomunicazione sicura. HTTPS è oggi implementato attraverso l'uso di certificati sicuri su TLS.
2. Ruolo dei certificati sicuri e come si adattano alla sicurezza di WordPress
SSL è l'acronimo che sta per Secure Sockets Layer ed è una tecnologia utilizzata per eseguire comunicazioni protette su una rete.
Questa forma di trasporto sicura si ottiene creando un collegamento crittografato tra una macchina client e un server. Nella maggior parte dei casi, questo sarebbe un server web e un browser client su cui verrà visualizzato un sito web; o nel caso di client di posta come MS Outlook, viene stabilita una connessione con il server di posta.
Il certificato sicuro viene in genere emesso da un'autorità di certificazione come Comodo SSL. Ciò significa che un'autorità centrale e affidabile "garantisce" per il server. In sostanza, quando il server web crittografa un messaggio, lo "firma" per verificarne l'autenticità con un certificato dell'autorità.
Il browser quindi controlla la firma e verifica che la firma provenga da un'autorità "fidata". Se il certificato è attendibile, si ottiene una comunicazione sicura tra il client e il server.
Il certificato viene quindi utilizzato per decrittografare il messaggio e leggerne il contenuto.
Ciò consente la possibilità di avere comunicazioni sicure, che non possono essere lette da terzi. Questo dà il via libera agli utenti affinché credano che i dati riservati che stanno inviando su Internet come credenziali bancarie, credenziali di accesso, numeri di previdenza sociale, dati di e-commerce, dettagli della carta di credito e altri dati riservati arriveranno in modo sicuro al sito Web in cui si troveranno elaborato.
Perché in realtà il problema della "fiducia" non è al sito web, ma alla comunicazione tra sito web e cliente.
Prima di questa tecnologia, o quando un sito web utilizza HTTP solo per la sua comunicazione non così avanzata, i dati sarebbero stati inviati come testo normale. Questo l'ha fatto vulnerabile ad attacchi dannosi - che sono stati in grado di leggere i dati e, naturalmente, di utilizzarli per motivi dannosi. Ad esempio, le credenziali di accesso potrebbero essere rubate per assumere il controllo di un sito Web oppure i dati della carta di credito potrebbero essere letti e utilizzati per effettuare acquisti fraudolenti.
3. Perché dovresti servire il tuo sito web in modo sicuro?
I proprietari di siti web che non hanno implementato HTTPS sono soggetti allo "snooping".
Poiché il server Web non è in grado di crittografare il traffico inviato al browser, TUTTE le comunicazioni di dati, inclusi i dati riservati, possono essere lette molto facilmente dagli hacker. In sostanza possono essere letti tutti i dati che passano tra il client e il server web. Se accedi a un sito web, le tue credenziali possono essere lette. Se stai trasmettendo i dettagli della carta di credito, questi possono essere rubati.
Se invii QUALSIASI dato riservato, questo può essere letto se non implementi la sicurezza del sito web tramite certificati sicuri.
Se non implementi la crittografia completa, il tuo sito sarà suscettibile a quello che è noto come Man in the Middle Attack. Maggiori informazioni su questo argomento wikipedia. Strumenti come WireShark (strumento gratuito e disponibile per il download e l'uso da parte di chiunque) rendono molto molto facile leggere il traffico su Internet e gli hacker configurano infrastrutture complete per leggere i dati non crittografati.
Di seguito è riportato uno screenshot di Wireshark che legge una password inviata tramite HTTP:
Gli utenti dannosi dispongono di strumenti come i precedenti che sono in grado di cercare modelli specifici, come numeri di carte di credito, dettagli di sicurezza sociale, password e altri dati per loro preziosi.
Se invece implementate HTTPS su WordPress, avete impostato un sistema di crittografia che fornisce diversi vantaggi di sicurezza come integrità, identità e soprattutto riservatezza.
Consente solo al server e al browser di decrittografare il testo inviato attraverso il canale di comunicazione. Afferma se i dati sono intatti e non sono stati modificati in modo da garantire l'integrità dei dati (cioè non sono stati manomessi).
4. HTTPS e SEO
I siti web che implementano HTTP ottengono un aumento del ranking nei motori di ricerca.
Google in un blog intitolato "HTTPS come segnale di posizionamento". ha annunciato che darà un vantaggio a quei siti web che fanno uso di questa tecnologia sicura.
Ciò rende l'importanza di implementarlo sul tuo sito web, molto più alta. Altrimenti, il tuo sito web è in svantaggio rispetto ai concorrenti che hanno implementato HTTPS.
Google desidera che la sicurezza riceva la massima attenzione e priorità. L'azienda si è presa l'onere di assicurarsi che la sicurezza totale venga utilizzata in tutto il settore. Ciò garantisce che gli utenti di Internet che utilizzano il motore di ricerca Google e gli altri suoi servizi avranno comunicazioni sicure su tutti i servizi.
Hanno anche escogitato il concetto di "HTTPS ovunque" per promuovere un senso di maggiore sicurezza in Internet.
Tuttavia, questo non era abbastanza per loro. Dato che hanno così tanto potere, hanno aggiunto SSL come segnale di ranking per SEO e posizionamento nei motori di ricerca.
Se il tuo sito web implementa HTTPS, avrà un vantaggio rispetto a quei siti che non lo implementano (a parità di tutti gli altri segnali di ranking).
Scopri di più: Elenco di controllo SEO onpage di WordPress: una guida passo passo 19 per aumentare il traffico.
La migrazione da HTTP a HTTPS danneggerà le mie classifiche?
Molte persone si chiedono se il passaggio da HTTP a HTTPS danneggerà le loro attuali classifiche organiche. Dato che le versioni HTTP e HTTPS di un sito Web sono considerate diverse, significa che tutti i collegamenti a ritroso alla versione http: // del sito vengono persi?
Questa è una preoccupazione molto valida.
Hai lavorato molto per ottenere preziosi a ritroso e perderli significherebbe ottenere un piccolo aumento del ranking, ma perdere il segnale di ranking più grande proveniente dai link.
Tuttavia, come vedrai più avanti, eseguiremo un reindirizzamento 301. Ciò significa che il server che viveva qui si è trasferito in modo permanente in una nuova posizione.
Google capisce che un reindirizzamento 301 significa "Ciao Google, sono ancora io, ma ora mi sono trasferito in un nuovo indirizzo in modo permanente". Ciò significa che non perderai traffico, backlink o link juice.
Potresti voler leggere un po 'di più su Reindirizzamento 301 sul sito web di Moz. Scoprirai che faranno i nostri esatti consigli.
L'unica cosa che il nostro sito ha perso durante il reindirizzamento all'URL protetto del nostro sito è stato il nostro Conta la condivisione sociale.
Questo perché Facebook e la maggior parte degli altri contatori di condivisioni trattano https://www.collectiveray.com e https://www.collectiveray.com come due URL completamente diversi. Questo è qualcosa con cui probabilmente dovrai convivere. In realtà, prima lo fai, più velocemente inizierai ad acquisire nuovi conteggi delle azioni sul tuo indirizzo protetto.
Lo abbiamo fatto su più siti inoltre CollectiveRay, e non c'è mai stato alcun effetto negativo sulle classifiche o sul traffico. Finché esegui una configurazione corretta, non dovresti preoccuparti di questo.
AGGIORNAMENTO: Recentemente Google ha confermato che i reindirizzamenti 301 da HTTP a HTTPS non perdono assolutamente alcun link juice. Questo perché, ovviamente, non ha senso ricevere una penalità per il passaggio a qualcosa che Google sta sostenendo.
5. Cos'altro devo fare dopo aver abilitato SSL?
Se vuoi assicurarti di inviare un messaggio forte a Google che il tuo sito si è effettivamente spostato, l'ideale è farlo tramite Google Search Console.
Aggiungi semplicemente il tuo sito come se fosse un nuovo sito su Google Search Console.
Ovviamente, questo potrebbe significare che perdi alcune cose come i dati strutturati e dovrai inviare nuovamente le tue mappe del sito. nessunoless, riteniamo che questo sia un indicatore molto forte per Google che si tratta di una migrazione valida e pienamente approvata.
6. Guadagnare fiducia con la sicurezza
Come probabilmente già conosci, alcuni siti web mostreranno una barra verde nel browser. Ciò significa che il sito Web ha implementato una comunicazione sicura.
Puoi vedere un esempio molto chiaro di questo sul sito web di Paypal.
Come puoi verificare se il tuo sito web è protetto o meno?
Per verificare se un sito Web è protetto da SSL o meno, è possibile verificare se il prefisso https: // appare davanti all'URL invece del normale http: //.
Oltre a questo, puoi anche trovare un lucchetto che è presente nel campo dell'indirizzo prima dell'inizio del sito web.
L'immagine mostrata sopra indica che un sito Web dispone di un certificato SSL autorizzato, tuttavia l'aspetto del lucchetto varia da browser a browser. I siti Web che hanno acquistato un certificato di convalida esteso visualizzeranno una barra degli indirizzi completamente verde oppure il nome dell'azienda verrà visualizzato prima dell'URL.
I certificati di convalida estesa sono piuttosto costosi da acquistare e implementare perché richiedono una serie di controlli fisici per confermare che il server web appartiene effettivamente alla società che lo sta implementando.
Per coloro che utilizzano Safari, vedranno che viene utilizzato un carattere verde per indicare che l'azienda sta utilizzando un certificato EV.
Il seguente esempio è un certificato EV utilizzato per il browser Safari. Qui la barra degli indirizzi non ha uno sfondo verde come gli altri browser. Invece, hanno scelto di utilizzare un carattere verde.
I certificati di convalida estesa offrono una protezione estesa che è evidente dal nome.
Un certificato EV viene rilasciato a un'azienda che ha autorizzato tutti i passaggi del processo di convalida. Tali formalità legali come fornire la prova del loro indirizzo fisico e l'accesso a file specifici su un server sono necessarie per completare l'autorizzazione legale. Ci sono anche molte altre convalide a cui un'azienda dovrebbe sottoporsi per ottenere un certificato di convalida estesa valido, ma questo va oltre lo scopo di questo articolo.
Puoi leggere di più su Certificati di convalida estesi qui.
Implementando WordPress HTTPS, una società di terze parti sta essenzialmente confermando e verificando che il server web sia quello che afferma di essere. Questa agenzia è chiamata l'emittente del certificato, chiamata anche autorità di certificazione attendibile.
Cosa succede quando i certificati protetti smettono di funzionare
Utilizzando gli indicatori di cui sopra è possibile sapere se i loro certificati di sicurezza funzionano o meno.
Allo stesso modo, gli utenti possono capire rapidamente che il traffico di un sito Web non è crittografato o che il loro certificato di sicurezza è scaduto. Quando il lucchetto appare rosso e colpisce una linea rossa, è un'indicazione di una di queste cose:
- il sito utilizza un certificato autofirmato, emesso cioè dallo stesso server web. Ciò significa che il certificato non è attendibile, perché il certificato non è stato emesso da un'autorità attendibile
- la data di scadenza è trascorsa e il certificato non è più valido
- il certificato diventa non attendibile per qualsiasi altro motivo e viene contrassegnato come invalidato
Nell'immagine sopra, puoi vedere l'avviso prima di visitare un sito Web quando il browser riconosce che il certificato di sicurezza utilizzato da un sito Web che stai visitando è scaduto.
La maggior parte dei browser moderni ha questa capacità di segnalare un certificato non valido (quindi un trasferimento di dati non sicuro) prima che un utente possa procedere verso un sito Web non protetto.
Dopo la scadenza del certificato, tutto ciò che devi fare è rinnovare il certificato dal luogo dell'autorità (da cui è stato originariamente ottenuto il certificato). Inoltre, si suggerisce che i certificati non possano scadere affatto. Un tale errore crea una cattiva impressione di un sito web sui visitatori.
Si dice che un sito Web abbia un certificato autofirmato se il certificato viene creato dallo stesso server Web, invece di essere emesso da un'autorità di certificazione attendibile. Questo certificato è NON AFFIDABILE.
I browser considerano attendibili solo i certificati SSL distribuiti da autorità di certificazione affidabili. In tutti gli altri casi, visualizzano un avviso per i siti Web in esecuzione su un certificato autofirmato.
Elenco di controllo per la migrazione da HTTP a HTTPS
Ora che comprendiamo appieno perché WordPress HTTPS apporterà vantaggi al nostro sito, spiegheremo in dettaglio di seguito come implementarlo sul tuo sito web. Abbiamo anche un elenco di controllo per la migrazione da HTTP a HTTPS che elenchiamo di seguito per assicurarti di aver coperto tutti i passaggi relativi alla migrazione a HTTPS.
Prima di avviare WordPress in modo sicuro
| 1.1 | Impostazione della certificazione SSL | Ottieni, configura e testa il certificato TLS utilizzando SHA-2 per SSL | server |
| 1.2 | Registrazione di Google Search Console | Registra entrambi i domini http e https in Google Search Console, insieme alle versioni www e non www. Se avevi registrato anche singoli sottodomini o sottodirectory in Google Search Console, replica quella registrazione e configurazione con la loro versione https. | Google Search Console |
| 1.3 | Monitoraggio delle classifiche | Inizia a monitorare le classifiche del sito parallelamente al dominio https | Software di monitoraggio del rango |
| 1.4 | Identificazione delle pagine e delle query attuali del sito principale | Identificare le pagine principali e le query correlate che attirano la visibilità della ricerca organica e il traffico a cui dare la priorità durante la convalida e il monitoraggio delle prestazioni del sito | Google Search Console e Google Analytics |
| 1.5 | Scansione del sito corrente | Eseguire la scansione del sito http per identificare e correggere eventuali collegamenti interni interrotti e l'attuale struttura Web prima di spostarsi. | Ambiente di staging |
| 1.6 | Nuova impostazione Web HTTPS con collegamenti interni aggiornati | Impostare la nuova versione Web per apportare le modifiche, testare e aggiornare i collegamenti in un ambiente di staging, per puntare agli URL (pagine e risorse come immagini, js, pdf, ecc.) Con HTTPS | Ambiente di staging |
| 1.7 | Nuova canonicalizzazione Web HTTPS | Aggiorna i tag canonici per includere URL assoluti utilizzando https nell'ambiente dello stage | Ambiente di staging |
| 1.8 | Nuova canonicalizzazione Web HTTPS | Verificare nell'ambiente di staging che tutti i comportamenti di riscrittura e reindirizzamento già esistenti (non www vs www; slash vs non slash, ecc.) Siano implementati anche nella versione Web protetta poiché lavoravano su quella http | Ambiente di staging |
| 1.9 | Reindirizza la preparazione | Preparare e testare le regole di riscrittura che reindirizzeranno 301 da tutti gli URL esistenti identificati (pagine, immagini, js, ecc.) Sul dominio http a quello https | server |
| 1.10 | Nuova generazione di Sitemap XML | Genera una nuova Sitemap XML con gli URL con sicurezza implementata da caricare nel profilo HTTP di Google Search Console una volta spostato il sito | XML Sitemap Generator |
| 1.11 | Preparazione di Robots.txt | Preparare il file robots.txt da caricare sulla versione del dominio https quando il sito viene avviato replicando le direttive esistenti per http, ma puntando agli URL https se necessario | Robots.txt |
| 1.12 | Prepara le modifiche su qualsiasi campagna di annunci, e-mail o affiliati per iniziare a puntare alle versioni degli URL https al termine della migrazione | Piattaforme di campagne | Diverse piattaforme |
| 1.13 | Conferma configurazione | Verifica se in passato sono state inviate richieste di rinvio che dovranno essere nuovamente inviate per le versioni degli URL protetti nel proprio profilo di Google Search Console | Google Search Console |
| 1.14 | Configurazione della geolocalizzazione | Se stai migrando un gTLD di cui stai effettuando il targeting geografico tramite Google Search Console (così come i suoi sottodomini o sottodirectory, nel caso in cui li stai singolarmente con targeting geografico), assicurati di effettuare nuovamente il targeting geografico con la versione del dominio protetto | Google Search Console |
| 1.15 | Configurazione parametri URL | Se i parametri degli URL vengono gestiti tramite Google Search Console, la configurazione esistente deve essere replicata nel profilo del sito protetto | Google Search Console |
| 1.16 | Preparazione della configurazione CDN | Se viene utilizzato un CDN, verificare che saranno in grado di servire correttamente la versione del dominio protetto del sito e gestire SSL al termine della migrazione | Provider CDN |
| 1.17 | Preparazione di annunci e estensioni di terze parti | Verifica che qualsiasi codice di annunci pubblicati, estensioni di terze parti o plug-in social utilizzati sul sito funzionerà correttamente quando viene spostato su https | Piattaforme di annunci ed estensioni |
| 1.18 | Preparazione della configurazione di Web Analytics | Assicurati che la configurazione di Web Analytics esistente monitorerà anche il traffico del dominio protetto | Piattaforma di analisi web |
Durante la migrazione effettiva a un sito Web protetto
| 2.1 | Avvio del sito HTTPS | Pubblica in tempo reale la versione del sito https convalidata | Ambiente di produzione |
| 2.2 | Convalida struttura Web nuova versione HTTPS | Verificare che la struttura dell'URL sulla versione del sito protetto sia la stessa di quella nell'HTTP | Ambiente di produzione |
| 2.3 | Collegamento interno della nuova versione sicura | Verificare che i collegamenti del sito puntino efficacemente ai relativi URL HTTPS | Ambiente di produzione |
| 2.4 | Canonicalizzazione della nuova versione HTTPS | Verifica che i tag canonici nelle pagine puntino ai relativi URL HTTPS | Ambiente di produzione |
| 2.5 | Canonicalizzazione della nuova versione HTTPS | Implementa le riscritture e i reindirizzamenti da www vs non www, slash vs senza barra, ecc. Nella nuova versione Web sicura | Ambiente di produzione |
| 2.6 | Implementazione del reindirizzamento da HTTP a HTTPS | Implementa i reindirizzamenti 301 da ogni URL del sito dalla sua versione HTTP a HTTPS | Ambiente di produzione |
| 2.7 | Configurazione di Web Analytics | Annota la data di migrazione nella tua piattaforma Web Analytics e verifica che la configurazione sia impostata per tenere traccia della versione Web protetta | Piattaforma di analisi web |
| 2.8 | Convalida della configurazione del server SSL | Verifica la configurazione SSL del tuo server web. Puoi usare servizi come https://www.ssllabs.com/ssltest/ | Ambiente di produzione, test SSL |
| 2.9 | Aggiornamento Robots.txt | Aggiorna l'impostazione del file robots.txt nel dominio https con le modifiche pertinenti | Robots.txt |
Dopo aver avviato HTTPS
| 3.1 | Convalida della scansione HTTPS | Eseguire la scansione del sito per verificare che gli URL protetti siano quelli accessibili, collegati e serviti senza errori, noindexations errate, canonicalizzazioni e reindirizzamenti | Ambiente di produzione |
| 3.2 | Il nuovo sito HTTPS reindirizza la convalida | Verifica che le regole di reindirizzamento da http e https, www e non www e barra e non barra siano implementate correttamente | Ambiente di produzione |
| 3.3 | Rilascio e invio di Sitemap XML | Carica e verifica la mappa del sito XML generata con le versioni dell'URL protetto nel profilo https di Google Search Console | Google Search Console |
| 3.4 | Aggiornamento link esterni ufficiali | Aggiorna i link esterni ufficiali che puntano al sito per accedere alla versione protetta (siti partner di profili di social media, ecc.) | Presenza ufficiale in piattaforme esterne |
| 3.5 | Convalida di estensioni di annunci e terze parti | Verifica che tutti i plugin come i pulsanti social, gli annunci e il codice di terze parti funzionino correttamente nelle versioni degli URL protetti. Puoi eseguire la scansione del tuo sito Web per cercare contenuti non protetti con https://www.jitbit.com/sslcheck/ | Piattaforme di annunci ed estensioni, controllo SSL |
| 3.6 | Le campagne aggiornano l'esecuzione | Implementa gli annunci pertinenti, le e-mail e le modifiche alle campagne di affiliazione per fare riferimento correttamente alla versione Web HTTPS | Piattaforme di campagne |
| 3.7 | Monitoraggio di scansione e indicizzazione | Monitora l'indicizzazione, la visibilità e gli errori di entrambe le versioni del sito HTTP e HTTPS | Google Search Console |
| 3.8 | Classifiche e monitoraggio del traffico | Monitora il traffico delle versioni del sito HTTP e HTTPS e l'attività delle classifiche | Piattaforme di analisi web e monitoraggio del posizionamento |
| 3.9 | Convalida della configurazione di Robots.txt | Verifica l'impostazione del file robots.txt nel dominio protetto per assicurarti che la configurazione sia stata aggiornata correttamente | Robots.txt |
Questa lista di controllo per la migrazione da HTTP a HTTPS è stata gentilmente creata e condivisa con il gruppo Facebook di Advanced WP.
7. Come puoi aggiungere sicurezza al tuo sito Web WordPress?
Andiamo al nocciolo e ci sporchiamo le mani. Esistono due modi per configurare WordPress SSL:
- Configurazione manuale di SSL sul tuo sito Web WordPress
- Utilizzo del plug-in HTTPS di WordPress
Come acquisire un certificato di sicurezza
Prima di tutto, dovrai in qualche modo acquisire un certificato SSL.
Ci sono vari modi per farlo, ma il modo più semplice per farlo è tramite il tuo server di hosting.
Su InMotion hosting, puoi acquistare il certificato e tutto ciò di cui hai bisogno con esso direttamente tramite la console del pannello di gestione dell'account (AMP). La cosa buona è che ti sosterranno molto bene se non vuoi sporcarti le mani.
Incluso nel prezzo di $ 99 / anno, sarà il prezzo dell'IP dedicato richiesto. È prevista una tariffa una tantum di $ 25 poiché il certificato deve essere installato sul server che alimenta il tuo sito web.
Questa tariffa può essere revocata se si dispone dell'accesso diretto al server e se è possibile installare il certificato da soli.
Se hai un server privato virtuale, installare il certificato manualmente è molto semplice. Abbiamo documentato i passaggi nel nostro VPS InMotion recensione, quindi non lo esamineremo più.
Se non sei ospitato con InMotion, (perché no? Non sai che i loro server sono più veloci e il loro supporto migliore?) La procedura sarà simile.
Una volta che il certificato è stato acquistato e installato, è ora necessario abilitare WordPress SSL / TLS.
Utilizzo di Let's Encrypt come autorità di certificazione
Nel backup in questo articolo, abbiamo menzionato che i certificati protetti vengono emessi da quella che viene chiamata un'autorità di certificazione. Questo è un ente che può "certificare" che il server in cui hai installato il tuo certificato è veramente quello che afferma di essere. Ciò comporta ovviamente del lavoro e in genere ti verrà addebitato questo lavoro.
Let's Encrypt è un nuovo autorità di certificazione che vuole rendere più facile per tutti l'acquisizione di un certificato sicuro, rendendo il processo di acquisizione di un certificato automatizzato e gratuito.
Si tratta essenzialmente di un'autorità gestita da un certo numero di società chiamate Internet Security Research Group, inclusi nomi di grandi dimensioni come Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook e molti altri che vogliono fare il processo di acquisizione di un certificato di sicurezza: gratuito, automatizzato, sicuro, trasparente, aperto e cooperativo.
Perché queste aziende dovrebbero darti roba gratis? Perché un Internet sicuro e protetto è un obiettivo desiderabile per tutti.
Sebbene possa essere relativamente facile, è comunque una procedura tecnica per ottenere il certificato. Tuttavia, la maggior parte delle società di web hosting in questi giorni ha integrato la funzionalità in modo tale che per la maggior parte delle aziende, l'acquisizione di un certificato Let's Encrypt è una questione di fare clic su un pulsante e il certificato verrà creato e impostato.
Creazione manuale di un certificato sicuro utilizzando Let's Encrypt
(Puoi saltare questa parte se non prevedi di creare il tuo certificato Let's Encrypt e lo acquisirai tramite il tuo server di hosting)
Avrai bisogno dell'accesso diretto o di root dalla shell al tuo server, per poter eseguire la seguente procedura.
1. Installa la libreria Let's Encrypt sul tuo server
Esegui il seguente comando per installare la libreria Let's Encrypt
$ sudo git clone https://github.com/letsencrypt/letsencrypt / opt / letsencrypt
Questo comando scaricherà e copierà il repository LetsEncrypt nella directory / opt.
2. Genera un certificato sicuro
Il modo migliore per generare un certificato è usare il metodo standalone con una dimensione della chiave di 4096 (che è molto forte).
$ ./letsencrypt-auto certonly --standalone --rsa-key-size 4096
Non appena esegui questo comando verrà visualizzata una finestra che ti chiederà il nome del dominio. Si consiglia di inserire sia il dominio principale che altri sottodomini con cui si prevede di utilizzare il certificato.
Il passaggio successivo consiste nel leggere e accettare i termini di servizio di Crittografiamo. Una volta accettato, sarai in grado di vedere il percorso del file .pem. Si troverà in / etc / letsencrypt / live / nome-dominio /. Se si verificano errori durante la creazione del certificato, è possibile controllare la configurazione del firewall poiché per creare i certificati saranno necessarie numerose connessioni.
Il certificato generato scadrà tra 90 giorni e dovrà essere rinnovato ogni 90 giorni. Questo è un punto un po 'negativo e positivo. Potete trovare i motivi per cui vengono utilizzati i certificati di 90 giorni qui. Per rinnovare il certificato è sufficiente eseguire lo script di rinnovo Let's Encrypt.
Potresti voler scrivere un cron job per automatizzare il processo.
Questo è particolarmente importante se tendi a dimenticarlo. Una volta scaduto il certificato, vedrai l'avvertimento rosso fugly mostrato sopra, quindi potresti tenerlo a mente.
Passaggio 3: genera una forte protezione crittografica con chiave pubblica utilizzando un gruppo Diffie Hellman
Per aumentare ulteriormente la sicurezza, dovresti anche generare un forte gruppo Diffie-Hellman. Per generare un gruppo a 4096 bit, usa questo comando:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
Questo potrebbe richiedere alcuni minuti, ma quando sarà finito avrai un forte gruppo DH a /etc/ssl/certs/dhparam.pem
Ora che hai un certificato, dovrai installarlo sul tuo server web tramite la funzione SSL / TLS di CPanel o qualunque cosa utilizzi la tua società di hosting.
Se questa procedura ti spaventa, tieni presente che oggigiorno la maggior parte di queste cose è completamente automatizzata sulla maggior parte degli host.
8. Come configurare il tuo WordPress per utilizzare SSL (o TLS) e HTTPS (il modo manuale)
Una volta che hai un certificato sicuro e lo hai installato o reso disponibile sul server su cui ospiti il tuo sito web, devi eseguire i passaggi successivi per abilitare HTTPS su WordPress.
Il primo passo che deve essere fatto è incorporare HTTPS nel tuo sito web in modo da aggiornare l'URL del tuo sito web. Per fare ciò devi andare in Impostazioni → Generale e lì puoi aggiornare il tuo WordPress e il campo dell'indirizzo URL del sito.
Se disponi di un sito Web esistente e stai abilitando SSL, devi anche impostare un reindirizzamento 301 che costringa tutte le richieste HTTP a essere servite in modo sicuro. Ciò assicurerà anche che nessuno dei tuoi collegamenti esistenti da siti Web esterni vada perso, e allo stesso tempo non perderà alcun collegamento.
Questo può essere fatto aggiungendo lo snippet di codice qui sotto nel file .htaccess del tuo sito web, a cui puoi accedere tramite il tuo CPanel File Manager.
RewriteEngine On RewriteCond% {SERVER_PORT} 80 RewriteRule ^ (. *) $ Https://www.yourwebsitehere.com/$1 [R = 301, L]
Puoi vedere che questo è un reindirizzamento 301, che ti assicurerà di non perdere alcun link juice. Assicurati di aver sostituito yourwebsitehere.com con l'URL del tuo sito web.
Quanto sopra impone al tuo server di servire i contenuti in modo sicuro. Come punto di nota, tutti gli URL sotto il dominio principale verranno convertiti in HTTPS utilizzando quanto sopra. Quindi uno qualsiasi dei tuoi vecchi link su diciamo http://www.collectiveray.com/wordpress/ diventerebbe automaticamente https://www.collectiveray.com/wordpress/
Per coloro che si trovano sui server Nginx, è necessario aggiungere il reindirizzamento HTTP di seguito per convertirlo in HTTPS:
server {ascolta 80; nome_server websitename.com www.websitename.com; return 301 https: //websitename.com$request_uri; }
I seguenti passaggi ti aiuteranno a garantire che tutto il contenuto del sito sarà servito in modo sicuro.
Configura un amministratore sicuro
Puoi configurare la forzatura di un amministratore WordPress sicuro (cioè la parte amministrativa del tuo sito web o / wp-admin) tramite il tuo file wp-config.php. Se desideri forzare la sicurezza su un sito Web WordPress con pagine di accesso multi-sito o nell'area di amministrazione, tutto ciò di cui hai bisogno è aggiungere il seguente frammento di codice al file wp-config.php.
define ('FORCE_SSL_ADMIN', true);
È per lo più tutto, ora dovresti essere in grado di accedere in modo sicuro al tuo amministratore di WordPress!
9. Implementa HTTPS utilizzando i plugin SSL di WordPress
Un altro modo semplice per configurare SSL sul tuo sito Web è utilizzare un plug-in SSL per WordPress.
Usando il Really Simple SSL plug-in
Il plugin preferito per abilitare WordPress HTTPS sul tuo sito è il Really Simple SSL collegare. È un plugin scritto molto bene da Rogier Lankhorst. La cosa grandiosa di questo plugin è che rimuove tutta la complessità associata all'abilitazione dei certificati sicuri sul tuo sito.
Davvero e veramente, questo è un plug-in di attivazione SSL con un clic.
Dopo aver acquisito il certificato SSL utilizzando uno dei metodi sopra descritti e averlo installato sul tuo server, devi solo installare e Attivare , il Really Simple SSL plugin e farà il resto del lavoro per te.
In realtà fa un bel po 'di lavoro sotto il cofano per risolvere i problemi più noti con l'attivazione di HTTPS sul tuo sito web. Prende in considerazione la configurazione del server ed esegue tutte le modifiche necessarie in modo che tu non debba pasticciare con nulla da solo.
Di seguito è riportato uno screenshot del plug-in dopo l'attivazione: ha svolto del lavoro e ha rilevato che sul server è già installato un certificato.
Come puoi vedere, ora puoi semplicemente fare clic su "Attiva SSL" e il gioco è fatto!
Una volta che il tuo sito web è stato convertito in SSL, dai un'occhiata alle impostazioni o scansiona eventuali problemi e problemi come puoi vedere nello screenshot qui sotto.
Il plug-in tenterà quindi di risolvere eventuali problemi rilevati.
Questo plugin è il tuo punto di riferimento per abilitare SSL.
Altri plugin per abilitare SSL
Ovviamente, quanto sopra non è l'unico plug-in che puoi utilizzare per abilitare i certificati sicuri. Le seguenti sono una serie di altre opzioni che potresti voler usare. Entrambi alla fine raggiungono lo stesso obiettivo, abilitare HTTPS sul tuo sito WordPress.
- Reindirizzamento HTTPS facile
- SSL Zen - questo è un nuovo plug-in, in realtà ti aiuta a creare il certificato Let's Encrypt attraverso il plug-in stesso
10. Verifica della corretta configurazione del certificato di sicurezza del tuo sito web
Per assicurarti che il tuo sito sia stato completamente configurato, ti consigliamo di testare il tuo sito utilizzando questo Controllo SEO SSL strumento, che controlla se hai la configurazione SSL consigliata per WordPress.
Una volta eseguito il test, riceverai un rapporto SSL simile al seguente:
11. Non dimenticare di rinnovare il tuo certificato di sicurezza
Un certificato scaduto è un certificato morto.
Se un certificato scade, non è possibile rinnovarlo.
Devi ottenerne uno nuovo riemesso e reinstallarlo sul tuo sito. Questo è, ovviamente, più mal di testa del necessario, quindi assicurati di ricordarti di rinnovarlo prima che scada.
Questo ci è accaduto nell'anniversario della nostra prima configurazione del certificato sicuro. Non è una situazione piacevole vedere improvvisamente TUTTO il tuo traffico andare a zero. Le persone sono molto diffidenti nell'avanzare oltre un certificato scaduto, quindi il traffico che otterrai sarà enorme.
Ti consigliamo di impostare un promemoria un paio di settimane prima della scadenza.
Sei stato riscaldato. I certificati scaduti richiedono molto lavoro, quindi non dimenticare di rinnovarli.
Vuoi prendere la via più facile?
Ovviamente, anche se lo facciamo sembrare semplice, ci sono momenti in cui le cose non vanno come ti aspetti, quindi assicurati di avere i tuoi numeri di supporto a portata di mano nel caso in cui tutto vada storto durante la configurazione della funzionalità SSL di WordPress .
Se vuoi prendere la via più facile, chiedi a InMotion di configurare tutto per te. Otterrai un sito web più veloce, oltre ad essere alimentato da SSL. Riceverai anche un dominio gratuito e loro trasferiranno il sito per te. CollectiveRay i visitatori ottengono anche uno sconto ESCLUSIVO del 47% sul prezzo normale, quindi fatti un affare ORA.
Questa è un'offerta a tempo limitato fino a marzo 2024, quindi acquistala prima che scada.
Domande frequenti
WordPress ha SSL?
WordPress supporta SSL sia sul front-end che sul back-end. Per abilitarlo, devi acquisire un certificato acquistandone uno o utilizzando Let's Encrypt tramite la tua società di hosting e installarlo sul server. Una volta installato il certificato, è possibile abilitare HTTPS utilizzando uno dei metodi sopra indicati, ad esempio utilizzando il Really Simple SSL .
Come abilito SSL in WordPress?
Per abilitare SSL in WordPress, il metodo più semplice è utilizzare un plugin come Really Simple SSL. Questo utilizza il certificato attualmente impostato per il dominio, quindi assicurati che il certificato sicuro sia già stato installato prima di attivarlo.
Come posso ottenere SSL gratuito su WordPress?
Per ottenere SSL gratuito su WordPress, devi utilizzare la funzionalità Let's Encrypt disponibile sul tuo server di hosting. Questo emetterà un certificato di sicurezza gratuito e lo installerà sul tuo dominio. La maggior parte delle società di hosting offre questa funzionalità oggi, puoi utilizzare InMotion per farlo.
Qual è la differenza tra HTTP e HTTPS?
La differenza tra HTTP e HTTPS è che quest'ultimo viene trasmesso su un canale sicuro. Il certificato di sicurezza installato sul server crittografa i messaggi prima di inviarli in un modo che può essere decrittografato solo dal browser che ha avviato la connessione. Ciò significa che i dati sensibili come l'accesso a un sito Web utilizzando un nome utente / password, l'invio di dati sensibili come l'invio di dettagli della carta di credito o altri dati possono essere inviati in modo sicuro e protetto.
Conclusione: HTTPS è un must
Come potresti aver visto, sebbene l'implementazione di HTTPS o SSL non sia sempre semplice, è essenziale. Google ha recentemente annunciato che etichetterà i siti web come NON SICURI, se non sono abilitati SSL. Quindi assicurati di avere questa configurazione sul tuo sito web oggi.
Per favore, lasciare un utile commenta con i tuoi pensieri, quindi condividi questo articolo sui tuoi gruppi di Facebook che lo troverebbero utile e raccogliamo insieme i frutti. Grazie per la condivisione e per essere gentile!
Disclosure: Questa pagina può contenere collegamenti a siti esterni per prodotti che amiamo e consigliamo vivamente. Se acquisti prodotti che ti suggeriamo, potremmo guadagnare una commissione per segnalazione. Tali commissioni non influenzano le nostre raccomandazioni e non accettiamo pagamenti per recensioni positive.
e molti altri ...