Du lurer kanskje på hvorfor vi trenger å implementere WordPress SSL / TLS, eller aktivere WordPress på HTTPS? Før vi begynner på det, må vi gi litt historie.
Med 3.9 milliarder brukere som bruker internett (og vokser hver dag) og 1.7 milliarder nettsteder på internett, kan vi absolutt si at internett har dukket opp som vårt andre hjem - det som en gang var kjent som "å gå online" er egentlig ikke nøyaktig lenger. Vi er alltid koblet sammen, alltid på. Facebook har vokst til mer enn 2.5 milliarder aktive brukere hver måned. Vi pleide å snakke om "virtuelt", men Internett har blitt så ekte som ekte kan bli, en del av hverdagen vår.
Denne statistikken er rett og slett overveldende! Og det er absolutt ingen tegn til at det bremser. Etter hvert som nye land får tilgang til billig internett, vil tallene fortsette å vokse i overskuelig fremtid.
WordPress har absolutt vokst fra sin ydmyke begynnelse som en blogg. Og når du har så mange mennesker som besøker et av WordPress-nettstedene dine, blir det en plikt å tilby en svært sikker plattform som ikke kompromitterer sikkerheten deres.
I dagens innlegg, en del av vår serie med informative WordPress-opplæringsprogrammer (som du kan se på menyen vår), vil vi veilede deg nedenfor på forskjellige måter du kan implementere WordPress SSL / TLS eller WordPress HTTPS på nettstedet ditt.
Sidebeskrivelse: noe av lesingen og arbeidet som er involvert i denne artikkelen er svært teknisk og krever utvikler kunnskap. Hvis du vil ansett en WordPress-utvikler sjekk ut artikkelen som er lenket for å lære om alle tingene du må vurdere før du ansetter en utvikler.
Trenger du hjelp med å sikre nettstedet ditt? Prøv disse topprangerte rimelige konsertene på Fiverr!
Klikk her å finne eksperter på sette opp sikre WordPress-sertifikater.
1. Første ting først. Er det SSL eller TLS? Eller HTTPS?
Virkelig og sann, i dag burde det være TLS (som er et akronym for Transport Layer Security).
Dette er fordi TLS er den siste versjonen av sikre sertifikater som skal brukes. Opprinnelig var imidlertid navnet på sikkerhetstransporten SSL (Secure Sockets Layer).
Mens TLS i virkeligheten brukes i dag, refererer de fleste til sikre sertifikater som SSL-sertifikater. Strengt tatt burde vi kun kalle dem sikre sertifikater.
HTTPS betyr HTTP levert over Secure kommunikasjon. HTTPS er i dag implementert ved bruk av sikre sertifikater over TLS.
2. Rollen til sikre sertifikater og hvordan det passer med WordPress Security
SSL er forkortelsen som står for Secure Sockets Layer og er en teknologi som brukes til å utføre sikker kommunikasjon over et nettverk.
Denne sikre transportformen oppnås ved å opprette en kryptert kobling mellom en klientmaskin og en server. I de fleste tilfeller vil dette være en webserver og en klientleser der et nettsted vil bli vist; eller i tilfelle e-postklienter som MS Outlook, dannes en forbindelse med e-postserveren.
Det sikre sertifikatet er vanligvis utstedt av en sertifiseringsinstans som Comodo SSL. Dette betyr at en sentral, pålitelig autoritet "godkjenner" for serveren. I hovedsak, når webserveren krypterer en melding, "signerer" de den for å bekrefte at den er ekt med et sertifikat fra myndigheten.
Nettleseren sjekker deretter signaturen og verifiserer at signaturen kommer fra en "klarert" autoritet. Hvis sertifikatet er klarert, oppnås sikker kommunikasjon mellom klienten og serveren.
Sertifikatet brukes deretter til å dekryptere meldingen og lese innholdet.
Dette tillater muligheten for å ha sikker kommunikasjon, som ikke kan leses av tredjeparter. Dette gir grønt lys for brukerne å stole på at de konfidensielle dataene de sender over internett, for eksempel banklegitimasjon, påloggingsinformasjon, personnummer, e-handelsdata, kredittkortdetaljer og annen konfidensiell vil komme sikkert til nettstedet der de vil være Bearbeidet.
Fordi i realiteten problemet med "tillit" ikke er på nettstedet per, men kommunikasjonen mellom nettstedet og klienten.
Før denne teknologien, eller når et nettsted bare bruker HTTP for kommunikasjon, ikke så avansert, vil data sendes som ren tekst. Dette klarte det sårbare for ondsinnede angrep - som var i stand til å lese dataene, og selvfølgelig, bruke dem av ondsinnede årsaker. For eksempel kan påloggingsinformasjon bli stjålet for å overta et nettsted, eller kredittkortdata kan leses og brukes til å kjøpe ting på svindel.
Følgende video er en god forklaring på hva SSL er og hvorfor du trenger å ha det implementert på nettstedet ditt.
3. Hvorfor skal du betjene nettstedet ditt sikkert?
Nettstedeiere som ikke har implementert HTTPS er utsatt for "snooping".
Siden webserveren ikke er i stand til å kryptere trafikken som sendes til nettleseren, kan ALLE datakommunikasjonene, inkludert konfidensielle data, leses veldig enkelt av hackere. I hovedsak kan alle dataene som sendes mellom klienten og webserveren leses. Hvis du logger på et nettsted, kan du lese legitimasjonen din. Hvis du sender kredittkortopplysninger, kan disse bli stjålet.
Hvis du sender noen konfidensielle data, kan dette leses hvis du ikke implementerer nettsikkerhet via sikre sertifikater.
Hvis du ikke implementerer fullkryptering, vil nettstedet ditt være utsatt for det som er kjent som en Man in the Middle Attack. Les mer om dette på Wikipedia. Verktøy som Wireshark (gratis verktøy og tilgjengelig for nedlasting og bruk av alle) gjør det veldig enkelt å lese trafikk over internett, og hackere setter opp full infrastruktur for å lese ukryptert data.
Nedenfor er et skjermbilde av Wireshark som leser et passord sendt via HTTP:
Ondsinnede brukere har verktøy som ovenfor som er i stand til å lete etter spesifikke mønstre, for eksempel kredittkortnumre, personopplysninger, passord og andre data som er verdifulle for dem.
På den annen side, hvis du implementerer HTTPS på WordPress, har du satt opp et krypteringssystem som gir flere sikkerhetsfordeler som integritet, identitet og fremfor alt konfidensialitet.
Det lar bare serveren og nettleseren dekryptere teksten som sendes over kommunikasjonskanalen. Den hevder om dataene er intakte og ikke ble endret for å sikre integriteten til dataene (dvs. det er ikke blitt manipulert med dem).
4. HTTPS og SEO
Nettsteder som implementerer HTTP-er får en rangering i søkemotorer.
Google i en blogg med tittelen "HTTPS som et rangeringssignal." kunngjorde at det vil gi en fordel til de nettstedene som benytter seg av denne sikre teknologien.
Dette gjør viktigheten av å implementere den på nettstedet ditt, så mye høyere. Ellers er nettstedet ditt i en ulempe sammenlignet med konkurrenter som har implementert HTTPS.
Google ønsker at sikkerhet skal gis størst oppmerksomhet og prioritet. Selskapet har påtatt seg å sørge for at full sikkerhet brukes i hele bransjen. Dette sikrer at internettbrukere som bruker Googles søkemotor og andre tjenester, får sikker kommunikasjon på tvers av alle tjenester.
De har også kommet med konseptet "HTTPS overalt" for å fremme en følelse av økt internett-sikkerhet.
Dette var imidlertid ikke nok for dem. Siden de har så mye innflytelse, la de til SSL som et rangeringssignal for SEO og rangering av søkemotorer.
Hvis nettstedet ditt implementerer HTTPS, vil det ha en fordel i forhold til de nettstedene som ikke implementerer det (med alle andre rangeringssignaler like).
Les mer: WordPress onpage SEO Sjekkliste: en 19 trinn-for-trinn guide for å øke trafikken.
Vil migrering fra HTTP til HTTPS skade rangeringene mine?
Mange lurer på om endringen fra HTTP til HTTPS vil skade deres nåværende organiske rangering. Gitt at HTTP- og HTTPS-versjonene av et nettsted anses som forskjellige, betyr dette at alle tilbakekoblinger til http: //-versjonen av nettstedet er tapt?
Det er en veldig gyldig bekymring.
Du har jobbet mye for å få dyrebare tilbakekoblinger, og å miste dem vil bety at du får en liten rangering, men mister det større rangeringssignalet som kommer fra lenker.
Som du vil se videre vil vi imidlertid utføre en 301-viderekobling. Dette betyr at serveren som tidligere bodde her har flyttet permanent til et nytt sted.
Google forstår at en 301-viderekobling betyr "Hei Google - dette er fortsatt meg, men jeg har nå flyttet til en ny adresse permanent". Hva det betyr er at du ikke mister noe av trafikken din, tilbakekoblinger eller lenkesaft.
Det kan være lurt å lese litt mer om 301 omdirigering på Moz-nettstedet. Du vil finne at de vil komme med våre nøyaktige anbefalinger.
Den ene tingen som nettstedet vårt mistet ved omdirigering til den sikre nettadressen til nettstedet vårt, var vårt Sosiale andelsteller.
Dette er fordi Facebook og de fleste andre aksjetellere behandler https: // www.collectiveray.com og https: // www.collectiveray.com som to helt forskjellige nettadresser. Dette er noe du sannsynligvis må leve med. I virkeligheten, jo før du gjør dette, desto raskere er du i gang med å skaffe nye aksjetellinger på din sikre adresse.
Vi har gjort dette på flere nettsteder i tillegg CollectiveRay, og det var aldri noen negativ effekt på rangeringer eller trafikk. Så lenge du utfører et riktig oppsett, bør du ikke være bekymret for dette.
OPPDATERING: Nylig har Google bekreftet at 301 viderekoblinger fra HTTP til HTTPS mister absolutt ingen koblingsjuice. Dette er fordi det selvfølgelig ikke gir mening å få en straff for å bytte til noe som Google forfekter.
5. Hva mer må jeg gjøre etter at jeg har aktivert SSL?
Hvis du vil sørge for at du sender en sterk melding til Google om at nettstedet ditt faktisk har flyttet, er den ideelle måten å gjøre dette via Google Search Console.
Bare legg til nettstedet ditt som om det var et nytt nettsted i Google Search Console.
Selvfølgelig kan dette bety at du mister noen ting, for eksempel strukturerte data, og du må sende inn nettstedskartene dine på nytt. Ikke detless, vi tror dette er en veldig sterk indikator for Google på at dette er en gyldig og fullt godkjent migrasjon.
6. Å vinne tillit med sikkerhet
Som du sannsynligvis allerede er kjent med, vil noen nettsteder vise en grønn linje i nettleseren. Dette betyr at nettstedet har implementert sikker kommunikasjon.
Du kan se et veldig tydelig eksempel på dette på Paypal-nettstedet.
Hvordan kan du sjekke om nettstedet ditt er beskyttet eller ikke?
For å sjekke om et nettsted er SSL-beskyttet eller ikke, kan du sjekke om prefikset https: // vises foran URL-en i stedet for den vanlige http: //.
Bortsett fra dette, kan du også finne en hengelås som er til stede i adressefeltet før nettstedet begynner.
Bildet vist ovenfor indikerer at et nettsted har et autorisert SSL-sertifikat, men utseendet til hengelåsen varierer fra nettleser til nettleser. De nettstedene som har kjøpt et utvidet valideringssertifikat, vil vise en helt grønn adresselinje, eller navnet på selskapet vil vises før URL-en.
Utvidede valideringssertifikater er ganske dyre å kjøpe og implementere fordi de krever en rekke fysiske kontroller for å bekrefte at webserveren faktisk tilhører selskapet som implementerer den.
For de som bruker Safari, vil de se at en grønn skrift brukes til å angi at selskapet bruker et EV-sertifikat.
Følgende eksempel er et EV-sertifikat som brukes til Safari-nettleseren. Her har adresselinjen ikke grønn bakgrunn som andre nettlesere. I stedet har de valgt å bruke en grønn skrift.
Extended Validation Certificate tilbyr utvidet sikkerhet som fremgår av navnet.
Et EV-sertifikat utstedes til et selskap som har ryddet alle trinnene i valideringsprosessen. Slike juridiske formaliteter som å bevise deres fysiske adresse og tilgang til spesifikke filer på en server er nødvendig for å fullføre den juridiske autorisasjonen. Det er også ganske mange andre valideringer som et selskap vil måtte gjennomgå for å få et gyldig Extended Validation-sertifikat, men dette er utenfor omfanget av denne artikkelen.
Du kan lese mer om Utvidede valideringssertifikater her.
Ved å implementere WordPress HTTPS, bekrefter og verifiserer et tredjepartsfirma at webserveren er den den hevder å være. Dette byrået kalles utsteder av sertifikatet - også kalt en pålitelig sertifikatmyndighet.
Hva skjer når sikre sertifikater slutter å fungere
Ved å bruke indikatorene ovenfor kan man vite om deres sikre sertifikater fungerer eller ikke.
På samme måte kan brukere raskt forstå at trafikken til et nettsted ikke er kryptert eller at sikkerhetssertifikatet deres har utløpt. Når hengelåsen ser rød ut og en rød linje treffer, er det en indikasjon på en av disse tingene:
- nettstedet bruker et selvsignert sertifikat, dvs. utstedt av samme webserver. Dette betyr at sertifikatet ikke er klarert, fordi sertifikatet ikke ble utstedt av en klarert myndighet
- utløpsdatoen er passert og sertifikatet er ikke lenger gyldig
- sertifikatet blir ikke klarert av annen grunn og er merket som ugyldig
På bildet over kan du se advarselen før du besøker et nettsted når nettleseren anerkjenner at det sikre sertifikatet som brukes av et nettsted du er om besøket, har utløpt.
De fleste moderne nettlesere har denne muligheten til å advare om og ugyldig sertifikat (derfor usikker dataoverføring) før en bruker kan fortsette mot et usikret nettsted.
Etter utløpet av sertifikatet er alt du trenger å gjøre å fornye sertifikatet fra autoritetsstedet (hvor sertifikatet opprinnelig ble hentet fra). Videre foreslås det at sertifikater ikke får utløpe i det hele tatt. Et slikt bortfall skaper et dårlig inntrykk av et nettsted på de besøkende.
Et nettsted sies å ha et selvsignert sertifikat hvis sertifikatet er opprettet av den samme webserveren, i stedet for å bli utstedt av en pålitelig sertifikatmyndighet. Dette sertifikatet er IKKE STILLET.
Nettlesere stoler bare på SSL-sertifikater som deles ut av pålitelige sertifikatmyndigheter. For alle andre tilfeller viser de en advarsel for nettsteder som kjører på et selvsignert sertifikat.
HTTP til HTTPS Migration Checklist
Nå som vi forstår fullt ut hvorfor WordPress HTTPS vil være til nytte for nettstedet vårt, vil vi forklare i detalj nedenfor hvordan du implementerer det på nettstedet ditt. Vi har også en sjekkliste for HTTP til HTTPS-migrering som vi viser nedenfor for å sikre at du har dekket alle trinnene knyttet til overføring til HTTPS.
Før du starter WordPress sikkert
| 1.1. | SSL-sertifiseringsinnstilling | Få, konfigurer og test TLS-sertifikatet ved hjelp av SHA-2 for SSL | Server |
| 1.2. | Registrering av Google Search Console | Registrer begge domenene http og https i Google Search Console, sammen med www- og ikke-www-versjonene. Hvis du også hadde registrert individuelle underdomener eller underkataloger i Google Search Console, replikerer du registreringen og konfigurasjonen med deres https-versjon. | Google Search Console |
| 1.3. | Rangering Overvåking | Begynn å overvåke rangering av nettstedet parallelt med https-domenet | Rangere sporingsprogramvare |
| 1.4. | Nåværende toppside og identifikasjon av spørsmål | Identifiser de øverste sidene - og relaterte spørsmål - tiltrekker organisk søkesynlighet og trafikk som skal prioriteres når du validerer og overvåker nettstedets ytelse | Google Search Console og Google Analytics |
| 1.5. | Gjeldende nettstedgjennomgang | Gjennomgå http-siden for å identifisere og fikse eventuelle interne ødelagte lenker og den nåværende webstrukturen før du flytter. | Staging Miljø |
| 1.6. | Ny HTTPS-nettinnstilling m / oppdaterte interne lenker | Sett den nye webversjonen til å gjøre endringene, teste og oppdatere koblingene i et iscenesettelsesmiljø, for å peke på URL-ene (sider og ressurser som bilder, js, pdfs osv. Også) med HTTPS | Staging Miljø |
| 1.7. | Ny HTTPS-nettkanonisering | Oppdater de kanoniske kodene slik at de inkluderer absolutte nettadresser ved hjelp av https på scenemiljøet | Staging Miljø |
| 1.8. | Ny HTTPS-nettkanonisering | Bekreft i iscenesettingsmiljøet at all eksisterende omskriving og omdirigering atferd (ikke-www mot www; skråstrek mot ikke-skråstrek osv.) Også er implementert i den sikre webversjonen slik de pleide å jobbe med http-en | Staging Miljø |
| 1.9. | Omdirigerer forberedelse | Forbered og test omskrivingsreglene som vil 301 omdirigere fra alle de identifiserte eksisterende nettadressene (sider, bilder, js osv.) På http-domenet til https-en | Server |
| 1.10. | Ny generering av XML-nettkart | Generer et nytt XML-nettkart med nettadressene med sikkerhet implementert for å lastes opp i HTTP-ene Google Search Console-profilen når siden er flyttet | XML Sitemap Generator |
| 1.11. | Robots.txt forberedelse | Forbered robots.txt som skal lastes opp på https-domeneversjonen når nettstedet lanseres, og repliker eksisterende direktiver for http, men ved å peke på https-URL-ene om nødvendig | Robots.txt |
| 1.12. | Forbered endringer på annonser, e-post eller tilknyttede kampanjer for å begynne å peke på https URL-versjonene når overføringen er gjort | Kampanjer-plattformer | Ulike plattformer |
| 1.13. | Avvis konfigurasjon | Bekreft om det tidligere har blitt sendt inn avvisningsforespørsler som må sendes på nytt for de sikre URL-versjonene i sin egen Google Search Console-profil | Google Search Console |
| 1.14. | Geolokaliseringskonfigurasjon | Hvis du overfører en gTLD som du geografisk målretter gjennom Google Search Console (i tillegg til underdomener eller underkataloger, hvis du målretter dem individuelt), må du sørge for å geografisk målrette dem igjen med den sikre domeneversjonen | Google Search Console |
| 1.15. | URLer Parametere Konfigurasjon | Hvis URL-parametere håndteres via Google Search Console, bør den eksisterende konfigurasjonen replikeres i den sikre nettstedsprofilen | Google Search Console |
| 1.16. | Forberedelse av CDN-konfigurasjon | Hvis et CDN brukes, må du kontrollere at de vil kunne betjene den sikre domeneversjonen av nettstedet og håndtere SSL når overføringen er ferdig. | CDN-leverandør |
| 1.17. | Annonser og forberedelse av utvidelse av tredjepart | Bekreft at alle viste annonsekoder, tredjepartsutvidelser eller sosiale plugins som brukes på nettstedet, fungerer som de skal når dette flyttes til https | Annonser og utvidelsesplattformer |
| 1.18. | Konfigurering av Web Analytics-konfigurasjon | Forsikre deg om at den eksisterende Web Analytics-konfigurasjonen også vil overvåke trafikken til det sikre domenet | Web Analytics-plattform |
Under faktisk migrering til et sikkert nettsted
| 2.1. | HTTPS-nettstedslansering | Publiser den validerte https-nettversjonen direkte | produksjon Miljø |
| 2.2. | Ny HTTPS-versjon Nettstrukturvalidering | Kontroller at URL-strukturen på den sikre nettversjonen er den samme som den i HTTP | produksjon Miljø |
| 2.3. | Ny sikker versjon intern lenking | Bekreft at nettstedskoblingene peker effektivt mot HTTPS-URL-ene | produksjon Miljø |
| 2.4. | Ny kanonisering av HTTPS-versjonen | Kontroller at de kanoniske kodene på sidene peker til HTTPS-URL-ene | produksjon Miljø |
| 2.5. | Ny kanonisering av HTTPS-versjonen | Implementere omskrivinger og viderekoblinger fra www vs ikke-www, skråstrek mot uten skråstrek, etc. i den nye sikre webversjonen | produksjon Miljø |
| 2.6. | HTTP til HTTPS-omdirigering implementering | Implementere 301-viderekoblinger fra alle nettadresser på nettstedet fra HTTP til HTTPS-versjonen | produksjon Miljø |
| 2.7. | Web Analytics-konfigurasjon | Merk migreringsdatoen i Web Analytics-plattformen og kontroller at konfigurasjonen er satt til å spore den sikre webversjonen | Web Analytics-plattform |
| 2.8. | Validering av SSL-serverkonfigurasjon | Bekreft SSL-konfigurasjonen til webserveren din. Du kan bruke tjenester som https://www.ssllabs.com/ssltest/ | Produksjonsmiljø, SSL Test |
| 2.9. | Robots.txt-oppdatering | Oppdater robots.txt-innstillingen i https-domenet med de relevante endringene | Robots.txt |
Etter lansering av HTTPS
| 3.1. | HTTPS-gjennomsøkingsvalidering | Gjennomgå nettstedet for å bekrefte at de sikre URL-ene er de som er tilgjengelige, lenket og servert uten feil, feilaktige ikke-indekseringer og kanoniseringer og viderekoblinger | produksjon Miljø |
| 3.2. | Nytt HTTPS-nettsted omdirigerer validering | Kontroller at viderekoblingsreglene fra http vs. https, www vs. ikke-www og skråstrek vs. ikke-skråstrek er riktig implementert | produksjon Miljø |
| 3.3. | XML Sitemap Release & Submission | Last opp og verifiser det genererte XML-områdekartet med de sikre URL-versjonene i https Google Search Console-profilen | Google Search Console |
| 3.4. | Offisiell oppdatering av eksterne lenker | Oppdater offisielle eksterne lenker som peker til nettstedet for å gå til den sikre versjonen (sosiale medieprofiler partnersider, etc.) | Offisiell tilstedeværelse i eksterne plattformer |
| 3.5. | Annonser og validering av utvidelser fra tredjeparter | Kontroller at eventuelle plugins som sosiale knapper, annonser og tredjepartskode fungerer korrekt i versjonene av sikre nettadresser. Du kan skanne nettstedet ditt for å lete etter ikke-sikkert innhold med https://www.jitbit.com/sslcheck/ | Annonser og utvidelsesplattformer, SSL-sjekk |
| 3.6. | Kampanjer oppdaterer kjøringen | Implementere de relevante endringene av annonser, e-post og tilknyttede kampanjer for å referere til HTTPS-nettversjonen riktig | Kampanjer-plattformer |
| 3.7. | Overvåking av gjennomsøking og indeksering | Overvåk indeksering, synlighet og feil for både HTTP- og HTTPS-nettstedversjonene | Google Search Console |
| 3.8. | Rangering og trafikkovervåking | Overvåk både HTTP- og HTTPS-nettstedversjoner trafikk og rangering aktivitet | Webanalyse og rangeringssporingsplattformer |
| 3.9. | Validering av konfigurasjon av Robots.txt | Bekreft innstillingen for robots.txt i det sikre domenet for å sikre at konfigurasjonen ble riktig oppdatert | Robots.txt |
Denne sjekklisten for migrering av HTTP til HTTPS ble vennlig opprettet og delt med Advanced WP Facebook-gruppen.
7. Hvordan kan du legge til sikkerhet på WordPress-nettstedet ditt?
La oss komme ned til det nitty-gritty og få hendene skitne. Det er to måter å konfigurere WordPress SSL på:
- Konfigurere SSL manuelt på WordPress-nettstedet ditt
- Bruker WordPress HTTPS-plugin
Hvordan anskaffe et sikkert sertifikat
Først og fremst må du skaffe deg et SSL-sertifikat.
Det er forskjellige måter å gjøre dette på, men den enkleste måten å gjøre dette på er via din server.
På InMotion-hosting kan du kjøpe sertifikatet og alt du trenger med det direkte via Account Management Panel (AMP) -konsollen. Det som er bra er at de vil støtte deg veldig bra hvis du ikke vil skitne hendene.
Inkludert i prisen på $ 99 / år, vil prisen på den påkrevde dedikerte IP-en være. Det er en engangsavgift på $ 25 siden sertifikatet må installeres på serveren som driver nettstedet ditt.
Denne avgiften kan fravikes hvis du har direkte tilgang til serveren og kan installere sertifikatet selv.
Hvis du har en Virtual Private Server, er det veldig enkelt å installere sertifikatet manuelt. Vi har dokumentert trinnene i vår InMotion VPS gjennomgang, så vi går ikke gjennom det igjen.
Hvis du ikke er vert for InMotion (hvorfor ikke? Vet du ikke at serverne deres er raskere og støtten bedre?) Vil prosedyren være lik.
Når sertifikatet er kjøpt og installert, må du nå aktivere WordPress SSL / TLS.
Bruker Let's Encrypt som en sertifiseringsinstans
Sikkerhetskopier i denne artikkelen nevnte vi at sikre sertifikater utstedes av det som kalles en sertifikatmyndighet. Dette er et organ som kan "sertifisere" at serveren der du har installert sertifikatet ditt virkelig er den det hevder å være. Dette innebærer selvfølgelig litt arbeid, og vanligvis vil du bli belastet for dette arbeidet.
La oss kryptere er en ny sertifikatautoritet som vil gjøre det lettere for alle å skaffe seg et sikkert sertifikat, ved å gjøre prosessen med å skaffe et sertifikat automatisert og gratis.
Dette er i hovedsak en myndighet som drives av en rekke selskaper kalt Internet Security Research Group, inkludert så store navn som Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook og mange andre som ønsker å skaffe seg et sikkerhetssertifikat: Gratis, automatisert, sikker, gjennomsiktig, åpen og kooperativ.
Hvorfor vil disse selskapene gi deg ting gratis? Fordi et sikkert og tryggere internett er et ønskelig mål for alle.
Selv om det kan være relativt enkelt, er det fremdeles noe teknisk prosedyre å få sertifikatet på plass. Imidlertid har de fleste webhotellfirmaer i disse dager integrert funksjonaliteten slik at det å kjøpe et Let's Encrypt-sertifikat for de fleste selskaper er et spørsmål om å klikke på en knapp, og sertifikatet blir opprettet og satt opp.
Opprette et sikkert sertifikat manuelt ved hjelp av Let's Encrypt
(Du kan hoppe over denne delen hvis du ikke planlegger å lage ditt eget Let's Encrypt Certificate og vil anskaffe det gjennom hosting-serveren din)
Du trenger direkte eller shell root-tilgang til serveren din for å kunne kjøre følgende prosedyre.
1. Installer Let's Encrypt-biblioteket på serveren din
Kjør følgende kommando for å installere Let's Encrypt-biblioteket
$ sudo git klone https://github.com/letsencrypt/letsencrypt / opt / letsencrypt
Denne kommandoen laster ned og kopierer LetsEncrypt-depotet til / opt-katalogen.
2. Generer et sikkert sertifikat
Den beste måten å generere et sertifikat på er å bruke den frittstående metoden med en nøkkelstørrelse på 4096 (som er veldig freaking sterk).
$ ./letsencrypt-auto certonly --standalone --rsa-key-size 4096
Så snart du kjører denne kommandoen, vises et vindu som ber deg om domenenavnet. Det foreslås at du skriver inn både rotdomenet og andre underdomener du planlegger å bruke sertifikatet med.
Det neste trinnet er å lese og godta vilkårene for tjenester La oss kryptere. Når du er enig, vil du kunne se banen til .pem-filen. Den blir plassert i / etc / letsencrypt / live / your-domain-name /. Hvis du støter på noen feil mens du oppretter sertifikatet, kan det være lurt å kontrollere brannmurkonfigurasjonen fordi det kreves et antall tilkoblinger for å opprette sertifikatene.
Sertifikatet som genereres, utløper om 90 dager og må fornyes hver 90. dag. Dette er litt av et negativt og positivt poeng. Du kan finne årsakene til at det brukes 90-dagersertifikater her. For å fornye sertifikatet trenger du bare å kjøre Let's Encrypt fornye skriptet.
Det kan være lurt å skrive en cron-jobb for å automatisere prosessen.
Dette er spesielt viktig hvis du har en tendens til å glemme dette. Når sertifikatet ditt utløper, ser du den røde advarselen som vises ovenfor, så du vil kanskje ha dette i bakhodet.
Trinn 3: Generer en sterk offentlig nøkkel-kryptografisikkerhet ved hjelp av en Diffie Hellman Group
For ytterligere å øke sikkerheten, bør du også generere en sterk Diffie-Hellman-gruppe. For å generere en 4096-bit gruppe, bruk denne kommandoen:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
Dette kan ta en stund, men når det er gjort, vil du ha en sterk DH-gruppe på /etc/ssl/certs/dhparam.pem
Nå som du har et sertifikat, må du installere dette på webserveren din gjennom SSL / TLS-funksjonen til CPanel eller hva hostingfirmaet ditt bruker.
Hvis denne prosedyren skremmer deg, må du huske at i disse dager er de fleste av disse tingene helautomatisert på de fleste verter.
8. Slik konfigurerer du WordPress for å bruke SSL (eller TLS) og HTTPS (den manuelle måten)
Når du har et sikkert sertifikat, og har installert det eller gjort det tilgjengelig på serveren der du er vert for nettstedet ditt, må du utføre de neste trinnene for å aktivere HTTPS på WordPress.
Det aller første trinnet som må gjøres er å innlemme HTTPS på nettstedet ditt for å oppdatere URL-en til nettstedet ditt. For å gjøre dette må du gå til Innstillinger → Generelt, og der kan du oppdatere WordPress- og nettadresseadressefeltet.
Hvis du har et eksisterende nettsted og aktiverer SSL, må du også angi en 301-viderekobling som tvinger alle HTTP-forespørsler til å bli servert sikkert. Dette vil også sørge for at ingen av dine eksisterende lenker fra eksterne nettsteder går tapt, samtidig som de ikke mister noen koblingsjuice.
Dette kan gjøres ved å legge til kodebiten nedenfor i dine .htaccess-filer, som du får tilgang til via CPanel File Manager.
RewriteEngine On RewriteCond% {SERVER_PORT} 80 RewriteRule ^ (. *) $ Https://www.yourwebsitehere.com/$1 [R = 301, L]
Du kan se at dette er en 301-viderekobling, som sørger for at du ikke mister noen koblingsjuice. Forsikre deg om at du har erstattet nettstedet ditt med nettadressen til nettstedet ditt.
Ovennevnte tvinger serveren din til å servere innhold på en sikker måte. Bare som et notatpunkt, vil alle URL -adresser under hoveddomenet bli konvertert til HTTPS ved å bruke ovenstående. Så noen av dine gamle lenker på la oss si http: // www.collectiveray.com/wordpress/ville automatisk bli https: // www.collectiveray.com/wordpress/
For de som er på Nginx-servere, bør du legge til HTTP-viderekobling nedenfor for å konvertere den til HTTPS:
server {listen 80; servernavn websitename.com www.websitename.com; returner 301 https: //websitename.com$request_uri; }
Følgende trinn hjelper deg med å sikre at alt innholdet på nettstedet blir servert sikkert.
Konfigurer en sikker administrator
Du kan konfigurere tvang av en sikker WordPress-administrator (dvs. administrasjonsdelen av nettstedet ditt eller / wp-admin) via wp-config.php-filen. Hvis du ønsker å tvinge sikkerhet på et WordPress-nettsted som har påloggingssider for flere nettsteder eller i adminområdet, er alt du trenger å legge til følgende kodebit i wp-config.php-filen.
definere ('FORCE_SSL_ADMIN', sant);
Det er for det meste det, du skal nå kunne få tilgang til WordPress-administratoren din på en sikker måte!
9. Implementer HTTPS ved hjelp av WordPress SSL-plugins
En annen enkel måte å sette opp SSL på nettstedet ditt er å benytte et WordPress SSL-plugin.
Bruke Really Simple SSL plugg inn
Valgprogrammet for å aktivere WordPress HTTPS på nettstedet ditt er Really Simple SSL plugg inn. Det er et veldig pent skrevet plugin av Rogier Lankhorst. Det som er bra med dette pluginet er at det fjerner all kompleksiteten forbundet med å aktivere sikre sertifikater på nettstedet ditt.
Virkelig og sann, dette er et SSL-aktiveringsplugg med ett klikk.
Etter at du har anskaffet SSL-sertifikatet ved hjelp av en av metodene beskrevet ovenfor, og installert det på serveren din, trenger du bare å installere og Aktiver de Really Simple SSL plugin, og det vil gjøre resten av arbeidet for deg.
Det gjør faktisk ganske mye arbeid under panseret for å løse de mest kjente problemene med å aktivere HTTPS på nettstedet ditt. Det tar hensyn til oppsettet av serveren og utfører alle endringene etter behov, slik at du ikke trenger å rote med noe selv.
Nedenfor er et skjermbilde av pluginet etter aktivering - det har gjort noe arbeid og oppdaget at det allerede er et sertifikat installert på serveren.
Som du kan se, kan du nå bare klikke på "Aktiver SSL" og du er ferdig!
Når nettstedet ditt er konvertert til SSL, kan du se på innstillingene, eller skanne etter eventuelle problemer og problemer som du kan se på skjermbildet nedenfor.
Plugin vil da prøve å fikse eventuelle problemer.
Dette pluginet er din one-stop shop for å aktivere SSL.
Andre plugins for å aktivere SSL
Selvfølgelig er ovenstående ikke det eneste pluginet du kan bruke til å aktivere sikre sertifikater. Følgende er en rekke andre alternativer du kanskje vil bruke. Begge to oppnår til slutt det samme målet, å aktivere HTTPS på WordPress-nettstedet ditt.
- Enkel HTTPS-omdirigering
- SSL Zen - dette er et nytt plugin, det hjelper deg faktisk med å opprette Let's Encrypt-sertifikatet gjennom selve pluginet
10. Testing av riktig sikker sertifikatoppsett på nettstedet ditt
For å sikre at nettstedet ditt er fullstendig konfigurert, anbefaler vi at du tester nettstedet ditt ved hjelp av dette SSL SEO-sjekker verktøyet, som sjekker om du har det anbefalte WordPress SSL-oppsettet.
Når testen kjører, får du en SSL-rapport som ligner på følgende:
11. Ikke glem å fornye Secure Certificate
Et utløpt sertifikat er et dødt sertifikat.
Hvis et sertifikat utløper, kan du ikke fornye det.
Du må få en ny utstedt på nytt og installere den på nettstedet ditt. Det er selvfølgelig mer hodepine enn du virkelig trenger, så husk å huske å fornye den før den utløper.
Dette skjedde med oss på årsdagen for å få vårt første sikre sertifikatoppsett. Det er ikke en hyggelig situasjon å plutselig se at ALLE trafikken går til null. Folk er veldig forsiktige med å komme seg utover et utløpt sertifikat, slik at trafikken du får, blir enorm.
Vi foreslår at du setter opp en påminnelse et par uker før utløpet.
Du har blitt varmet. Utløpte sertifikater er mye arbeid, så ikke glem å fornye det.
Vil du ta den enkle veien ut?
Selv om vi får det til å se enkelt ut, er det selvfølgelig tider når ting ikke går slik du forventer at de skal, så sørg for at du har støttenummer for hånden i tilfelle alt går galt mens du konfigurerer WordPress SSL-funksjonalitet. .
Hvis du vil ta den enkle utveien, er det bare å få InMotion til å sette opp alt for deg. Du får et raskere nettsted, i tillegg til at det drives av SSL. Du får også et gratis domene, og de vil overføre nettstedet for deg. CollectiveRay besøkende får også EKSKLUSIV 47% av normalprisen, så ta deg et kupp NÅ.
Dette er et tidsbegrenset tilbud til Mai 2023, så få det før tilbudet utløper.
Ofte Stilte Spørsmål
Har WordPress SSL?
WordPress støtter SSL både på front-end og på backend. For å aktivere det må du skaffe et sertifikat enten ved å kjøpe et eller bruke Let's Encrypt gjennom vertsselskapet ditt og få det installert på serveren. Når sertifikatet er installert, kan du aktivere HTTPS ved å bruke en av metodene ovenfor, for eksempel å bruke Really Simple SSL plugin.
Hvordan aktiverer jeg SSL i WordPress?
For å aktivere SSL i WordPress er den enkleste metoden å bruke en plugin som f.eks Really Simple SSL. Dette bruker sertifikatet som er konfigurert for domenet, så sørg for at det sikre sertifikatet allerede er installert før du aktiverer det.
Hvordan får jeg gratis SSL på WordPress?
For å få gratis SSL på WordPress, må du bruke Let's Encrypt-funksjonaliteten som er tilgjengelig på hosting-serveren din. Dette vil utstede et gratis sikkert sertifikat og installere det på domenet ditt. De fleste vertsselskaper tilbyr denne funksjonaliteten i dag, du kan bruke InMotion til å gjøre dette.
Hva er forskjellen mellom HTTP og HTTPS?
Forskjellen mellom HTTP og HTTPS er at sistnevnte overføres over en sikker kanal. Det sikre sertifikatet som er installert på serveren, krypterer meldinger før de sendes på en måte som bare kan dekrypteres av nettleseren som startet tilkoblingen. Dette betyr at sensitive data som å logge på et nettsted med et brukernavn / passord, sende sensitive data som å sende kredittkortinformasjon eller andre data kan sendes trygt og sikkert.
Konklusjon: HTTPS er et must
Som du kanskje har sett, er implementering av HTTPS eller SSL ikke alltid rett fram, men det er viktig. Google har nylig kunngjort at de vil merke nettsteder som IKKE SIKKER, hvis de ikke er SSL-aktiverte. Så sørg for at du får dette oppsettet på nettstedet ditt i dag.
Vær så snill forlate en nyttig kommenter med tankene dine, så del dette på Facebook-gruppen din (e) som synes dette er nyttig, og la oss høste fordelene sammen. Takk for at du delte og var hyggelig!
Avsløring: Denne siden kan inneholde lenker til eksterne nettsteder for produkter som vi elsker og anbefaler helhjertet. Hvis du kjøper produkter vi foreslår, kan vi tjene et henvisningsgebyr. Slike avgifter påvirker ikke våre anbefalinger, og vi godtar ikke betaling for positive anmeldelser.
og mange flere ...