Você pode se perguntar por que precisaríamos implementar WordPress SSL / TLS ou habilitar WordPress em HTTPS? Antes de começarmos, temos que contar um pouco da história.
Com 3.9 bilhões de usuários usando a internet (e crescendo a cada dia) e 1.7 bilhão de sites na internet, podemos certamente dizer que a internet surgiu como nosso segundo lar - o que antes era conhecido como "entrar na internet" não é mais preciso. Estamos sempre conectados, sempre ligados. O Facebook cresceu para mais de 2.5 bilhões de usuários ativos mensais. Costumávamos falar em "virtual", mas a Internet se tornou tão real quanto o real pode ser, parte de nossa vida cotidiana.
Essas estatísticas são simplesmente avassaladoras! E não há absolutamente nenhum sinal de que está diminuindo. À medida que os países emergentes obtêm acesso à Internet barata, os números tendem a crescer no futuro previsível.
O WordPress certamente cresceu desde seu início humilde como um blog. E quando você tem tantas pessoas visitando um de seus sites WordPress, torna-se um dever fornecer uma plataforma altamente segura que não comprometa a segurança deles.
No post de hoje, parte de nossa série de tutoriais informativos em WordPress (que você pode ver em nosso menu), vamos guiá-lo a seguir sobre as várias maneiras em que você pode implementar WordPress SSL / TLS ou WordPress HTTPS em seu site.
Nota: parte da leitura e do trabalho envolvido neste artigo é altamente técnico e requer conhecimento do desenvolvedor. Se você gostaria de contratar um desenvolvedor WordPress confira o artigo com link para aprender sobre todas as coisas que você precisa considerar antes de contratar um desenvolvedor.
Precisa de ajuda para proteger seu site? Experimente esses shows acessíveis com melhor classificação no Fiverr!
Clique aqui para encontrar especialistas em configurar certificados seguros do WordPress.
1. Primeiro as coisas mais importantes. É SSL ou TLS? Ou HTTPS?
Realmente e verdadeiramente, hoje deveria ser TLS (que é um acrônimo para Transport Layer Security).
Isso ocorre porque o TLS é a versão mais recente dos certificados seguros que devem ser usados. No entanto, originalmente, o nome do transporte de segurança usado era SSL (Secure Sockets Layer).
Embora, na realidade, o TLS seja usado hoje, a maioria das pessoas se refere aos certificados seguros como certificados SSL. A rigor, devemos chamá-los de certificados seguros apenas.
HTTPS significa HTTP entregue Scomunicação segura. HTTPS é hoje implementado por meio do uso de certificados seguros sobre TLS.
2. Função dos certificados seguros e como eles se adaptam à segurança do WordPress
SSL é a sigla que significa Secure Sockets Layer e é uma tecnologia usada para realizar comunicações seguras em uma rede.
Essa forma segura de transporte é obtida criando um link criptografado entre uma máquina cliente e um servidor. Na maioria dos casos, seria um servidor da web e um navegador do cliente no qual um site será exibido; ou no caso de clientes de e-mail como o MS Outlook, uma conexão é formada com o servidor de e-mail.
O certificado seguro é normalmente emitido por uma autoridade de certificação como Comodo SSL. Isso significa que uma autoridade central e confiável "garante" o servidor. Essencialmente, quando o servidor da web criptografa uma mensagem, ele a "assina" para verificar sua autenticidade com um certificado da autoridade.
O navegador então verifica a assinatura e verifica se a assinatura vem de uma autoridade "confiável". Se o certificado for confiável, a comunicação segura será obtida entre o cliente e o servidor.
O certificado é então usado para descriptografar a mensagem e ler seu conteúdo.
Isso permite a possibilidade de comunicação segura, que não pode ser lida por terceiros. Isso dá luz verde aos usuários para confiarem que os dados confidenciais que estão enviando pela Internet, como credenciais bancárias, credenciais de login, números de previdência social, dados de comércio eletrônico, detalhes de cartão de crédito e outros dados confidenciais chegarão com segurança ao site onde eles estarão processado.
Porque na realidade o problema da “confiança” não está no site por, mas na comunicação entre o site e o cliente.
Antes desta tecnologia, ou quando um site usa HTTP apenas para sua comunicação não tão avançada, os dados eram enviados como texto simples. Isso fez com que vulnerável a ataques maliciosos - que foram capazes de ler os dados e, claro, usá-los para fins maliciosos. Por exemplo, as credenciais de login podem ser roubadas para assumir o controle de um site, ou os dados do cartão de crédito podem ser lidos e usados para comprar coisas de forma fraudulenta.
3. Por que você deve veicular seu site com segurança?
Os proprietários de sites que não implementaram HTTPS são suscetíveis a "espionagem".
Uma vez que o servidor web é incapaz de criptografar o tráfego enviado ao navegador, TODAS as comunicações de dados, incluindo quaisquer dados confidenciais, podem ser lidas facilmente por hackers. Essencialmente, todos os dados que passam entre o cliente e o servidor da web podem ser lidos. Se você estiver fazendo login em um site, suas credenciais podem ser lidas. Se você estiver passando detalhes do cartão de crédito, eles podem ser roubados.
Se você estiver enviando QUALQUER dado confidencial, isso pode ser lido se você não implementar a segurança do site por meio de certificados seguros.
Se você não implementar a criptografia total, seu site ficará suscetível ao que é conhecido como Ataque do Homem no Meio. Leia mais sobre isso em Wikipedia. Ferramentas como WireShark (ferramenta gratuita e disponível para download e uso por qualquer pessoa) facilitam muito a leitura do tráfego da Internet e os hackers configuram infraestruturas completas para ler dados não criptografados.
A seguir está uma captura de tela do Wireshark lendo uma senha enviada por HTTP:
Usuários mal-intencionados têm ferramentas como as acima, que são capazes de procurar padrões específicos, como números de cartão de crédito, detalhes de previdência social, senhas e outros dados valiosos para eles.
Por outro lado, se você implementar HTTPS no WordPress, você configurou um sistema de criptografia que oferece vários benefícios de segurança como integridade, identidade e, acima de tudo, confidencialidade.
Ele permite apenas que o servidor e o navegador descriptografem o texto enviado pelo canal de comunicação. Ele afirma se os dados estão intactos e não foram modificados para garantir a integridade dos dados (ou seja, se não foram adulterados).
4. HTTPS e SEO
Os sites que implementam HTTPs obtêm um aumento de classificação nos motores de busca.
Google em um blog intitulado "HTTPS como um sinal de classificação". anunciou que dará uma vantagem aos sites que utilizam esta tecnologia segura.
Isso aumenta ainda mais a importância de implementá-lo em seu site. Caso contrário, seu site estará em desvantagem em relação aos concorrentes que implementaram HTTPS.
O Google deseja que a segurança receba a máxima atenção e prioridade. A empresa assumiu o ônus de garantir que a segurança total seja usada em todo o setor. Isso garante que os usuários da Internet que usam o mecanismo de pesquisa do Google e seus outros serviços tenham comunicações seguras em todos os serviços.
Eles também criaram o conceito de "HTTPS em todos os lugares" para promover uma sensação de maior segurança na Internet.
No entanto, isso não foi suficiente para eles. Como eles têm muita influência, eles adicionaram SSL como um sinal de classificação para SEO e classificações de mecanismo de pesquisa.
Se o seu site implementar HTTPS, ele terá uma vantagem sobre os sites que não o implementam (com todos os outros sinais de classificação sendo iguais).
Saiba Mais: Lista de verificação de SEO onpage do WordPress: um guia passo a passo 19 para aumentar o tráfego.
A migração de HTTP para HTTPS prejudicará minhas classificações?
Muitas pessoas se perguntam se a mudança de HTTP para HTTPS afetará suas classificações orgânicas atuais. Visto que as versões HTTP e HTTPS de um site são consideradas diferentes, isso significa que todos os backlinks para a versão http: // do site são perdidos?
Essa é uma preocupação muito válida.
Você trabalhou muito para obter backlinks preciosos e perdê-los significaria um pequeno aumento na classificação, mas perderia o sinal de classificação maior proveniente dos links.
No entanto, como você verá mais adiante, estaremos realizando um redirecionamento 301. Isso significa que o servidor que morava aqui foi mudado permanentemente para um novo local.
O Google entende que um redirecionamento 301 significa: "Olá Google - ainda sou eu, mas agora mudei para um novo endereço permanentemente". O que isso significa é que você não perderá nenhum de seu tráfego, backlinks ou link juice.
Você pode querer ler um pouco mais sobre Redirecionamento 301 no site da Moz. Você descobrirá que eles farão nossas recomendações exatas.
A única coisa que nosso site perdeu ao realizar o redirecionamento para o URL seguro do nosso site foi o nosso Contagens de compartilhamento social.
Isso ocorre porque o Facebook e a maioria dos outros contadores de compartilhamento tratam https: // www.collectiveray.com e https: // www.collectiveray.com como dois URLs completamente diferentes. Isso é algo com que você provavelmente terá que conviver. Na realidade, quanto mais cedo você fizer isso, mais rápido você começará a adquirir novas contagens de ações em seu endereço seguro.
Fizemos isso em vários sites além de CollectiveRay, e nunca houve qualquer efeito negativo nas classificações ou no tráfego. Contanto que você execute uma configuração correta, você não deve se preocupar com isso.
ATUALIZAÇÃO: Recentemente, o Google confirmou que 301 redirecionamentos de HTTP para HTTPS não perdem absolutamente nenhum link juice. Isso ocorre porque, é claro, não faz sentido receber uma penalidade por mudar para algo que o Google está defendendo.
5. O que mais preciso fazer depois de habilitar o SSL?
Se você quiser ter certeza de enviar uma mensagem forte ao Google de que seu site foi realmente movido, a maneira ideal é fazer isso por meio do Google Search Console.
Basta adicionar seu site como se fosse um novo site no Google Search Console.
Obviamente, isso pode significar que você perderá alguns itens, como dados estruturados, e precisará reenviar seus sitemaps. Nonetheless, acreditamos que este é um indicador muito forte para o Google de que esta é uma migração válida e totalmente aprovada.
6. Conquistando confiança com segurança
Como você provavelmente já está familiarizado, alguns sites exibirão uma barra verde no navegador. Isso significa que o site implementou uma comunicação segura.
Você pode ver um exemplo muito claro disso no site do Paypal.
Como você pode verificar se o seu site está protegido ou não?
Para verificar se um site é protegido por SSL ou não, você pode verificar se o prefixo https: // aparece na frente da URL em vez do http: // normal.
Além disso, você também pode encontrar um cadeado que está presente no campo de endereço antes do início do site.
A imagem mostrada acima indica que um site tem um certificado SSL autorizado, no entanto, a aparência do cadeado varia de navegador para navegador. Os sites que compraram um Certificado de validação estendida exibirão uma barra de endereço totalmente verde ou o nome da empresa aparecerá antes do URL.
Os certificados de validação estendida são muito caros para adquirir e implementar porque exigem uma série de verificações físicas para confirmar se o servidor da web realmente pertence à empresa que o está implementando.
Para aqueles que estão usando o Safari, eles verão que uma fonte verde é usada para indicar que a empresa está usando um certificado EV.
O exemplo a seguir é um certificado EV usado para o navegador Safari. Aqui, a barra de endereço não tem um fundo verde como outros navegadores. Em vez disso, eles optaram por usar uma fonte verde.
Os certificados de validação estendida oferecem segurança estendida que é aparente a partir do nome.
Um certificado EV é emitido para uma empresa que passou por todas as etapas do processo de validação. Para completar a autorização legal, são necessárias formalidades legais, como comprovação do endereço físico e acesso a arquivos específicos em um servidor. Existem também algumas outras validações pelas quais uma empresa precisaria se submeter para obter um certificado válido de Validação Estendida, mas isso está além do escopo deste artigo.
Você pode ler mais sobre Certificados de validação estendida aqui.
Ao implementar o WordPress HTTPS, uma empresa terceirizada está essencialmente confirmando e verificando se o servidor da web é quem afirma ser. Essa agência é chamada de emissor do certificado - também chamada de Autoridade de Certificação confiável.
O que acontece quando os certificados seguros param de funcionar
Usando os indicadores acima, pode-se saber se seus certificados seguros estão funcionando ou não.
Da mesma forma, os usuários podem entender rapidamente que o tráfego de um site não está criptografado ou que seu certificado de segurança expirou. Quando o cadeado aparece vermelho e uma linha vermelha bate, é uma indicação de uma das seguintes coisas:
- o site está usando um certificado autoassinado, ou seja, emitido pelo mesmo servidor da web. Isso significa que o certificado não é confiável, porque o certificado não foi emitido por uma autoridade confiável
- a data de validade passou e o certificado não é mais válido
- o certificado se torna não confiável por qualquer outro motivo e é marcado como invalidado
Na imagem acima, você pode ver o aviso antes de visitar um site quando o navegador reconhece que o certificado seguro usado por um site que você está visitando expirou.
A maioria dos navegadores modernos tem a capacidade de avisar sobre um certificado inválido (portanto, transferência de dados insegura) antes que um usuário possa prosseguir para um site não seguro.
Após a expiração do certificado, tudo o que você precisa fazer é renovar o certificado da autoridade local (de onde o certificado foi originalmente obtido). Além disso, sugere-se que os certificados não podem expirar. Esse lapso cria uma má impressão de um site nos visitantes.
Diz-se que um site tem um certificado autoassinado se o certificado for criado pelo mesmo servidor da web, em vez de ser emitido por uma Autoridade de Certificação confiável. Este certificado é NÃO CONFIÁVEL.
Os navegadores confiam apenas em certificados SSL fornecidos por autoridades de certificação confiáveis. Para todos os outros casos, eles exibem um aviso para sites que estão sendo executados em um certificado autoassinado.
Lista de verificação de migração de HTTP para HTTPS
Agora que entendemos perfeitamente por que o WordPress HTTPS beneficiará nosso site, explicaremos em detalhes a seguir como implementá-lo em seu site. Também temos uma lista de verificação de migração de HTTP para HTTPS que listamos abaixo para garantir que você cobriu todas as etapas relacionadas à migração para HTTPS.
Antes de lançar o WordPress com segurança
| 1.1. | Configuração de Certificação SSL | Obtenha, configure e teste o certificado TLS usando SHA-2 para SSL | servidor |
| 1.2. | Registro do Google Search Console | Registre ambos os domínios http e https no Google Search Console, junto com suas versões www e não www. Se você também registrou subdomínios ou subdiretórios individuais no Google Search Console, replique esse registro e configuração com sua versão https. | Google Search Console |
| 1.3. | Monitoramento de Rankings | Comece a monitorar as classificações do site em paralelo com o domínio https | Software de rastreamento de classificação |
| 1.4. | Principais páginas do site e identificação de consultas atuais | Identifique as páginas principais e as consultas relacionadas, atraindo visibilidade de pesquisa orgânica e tráfego a serem priorizados ao validar e monitorar o desempenho do site | Google Search Console e Google Analytics |
| 1.5. | Rastreamento de site atual | Rastreie o site http para identificar e corrigir quaisquer links internos quebrados e a estrutura da Web atual antes de mover. | Ambiente de preparação |
| 1.6. | Nova configuração HTTPS Web com links internos atualizados | Defina a nova versão da Web para fazer as alterações, testar e atualizar os links em um ambiente de teste, para apontar para os URLs (páginas e recursos como imagens, js, pdfs, etc. também) com HTTPS | Ambiente de preparação |
| 1.7. | Nova canonização HTTPS Web | Atualize as tags canônicas para incluir URLs absolutos usando https no ambiente de palco | Ambiente de preparação |
| 1.8. | Nova canonização HTTPS Web | Verifique no ambiente de teste se todos os comportamentos de reescrita e redirecionamento já existentes (não www vs. www; barra vs. não barra etc.) também estão implementados na versão Web segura, pois funcionavam na versão http | Ambiente de preparação |
| 1.9. | Preparação de redirecionamentos | Prepare e teste as regras de reescrita que irão redirecionar 301 de todos os URLs existentes identificados (páginas, imagens, js, etc) no domínio http para o https. | servidor |
| 1.10. | Nova geração de mapa de site XML | Gere um novo Sitemap XML com os URLs com segurança implementada para ser carregado no perfil HTTPs do Google Search Console assim que o site for movido | Gerador de Sitemaps XML |
| 1.11. | Preparação de Robots.txt | Prepare o robots.txt para ser carregado na versão do domínio https quando o site for lançado, replicando as diretivas existentes para http, mas apontando para os URLs https se necessário | Robots.txt |
| 1.12. | Prepare alterações em quaisquer anúncios, e-mails ou campanhas de afiliados para começar a apontar para as versões de URLs https quando a migração for concluída | Plataformas de campanha | Várias plataformas |
| 1.13. | Rejeitar configuração | Verifique se houve alguma solicitação de rejeição enviada no passado que precisará ser reenviada para as versões de URLs seguros em seu próprio perfil do Google Search Console | Google Search Console |
| 1.14. | Configuração de geolocalização | Se você estiver migrando um gTLD que está segmentando geograficamente por meio do Google Search Console (bem como seus subdomínios ou subdiretórios, no caso de estar segmentando-os individualmente por área geográfica), certifique-se de segmentá-los geograficamente novamente com a versão de domínio seguro | Google Search Console |
| 1.15. | Configuração de Parâmetros de URLs | Se os parâmetros de URLs são manipulados por meio do Google Search Console, a configuração existente deve ser replicada no perfil do site seguro | Google Search Console |
| 1.16. | Preparação de configuração de CDN | Se um CDN for usado, verifique se eles serão capazes de servir adequadamente a versão de domínio seguro do site e lidar com SSL quando a migração for concluída | Provedor CDN |
| 1.17. | Preparação de anúncios e extensões de terceiros | Verifique se todos os códigos de anúncios veiculados, extensões de terceiros ou plug-ins sociais usados no site funcionarão corretamente quando forem movidos para https | Plataformas de anúncios e extensões |
| 1.18. | Preparação da configuração do Web Analytics | Certifique-se de que a configuração do Web Analytics existente também monitore o tráfego do domínio seguro | Plataforma de análise da web |
Durante a migração real para um site seguro
| 2.1. | Lançamento do site HTTPS | Publique a versão validada do site https ao vivo | Ambiente de produção |
| 2.2. | Validação da estrutura da Web da nova versão HTTPS | Verifique se a estrutura do URL na versão do site seguro é a mesma do HTTP | Ambiente de produção |
| 2.3. | Link interno de nova versão segura | Verifique se os links do site estão apontando de forma eficaz para seus URLs HTTPS | Ambiente de produção |
| 2.4. | Canonização da nova versão HTTPS | Verifique se as tags canônicas nas páginas estão apontando para seus URLs HTTPS | Ambiente de produção |
| 2.5. | Canonização da nova versão HTTPS | Implemente as reescritas e redirecionamentos de www x não www, barra x sem barra etc. na nova versão segura da Web | Ambiente de produção |
| 2.6. | Implementação de redirecionamento de HTTP para HTTPS | Implementar os redirecionamentos 301 de cada URL do site de sua versão HTTP para HTTPS | Ambiente de produção |
| 2.7. | Configuração do Web Analytics | Anote a data de migração em sua plataforma Web Analytics e verifique se a configuração está definida para rastrear a versão segura da Web | Plataforma de análise da web |
| 2.8. | Validação de configuração de servidor SSL | Verifique a configuração SSL do seu servidor web. Você pode usar serviços como https://www.ssllabs.com/ssltest/ | Ambiente de produção, teste SSL |
| 2.9. | Atualização do Robots.txt | Atualize a configuração do robots.txt no domínio https com as alterações relevantes | Robots.txt |
Depois de lançar HTTPS
| 3.1. | Validação de rastreamento HTTPS | Rastreie o site para verificar se os URLs seguros são aqueles acessíveis, vinculados e veiculados sem erros, noindexações, canonicalizações e redirecionamentos errôneos | Ambiente de produção |
| 3.2. | Novo site HTTPS redireciona validação | Verifique se as regras de redirecionamento de http x https, www x não www e barra x não barra estão implementadas corretamente | Ambiente de produção |
| 3.3. | Lançamento e envio de mapa do site XML | Faça upload e verifique o sitemap XML gerado com as versões de URL seguras no perfil https do Google Search Console | Google Search Console |
| 3.4. | Atualização oficial de links externos | Atualize os links externos oficiais que apontam para o site para ir para a versão segura (sites de parceiros de perfis de mídia social, etc.) | Presença oficial em plataformas externas |
| 3.5. | Validação de extensão de anúncios e terceiros | Verifique se todos os plug-ins, como botões sociais, anúncios e código de terceiros, estão funcionando corretamente nas versões de URLs seguras. Você pode escanear seu site para procurar conteúdo não seguro com https://www.jitbit.com/sslcheck/ | Plataformas de anúncios e extensões, verificação de SSL |
| 3.6. | Execução de atualização de campanhas | Implemente os anúncios relevantes, e-mails e alterações de campanhas de afiliados para se referir corretamente à versão HTTPS da Web | Plataformas de campanha |
| 3.7. | Rastreamento e monitoramento de indexação | Monitore a indexação, visibilidade e erros de ambas as versões do site HTTP e HTTPS | Google Search Console |
| 3.8. | Classificação e monitoramento de tráfego | Monitore o tráfego das versões do site HTTP e HTTPS e a atividade de classificação | Plataformas de análise da web e rastreamento de classificação |
| 3.9. | Validação de configuração Robots.txt | Verifique a configuração do robots.txt no domínio seguro para ter certeza de que a configuração foi atualizada corretamente | Robots.txt |
Esta lista de verificação de migração HTTP para HTTPS foi gentilmente criada e compartilhada com o grupo Advanced WP Facebook.
7. Como você pode adicionar segurança ao seu site WordPress?
Vamos direto ao ponto e sujar as mãos. Existem duas maneiras de configurar o SSL do WordPress:
- Configurando SSL manualmente em seu site WordPress
- Usando o plug-in WordPress HTTPS
Como adquirir um certificado seguro
Em primeiro lugar, você precisará adquirir um certificado SSL de alguma forma.
Existem várias maneiras de fazer isso, mas a maneira mais fácil de fazer isso é por meio do servidor de hospedagem.
Na hospedagem InMotion, você pode comprar o certificado e tudo o que você precisa com ele diretamente através do console do Painel de Gerenciamento de Conta (AMP). O bom é que eles o apoiarão muito bem se você não quiser sujar as mãos.
Incluído no preço de $ 99 / ano, estará o preço do IP dedicado necessário. Há uma taxa única de US $ 25, pois o certificado precisa ser instalado no servidor que alimenta seu site.
Essa taxa pode ser dispensada se você tiver acesso direto ao servidor e puder instalar o certificado por conta própria.
Se você possui um servidor virtual privado, instalar o certificado manualmente é muito fácil. Documentamos as etapas em nosso VPS InMotion revisão, então não vamos passar por isso novamente.
Se você não está hospedado no InMotion (por que não? Você não sabe que os servidores deles são mais rápidos e o suporte melhor?), O procedimento será semelhante.
Experimente InMotion Hosting Agora
Uma vez que o certificado foi comprado e instalado, você agora precisa habilitar WordPress SSL / TLS.
Usando Let's Encrypt como uma Autoridade de Certificação
Neste artigo, mencionamos que os certificados seguros são emitidos por uma autoridade de certificação. Este é um órgão que pode "certificar" que o servidor onde você instalou seu certificado é realmente quem afirma ser. Isso envolve algum trabalho, é claro, e normalmente você será cobrado por esse trabalho.
Let's Encrypt é um novo autoridade de certificação que quer tornar mais fácil para todos a aquisição de um certificado seguro, tornando o processo de aquisição de um certificado automatizado e gratuito.
Esta é essencialmente uma autoridade administrada por uma série de empresas chamadas Internet Security Research Group, incluindo grandes nomes como Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook e muitos outros que desejam realizar o processo de obtenção de um certificado de segurança: Gratuito, Automatizado, Seguro, Transparente, Aberto e Cooperativo.
Por que essas empresas querem lhe dar coisas de graça? Porque uma internet segura e mais segura é um objetivo desejável para todos.
Embora possa ser relativamente fácil, ainda é um procedimento técnico para obter o certificado. No entanto, a maioria das empresas de hospedagem na web hoje em dia integrou a funcionalidade de tal forma que, para a maioria das empresas, adquirir um certificado Let's Encrypt é uma questão de clicar em um botão e o certificado será criado e configurado.
Criando um certificado seguro manualmente usando Let's Encrypt
(Você pode pular esta parte se não planeja criar seu próprio certificado Let's Encrypt e irá adquiri-lo por meio de seu servidor de hospedagem)
Você precisará de acesso root direto ou shell ao seu servidor para poder executar o procedimento a seguir.
1. Instale a biblioteca Let's Encrypt em seu servidor
Execute o seguinte comando para instalar a biblioteca Let's Encrypt
$ sudo git clone https://github.com/letsencrypt/letsencrypt / opt / letsencrypt
Este comando irá baixar e copiar o repositório LetsEncrypt para o seu diretório / opt.
2. Gere um certificado seguro
A melhor maneira de gerar um certificado é usar o método autônomo com um tamanho de chave de 4096 (que é muito forte).
$ ./letsencrypt-auto certonly --standalone --rsa-key-size 4096
Assim que você executar este comando, uma janela aparecerá, solicitando o nome do domínio. É sugerido que você insira seu domínio raiz e outros subdomínios com os quais planeja usar o certificado.
A próxima etapa é ler e concordar com os termos de serviço de Vamos criptografar. Depois de concordar, você poderá ver o caminho do arquivo .pem. Ele estará localizado em / etc / letsencrypt / live / your-domain-name /. Se você encontrar algum erro ao criar o certificado, convém verificar a configuração do firewall, pois várias conexões serão necessárias para criar os certificados.
O certificado gerado expira em 90 dias e deverá ser renovado a cada 90 dias. Este é um ponto um tanto negativo e positivo. Você pode encontrar as razões pelas quais os certificados de 90 dias são usados aqui. Para renovar o certificado, você só precisa executar o script de renovação Let's Encrypt.
Você pode querer escrever um cron job para automatizar o processo.
Isso é especialmente importante se você tende a se esquecer disso. Assim que o seu certificado expirar, você verá o aviso vermelho feio mostrado acima, então você pode querer manter isso em mente.
Etapa 3: gere uma segurança forte de criptografia de chave pública usando um grupo Diffie Hellman
Para aumentar ainda mais a segurança, você também deve gerar um grupo Diffie-Hellman forte. Para gerar um grupo de 4096 bits, use este comando:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
Isso pode demorar alguns minutos, mas quando terminar, você terá um forte grupo de DH em /etc/ssl/certs/dhparam.pem
Agora que você tem um certificado, você precisará instalá-lo em seu servidor web por meio da função SSL / TLS do CPanel ou qualquer outra que sua empresa de hospedagem use.
Se esse procedimento o assusta, lembre-se de que, atualmente, a maioria dessas coisas é totalmente automatizada na maioria dos hosts.
8. Como configurar seu WordPress para usar SSL (ou TLS) e HTTPS (a forma manual)
Depois de ter um certificado seguro e instalá-lo ou disponibilizá-lo no servidor onde você hospeda seu site, você precisa realizar as próximas etapas para habilitar HTTPS no WordPress.
O primeiro passo que precisa ser feito é incorporar HTTPS em seu site para atualizar o URL de seu site. Para fazer isso, você precisa ir até Configurações → Geral e lá você pode atualizar seu WordPress e o campo de endereço URL do site.
Se você tiver um site existente e estiver habilitando o SSL, também precisará definir um redirecionamento 301 que força todas as solicitações HTTP a serem atendidas com segurança. Isso também garantirá que nenhum de seus links existentes de sites externos sejam perdidos, ao mesmo tempo em que não perderá nenhum link de sucção.
Isso pode ser feito adicionando o trecho de código abaixo no arquivo .htaccess do seu site, que você pode acessar através do seu gerenciador de arquivos CPanel.
RewriteEngine On RewriteCond% {SERVER_PORT} 80 RewriteRule ^ (. *) $ Https://www.yourwebsitehere.com/$1 [R = 301, L]
Você pode ver que este é um redirecionamento 301, o que garantirá que você não perca nenhum link de suco. Certifique-se de ter substituído yourwebsitehere.com pelo URL do seu site.
O real acima força seu servidor a servir conteúdo de forma segura. Apenas como um ponto de observação, todo e qualquer URL no domínio principal será convertido para HTTPS usando o acima. Portanto, qualquer um de seus links antigos em, digamos, http: // www.collectiveray.com / wordpress / se tornaria automaticamente https: // www.collectiveray.com / wordpress /
Para aqueles que estão em servidores Nginx, você deve adicionar o redirecionamento HTTP abaixo para convertê-lo em HTTPS:
servidor {escuta 80; server_name websitename.com www.websitename.com; return 301 https: //websitename.com$request_uri; }
As etapas a seguir o ajudarão a garantir que todo o conteúdo do site seja veiculado com segurança.
Configurar um administrador seguro
Você pode configurar o forçamento de um administrador seguro do WordPress (ou seja, a parte de administração do seu site ou / wp-admin) por meio do arquivo wp-config.php. Se você deseja forçar a segurança em um site WordPress que possui páginas de login de vários sites ou na área de administração, tudo o que você precisa é adicionar o seguinte trecho de código ao arquivo wp-config.php.
define ('FORCE_SSL_ADMIN', verdadeiro);
É basicamente isso, agora você deve ser capaz de acessar o administrador do WordPress com segurança!
9. Implementar HTTPS usando plug-ins SSL do WordPress
Outra maneira fácil de configurar SSL em seu site é usar um plugin SSL do WordPress.
Com o Really Simple SSL plug-in
O plugin de escolha para habilitar WordPress HTTPS em seu site é o Really Simple SSL plugar. É um plugin muito bem escrito por Rogier Lankhorst. A melhor coisa sobre esse plug-in é que ele remove toda a complexidade associada à habilitação de certificados seguros em seu site.
Realmente e verdadeiramente, este é um plugin de ativação SSL de um clique.
Depois de adquirir o certificado SSL usando um dos métodos descritos acima e instalá-lo em seu servidor, você só precisa instalar e Ativação que o Really Simple SSL plugin e fará o resto do trabalho para você.
Na verdade, ele faz um grande trabalho nos bastidores para resolver a maioria dos problemas conhecidos com a ativação de HTTPS em seu site. Ele leva em consideração a configuração do servidor e realiza todas as alterações necessárias para que você não tenha que mexer em nada.
A seguir está uma captura de tela do plugin após a ativação - ele fez algum trabalho e detectou que já existe um certificado instalado no servidor.
Como você pode ver, agora você pode apenas clicar em "Ativar SSL" e pronto!
Uma vez que seu site tenha sido convertido para SSL, você dá uma olhada nas configurações ou faz uma varredura em busca de quaisquer questões e problemas como pode ser visto na captura de tela aqui abaixo.
O plug-in tentará então consertar todos os problemas encontrados.
Este plugin é o seu balcão único para habilitar SSL.
Outros plugins para habilitar SSL
Obviamente, o plugin acima não é o único plugin que você pode usar para habilitar certificados seguros. A seguir estão várias outras opções que você pode usar. Em última análise, os dois alcançam o mesmo objetivo, de habilitar HTTPS em seu site WordPress.
- Redirecionamento HTTPS fácil
- Ssl zen - este é um novo plug-in, ele realmente ajuda a criar o certificado Let's Encrypt através do próprio plug-in
10. Testar a configuração correta do certificado seguro do seu site
Para ter certeza de que seu site foi totalmente configurado, recomendamos que você teste seu site usando este Verificador de SEO SSL ferramenta, que verifica se você tem a configuração SSL do WordPress recomendada.
Assim que o teste for executado, você obterá um relatório SSL semelhante ao seguinte:
11. Não se esqueça de renovar seu Certificado Seguro
Um certificado expirado é um certificado morto.
Se um certificado expirar, você não poderá renová-lo.
Você precisa reemitir um novo e reinstalá-lo em seu site. É claro que isso é mais dor de cabeça do que você realmente precisa, então lembre-se de renová-la antes que expire.
Isso aconteceu conosco no aniversário de nossa primeira configuração de certificado seguro. Não é uma situação agradável ver de repente TODO o seu tráfego chegar a zero. As pessoas têm muito receio de avançar para além de um certificado expirado, por isso o impacto no tráfego que obterá será enorme.
Sugerimos configurar um lembrete algumas semanas antes do vencimento.
Você foi aquecido. Certificados expirados dão muito trabalho, então não se esqueça de renová-los.
Quer escolher o caminho mais fácil?
Claro, embora façamos com que pareça simples, há momentos em que as coisas não saem do jeito que você espera, então certifique-se de ter seus números de suporte em mãos para o caso de tudo dar errado durante a configuração de sua funcionalidade SSL do WordPress .
Se você quiser ir pelo caminho mais fácil, basta obter o InMotion para configurar tudo para você. Você terá um site mais rápido, além de ser alimentado por SSL. Você também obterá um domínio gratuito e eles transferirão o site para você. CollectiveRay os visitantes também ganham 47% EXCLUSIVO do preço normal, então pegue uma pechincha AGORA.
Esta é uma oferta por tempo limitado até abril de 2024, portanto, aproveite-a antes que a oferta expire.
Perguntas Frequentes
O WordPress tem SSL?
O WordPress oferece suporte a SSL no front-end e no back-end. Para habilitá-lo, você precisa adquirir um certificado comprando um ou usando o Let's Encrypt da sua empresa de hospedagem e instalá-lo no servidor. Depois que o certificado for instalado, você pode habilitar HTTPS usando um dos métodos acima, como usar o Really Simple SSL plugin.
Como eu habilito o SSL no WordPress?
Para habilitar SSL no WordPress, o método mais fácil é usar um plugin como Really Simple SSL. Isso usa o certificado atualmente configurado para o domínio, portanto, certifique-se de que o certificado seguro já tenha sido instalado antes de ativá-lo.
Como obtenho SSL grátis no WordPress?
Para obter SSL grátis no WordPress, você precisa usar a funcionalidade Let's Encrypt disponível em seu servidor de hospedagem. Isso emitirá um certificado seguro gratuito e o instalará em seu domínio. A maioria das empresas de hospedagem oferece essa funcionalidade hoje, você pode usar o InMotion para fazer isso.
Qual é a diferença entre HTTP e HTTPS?
A diferença entre HTTP e HTTPS é que o último é transmitido por um canal seguro. O certificado seguro instalado no servidor criptografa as mensagens antes de enviá-las de uma maneira que só pode ser descriptografada pelo navegador que iniciou a conexão. Isso significa que dados confidenciais, como o login em um site usando um nome de usuário / senha, o envio de dados confidenciais, como o envio de detalhes de cartão de crédito ou outros dados, podem ser enviados de forma segura.
Conclusão: HTTPS é obrigatório
Como você deve ter visto, embora a implementação de HTTPS ou SSL nem sempre seja direta, ela é essencial. O Google anunciou recentemente que rotulará os sites como NÃO SEGUROS, se eles não estiverem habilitados para SSL. Portanto, certifique-se de configurar isso em seu site hoje.
. deixe um útil comente com suas ideias, depois compartilhe com seu (s) grupo (s) do Facebook, que considerariam isso útil e vamos colher os benefícios juntos. Obrigado por compartilhar e ser legal!
Divulgação: Esta página pode conter links para sites externos de produtos que amamos e recomendamos de todo o coração. Se você comprar produtos que sugerimos, podemos receber uma taxa de referência. Essas taxas não influenciam nossas recomendações e não aceitamos pagamentos por análises positivas.
e muitos mais ...