S-ar putea să vă întrebați de ce ar trebui să implementăm WordPress SSL/TLS sau să activăm WordPress pe HTTPS? Înainte de a începe cu asta, trebuie să dăm un pic de istorie.
Cu 3.9 miliarde de utilizatori care folosesc internetul (și cresc în fiecare zi) și 1.7 miliarde de site-uri web pe internet, putem spune cu siguranță că internetul a apărut ca a doua noastră casă - ceea ce odinioară era cunoscut drept „mersul online” nu mai este cu adevărat exact. Suntem mereu conectați, mereu porniți. Facebook a crescut la peste 2.5 miliarde de utilizatori activi lunar. Obișnuiam să vorbim despre „virtual”, dar internetul a devenit cât se poate de real, parte din viața noastră de zi cu zi.
Aceste statistici sunt pur și simplu copleșitoare! Și nu există absolut niciun semn că acesta va încetini. Pe măsură ce țările emergente au acces la internet ieftin, cifrele vor continua să crească în viitorul apropiat.
WordPress a crescut cu siguranță de la începuturile sale umile ca blog. Și când aveți atât de mulți oameni care vizitează unul dintre site-urile dvs. WordPress, devine o datorie să oferiți o platformă extrem de sigură, care să nu compromită securitatea acestora.
În postarea de astăzi, parte a seriei noastre de tutoriale informative WordPress (pe care le puteți vedea în meniul nostru), vă vom ghida mai jos cu privire la diferite moduri prin care puteți implementa WordPress SSL/TLS sau WordPress HTTPS pe site-ul dvs.
Notă marginală: unele dintre lecturile și lucrările implicate în acest articol sunt foarte tehnice și necesită cunoștințe de dezvoltator. Dacă vrei angajați un dezvoltator WordPress Consultați articolul legat pentru a afla despre toate lucrurile pe care trebuie să le luați în considerare înainte de a angaja un dezvoltator.
Aveți nevoie de ajutor pentru a vă securiza site-ul? Încercați aceste concerte de top la prețuri accesibile pe Fiverr!
Click aici pentru a găsi experți pe configurarea certificatelor de securitate WordPress.
1. În primul rând. Este SSL sau TLS? Sau HTTPS?
Cu adevărat și cu adevărat, astăzi ar trebui să fie TLS (care este un acronim pentru Transport Layer Security).
Acest lucru se datorează faptului că TLS este cea mai recentă versiune a certificatelor securizate care ar trebui utilizată. Cu toate acestea, inițial, numele transportului de securitate utilizat a fost SSL (Secure Sockets Layer).
În timp ce, în realitate, TLS este folosit astăzi, majoritatea oamenilor se referă la certificatele securizate ca certificate SSL. Strict vorbind, ar trebui să le numim doar certificate securizate.
HTTPS înseamnă HTTP predat Scomunicare sigură. HTTPS este implementat astăzi prin utilizarea certificatelor securizate prin TLS.
2. Rolul certificatelor securizate și cum se potrivește cu WordPress Security
SSL este acronimul care înseamnă Secure Sockets Layer și este o tehnologie folosită pentru a efectua comunicații securizate printr-o rețea.
Această formă sigură de transport este realizată prin crearea unei legături criptate între o mașină client și un server. În cele mai multe cazuri, acesta ar fi un server web și un browser client pe care va fi afișat un site web; sau în cazul clienților de mail precum MS Outlook, se formează o conexiune cu serverul de e-mail.
Certificatul securizat este de obicei emis de o autoritate de certificare, cum ar fi Comodo SSL. Aceasta înseamnă că o autoritate centrală, de încredere, „garantează” serverul. În esență, atunci când serverul web criptează un mesaj, îl „semnează” pentru a verifica autenticitatea acestuia cu un certificat de la autoritate.
Browserul verifică apoi semnătura și verifică dacă semnătura provine de la o autoritate „de încredere”. Dacă certificatul este de încredere, atunci se realizează o comunicare sigură între client și server.
Certificatul este apoi folosit pentru a decripta mesajul și a citi conținutul acestuia.
Acest lucru permite posibilitatea de a avea o comunicare sigură, care nu poate fi citită de terți. Acest lucru dă undă verde utilizatorilor să aibă încredere că datele confidențiale pe care le trimit prin internet, cum ar fi acreditările bancare, datele de conectare, numerele de securitate socială, datele de comerț electronic, detaliile cardului de credit și alte informații confidențiale vor ajunge în siguranță pe site-ul web unde vor fi. prelucrate.
Pentru că în realitate, problema „încrederii” nu este la site-ul per, ci la comunicarea dintre site și client.
Înainte de această tehnologie, sau atunci când un site web folosește HTTP numai pentru comunicarea sa nu atât de avansată, datele ar fi trimise ca text simplu. Asta a făcut-o vulnerabil la atacuri rău intenționate - care au putut să citească datele și, desigur, să le folosească din motive rău intenționate. De exemplu, acreditările de conectare ar putea fi furate pentru a prelua un site web, sau datele cardului de credit ar putea fi citite și utilizate pentru a cumpăra lucruri în mod fraudulos.
3. De ce ar trebui să vă serviți site-ul în siguranță?
Proprietarii de site-uri web care nu au implementat HTTPS sunt susceptibili la „snooping”.
Deoarece serverul web nu poate cripta traficul trimis către browser, TOATE comunicările de date, inclusiv orice date confidențiale, pot fi citite foarte ușor de către hackeri. În esență, toate datele care trec între client și serverul web pot fi citite. Dacă vă conectați la un site web, acreditările dvs. pot fi citite. Dacă transmiteți detaliile cardului de credit, acestea pot fi furate.
Dacă trimiteți ORICE date confidențiale, aceasta poate fi citită dacă nu implementați securitatea site-ului web prin certificate securizate.
Dacă nu implementați criptarea completă, site-ul dvs. va fi susceptibil la ceea ce este cunoscut sub numele de Man in the Middle Attack. Citiți mai multe despre asta pe Wikipedia. Instrumente precum WireShark (instrument gratuit și disponibil pentru descărcare și utilizare de către oricine) facilitează citirea traficului pe internet, iar hackerii instalează infrastructuri complete pentru a citi datele necriptate.
Mai jos este o captură de ecran cu Wireshark citind o parolă trimisă prin HTTP:
Utilizatorii rău intenționați au instrumente precum cele de mai sus care sunt capabile să caute modele specifice, cum ar fi numere de card de credit, detalii de securitate socială, parole și alte date care sunt valoroase pentru ei.
Pe de altă parte, dacă implementați HTTPS pe WordPress, ați configurat un sistem de criptare care oferă mai multe beneficii de securitate precum integritatea, identitatea și mai ales confidențialitatea.
Acesta permite doar serverului și browserului să decripteze textul care este trimis prin canalul de comunicare. Acesta afirmă dacă datele sunt intacte și nu au fost modificate astfel încât să se asigure integritatea datelor (adică nu au fost manipulate).
4. HTTPS și SEO
Site-urile web care implementează HTTP-urile primesc o creștere a clasamentului în motoarele de căutare.
Google într-un blog intitulat „HTTPS ca semnal de clasare”. a anunțat că va oferi un avantaj acelor site-uri web care folosesc această tehnologie securizată.
Acest lucru face ca importanța implementării acestuia pe site-ul dvs. să fie mult mai mare. În caz contrar, site-ul dvs. este dezavantajat în comparație cu concurenții care au implementat HTTPS.
Google dorește ca securitatea să primească cea mai mare atenție și prioritate. Compania și-a asumat sarcina de a se asigura că securitatea deplină este utilizată în întreaga industrie. Acest lucru asigură că utilizatorii de internet care folosesc motorul de căutare Google și celelalte servicii ale acestuia vor ajunge să aibă comunicații securizate în toate serviciile.
De asemenea, au venit cu conceptul de „HTTPS peste tot” pentru a stimula un sentiment de securitate sporită pe internet.
Cu toate acestea, acest lucru nu a fost suficient pentru ei. Deoarece au atât de multă influență, au adăugat SSL ca semnal de clasare pentru SEO și clasamentele în motoarele de căutare.
Dacă site-ul dvs. web implementează HTTPS, acesta va avea un avantaj față de acele site-uri web care nu îl implementează (cu toate celelalte semnale de clasare fiind egale).
Citeste mai mult: Lista de verificare SEO onpage WordPress: un ghid pas cu pas pentru a crește traficul.
Migrarea de la HTTP la HTTPS îmi va afecta clasamentul?
Mulți oameni se întreabă dacă schimbarea de la HTTP la HTTPS le va afecta clasamentul organic actual. Având în vedere că versiunile HTTP și HTTPS ale unui site web sunt considerate diferite, înseamnă asta că toate backlink-urile către versiunea http:// a site-ului sunt pierdute?
Este o preocupare foarte valabilă.
Ați muncit mult pentru a obține backlink-uri prețioase, iar pierderea acestora ar însemna că veți obține un mic impuls de clasare, dar veți pierde semnalul de clasare mai mare care vine de la link-uri.
Cu toate acestea, după cum veți vedea mai departe, vom efectua o redirecționare 301. Aceasta înseamnă că serverul care a locuit aici s-a mutat permanent într-o nouă locație.
Google înțelege că o redirecționare 301 înseamnă „Bună ziua Google – acesta sunt încă eu, dar acum m-am mutat definitiv la o nouă adresă”. Ceea ce înseamnă că nu veți pierde niciunul din traficul, backlink-urile sau sucul de linkuri.
Poate doriți să citiți puțin mai multe despre 301 redirecționare pe site-ul Moz. Veți descoperi că vor face recomandările noastre exacte.
Singurul lucru pe care site-ul nostru l-a pierdut când a efectuat redirecționarea către adresa URL securizată a site-ului nostru a fost al nostru Distribuția socială contează.
Acest lucru se datorează faptului că Facebook și majoritatea celorlalți contoare de acțiuni tratează https://www.collectiveray.com și https://www.collectiveray.com ca două adrese URL complet diferite. Acesta este ceva cu care probabil va trebui să trăiești. În realitate, cu cât faceți acest lucru mai devreme, cu atât mai repede veți începe să obțineți un număr de acțiuni noi pe adresa dvs. securizată.
În plus, am făcut acest lucru pe mai multe site-uri CollectiveRay, și nu a existat niciodată niciun efect negativ asupra clasamentelor sau traficului. Atâta timp cât efectuați o configurare corectă, nu ar trebui să vă îngrijorați acest lucru.
UPDATE: Recent, Google a confirmat că redirecționările 301 de la HTTP la HTTPS nu pierd absolut nicio legătură. Acest lucru se datorează faptului că, desigur, nu are sens să primești o penalizare pentru trecerea la ceva pe care Google îl susține.
5. Ce altceva trebuie să fac după ce activez SSL?
Dacă doriți să vă asigurați că trimiteți un mesaj puternic către Google că site-ul dvs. s-a mutat, modul ideal este să faceți acest lucru prin Google Search Console.
Pur și simplu adăugați site-ul dvs. ca și cum ar fi un site nou pe Google Search Console.
Desigur, acest lucru ar putea însemna că veți pierde unele lucruri, cum ar fi datele structurate, și va trebui să retrimiteți sitemapurile. Niciunaless, credem că acesta este un indicator foarte puternic pentru Google că aceasta este o migrare validă și pe deplin aprobată.
6. Câștigă încrederea cu securitatea
După cum probabil ești deja familiarizat, unele site-uri web vor afișa o bară verde în browser. Aceasta înseamnă că site-ul web a implementat o comunicare securizată.
Puteți vedea un exemplu foarte clar în acest sens pe site-ul Paypal.
Cum poți verifica dacă site-ul tău este protejat sau nu?
Pentru a verifica dacă un site web este protejat SSL sau nu, puteți verifica dacă prefixul https:// apare în fața URL-ului în loc de http:// obișnuit.
În afară de aceasta, puteți găsi și un lacăt care este prezent în câmpul de adresă înainte de începerea site-ului.
Imaginea prezentată mai sus indică că un site web are un certificat SSL autorizat, cu toate acestea, aspectul lacătului variază de la browser la browser. Acele site-uri web care au achiziționat un certificat de validare extinsă vor afișa o bară de adrese complet verde, sau numele companiei va apărea înaintea URL-ului.
Certificatele de validare extinsă sunt destul de costisitoare de achiziționat și implementat, deoarece necesită o serie de verificări fizice pentru a confirma că serverul web aparține de fapt companiei care îl implementează.
Pentru cei care folosesc Safari, vor vedea că un font verde este folosit pentru a indica faptul că compania folosește un certificat EV.
Următorul exemplu este un certificat EV utilizat pentru browserul Safari. Aici bara de adrese nu are un fundal verde ca alte browsere. În schimb, au ales să folosească un font verde.
Certificatele de validare extinsă oferă securitate extinsă, care reiese din nume.
Un certificat EV este emis unei companii care a parcurs toți pașii din procesul de validare. Pentru a finaliza autorizarea legală sunt necesare formalități legale precum furnizarea dovezii adresei lor fizice și accesul la anumite fișiere de pe un server. Există și alte câteva validări pe care o companie ar trebui să le sufere, pentru a obține un certificat de validare extinsă valabil, dar acest lucru depășește domeniul de aplicare al acestui articol.
Puteți citi mai multe despre Certificate de validare extinsă aici.
Prin implementarea WordPress HTTPS, o companie terță confirmă și verifică în esență că serverul web este cine pretinde a fi. Această agenție este numită emitentul certificatului - numită și o autoritate de certificare de încredere.
Ce se întâmplă când certificatele securizate încetează să funcționeze
Folosind indicatorii de mai sus se poate ști dacă certificatele lor securizate funcționează sau nu.
De asemenea, utilizatorii pot înțelege rapid că traficul unui site web nu este criptat sau că certificatul lor de securitate a expirat. Când lacătul apare roșu și o linie roșie lovește, este o indicație a unuia dintre aceste lucruri:
- site-ul web folosește un certificat autosemnat, adică emis de același server web. Aceasta înseamnă că certificatul nu este de încredere, deoarece certificatul nu a fost emis de o autoritate de încredere
- data de expirare a trecut si certificatul nu mai este valabil
- certificatul devine neîncrezat din orice alt motiv și este marcat ca invalidat
În imaginea de mai sus, puteți vedea avertismentul înainte de a vizita un site web când browserul recunoaște că certificatul securizat utilizat de un site web despre care vă aflați a expirat.
Cele mai multe browsere moderne au această capacitate de a avertiza despre un certificat invalid (prin urmare transferul de date nesigur) înainte ca un utilizator să poată merge către un site web nesecurizat.
După expirarea certificatului, tot ce trebuie să faceți este să reînnoiți certificatul de la locul autorității (de unde a fost obținut inițial certificatul). Mai mult, se sugerează că certificatele nu au voie să expire deloc. O astfel de lipsă creează o impresie proastă a unui site web asupra vizitatorilor.
Se spune că un site web are un certificat autosemnat dacă certificatul este creat de același server web, în loc să fie emis de o autoritate de certificare de încredere. Acest certificat este NU ESTE DE ÎNCREDERE.
Browserele au încredere numai în certificatele SSL care sunt eliberate de autoritățile de certificare de încredere. Pentru toate celelalte cazuri, acestea afișează un avertisment pentru site-urile web care rulează pe un certificat autosemnat.
Lista de verificare pentru migrarea HTTP la HTTPS
Acum că înțelegem pe deplin de ce WordPress HTTPS va aduce beneficii site-ului nostru, vom explica în detaliu mai jos cum să îl implementăm pe site-ul dvs. Avem, de asemenea, o listă de verificare pentru migrarea HTTP la HTTPS pe care o listăm mai jos pentru a ne asigura că ați parcurs toți pașii legați de migrarea la HTTPS.
Înainte de a lansa WordPress în siguranță
| 1.1. | Setarea certificării SSL | Obțineți, configurați și testați certificatul TLS folosind SHA-2 pentru SSL | server de |
| 1.2. | Înregistrarea Consolei de căutare Google | Înregistrați ambele domenii http și https în Google Search Console, împreună cu versiunile dvs. www și non-www. Dacă ați înregistrat și subdomenii sau subdirectoare individuale în Google Search Console, replicați acea înregistrare și configurație cu versiunea lor https. | Google Search Console |
| 1.3. | Monitorizarea clasamentelor | Începeți să monitorizați clasamentul site-ului în paralel cu domeniul https | Software de urmărire a rangului |
| 1.4. | Paginile actuale ale site-ului și identificarea interogărilor | Identificați paginile de top - și interogările aferente - care atrag vizibilitate și trafic organic de căutare pentru a fi prioritizate la validarea și monitorizarea performanței site-ului | Google Search Console și Google Analytics |
| 1.5. | Crawling actual al site-ului | Accesați cu crawlere site-ul http pentru a identifica și a remedia orice link-uri interne întrerupte și structura actuală a Web-ului înainte de a vă muta. | Mediu de punere în scenă |
| 1.6. | Nouă setare HTTPS Web cu link-uri interne actualizate | Setați noua versiune Web pentru a face modificări, a testa și a actualiza link-urile într-un mediu de pregătire, pentru a indica adresele URL (pagini și resurse precum imagini, js, pdf-uri etc.) cu HTTPS | Mediu de punere în scenă |
| 1.7. | Noua canonizare web HTTPS | Actualizați etichetele canonice pentru a include adrese URL absolute folosind https în mediul scenic | Mediu de punere în scenă |
| 1.8. | Noua canonizare web HTTPS | Verificați, în mediul de pregătire, că toate comportamentele de rescriere și redirecționări deja existente (non-www vs. www; slash vs. non-slash etc.) sunt implementate și în versiunea Web securizată, așa cum funcționau înainte pe cea http | Mediu de punere în scenă |
| 1.9. | Redirecționează pregătirea | Pregătiți și testați regulile de rescriere care vor redirecționa 301 de la toate adresele URL existente identificate (pagini, imagini, js etc.) de pe domeniul http către cel https | server de |
| 1.10. | Noua generație XML Sitemap | Generați un nou Sitemap XML cu adresele URL cu securitate implementată pentru a fi încărcate în profilul HTTPs Google Search Console odată ce site-ul este mutat | Generator de sitemap XML |
| 1.11. | Pregătirea Robots.txt | Pregătiți fișierul robots.txt pentru a fi încărcat pe versiunea domeniului https atunci când site-ul este lansat, replicând directivele existente pentru http, dar indicând URL-urile https dacă este necesar | robots.txt |
| 1.12. | Pregătiți modificări pentru orice reclame, e-mailuri sau campanii de afiliați pentru a începe să trimiți către versiunile URL-urilor https atunci când migrarea se încheie | Platforme de campanii | Diverse platforme |
| 1.13. | Dezavuare configurație | Verificați dacă au existat solicitări de respingere trimise în trecut care vor trebui retrimise din nou pentru versiunile de adrese URL securizate din propriul profil Google Search Console | Google Search Console |
| 1.14. | Configurarea geolocalizării | Dacă migrați un gTLD pe care îl geodirecționați prin Google Search Console (precum și subdomeniile sau subdirectoarele acestuia, în cazul în care le direcționați în mod individual), asigurați-vă că le direcționați din nou cu versiunea de domeniu securizat | Google Search Console |
| 1.15. | Configurarea parametrilor URL-urilor | Dacă parametrii adreselor URL sunt gestionați prin Google Search Console, configurația existentă ar trebui să fie replicată în profilul securizat al site-ului | Google Search Console |
| 1.16. | Pregătirea configurației CDN | Dacă se folosește un CDN, verificați dacă vor putea servi corect versiunea de domeniu securizat a site-ului și vor putea gestiona SSL atunci când migrarea este finalizată. | Furnizor CDN |
| 1.17. | Reclame și pregătirea extensiilor terță parte | Verificați că orice cod de anunțuri difuzate, extensii 3D sau pluginuri sociale utilizate pe site vor funcționa corect atunci când acesta este mutat pe https | Platforme de anunțuri și extensii |
| 1.18. | Pregătirea configurației Web Analytics | Asigurați-vă că configurația Web Analytics existentă va monitoriza și traficul domeniului securizat | Platformă de analiză web |
În timpul migrării efective către un site web securizat
| 2.1. | Lansarea site-ului HTTPS | Publicați versiunea validată a site-ului https în direct | Mediul de producție |
| 2.2. | Noua versiune HTTPS Validarea structurii web | Verificați dacă structura URL a versiunii securizate a site-ului este aceeași cu cea din HTTP | Mediul de producție |
| 2.3. | Noua versiune securizată legături interne | Verificați dacă linkurile site-ului indică în mod eficient adresele URL HTTPS ale acestuia | Mediul de producție |
| 2.4. | Canonizare nouă versiune HTTPS | Verificați dacă etichetele canonice de pe pagini indică adresele URL HTTPS ale acesteia | Mediul de producție |
| 2.5. | Canonizare nouă versiune HTTPS | Implementați rescrierile și redirecționările de la www vs non-www, slash vs. fără slash etc. în noua versiune Web securizată | Mediul de producție |
| 2.6. | Implementarea redirecționării HTTP către HTTPS | Implementați redirecționările 301 de la fiecare adresă URL a site-ului de la versiunea sa HTTP la HTTPS | Mediul de producție |
| 2.7. | Configurare Web Analytics | Adnotați data migrării în platforma dvs. Web Analytics și verificați dacă configurația este setată pentru a urmări versiunea Web securizată | Platformă de analiză web |
| 2.8. | Validarea configurației serverului SSL | Verificați configurația SSL a serverului dvs. web. Puteți utiliza servicii precum https://www.ssllabs.com/ssltest/ | Mediu de producție, Test SSL |
| 2.9. | Actualizare Robots.txt | Actualizează setarea robots.txt în domeniul https cu modificările relevante | robots.txt |
După lansarea HTTPS
| 3.1. | Validarea accesării cu crawlere HTTPS | Accesați cu crawlere site-ul pentru a verifica dacă adresele URL securizate sunt cele accesibile, conectate și difuzate fără erori, fără indexări, canonizări și redirecționări eronate | Mediul de producție |
| 3.2. | Noul site HTTPS redirecționează validarea | Verificați că regulile de redirecționare de la http vs. https, www vs. non-www și slash vs. non-slash sunt implementate corect | Mediul de producție |
| 3.3. | Lansare și trimitere XML Sitemap | Încărcați și verificați harta site-ului XML generată cu versiunile URL securizate din profilul https Google Search Console | Google Search Console |
| 3.4. | Actualizare oficială a link-urilor externe | Actualizați linkurile externe oficiale care indică site-ul pentru a accesa versiunea securizată (profiluri de rețele sociale site-uri partenere etc.) | Prezența oficială în platformele externe |
| 3.5. | Anunțuri și validare a extensiilor terță parte | Verificați dacă orice plugin, cum ar fi butoanele sociale, reclamele și codul terță parte funcționează corect în versiunile de adrese URL securizate. Vă puteți scana site-ul web pentru a căuta conținut nesecurizat https://www.jitbit.com/sslcheck/ | Platforme de anunțuri și extensii, verificare SSL |
| 3.6. | Execuția actualizării campaniilor | Implementați reclamele relevante, e-mailurile și modificările campaniilor de afiliere pentru a se referi corect la versiunea web HTTPS | Platforme de campanii |
| 3.7. | Monitorizare crawling și indexare | Monitorizați indexarea, vizibilitatea și erorile ambelor versiuni ale site-ului HTTP și HTTPS | Google Search Console |
| 3.8. | Clasamente și monitorizare a traficului | Monitorizați atât traficul site-ului HTTP, cât și HTTPS și activitatea de clasare | Platforme de analiză web și de urmărire a clasamentului |
| 3.9. | Validarea configurației Robots.txt | Verificați setarea robots.txt în domeniul securizat pentru a vă asigura că configurația a fost actualizată corect | robots.txt |
Această listă de verificare pentru migrarea HTTP la HTTPS a fost creată și distribuită grupului Advanced WP Facebook.
7. Cum poți adăuga securitate site-ului tău WordPress?
Să trecem la esențial și să ne murdărim mâinile. Există două moduri de a configura WordPress SSL:
- Configurați manual SSL pe site-ul dvs. WordPress
- Folosind pluginul HTTPS WordPress
Cum să obțineți un certificat securizat
În primul rând, va trebui să obțineți cumva un certificat SSL.
Există diferite moduri de a face acest lucru, dar cel mai simplu mod de a face acest lucru este prin intermediul serverului dvs. de găzduire.
La găzduirea InMotion, puteți cumpăra certificatul și tot ce aveți nevoie cu el direct prin consola AMP (Cont Management Panel). Partea bună este că te vor sprijini foarte frumos dacă nu vrei să-ți murdărești mâinile.
În prețul de 99 USD/an, va fi și prețul IP-ului dedicat necesar. Există o taxă unică de 25 USD, deoarece certificatul trebuie instalat pe serverul care alimentează site-ul dvs.
La această taxă se poate renunța dacă aveți acces direct la server și puteți instala singur certificatul.
Dacă aveți un server privat virtual, instalarea manuală a certificatului este foarte ușoară. Am documentat pașii în documentul nostru InMotion VPS revizuire, așa că nu vom mai trece prin asta.
Dacă nu sunteți găzduit cu InMotion, (de ce nu? Nu știți că serverele lor sunt mai rapide și suportul lor mai bun?) procedura va fi similară.
Încercați acum InMotion Hosting
Odată ce certificatul a fost cumpărat și instalat, acum trebuie să activați WordPress SSL/TLS.
Utilizarea Let's Encrypt ca autoritate de certificare
În acest articol, am menționat că certificatele securizate sunt emise de ceea ce se numește o autoritate de certificare. Acesta este un organism care poate „certifica” că serverul pe care ați instalat certificatul este cu adevărat cine pretinde a fi. Desigur, aceasta implică ceva muncă și, de obicei, veți fi taxat pentru această muncă.
Let's Encrypt este nou autoritate certificată care dorește să faciliteze obținerea unui certificat sigur pentru toată lumea, făcând procesul de obținere a unui certificat automat și gratuit.
Aceasta este în esență o autoritate condusă de o serie de companii numite Internet Security Research Group, inclusiv nume mari precum Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook și mulți alții care doresc să facă procesul de obținere a unui certificat de securitate: gratuit, automat, sigur, transparent, deschis și cooperant.
De ce ar vrea aceste companii să vă ofere lucruri gratis? Pentru că un internet sigur și mai sigur este un obiectiv de dorit pentru toată lumea.
Deși poate fi relativ ușor, este totuși o procedură oarecum tehnică pentru a obține certificatul. Cu toate acestea, majoritatea companiilor de găzduire web din zilele noastre au integrat funcționalitatea astfel încât, pentru majoritatea companiilor, obținerea unui certificat Let's Encrypt este o chestiune de a face clic pe un buton, iar certificatul va fi creat și configurat.
Crearea manuală a unui certificat securizat utilizând Let's Encrypt
(Puteți sări peste această parte dacă nu intenționați să vă creați propriul certificat Let's Encrypt și îl veți obține prin serverul dvs. de găzduire)
Veți avea nevoie de acces direct sau shell root la serverul dvs. pentru a putea rula următoarea procedură.
1. Instalați biblioteca Let's Encrypt pe serverul dvs
Rulați următoarea comandă pentru a instala biblioteca Let's Encrypt
$ sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
Această comandă va descărca și copia depozitul LetsEncrypt în directorul dvs. /opt.
2. Generați un certificat securizat
Cea mai bună modalitate de a genera un certificat este să utilizați metoda independentă cu o dimensiune a tastei de 4096 (care este foarte puternică).
$ ./letsencrypt-auto certonly --standalone --rsa-key-size 4096
De îndată ce executați această comandă va apărea o fereastră care vă va cere numele de domeniu. Se recomandă să introduceți atât domeniul rădăcină, cât și alte subdomenii cu care intenționați să utilizați certificatul.
Următorul pas este să citiți și să fiți de acord cu termenii și condițiile Să ștergem. Odată ce sunteți de acord, veți putea vedea calea fișierului .pem. Acesta va fi localizat în /etc/letsencrypt/live/your-domain-name/. Dacă întâmpinați erori în timpul creării certificatului, este posibil să doriți să verificați configurația firewall-ului, deoarece vor fi necesare un număr de conexiuni pentru a crea certificatele.
Certificatul generat va expira în 90 de zile și va trebui reînnoit la fiecare 90 de zile. Acesta este un punct puțin negativ și pozitiv. Puteți găsi motivele pentru care certificatele de 90 de zile sunt folosite aici. Pentru a reînnoi certificatul, trebuie doar să rulați scriptul de reînnoire Let's Encrypt.
Poate doriți să scrieți o lucrare cron pentru automatizarea procesului.
Acest lucru este important mai ales dacă aveți tendința de a uita acest lucru. Odată ce certificatul dvs. expiră, veți vedea avertismentul roșu neclar afișat mai sus, așa că este posibil să doriți să aveți în vedere acest lucru.
Pasul 3: Generați o securitate puternică de criptare cu cheie publică folosind un grup Diffie Hellman
Pentru a crește și mai mult securitatea, ar trebui să generați și un grup puternic Diffie-Hellman. Pentru a genera un grup de 4096 de biți, utilizați această comandă:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
Acest lucru poate dura câteva minute, dar când este gata, veți avea un grup puternic DH la /etc/ssl/certs/dhparam.pem
Acum că aveți un certificat, va trebui să îl instalați pe serverul dvs. web prin funcția SSL/TLS a CPanel sau orice folosește compania dvs. de găzduire.
Dacă această procedură vă sperie, rețineți că în aceste zile, majoritatea acestor lucruri sunt complet automatizate pe majoritatea gazdelor.
8. Cum să vă configurați WordPress pentru a utiliza SSL (sau TLS) și HTTPS (mod manual)
Odată ce aveți un certificat securizat și l-ați instalat sau l-ați pus la dispoziție pe serverul pe care vă găzduiți site-ul web, trebuie să efectuați următorii pași este să activați HTTPS pe WordPress.
Primul pas care trebuie făcut este să încorporați HTTPS în site-ul dvs. web, astfel încât să actualizați adresa URL a site-ului dvs. Pentru a face acest lucru, trebuie să mergeți la Setări → General și acolo puteți actualiza câmpul WordPress și adresa URL a site-ului.
Dacă aveți un site web existent și activați SSL, trebuie, de asemenea, să setați o redirecționare 301 care forțează ca toate solicitările HTTP să fie servite în siguranță. Acest lucru se va asigura, de asemenea, că niciunul dintre link-urile dvs. existente de pe site-uri externe nu se va pierde, în același timp, nu se va pierde nici un suc de link.
Acest lucru se poate face adăugând fragmentul de cod de mai jos în fișierul .htaccess de site-uri web, pe care îl puteți accesa prin Managerul de fișiere CPanel.
RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.yourwebsitehere.com/$1 [R=301,L]
Puteți vedea că aceasta este o redirecționare 301, care vă va asigura că nu pierdeți niciun suc de link. Asigurați-vă că ați înlocuit yourwebsitehere.com cu adresa URL a site-ului dvs. web.
Cele de mai sus forțează serverul dvs. să difuzeze conținut în siguranță. Doar ca un punct de remarcat, toate adresele URL din domeniul principal vor fi convertite la HTTPS folosind cele de mai sus. Deci, oricare dintre vechile dvs. link-uri de pe să spunem http://www.collectiveray.com/wordpress/ va deveni automat https://www.collectiveray.com/wordpress/
Pentru cei care se află pe serverele Nginx, ar trebui să adăugați mai jos redirecționarea HTTP pentru a o converti în HTTPS:
server { asculta 80; server_name websitename.com www.websitename.com; returnează 301 https://websitename.com$request_uri; }
Următorii pași vă vor ajuta să vă asigurați că tot conținutul site-ului va fi difuzat în siguranță.
Configurați un administrator securizat
Puteți configura forțarea unui administrator WordPress securizat (adică partea de administrare a site-ului dvs. web sau /wp-admin) prin fișierul dvs. wp-config.php. Dacă doriți să forțați securitatea pe un site WordPress care are pagini de conectare cu mai multe site-uri sau în zona de administrare, tot ce aveți nevoie este să adăugați următorul fragment de cod în fișierul wp-config.php.
define('FORCE_SSL_ADMIN', true);
În mare parte, ar trebui să puteți accesa administratorul WordPress în siguranță!
9. Implementați HTTPS folosind pluginuri SSL WordPress
O altă modalitate ușoară de a configura SSL pe site-ul dvs. este să utilizați un plugin SSL WordPress.
Utilizarea Really Simple SSL conecteaza
Pluginul ales pentru activarea HTTPS WordPress pe site-ul dvs. este Really Simple SSL conecteaza. Este un plugin foarte frumos scris de Rogier Lankhorst. Lucrul grozav al acestui plugin este că înlătură toată complexitatea asociată cu activarea certificatelor securizate pe site-ul dvs.
Într-adevăr și cu adevărat, acesta este un plugin de activare SSL cu un singur clic.
După ce ați achiziționat certificatul SSL folosind una dintre metodele descrise mai sus și l-ați instalat pe serverul dvs., trebuie doar să instalați și Activati il Really Simple SSL plugin și va face restul muncii pentru tine.
De fapt, lucrează destul de mult sub capotă pentru a rezolva cele mai cunoscute probleme legate de activarea HTTPS pe site-ul dvs. web. Ia în considerare configurarea serverului și efectuează toate modificările necesare, astfel încât să nu fii nevoit să te încurci cu nimic.
Mai jos este o captură de ecran a pluginului după activare - a lucrat și a detectat că există deja un certificat instalat pe server.
După cum puteți vedea, acum puteți doar să faceți clic pe „Activați SSL” și ați terminat!
Odată ce site-ul dvs. a fost convertit la SSL, aruncați o privire asupra setărilor sau scanați orice probleme și probleme, așa cum se poate vedea în captura de ecran de mai jos.
Pluginul va încerca apoi să remedieze orice probleme găsite.
Acest plugin este ghișeul dvs. unic pentru a activa SSL.
Alte pluginuri pentru a activa SSL
Desigur, cel de mai sus nu este singurul plugin pe care îl puteți folosi pentru a activa certificatele securizate. Următoarele sunt o serie de alte opțiuni pe care poate doriți să le utilizați. Ambele ating în cele din urmă același obiectiv, de a activa HTTPS pe site-ul dvs. WordPress.
- Redirecționare HTTPS ușoară
- SSL Zen - acesta este un plugin nou, de fapt vă ajută să creați certificatul Let's Encrypt prin pluginul în sine
10. Testarea configurației corecte a certificatului securizat al site-ului dvs. web
Pentru a vă asigura că site-ul dvs. a fost complet configurat, vă recomandăm să testați site-ul folosind aceasta Verificator SSL SEO instrument, care verifică dacă aveți configurația SSL recomandată pentru WordPress.
După rularea testului, veți primi un raport SSL similar cu următorul:
11. Nu uitați să vă reînnoiți Certificatul Securizat
Un certificat expirat este un certificat mort.
Dacă un certificat expiră, nu îl puteți reînnoi.
Trebuie să obțineți unul nou reemis și să îl reinstalați pe site-ul dvs. Aceasta este, desigur, mai multă durere de cap decât aveți nevoie cu adevărat, așa că asigurați-vă că nu uitați să o reînnoiți înainte de a expira.
Acest lucru ni s-a întâmplat cu ocazia aniversării primului nostru certificat securizat. Nu este o situație plăcută să vezi brusc că TOT traficul tău merge la zero. Oamenii sunt foarte atenți să avanseze dincolo de un certificat expirat, astfel încât traficul pe care îl veți primi va fi uriaș.
Vă sugerăm să configurați un memento cu câteva săptămâni înainte de expirare.
Ai fost încălzit. Certificatele expirate sunt multă muncă, așa că nu uitați să le reînnoiți.
Vrei să iei calea ușoară?
Desigur, deși facem să pară simplu, există momente în care lucrurile nu merg așa cum vă așteptați, așa că asigurați-vă că aveți numerele de asistență la îndemână în cazul în care totul merge prost în timp ce configurați funcționalitatea WordPress SSL .
Dacă doriți să luați o cale de ieșire ușoară, solicitați InMotion să vă configureze totul. Veți obține un site web mai rapid, în afară de faptul că este alimentat de SSL. De asemenea, veți primi un domeniu gratuit și ei vor transfera site-ul pentru dvs. CollectiveRay vizitatorii primesc și o reducere EXCLUSIVĂ de 47% din prețul normal, așa că fă-ți o afacere ACUM.
Aceasta este o ofertă pe timp limitat până în mai 2024, așa că obțineți-o înainte de expirarea ofertei.
Întrebări Frecvente
WordPress are SSL?
WordPress acceptă SSL atât pe front-end, cât și pe backend. Pentru a-l activa, trebuie să obțineți un certificat fie cumpărând unul, fie utilizând Let's Encrypt prin compania dvs. de găzduire și să îl instalați pe server. Odată ce certificatul este instalat, puteți activa HTTPS folosind una dintre metodele de mai sus, cum ar fi utilizarea Really Simple SSL plugin.
Cum activez SSL în WordPress?
Pentru a activa SSL în WordPress, cea mai ușoară metodă este să utilizați un plugin precum Really Simple SSL. Aceasta utilizează certificatul configurat în prezent pentru domeniu, deci asigurați-vă că certificatul securizat a fost deja instalat înainte de a-l activa.
Cum obțin SSL gratuit pe WordPress?
Pentru a obține SSL gratuit pe WordPress, trebuie să utilizați funcționalitatea Let's Encrypt disponibilă pe serverul dvs. de găzduire. Acest lucru va emite un certificat securizat gratuit și îl va instala pe domeniul dvs. Majoritatea companiilor de hosting oferă această funcționalitate astăzi, puteți utiliza InMotion pentru a face acest lucru.
Care este diferența dintre HTTP și HTTPS?
Diferența dintre HTTP și HTTPS este că acesta din urmă este transmis pe un canal securizat. Certificatul securizat instalat pe server criptează mesajele înainte de a le trimite într-un mod care poate fi decriptat numai de browserul care a început conexiunea. Aceasta înseamnă că datele sensibile, cum ar fi autentificarea pe un site web folosind un nume de utilizator/parolă, trimiterea de date sensibile, cum ar fi trimiterea detaliilor cardului de credit sau alte date, pot fi trimise în siguranță și în siguranță.
Concluzie: HTTPS este o necesitate
După cum probabil ați văzut, deși implementarea HTTPS sau SSL nu este întotdeauna simplă, este esențială. Google a anunțat recent că va eticheta site-urile web ca NESECURE, dacă acestea nu sunt activate pentru SSL. Așa că asigurați-vă că ați configurat acest lucru pe site-ul dvs. web astăzi.
Te rugăm să ne contactezi lasa un util comentează cu gândurile tale, apoi împărtășește acest lucru grupurilor tale de Facebook care ar găsi acest lucru util și să profităm împreună de beneficii. Vă mulțumim că ați împărtășit și ați fost drăguți!
Dezvaluirea: Această pagină poate conține linkuri către site-uri externe pentru produse pe care le iubim și le recomandăm din toată inima. Dacă cumpărați produse pe care vi le sugerăm, este posibil să câștigăm o taxă de recomandare. Astfel de taxe nu influențează recomandările noastre și nu acceptăm plăți pentru recenzii pozitive.
si multe altele ...