Så här ställer du in WordPress SSL / HTTPS: 11 viktiga saker att veta

WordPress SSL

Du kanske undrar varför skulle vi behöva implementera WordPress SSL / TLS eller aktivera WordPress på HTTPS? Innan vi börjar med det måste vi ge lite historia.

Med 3.9 miljarder användare som använder internet (och växer varje dag) och 1.7 miljarder webbplatser på internet kan vi säkert säga att internet har uppstått som vårt andra hem - det som en gång kallades "att gå online" är inte riktigt korrekt längre. Vi är alltid anslutna, alltid på. Facebook har vuxit till mer än 2.5 miljarder aktiva användare varje månad. Vi brukade prata om "virtuellt" men Internet har blivit så verkligt som det verkliga kan bli, en del av vår vardag. 

Denna statistik är helt enkelt överväldigande! Och det finns absolut inga tecken på att det saktar ner. Eftersom tillväxtländer får tillgång till billigt internet kommer siffrorna att fortsätta växa under överskådlig framtid.

Innehåll[Show]
 
Av dessa mer än en 1.7 miljarder webbplatser är hela 455,000,000 XNUMX XNUMX+ (och växer) baserade på WordPress.com eller WordPress.org
 

WordPress har verkligen vuxit från sin ödmjuka början som en blogg. Och när du har så många människor som besöker en av dina WordPress-webbplatser blir det en plikt att tillhandahålla en mycket säker plattform som inte äventyrar deras säkerhet.

I dagens inlägg, en del av vår serie informativa WordPress-handledning (som du kan se på vår meny), guidar vi dig nedan om olika sätt på vilka du kan implementera WordPress SSL / TLS eller WordPress HTTPS på din webbplats.

Sidnot: en del av läsningen och arbetet i den här artikeln är mycket teknisk och kräver kunskaper om utvecklare. Om du vill hyra en WordPress-utvecklare kolla in den länkade artikeln för att lära dig mer om alla saker du behöver tänka på innan du anställer en utvecklare.

Behöver du hjälp med att skydda din webbplats? Prova dessa topprankade prisvärda spelningar på Fiverr!

fiverr-logotyp

 

Klicka här att hitta experter på ställa in säkra WordPress-certifikat.

1. Första saker först. Är det SSL eller TLS? Eller HTTPS?

Verkligen och riktigt, idag borde det vara TLS (som är en förkortning för Transport Layer Security).

Detta beror på att TLS är den senaste versionen av säkra certifikat som ska användas. Ursprungligen var namnet på den säkerhetstransport som användes SSL (Secure Sockets Layer).

Medan TLS i verkligheten används idag, hänvisar de flesta till säkra certifikat som SSL-certifikat. Strängt taget borde vi bara kalla dem säkra certifikat.

HTTPS betyder HTTP levereras över Secure kommunikation. HTTPS implementeras idag genom att använda säkra certifikat över TLS.

2. Rollen för säkra certifikat och hur det passar med WordPress-säkerhet

SSL är förkortningen som står för Secure Sockets Layer och är en teknik som används för att utföra säker kommunikation över ett nätverk.

Denna säkra transportform uppnås genom att skapa en krypterad länk mellan en klientmaskin och en server. I de flesta fall skulle detta vara en webbserver och en klientwebbläsare där en webbplats kommer att visas; eller vid e-postklienter som MS Outlook skapas en anslutning till e-postservern.

Det säkra certifikatet utfärdas vanligtvis av en certifikatutfärdare. Detta innebär att en central, betrodd myndighet "garanterar" servern. I huvudsak när webbservern krypterar ett meddelande, "signerar" de det för att verifiera dess äkthet med ett certifikat från myndigheten.

Webbläsaren kontrollerar sedan signaturen och verifierar att signaturen kommer från en "betrodd" myndighet. Om certifikatet är tillförlitligt uppnås säker kommunikation mellan klienten och servern.

Certifikatet används sedan för att dekryptera meddelandet och läsa dess innehåll.

hur SSL fungerar

Detta möjliggör säker kommunikation som inte kan läsas av tredje part. Detta ger grönt ljus för användarna att lita på att de konfidentiella uppgifter som de skickar över internet såsom bankuppgifter, inloggningsuppgifter, personnummer, e-handelsdata, kreditkortsuppgifter och andra konfidentiella kommer säkert till webbplatsen där de kommer att vara bearbetas.

För i verkligheten är problemet med "förtroende" inte på webbplatsen per, utan kommunikationen mellan webbplatsen och klienten.

Innan denna teknik, eller när en webbplats endast använder HTTP för sin kommunikation som inte är så avancerad, skulle data skickas som vanlig text. Detta klarade det utsatta för skadliga attacker - som kunde läsa informationen och naturligtvis använda den av skadliga skäl. Till exempel kan inloggningsuppgifter stulas för att ta över en webbplats, eller kreditkortsuppgifter kan läsas och användas för att köpa saker bedrägligt.  

Följande video är en bra förklaring till vad SSL är och varför du behöver ha det implementerat på din webbplats.

SJJmoDZ3il8

3. Varför ska du betjäna din webbplats säkert?

Webbplatsägare som inte har implementerat HTTPS är känsliga för "snooping".

Eftersom webbservern inte kan kryptera den trafik som skickas till webbläsaren kan ALL datakommunikation inklusive konfidentiell information läsas mycket enkelt av hackare. I huvudsak kan all information som skickas mellan klienten och webbservern läsas. Om du loggar in på en webbplats kan dina referenser läsas. Om du lämnar kreditkortsuppgifter kan de bli stulna.

Om du skickar NÅGON konfidentiell information kan detta läsas om du inte implementerar webbplatsens säkerhet via säkra certifikat.

Om du inte implementerar fullständig kryptering kommer din webbplats att vara mottaglig för det som kallas en Man in the Middle Attack. Läs mer om detta på wikipedia. Verktyg som Wireshark (gratis verktyg och tillgängligt för nedladdning och användning av vem som helst) gör det väldigt enkelt att läsa trafik över internet, och hackare ställer in full infrastruktur för att läsa okrypterad data.

Nedan är en skärmdump av Wireshark som läser ett lösenord som skickas via HTTP:

lösenords sniffande wireshark

Skadliga användare har verktyg som ovan som kan leta efter specifika mönster, såsom kreditkortsnummer, socialförsäkringsinformation, lösenord och annan data som är värdefull för dem.

man i mittenattacken 

Å andra sidan, om du implementerar HTTPS på WordPress, har du skapat ett krypteringssystem som ger flera säkerhetsfördelar som integritet, identitet och framför allt konfidentialitet.

Det tillåter bara servern och webbläsaren att dekryptera texten som skickas över kommunikationskanalen. Den hävdar om uppgifterna är intakta och inte har modifierats för att säkerställa dataintegriteten (dvs. det har inte manipulerats med dem).  

4. HTTPS och SEO

Webbplatser som implementerar HTTP: er får en rankningsökning i sökmotorer.

Google i en blogg med titeln "HTTPS som en rankningssignal." meddelade att det kommer att ge en fördel för de webbplatser som använder sig av denna säkra teknik. 

Detta gör vikten av att implementera den på din webbplats så mycket högre. Annars har din webbplats en nackdel jämfört med konkurrenter som har implementerat HTTPS.

Google vill att säkerhet ska få största uppmärksamhet och prioritet. Företaget har tagit på sig att se till att full säkerhet används i hela branschen. Detta säkerställer att internetanvändare som använder Googles sökmotor och dess andra tjänster får säker kommunikation över alla tjänster.

De har också kommit med konceptet "HTTPS överallt" för att främja en känsla av ökad internetsäkerhet.

Men det var inte tillräckligt för dem. Eftersom de har så mycket inflytande, lade de till SSL som rankningssignal för SEO och sökmotorranking.

Om din webbplats implementerar HTTPS kommer det att ha en fördel jämfört med de webbplatser som inte implementerar den (med alla andra rankningssignaler lika).

Läs merWordPress onpage SEO Checklista: en 19 steg-för-steg-guide för att öka trafiken.

Kommer migreringen från HTTP till HTTPS att skada min ranking? 

Många undrar om ändringen från HTTP till HTTPS kommer att skada deras nuvarande organiska ranking. Med tanke på att HTTP- och HTTPS-versionerna av en webbplats anses vara olika, betyder det att alla bakåtlänkar till http: //-versionen av webbplatsen går förlorade?

Det är ett mycket giltigt problem.

Du har arbetat mycket för att få värdefulla bakåtlänkar, och att förlora dem skulle innebära att du fick en liten rankning, men förlorar den större rankningssignalen från länkar.

Som du kommer att se vidare kommer vi dock att göra en 301-omdirigering. Det betyder att servern som tidigare bodde här permanent har flyttat till en ny plats.

Google förstår en 301-omdirigering betyder "Hej Google - det här är fortfarande jag, men jag har nu flyttat till en ny adress permanent". Vad det betyder är att du inte kommer att förlora någon av din trafik, bakåtlänkar eller länkjuice.

Du kanske vill läsa lite mer om 301 omdirigering på Moz-webbplatsen. Du hittar att de kommer att ge våra exakta rekommendationer.

Det som vår webbplats förlorade när vi utför omdirigering till den säkra webbadressen på vår webbplats var vår Sociala andelar.

Detta beror på att Facebook och de flesta andra aktieräknare behandlar https: // www.collectiveray.com och https: // www.collectiveray.com som två helt olika webbadresser. Detta är något som du förmodligen måste leva med. I verkligheten, ju tidigare du gör detta desto snabbare kommer du att börja skaffa nya aktieräkning på din säkrade adress.

Vi har gjort detta på flera webbplatser förutom CollectiveRay, och det hade aldrig någon negativ effekt på ranking eller trafik. Så länge du utför en korrekt installation bör du inte vara orolig för detta.

UPPDATERING: Google har nyligen bekräftat att 301 omdirigeringar från HTTP till HTTPS förlorar absolut ingen länkjuice. Det beror naturligtvis på att det inte är vettigt att få ett straff för att byta till något som Google förespråkar.

5. Vad mer måste jag göra efter att jag aktiverat SSL?

Om du vill se till att du skickar ett starkt meddelande till Google om att din webbplats faktiskt har flyttat är det perfekta sättet att göra detta via Google Search Console.

Lägg bara till din webbplats som om det var en ny webbplats på Google Search Console.

Naturligtvis kan detta innebära att du tappar bort vissa saker som strukturerad data och du måste skicka in dina webbplatskartor igen. Inte detless, vi tror att detta är en mycket stark indikator för Google på att detta är en giltig och fullt godkänd migration.

6. Att vinna förtroende med säkerhet

Som du förmodligen redan känner till kommer vissa webbplatser att visa en grön stapel i webbläsaren. Detta betyder att webbplatsen har implementerat säker kommunikation.

Du kan se ett mycket tydligt exempel på detta på Paypal-webbplatsen.

Paypal med ikon för säkra lageruttag

 

Hur kan du kontrollera om din webbplats är skyddad eller inte?

För att kontrollera om en webbplats är SSL-skyddad eller inte kan du kontrollera om prefixet https: // visas framför webbadressen istället för den vanliga http: //.

Bortsett från detta kan du också hitta ett hänglås som finns i adressfältet innan webbplatsen börjar.

DART Creations SSL

Bilden ovan visar att en webbplats har ett auktoriserat SSL-certifikat, men hänglåsets utseende varierar från webbläsare till webbläsare. De webbplatser som har köpt ett utökat valideringscertifikat visar en helt grön adressfält eller så kommer företagets namn att visas före webbadressen.

Utökade valideringscertifikat är ganska dyra att köpa och implementera eftersom de kräver ett antal fysiska kontroller för att bekräfta att webbservern faktiskt tillhör det företag som implementerar det.

Elegant Themes SSL-certifikat för utökad validering

För dem som använder Safari ser de att ett grönt teckensnitt används för att beteckna att företaget använder ett EV-certifikat.

Följande exempel är ett EV-certifikat som används för Safari-webbläsaren. Här har adressfältet inte en grön bakgrund som andra webbläsare. Istället har de valt att använda ett grönt teckensnitt.

SSL på Safari

Utökade valideringscertifikat erbjuder utökad säkerhet vilket framgår av namnet.

Ett EV-certifikat utfärdas till ett företag som har rensat alla steg i valideringsprocessen. Sådana juridiska formaliteter som att bevisa sin fysiska adress och tillgång till specifika filer på en server krävs för att slutföra den juridiska auktoriseringen. Det finns också en hel del andra valideringar som ett företag skulle behöva genomgå för att få ett giltigt certifikat för utvidgad validering, men detta ligger utanför denna artikel.

Du kan läsa mer om Utökade valideringscertifikat här.

Genom att implementera WordPress HTTPS bekräftar och verifierar ett tredjepartsföretag i huvudsak att webbservern är den den påstår sig vara. Den här byrån kallas certifikatutfärdaren - även kallad en betrodd certifikatutfärdare.

Vad händer när säkra certifikat slutar fungera

Med hjälp av ovanstående indikatorer kan man veta om deras säkra certifikat fungerar eller inte.

På samma sätt kan användare snabbt förstå att en webbplats trafik inte är krypterad eller att deras säkerhetscertifikat har upphört. När hänglåset visas rött och en röd linje slår är det en indikation på en av dessa saker:

  • webbplatsen använder ett självsignerat certifikat, dvs. utfärdat av samma webbserver. Detta innebär att certifikatet inte är betrodd eftersom certifikatet inte utfärdades av en betrodd myndighet
  • utgångsdatumet har passerat och certifikatet är inte längre giltigt
  • certifikatet blir otillförlitligt av någon annan anledning och markeras som ogiltigt

Säkerhet har inte implementerats korrekt

I bilden ovan kan du se varningen innan du besöker en webbplats när webbläsaren känner igen att det säkra certifikatet som används av en webbplats du handlar om besöket har upphört att gälla.

De flesta moderna webbläsare har den här förmågan att varna om och ogiltigt certifikat (därför osäker dataöverföring) innan en användare kan fortsätta mot en osäker webbplats.

Efter att certifikatet har gått ut är allt du behöver göra att förnya certifikatet från myndighetsplatsen (där certifikatet ursprungligen erhölls från). Dessutom föreslås att certifikat inte får gå ut alls. En sådan upphörande skapar ett dåligt intryck av en webbplats på besökarna.

En webbplats sägs ha ett självsignerat certifikat om certifikatet skapas av samma webbserver, istället för att utfärdas av en betrodd certifikatutfärdare. Detta certifikat är INTE PÅLITAD.

Webbläsare litar bara på SSL-certifikat som delas ut av betrodda certifikatutfärdare. I alla andra fall visar de en varning för webbplatser som körs på ett självsignerat certifikat. 

HTTP till HTTPS migrationschecklista

Nu när vi förstår varför WordPress HTTPS kommer att gynna vår webbplats kommer vi att förklara i detalj nedan hur vi implementerar den på din webbplats. Vi har också en checklista för HTTP till HTTPS-migrering som vi listar nedan för att säkerställa att du har täckt alla steg relaterade till migrering till HTTPS.

Innan du startar WordPress säkert

1.1. SSL-certifieringsinställning Hämta, konfigurera och testa TLS-certifikatet med SHA-2 för SSL server
1.2. Registrering på Google Search Console Registrera båda domänerna http & https i Google Search Console, tillsammans med dina www- och icke-www-versioner. Om du också hade registrerat enskilda underdomäner eller underkataloger i Google Search Console, replikera registreringen och konfigurationen med deras https-version. Google Search Console
1.3. Rankningsövervakning Börja övervaka webbplatsrankingen parallellt med https-domänen Programvara för rangspårning
1.4. Aktuella toppsidor och identifiering av frågor Identifiera de översta sidorna - och relaterade frågor - locka organisk sökbarhet och trafik som ska prioriteras när du validerar och övervakar webbplatsens prestanda Google Search Console och Google Analytics
1.5. Aktuell genomsökning av webbplatsen Sök igenom http-webbplatsen för att identifiera och fixa eventuella interna trasiga länkar och den aktuella webbstrukturen innan du flyttar. Scenemiljö
1.6. Ny HTTPS-webbinställning med uppdaterade interna länkar Ställ in den nya webbversionen för att göra ändringarna, testa och uppdatera länkarna i en stagingmiljö, för att peka på webbadresserna (sidor och resurser som bilder, js, pdfs, etc.) med HTTPS Scenemiljö
1.7. Ny HTTPS webbkanonisering Uppdatera de kanoniska taggarna så att de inkluderar absoluta webbadresser med https på scenmiljön Scenemiljö
1.8. Ny HTTPS webbkanonisering Kontrollera i iscensättningsmiljön att alla befintliga omskrivningar och omdirigeringar (icke-www vs www; snedstreck vs. icke-snedstreck etc.) också implementeras i den säkra webbversionen som de brukade arbeta på http Scenemiljö
1.9. Omdirigerar förberedelse Förbered och testa omskrivningsreglerna som 301 omdirigerar från alla identifierade befintliga webbadresser (sidor, bilder, js, etc) på http-domänen till https server
1.10. Ny generering av XML-webbplatskarta Skapa en ny XML-webbplatskarta med webbadresserna med säkerhet implementerade för att laddas upp i HTTP: s Google Search Console-profil när webbplatsen har flyttats XML Sitemap Generator
1.11. Robots.txt förberedelse Förbered robots.txt som ska laddas upp på https-domänversionen när webbplatsen lanseras och kopiera de befintliga direktiven för http, men genom att peka på https-URL: erna om det behövs Robots.txt
1.12. Förbered ändringar på alla annonser, e-post eller anslutna kampanjer för att börja peka på https-URL-versionerna när migreringen är klar Kampanjplattformar Olika plattformar
1.13. Avvisa konfiguration Kontrollera om det tidigare lämnats några avvisningsförfrågningar som måste skickas in igen för de säkra webbadressversionerna i sin egen Google Search Console-profil Google Search Console
1.14. Geolocation -konfiguration Om du migrerar en gTLD som du geografiskt inriktar via Google Search Console (liksom dess underdomäner eller underkataloger, om du individuellt inriktar dem), se till att georgetar dem igen med den säkra domänversionen Google Search Console
1.15. URL-parametrar Konfiguration Om webbadressparametrar hanteras via Google Search Console ska den befintliga konfigurationen replikeras i den säkra webbplatsprofilen Google Search Console
1.16. Förberedelse av CDN-konfiguration Om ett CDN används, kontrollera att de kommer att kunna fungera korrekt på den säkra domänversionen av webbplatsen och hantera SSL när migreringen är klar CDN-leverantör
1.17. Annonser och förberedelse av tillägg från tredje part Kontrollera att alla visade annonskoder, tillägg från tredje part eller sociala plugins som används på webbplatsen fungerar korrekt när detta flyttas till https Annonser och tilläggsplattformar
1.18. Web Analytics-konfigurationsförberedelse Se till att den befintliga Web Analytics-konfigurationen också övervakar den säkra domänens trafik Web Analytics-plattform

Under faktisk migrering till en säker webbplats

2.1. HTTPS-webbplatslansering Publicera den validerade https-webbplatsversionen live produktion miljö
2.2. Ny HTTPS-version Webbstrukturvalidering Kontrollera att URL-strukturen på den säkra webbplatsversionen är densamma som den i HTTP produktion miljö
2.3. Ny säker version intern länkning Kontrollera att webbplatslänkarna pekar effektivt på dess HTTPS-URL: er produktion miljö
2.4. Ny kanonisering av HTTPS-versionen Kontrollera att de kanoniska taggarna på sidorna pekar på dess HTTPS-URL: er produktion miljö
2.5. Ny kanonisering av HTTPS-versionen Implementera omskrivningar och omdirigeringar från www vs icke-www, snedstreck vs utan snedstreck etc. i den nya säkra webbversionen produktion miljö
2.6. HTTP till HTTPS omdirigering implementering Implementera 301-omdirigeringar från varje webbadress på webbplatsen från dess HTTP- till HTTPS-version produktion miljö
2.7. Web Analytics-konfiguration Anteckna migreringsdatumet i din Web Analytics-plattform och kontrollera att konfigurationen är inställd för att spåra den säkra webbversionen Web Analytics-plattform
2.8. Validering av SSL-serverkonfiguration Verifiera SSL-konfigurationen för din webbserver. Du kan använda tjänster som https://www.ssllabs.com/ssltest/ Produktionsmiljö, SSL-test
2.9. Robots.txt-uppdatering Uppdatera robots.txt-inställningen i https-domänen med relevanta ändringar Robots.txt

Efter att ha startat HTTPS

3.1. HTTPS-genomsökningsvalidering Genomsök webbplatsen för att verifiera att de säkra webbadresserna är de som är tillgängliga, länkade och serveras utan fel, felaktiga noindexeringar & kanoniseringar och omdirigeringar produktion miljö
3.2. Ny HTTPS-webbplats omdirigerar validering Kontrollera att omdirigeringsreglerna från http vs https, www vs icke-www & snedstreck vs icke-snedstreck är korrekt implementerade produktion miljö
3.3. XML Sitemap Release & Submission Ladda upp och verifiera den genererade XML-webbplatskartan med de säkra webbadressversionerna i https Google Search Console-profilen Google Search Console
3.4. Officiell uppdatering av externa länkar Uppdatera officiella externa länkar som pekar till webbplatsen för att gå till den säkra versionen (sociala medieprofils partnersidor etc.) Officiell närvaro i externa plattformar
3.5. Annonser och validering av tillägg från tredje part Kontrollera att alla plugins som sociala knappar, annonser och tredjepartskod fungerar korrekt i säkra webbadressversioner. Du kan skanna din webbplats för att leta efter osäkert innehåll med https://www.jitbit.com/sslcheck/ Annonser och tilläggsplattformar, SSL-kontroll
3.6. Kampanjer uppdaterar körning Implementera relevanta ändringar av annonser, e-post och anslutna kampanjer för att korrekt hänvisa till HTTPS-webbversionen Kampanjplattformar
3.7. Övervakning av genomsökning och indexering Övervaka indexering, synlighet och fel för både HTTP- och HTTPS-webbplatsversionerna Google Search Console
3.8. Rankning och trafikövervakning Övervaka både HTTP- och HTTPS-webbplatsversioner trafik och rankningsaktivitet Webbanalys och rankningsspårningsplattformar
3.9. Robots.txt-konfigurationsvalidering Verifiera robots.txt-inställningen i den säkra domänen för att säkerställa att konfigurationen uppdaterades korrekt Robots.txt

 

Denna checklista för HTTP till HTTPS-migration skapades och delades med Advanced WP Facebook-gruppen. 

7. Hur kan du lägga till säkerhet på din WordPress-webbplats?

Låt oss gå ner till det smutsiga och smutsa händerna. Det finns två sätt att konfigurera WordPress SSL:

  • Konfigurera SSL manuellt på din WordPress-webbplats
  • Använda WordPress HTTPS-plugin

Hur man skaffar ett säkert certifikat

Först och främst måste du på något sätt skaffa ett SSL-certifikat.

Det finns olika sätt att göra detta, men det enklaste sättet att göra detta är via din värdserver.

På InMotion-värd kan du köpa certifikatet och allt du behöver med det direkt via AMP-konsolen (Account Management Panel). Det som är bra är att de stöder dig väldigt snyggt om du inte vill smutsa händerna.

Köp SSL-certifikat

Inkluderat i priset på $ 99 / år kommer priset på den erforderliga dedikerade IP-adressen. Det tillkommer en engångsavgift på $ 25 eftersom certifikatet måste installeras på servern som driver din webbplats.

Denna avgift kan avstå om du har direkt tillgång till servern och själv kan installera certifikatet.

Om du har en virtuell privat server är det mycket enkelt att installera certifikatet manuellt. Vi har dokumenterat stegen i vår InMotion VPS granskning, så vi kommer inte att gå igenom det igen.

Detaljer för köp av dedikerat SSL-certifikat

Om du inte är värd för InMotion, (varför inte? Vet du inte att deras servrar är snabbare och deras support bättre?) Kommer proceduren att vara liknande.

Prova InMotion Hosting nu

När certifikatet har köpts och installerats måste du nu aktivera WordPress SSL / TLS.

Använd Låt oss kryptera som certifikatutfärdare

Tillbaka i den här artikeln nämnde vi att säkra certifikat utfärdas av det som kallas certifikatutfärdare. Detta är en instans som kan "certifiera" att servern där du har installerat ditt certifikat verkligen är den som den påstår sig vara. Detta innebär naturligtvis en del arbete, och vanligtvis debiteras du för detta arbete.

Låt oss kryptera är en ny certifikatmyndighet som vill göra det lättare för alla att skaffa ett säkert certifikat genom att göra förvärvet av ett certifikat automatiserat och gratis.

Detta är i huvudsak en myndighet som drivs av ett antal företag som heter Internet Security Research Group, inklusive sådana stora namn som Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook och många andra som vill förvärva ett säkerhetscertifikat: Gratis, automatiserad, säker, transparent, öppen och kooperativ.

Varför skulle dessa företag vilja ge dig saker gratis? Eftersom ett säkert och säkrare internet är ett önskvärt mål för alla.

Även om det kan vara relativt enkelt är det fortfarande något tekniskt förfarande för att få certifikatet på plats. Men de flesta webbhotellföretag har idag integrerat funktionaliteten så att för de flesta företag är det en fråga om att klicka på en knapp att skaffa ett Let's Encrypt-certifikat och certifikatet skapas och ställs in.

Skapa ett säkert certifikat manuellt med Let's Encrypt

(Du kan hoppa över den här delen om du inte planerar att skapa ditt eget Let's Encrypt Certificate och kommer att förvärva det via din värdserver)

Du kommer att behöva direkt eller shell root-åtkomst till din server för att kunna köra följande procedur.

1. Installera Let's Encrypt-biblioteket på din server

Kör följande kommando för att installera Let's Encrypt-biblioteket

$ sudo git klon https://github.com/letsencrypt/letsencrypt / Opt / letsencrypt

Detta kommando laddar ner och kopierar LetsEncrypt-arkivet till din / opt-katalog.

2. Skapa ett säkert certifikat

Det bästa sättet att generera ett certifikat är att använda den fristående metoden med en nyckelstorlek på 4096 (vilket är väldigt freaking starkt).

$ ./letsencrypt-auto certonly - standalone --rsa-key-size 4096

Så snart du kör det här kommandot kommer ett fönster att visas och ber dig om domännamnet. Det föreslås att du anger både din rotdomän och andra underdomäner som du planerar att använda certifikatet med.

låter kryptera generera certifikat

Nästa steg är att läsa och godkänna villkoren för tjänster Låt oss kryptera. När du väl är överens kommer du att kunna se sökvägen till .pem-filen. Den kommer att finnas i / etc / letsencrypt / live / your-domain-name /. Om du stöter på några fel när du skapar certifikatet kanske du vill kontrollera din brandväggskonfiguration eftersom ett antal anslutningar krävs för att skapa certifikaten.

Det genererade certifikatet upphör att gälla om 90 dagar och måste förnyas var 90: e dag. Detta är lite av en negativ och positiv punkt. Du kan hitta anledningarna till att 90-dagarscertifikat används här. För att förnya certifikatet behöver du bara köra Let's Encrypt-förnyelseskriptet.

Du kanske vill skriva ett cron-jobb för att automatisera processen.

Detta är särskilt viktigt om du tenderar att glömma detta. När ditt certifikat går ut ser du den röda varningen som visas ovan, så du kanske vill ha det i åtanke.

Steg 3: Skapa en stark offentlig nyckel-kryptografisäkerhet med hjälp av en Diffie Hellman-grupp

För att ytterligare öka säkerheten bör du också skapa en stark Diffie-Hellman-grupp. Använd det här kommandot för att generera en 4096-bitars grupp:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096

Det kan ta ett tag minuter men när det är klart kommer du att ha en stark DH-grupp på /etc/ssl/certs/dhparam.pem

Nu när du har ett certifikat måste du installera detta på din webbserver via SSL / TLS-funktionen i CPanel eller vad ditt webbhotell använder.

ssl tls cpanel

Om det här förfarandet skrämmer dig, kom ihåg att de flesta av de här sakerna i dessa dagar är helt automatiserade på de flesta värdar.

 

8. Hur du ställer in din WordPress för att använda SSL (eller TLS) och HTTPS (det manuella sättet)

När du har ett säkert certifikat och har installerat det eller gjort det tillgängligt på servern där du är värd för din webbplats måste du utföra nästa steg är att aktivera HTTPS på WordPress.

Det allra första steget som måste göras är att införliva HTTPS på din webbplats för att uppdatera webbadressen till din webbplats. För att göra detta måste du gå ner till Inställningar → Allmänt och där kan du uppdatera ditt WordPress- och webbadressadressfält.


Uppdatera URL för att använda WordPress SSL

Om du har en befintlig webbplats och aktiverar SSL måste du också ställa in en 301-omdirigering som tvingar alla HTTP-förfrågningar att serveras säkert. Detta kommer också att se till att ingen av dina befintliga länkar från externa webbplatser kommer att gå vilse, samtidigt som den inte förlorar någon länkjuice.

Detta kan göras genom att lägga till kodavsnittet nedan i dina .htaccess-filers webbplatser, som du kan komma åt via din CPanel File Manager.

RewriteEngine On RewriteCond% {SERVER_PORT} 80 RewriteRule ^ (. *) $ Https://www.yourwebsitehere.com/$1 [R = 301, L]

Du kan se att detta är en 301-omdirigering, som ser till att du inte tappar någon länkjuice. Se till att du har ersatt dinwebsitehere.com med webbadressen till din webbplats.

Ovanstående tvingar din server att servera innehåll på ett säkert sätt. Bara som en anmärkning kommer alla webbadresser under huvuddomänen att konverteras till HTTPS med ovanstående. Så någon av dina gamla länkar på låt oss säga http: // www.collectiveray.com/wordpress/skulle automatiskt bli https: // www.collectiveray.com/wordpress/ 

För dem som är på Nginx-servrar bör du lägga till HTTP-omdirigering nedan för att konvertera den till HTTPS:

server {lyssna 80; servernamn websitename.com www.websitename.com; returnera 301 https: //websitename.com$request_uri; }

Följande steg hjälper dig att säkerställa att allt innehåll på webbplatsen kommer att serveras säkert.

Konfigurera en säker administratör

Du kan konfigurera tvingandet av en säker WordPress-admin (dvs. administrationsdelen av din webbplats eller / wp-admin) via din wp-config.php-fil. Om du vill tvinga fram säkerhet på en WordPress-webbplats som har inloggningssidor för flera webbplatser eller i adminområdet är allt du behöver lägga till följande kodavsnitt i wp-config.php-filen. 

definiera ('FORCE_SSL_ADMIN', sant);

Det är mest det, du borde nu kunna komma åt din WordPress-administratör säkert!

9. Implementera HTTPS med WordPress SSL-plugins

Ett annat enkelt sätt att konfigurera SSL på din webbplats är att använda ett WordPress SSL-plugin.

Använda Really Simple SSL plugin

really simple ssl plugin

Plugin valet för att aktivera WordPress HTTPS på din webbplats är Really Simple SSL plugin. Det är ett mycket snyggt skrivet plugin av Rogier Lankhorst. Det fantastiska med det här pluginet är att det tar bort all komplexitet som är kopplad till att aktivera säkra certifikat på din webbplats.

Verkligen och verkligen är detta ett SSL-aktiveringsplugg med ett klick. 

När du har förvärvat SSL-certifikatet med en av metoderna som beskrivs ovan och installerat det på din server behöver du bara installera och Aktivera de Really Simple SSL plugin och det kommer att göra resten av arbetet för dig.

Det gör faktiskt en hel del arbete under huven för att lösa de mest kända problemen med att aktivera HTTPS på din webbplats. Det tar hänsyn till installationen av servern och utför alla ändringar efter behov så att du inte behöver röra med dig själv.

Nedan är en skärmdump av plugin efter aktivering - det har gjort en del arbete och upptäckt att det redan finns ett certifikat installerat på servern.

Som du kan se kan du nu bara klicka på "Aktivera SSL" så är du klar! 

WordPress SSL-upptäckt av SSL-certifikat

När din webbplats har konverterats till SSL kan du titta på inställningarna eller söka efter eventuella problem och problem som kan ses på skärmdumpen nedan. 

Plugin försöker sedan åtgärda eventuella problem som hittats.

Detta plugin är din one-stop shop för att aktivera SSL.

really simple ssl skanna efter problem

 

Andra plugins för att aktivera SSL

Naturligtvis är ovanstående inte det enda plugin-programmet som du kan använda för att aktivera säkra certifikat. Följande är ett antal andra alternativ som du kanske vill använda. Båda uppnår i slutändan samma mål, att aktivera HTTPS på din WordPress-webbplats.

  • Enkel HTTPS-omdirigering
  • SSL Zen - det här är ett nytt plugin, det hjälper dig faktiskt att skapa Låt oss kryptera certifikatet genom själva pluginet 

10. Testa korrekt säker certifikatinställning på din webbplats 

För att säkerställa att din webbplats har konfigurerats fullt rekommenderar vi att du testar din webbplats med hjälp av detta SSL SEO-kontroller verktyg som kontrollerar om du har den rekommenderade WordPress SSL-installationen.

När testet körs får du en SSL-rapport som liknar följande:

ssl -rapport collectiveray 

11. Glöm inte att förnya ditt säkra certifikat

Ett utgånget certifikat är ett dött certifikat.

Om ett certifikat upphör kan du inte förnya det.

Du måste få en ny utfärdad och installera om den på din webbplats. Det är naturligtvis mer huvudvärk än du verkligen behöver, så kom bara ihåg att förnya det innan det går ut.

Detta hände oss på årsdagen för att få vår första säkra certifikatinställning. Det är inte en trevlig situation att plötsligt se ALLA din trafik gå till noll. Människor är mycket försiktiga med att gå vidare än ett certifikat som har upphört att gälla så att trafikhiten du får blir enorm.

Vi föreslår att du ställer in en påminnelse några veckor före utgången.

Du har värms upp. Utgångna certifikat är mycket arbete, så glöm inte att förnya det.

Vill du ta den enkla vägen?

Självklart, även om vi får det att se enkelt ut, finns det tillfällen när saker inte går som du förväntar dig, så se till att du har dina supportnummer till hands för att allt skulle gå fel när du konfigurerar din WordPress SSL-funktion .

Om du vill ta den enkla vägen, få bara InMotion för att ställa in allt för dig. Du får en snabbare webbplats, förutom att den drivs av SSL. Du får också en gratis domän och de kommer att överföra webbplatsen åt dig. CollectiveRay besökare får också EXKLUSIVA 47% av det normala priset, så ta dig själv ett fynd NU.

Detta är ett begränsat erbjudande till Oktober 2021, så få det innan erbjudandet går ut.

Vanliga frågor

Har WordPress SSL?

WordPress stöder SSL både på front-end och på backend. För att aktivera det måste du skaffa ett certifikat antingen genom att köpa ett eller använda Let's Encrypt genom ditt värdföretag och få det installerat på servern. När certifikatet är installerat kan du aktivera HTTPS med en av metoderna ovan, till exempel att använda Really Simple SSL plugin.

Hur aktiverar jag SSL i WordPress?

För att aktivera SSL i WordPress är den enklaste metoden att använda ett plugin som t.ex. Really Simple SSL. Detta använder det certifikat som för närvarande är konfigurerat för domänen, så se till att det säkra certifikatet redan har installerats innan du aktiverar det.

Hur får jag gratis SSL på WordPress?

För att få gratis SSL på WordPress måste du använda funktionen Låt oss kryptera som är tillgänglig på din värdserver. Detta kommer att utfärda ett gratis säkert certifikat och installera det på din domän. De flesta webbhotell erbjuder denna funktion idag, du kan använda InMotion för att göra detta.

Vad är skillnaden mellan HTTP och HTTPS?

Skillnaden mellan HTTP och HTTPS är att den sänds över en säker kanal. Det säkra certifikatet som är installerat på servern krypterar meddelanden innan de skickas på ett sätt som bara kan dekrypteras av webbläsaren som startade anslutningen. Detta innebär att känsliga uppgifter som att logga in på en webbplats med ett användarnamn / lösenord, skicka känsliga uppgifter som att skicka kreditkortsuppgifter eller annan information kan skickas säkert och säkert.

Slutsats: HTTPS är ett måste

Som du kanske har sett är implementeringen av HTTPS eller SSL inte alltid rakt framåt, men det är viktigt. Google har nyligen meddelat att de kommer att märka webbplatser som NOT SECURE, om de inte är SSL-aktiverade. Så se till att du får den här inställningen på din webbplats idag.

 

Om författaren
David Attard
Författare: David Attardwebbplats: https://www.linkedin.com/in/dattard/
David har arbetat i eller runt online / digital industrin under de senaste 18 åren. Han har stor erfarenhet av mjukvaru- och webbdesignindustrin med WordPress, Joomla och nischer som omger dem. Som digital konsult fokuserar han på att hjälpa företag att få en konkurrensfördel med en kombination av deras webbplats och digitala plattformar som finns idag.

En sak till... Visste du att människor som delar användbara saker som det här inlägget ser fantastiska ut också? ;-)
Tveka inte, lämna en användbara kommentera med dina tankar, dela sedan detta på din Facebook-grupp (er) som skulle tycka att det var användbart och låt oss skörda fördelarna tillsammans. Tack för att du delade och var trevlig!

Upplysningar: Denna sida kan innehålla länkar till externa webbplatser för produkter som vi älskar och rekommenderar helhjärtat. Om du köper produkter vi föreslår kan vi tjäna en remissavgift. Sådana avgifter påverkar inte våra rekommendationer och vi accepterar inte betalningar för positiva recensioner.

Författare Utvalda på:  Inc Magazine-logotyp   Sitepoint-logotyp   CSS Tricks-logotyp    webbdesignerdepot-logotyp   WPMU DEV-logotyp   och många fler ...