كيفية إضافة SSL يدويًا إلى WordPress مجانًا باستخدام Let's Encrypt؟

هل تتطلع إلى الانتقال من HTTP إلى HTTPS وتثبيت شهادة SSL على موقع WordPress الخاص بك؟ ثم تابع القراءة لمعرفة كيفية إضافة SSL إلى WordPress مجانًا. يشارك كل مستخدم للإنترنت الكثير من المعلومات الشخصية كل يوم. كلنا نفعل. عند التسوق عبر الإنترنت ، وإنشاء حسابات ، وتسجيل الدخول إلى مواقع ويب مختلفة ، وما إلى ذلك.

إذا لم يتم تشفيرها بشكل صحيح ، فيمكن الحصول على هذه المعلومات من قبل شخص ما. هذا هو المكان الذي يأتي فيه SSL للإنقاذ. يوفر تقنية التشفير لتأمين الاتصال بين متصفح المستخدم وخادم الويب.

يتم إصدار شهادة SSL فريدة لكل موقع لأغراض التعريف. إذا كان الخادم يتظاهر بأنه يعمل على HTTPS ، وكانت الشهادة غير متطابقة ، فإن معظم المتصفحات الحديثة ستحذر المستخدم عند الاتصال بالموقع.

في السابق ، كانت الطريقة الوحيدة لتأمين المواقع باستخدام SSL هي استخدام شهادة SSL مدفوعة. حتى أصبح تطبيق Let's Encrypt متاحًا للجمهور .

ما هو دعونا نشفر؟

Let's Encrypt عبارة عن مرجع مصدق مفتوح مجاني يوفر شهادة SSL لعامة الناس. إنه مشروع لمجموعة أبحاث أمن الإنترنت (ISRG). Let's Encrypt برعاية العديد من الشركات بما في ذلك Google و Facebook و Sucuri و Mozilla و Cisco وما إلى ذلك.

ليس هناك وقت أفضل لتثبيت شهادة SSL على مواقع WordPress الخاصة بك. خاصةً عندما أعلن فريق Google Chrome Security أن متصفحهم سيبدأ في تصنيف اتصالات HTTP على أنها غير آمنة بدءًا من يناير 2017:

اعتبارًا من كانون الثاني (يناير) 2017 (Chrome 56) ، سنضع علامة على مواقع HTTP التي تنقل كلمات المرور أو بطاقات الائتمان على أنها غير آمنة ، كجزء من خطة طويلة الأجل لتمييز جميع مواقع HTTP على أنها غير آمنة "، قال عضو فريق أمان Chrome إميلي شيشتر. تتمثل الخطوة الأولى في الخطة في عرض تسمية "غير آمن" في شريط العناوين.

إن مالكي المواقع الذين يريدون تجنب تصنيف مواقع HTTP الخاصة بهم على أنها غير آمنة ليس لديهم الكثير من الوقت لتأمين مواقعهم.

فائدة أخرى لامتلاك SSL على موقعك هي القدرة على استخدام HTTP / 2 والذي يعد في الأساس تطورًا لبروتوكول HTTP. تعد مواقع الويب التي تحتوي على HTTP / 2 أسرع لأنها تتيح نقل ملفات متعددة في وقت واحد.

كنت أنوي تطبيق SSL على جميع مواقعي لبعض الوقت. كانت المشكلة أنني لم أكن أعرف كيفية تنفيذ Let's Encrypt free SSL.

قرأت العديد من البرامج التعليمية حول كيفية إضافة Let's Encrypt SSL إلى WordPress. لكنها تبدو معقدة بالنسبة لي. أخيرًا ، بعد الكثير من القراءة ، وجدت طريقة سهلة لتثبيت Let's Encrypt SSL.

يمكن العثور على طريقي أدناه. هناك طرق أخرى أيضًا. يهدف هذا الدليل إلى أن يكون سهل الاستخدام للمبتدئين ويستند إلى تجربتي في تثبيت SSL على بعض مواقع WordPress الخاصة بي مجانًا باستخدام Let's Encrypt.

دون الحاجة إلى SSH ، والوصول إلى الجذر ، وتشغيل الأوامر والعمليات الأخرى التي لا يفهمها المستخدم العادي (بما في ذلك أنا) والتي تذكرها معظم الأدلة حول تطبيق WordPress SSL.

هذا المنشور طويل جدًا ويحتوي على الكثير من المعلومات ولكن إذا كنت مهتمًا ، قبل الانتقال إلى القسم الخاص بكيفية تنفيذ Let's Encrypt إلى موقع / مواقع WP بسهولة ، تحقق من التفسيرات حول بعض المصطلحات أدناه.

ما المقصود بـ HTTPS و SSL؟

كل يوم نشارك معلوماتنا الشخصية مع مواقع مختلفة. سواء كان الأمر يتعلق بالشراء أو مجرد تسجيل الدخول. لحماية نقل البيانات ، يجب إنشاء اتصال آمن. هذا عندما يأتي SSL و HTTPS.

ربما لاحظت أنه عندما تتفاعل مع موقع آمن (مثل بوابة الخدمات المصرفية عبر الإنترنت) ، فإن العنوان الموجود في شريط المتصفح الخاص بك يحتوي على https: // أمامه بدلاً من http H: // المعتاد.

بالإضافة إلى ذلك ، ستعرض معظم المتصفحات الحديثة قفلًا صغيرًا في شريط المتصفح عندما تكون متصلاً بمثل هذا الموقع.

HTTPS أو بروتوكول HTTP الآمن هو طريقة تشفير. يؤمن الاتصال بين متصفح المستخدمين والخادم الخاص بك. هذا يجعل من الصعب على المتسللين التنصت على الاتصال.

لماذا تنتقل من HTTP إلى HTTPS وتثبيت شهادة SSL؟ يقوم البروتوكول بإعداد الاتصال بين الاثنين ، حيث بمجرد إنشاء العلاقة بنجاح ، سيتم نقل المعلومات المشفرة فقط.

هذا يعني أن جميع معلومات النص العادي التي يمكن أن يقرأها أي شخص هناك سيتم تبادلها بأحرف عشوائية وسلاسل رقمية لا يمكن للبشر قراءتها.

إذا تمكن أي متسلل من التدخل في تبادل المعلومات ، فإن التشفير يجعل من الصعب للغاية فهمها.

معايير التشفير

تأتي SSL و HTTPS بمعايير تشفير مختلفة. يُطلق على أقدمها SHA ، ولم تعد قيد الاستخدام. خليفته SHA1 ، بينما لا يزال متداولًا ، يتم حاليًا إهماله.

Google Chrome ، على سبيل المثال ، بدأ في إصدار تحذيرات للمواقع التي تعمل على هذا المعيار في بداية عام 2016.

معيار التشفير الحالي لبروتوكولات SSL هو SHA2 . ومع ذلك ، في مرحلة ما ، سوف يفسح المجال لـ SHA3 الذي هو قيد التطوير حاليًا.

ملاحظة : لم يعد SSL هو الاسم الصحيح للشهادة بعد الآن. تم تحسين التكنولوجيا في أواخر التسعينيات ، وتغير اسمها إلى TLS (أمان طبقة النقل). ومع ذلك ، فإن الاختصار SSL عالق ومن الواضح أنه يستخدم حتى يومنا هذا. لذلك ، سأستخدمه أيضًا في الغالب في هذا المنشور.

لماذا تحتاج HTTPS و SSL؟

إذا كنت تقوم بتشغيل موقع ويب للتجارة الإلكترونية ، فأنت بالتأكيد بحاجة إلى شهادة SSL (طبقة مآخذ التوصيل الآمنة). خاصة إذا كنت تجمع معلومات الدفع. سيطلب منك معظم مزودي الدفع مثل Stripe و PayPal Pro و Authorize.net وما إلى ذلك أن يكون لديك اتصال آمن باستخدام SSL.

صرحت Google بأنها تستخدم HTTPS و SSL كإشارة تصنيف في نتائج البحث. هذا يعني أن استخدام SSL سيساعد في تحسين مُحسّنات محرّكات البحث لموقعك.

أيضًا ، باستخدام SSL ، يمكنك استخدام HHTP / 2 والذي ، كما ذكرت سابقًا ، يسمح بنقل ملفات متعددة في وقت واحد وبالتالي تحسين وقت تحميل موقعك.

باستخدام SSL ، لا يمكنك فقط حماية البيانات الحساسة مثل عناوين البريد الإلكتروني ومعلومات بطاقة الائتمان وكلمات المرور وما إلى ذلك ، من الهجمات المحتملة من قبل المتسللين من خلال تحسين تصنيف موقعك وسرعته أيضًا.

قبل أن تكون شهادات SSL باهظة الثمن. من 10 دولارات في السنة إلى 200 دولار. ولكن بفضل مشروع Let's Encrypt ، أصبح من الممكن الآن تنشيط عدد غير محدود من الشهادات مجانًا.

لماذا يحتاج موقع WooCommerce إلى SSL / TLS؟

تعتبر مشكلة الأمان مهمة جدًا في أي موقع ويب ، خاصةً بالنسبة للمحلات التجارية عبر الإنترنت. هناك الكثير من التفاعلات بين العميل والخادم في موقع التجارة الإلكترونية. يجب على العميل تقديم معلوماته الشخصية مثل أرقام بطاقات الائتمان لإنهاء عملية الدفع.

لذلك ، تحتاج إلى تأمين جميع معلوماتهم الخاصة. يساعدك أيضًا على بناء ثقة العميل - أهم مفتاح لموقع تجارة إلكترونية ناجح. لا أحد يرغب في شراء منتجات من متجر غير آمن على الإنترنت حيث يمكن للقراصنة سرقة معلوماتهم.

باستخدام SSL ، يتم تشفير البيانات على الفور ، مما يمنع المتسللين من قراءة البيانات أثناء النقل. سيحتاج أي موقع ويب WooCommerce يستخدم طريقة الدفع القياسية PayPal إلى SSL لمزيد من الأمان ، لذا فإن الحصول على SSL هو شرط لموقع WooCommerce الخاص بك في حال كنت تستخدم PayPal للتسجيل ، والعديد من بوابات الدفع الأخرى.

لماذا دعونا نشفر؟

Let's Encrypt هو برنامج مجاني ، آلي ، دون الحاجة إلى IP مخصص ، ومرجع تصديق مفتوح والعديد من الشركات تدعمه. أيضًا ، قامت العديد من شركات الاستضافة وموفري CDN وغيرهم بتطبيق Let's Encrypt ، لذلك من الأسهل تطبيقه على موقعك.

الميزات الرئيسية لـ Let's Encrypt هي :

• إنه مجاني - يمكنك تثبيته مجانًا على جميع المجالات الخاصة بك.
• آمن - يستخدم أعلى معايير الأمان لتبادل المعلومات.
• شفافة - سيتم تسجيل جميع الشهادات الصادرة أو الملغاة وستكون متاحة للجمهور لأي شخص لفحصها (يمكن اعتبار ذلك أيضًا عيبًا).
• لا يوجد عنوان IP مخصص - لست بحاجة إلى إنفاق الأموال للحصول على IP مخصص.
• التوافق - متوافق مع جميع المتصفحات.
• الاستضافة المشتركة - يمكن استخدامها على الاستضافة المشتركة وليس فقط مخصصة أو VPS (تحقق من أفضل مزودي خدمة استضافة WordPress بأسعار معقولة).

الجانب السلبي الوحيد لـ Let's Encrypt هو أنه يحتاج إلى التجديد كل 90 يومًا. ولكن يمكن أتمتة هذه العملية دون تدخل يدوي.

كيف تضيف SSL إلى WordPress؟

نظرًا لأن Let's Encrypt أصبح شائعًا ، فقد بدأت العديد من شركات استضافة WordPress بالفعل في تقديم إعداد Let's Encrypt SSL السهل المدمج .

أسهل طريقة لإضافة Let's Encrypt free SSL إلى WordPress هي الاشتراك مع شركة استضافة تقدم تكاملًا مدمجًا. لسوء الحظ ، لا تدعم جميع شركات الاستضافة Let's Encrypt. فيما يلي القائمة الكاملة للشركات المضيفة التي تدعم Let's Encrypt.

# 1 عروض الاستضافة الخاصة بك دعنا نشفر التكامل (أسهل)

من السهل إعداد Let's Encrypt لموقعك إذا كانت شركة الاستضافة الخاصة بك توفر التكامل. لا تحتاج حتى إلى أن تكون مزود استضافة.

تقدم معظم خدمات CDN تكامل Let's Encrypt مجانًا مع خدمتهم. مثال على موفري CDN هؤلاء هو KeyCDN أو MaxCDN أو CDNSun أو Incapsula (راجع مراجعة Incapsula) التي تقدم شهادة SSL مجانًا مع الخطط المدفوعة.

في هذه الحالات ، لا داعي للقلق أيضًا بشأن تجديد الشهادة حيث سيتم إجراؤها تلقائيًا نيابةً عنك. سأشرح في مثال Siteground.

قم بتسجيل الدخول إلى لوحة تحكم cPanel (ما هو cPanel) وانتقل لأسفل إلى قسم الأمان. هناك ستحتاج إلى النقر فوق رمز Let's Encrypt.

سينقلك هذا إلى صفحة تثبيت Let's Encrypt. سوف تحتاج إلى تحديد اسم المجال حيث تريد استخدام SSL.

يمكنك الآن النقر فوق زر التثبيت. سنقوم بتشفير إصدار شهادة SSL فريدة لموقعك على الويب. بمجرد الانتهاء ، سترى رسالة نجاح.

هذا كل شئ. لقد نجحت في دمج Let's Encrypt free SSL في موقع WordPress الخاص بك. هنا ليس عليك القيام بأي شيء آخر.

ومع ذلك ، لا يزال موقع WordPress الخاص بك غير جاهز للاستخدام بعد. ستحتاج أولاً إلى تحديث عناوين URL الخاصة بـ WordPress ثم إصلاح مشكلة المحتوى غير الآمن إن وجدت. يمكنك أن تجد كل شيء عنها أدناه.

# 2 إضافة مجاني ، فلنقم بتشفير SSL إذا كانت الاستضافة الخاصة بك لا تقدم التكامل

إذا كان مضيف الويب الخاص بك لا يوفر تكاملاً مثل SiteGround و DreamHost وشركات الاستضافة الأخرى التي تقدم Let's Encrypt ، فستحتاج إلى إجراء إجراء طويل إلى حد ما.

لكن لا داعي لبدء الذعر. سأوضح لك طريقة سهلة لإضافة SSL إلى موقع WordPress على الويب إذا كانت الاستضافة أو CDN لا تقدم التكامل.

تختلف هذه الطريقة من مضيف ويب إلى آخر. لدى معظم شركات الاستضافة مستند دعم يشرح العملية. يمكنك أيضًا الاتصال بفريق الدعم للحصول على إرشادات مفصلة أو اطلب منهم القيام بذلك نيابة عنك.

ستقوم بعض شركات الاستضافة بتثبيت شهادة SSL لك . تحتاج فقط إلى تزويدهم بالمفتاح الخاص والشهادة و CA. هذا ما فعلته مع Half Dollar Hosting. لقد اتصلت بهم للتو وقد فعلوا ذلك من أجلي لأنهم لا يسمحون لك بإعداده بنفسك.

تحتاج إلى تزويدهم بشهادة لكل مجال. وفي حالة Let's Encrypt ، يتعين عليك الاتصال بهم مرة أخرى كل 90 يومًا لتجديد الشهادة لكل موقع.

تثبيت شهادة SSL على الخادم الخاص بك يدويًا باستخدام cPanel

انتقل أولاً إلى SSL مجانًا. لا تقلق ، فهو آمن للاستخدام ويصدرون شهادات بالتعاون مع Let's Encrypt. أدخل اسم المجال الخاص بك مع www أو بدون. ستضيف SSL For Free أيضًا إصدارًا آخر إلى الشهادة لذلك لا يهم. أنا بشكل افتراضي أستخدم www مع جميع مواقعي ، لذلك أضعها دائمًا كأساسي.

ثم انقر فوق الزر إنشاء شهادة SSL مجانية . سيُطلب منك بعد ذلك إثبات ملكيتك للمجال الذي تريد إضافة الشهادة إليه. يمكنك الاختيار بين التحقق التلقائي من FTP والتحقق اليدوي .

إذا حددت التحقق التلقائي من FTP ، فستحتاج إلى إدخال معلومات FTP لحساب خادم المجال مثل المستخدم وكلمة المرور ... وسيتم إجراء التحقق نيابةً عنك تلقائيًا. أفضل استخدام التحقق اليدوي ، لذا سأعرض خطوات الدليل.

يتم شرح الخطوات التي يجب القيام بها في هذه الحالة على الموقع حتى لا تخطئ. يمكنك تنزيل الملفات ، وتسجيل الدخول إلى cPanel ، والانتقال إلى مجلد المجال الخاص بك وإنشاء مجلدات جديدة باتباع الخطوات على الصفحة. ثم تقوم بتحميل الملفات التي تم تنزيلها إلى مجلد "acme-Challenge".

بعد التحقق من أن كل شيء قد تم بشكل صحيح ، انقر فوق الزر تنزيل شهادة SSL . أنا لا أضع علامة في I Have My Own CSR. في هذه الحالة ، سيتم تزويدك بواحد.

ستحصل الآن على مفتاح خاص وشهادة و CA. انقر لتنزيلها وستحصل على ملف مضغوط. هذا الملف الذي تقدمه لاستضافتك إذا كان سيتم تثبيته لك ، أو استخراجه إذا كنت ستقوم بتثبيت الشهادة بنفسك.

يمكنك أيضًا تمكين خيار أن يتم إعلامك عندما توشك شهادتك على الانتهاء. في حال نسيت أن تكون شهادة Let's Encrypt صالحة لمدة 90 يومًا. بعد ذلك ، تحتاج إلى تجديده باتباع نفس الخطوات.

الآن بعد أن حصلت على شهادة. حان الوقت لتثبيته على الخادم. اتبع الخطوات أدناه لتثبيت SSL لموقعك :

1. قم بتسجيل الدخول إلى حساب cPanel الخاص بك

2. حدد موقع وانقر فوق SSL / TLS Manager في قسم الأمان

3. انقر فوق "إدارة مواقع SSL" ضمن قائمة تثبيت وإدارة طبقة المقابس الآمنة لموقع الويب الخاص بك (HTTPS) . إذا لم يكن لديك خيار إدارة مواقع SSL ، فحاول الاتصال بمزود الاستضافة الخاص بك واسأل عما إذا كان بإمكانهم تثبيت الشهادة لك.

4. انسخ رمز الشهادة الذي تلقيته بما في ذلك - - BEGIN CERTIFICATE - - و - - END CERTIFICATE - - والصقه في حقل "الشهادة: (CRT)".

يمكنك النقر فوق الزر الملء التلقائي بالشهادة ، والذي يظهر بجوار الشهادة التي تم إدخالها. سيحاول النظام جلب اسم المجال والمفتاح الخاص.

يمكنك أيضًا اختيار المجال من القائمة المنسدلة وإدخال الشهادة والمفتاح الخاص يدويًا في المربعات المقابلة. تذكر تضمين رؤوس وتذييلات البداية / النهاية للشهادة والمفتاح.

ملاحظة: الصور أدناه هي مجرد أمثلة. لن يكون لديك نفس المعلومات ، أو المُصدر ، أو الشهادة ، إلخ.

انسخ حزمة المرجع المصدق (CA Bundle) والصقها في المربع الموجود أسفل حزمة المرجع المصدق (CABUNDLE). إذا كنت تريد استخدام هذه الشهادة لخدمات البريد ، فحدد مربع الاختيار "تمكين SNI لخدمات البريد".

في هذه الحالة ، ستكون قادرًا على استخدام المجال الخاص بك ، الذي تم تثبيت شهادة SSL عليه ، كاسم مضيف لخادم البريد لتكوين عملاء البريد الخاص بك للعمل عبر المنافذ الآمنة.

هذا الخيار متاح فقط بدءًا من cPanel 11.48. إذا كان لديك إصدار أقدم من cPanel ، فلا يمكنك استخدام شهادتك للبريد.

5. انقر على زر "تثبيت الشهادة"

تهانينا! تم الآن تثبيت الشهادة على الخادم لموقعك. يجب الآن الوصول إلى الموقع عبر https: //.

اختبر شهادتك وتحقق من موقعك باستخدام https في المتصفح لمعرفة ما إذا كانت ستظهر بشكل صحيح.

تحديث عناوين URL لـ WordPress بعد إعداد SSL باستخدام البرنامج المساعد

بعد إعداد شهادة SSL المجانية مع Let's Encrypt ، فإن الخطوة التالية هي نقل عنوان URL الخاص بـ WordPress من استخدام HTTP إلى HTTPS. يستخدم الموقع القياسي بدون شهادة SSL بروتوكول HTTP. عادة ما يتم تمييزه ببادئة http في عناوين الويب ، مثل هذا: http://www.example.com

تستخدم مواقع الويب الآمنة التي تحمل شهادات SSL بروتوكول HTTPS. هذا يعني أن عناوينهم تبدو كما يلي: https://www.example.com. بدون تغيير عناوين URL على موقع WordPress الخاص بك ، لن تستخدم SSL ولن يكون موقعك آمنًا لجمع البيانات الحساسة.

1. تحديث عناوين URL لـ WordPress إلى HTTPS لموقع الويب الجديد لـ WordPress

إذا كنت تعمل على موقع ويب جديد تمامًا ، فيمكنك الانتقال إلى منطقة إدارة WordPress الخاصة بك والنقر فوق الإعدادات. هناك ستحتاج إلى تحديث عنوان URL الخاص بـ WordPress وحقول عنوان URL للموقع لاستخدام https.

لا تنس حفظ تغييراتك.

2. تحديث عناوين URL لـ WordPress إلى HTTPS لموقع WordPress الحالي

إذا كان موقعك مباشرًا لفترة من الوقت ، فمن المحتمل أن تتم فهرسته بواسطة محركات البحث. ربما قام أشخاص آخرون بربطه باستخدام HTTP في عنوان URL. تحتاج إلى التأكد من إعادة توجيه كل حركة المرور إلى عنوان URL https.

ما عليك القيام به هو تثبيت وتفعيل المكون الإضافي Really Simple SSL. سيكتشف هذا المكون الإضافي تلقائيًا شهادة SSL الخاصة بك ويقوم بإعداد موقع الويب الخاص بك لاستخدامها. في معظم الحالات ، لن تضطر إلى إجراء أي تغييرات أخرى. سيعمل المكون الإضافي أيضًا على إصلاح مشكلة المحتوى غير الآمن.

3. تحديث عناوين URL الخاصة بـ WordPress بعد إضافة SSL إلى موقع WordPress الحالي بدون البرنامج المساعد

إذا كنت ترغب في إجبار موقع الويب الخاص بك بالكامل على المرور عبر https ، ولكن بدون استخدام المكون الإضافي ، يمكنك إضافة هذه القواعد إلى ملف htaccess الخاص بك:

المشكلة المحتملة لخلط خطأ المحتوى بعد إعداد SSL

عند تثبيت شهادة SSL على مجال جديد ، يتم تقديم جميع الصفحات وجميع الموارد مثل الصور تلقائيًا باستخدام بروتوكول HTTPS.

ولكن إذا تم تمكين الشهادة على مجال قيد الاستخدام بالفعل ، فقد تواجه بعض المشكلات في خلط المحتوى . هذا يعني أن لديك محتوى يتم تقديمه باستخدام HTTPS ومحتوى يتم تقديمه باستخدام HTTP.

يحدث المحتوى المختلط عندما يستمر تسليم أجزاء من المحتوى الخاص بك عبر HTTP بينما ينتقل باقي موقعك إلى HTTPS الأكثر أمانًا.

في هذه الحالة ، ستعرض المتصفحات الحديثة تحذيرًا ، مما يتسبب في أن يرى المستخدمون موقعك على أنه غير آمن.

استخدم الأداة المجانية SSL Check لفحص موقعك بالكامل بحثًا عن صور غير آمنة ونصوص وملفات CSS وغيرها. باستخدام هذه المعلومات ، يمكنك بعد ذلك اتخاذ إجراءات تصحيحية. بديل لفحص الصفحات المفردة هو لماذا لا يوجد قفل ؟.

يمكنك أيضًا البحث عن رمز القفل في شريط المتصفح أثناء تصفح موقعك. سيظهر تحذيرًا عند زيارة جزء به محتوى مختلط.

إذا واجهت مثل هذه الصفحة ، فيمكنك معرفة الجاني من خلال إلقاء نظرة على وحدة التحكم في Chrome أو أدوات مطوري Firefox. تسرد هذه المقالة الطرق المختلفة لحل مشكلة خلط المحتوى.

حل خطأ محتوى المزيج باستخدام CloudFlare

إذا كان موقعك على CloudFlare ، يمكنك استخدام إعادة كتابة CloudFlare التلقائية HTTPS. إعادة كتابة HTTPS التلقائية هي ميزة تعيد كتابة الروابط إلى الموارد غير المشفرة من HTTP إلى HTTPS.

قبل تطبيق إعادة الكتابة وعرضها في HTML المرسل إلى زوار الويب ، يتم التحقق من مجموعة قواعد لضمان إمكانية الوصول إلى المراجع عبر HTTPS.

إذا قمت بالاتصال بموقعك عبر HTTPS ولم يكن رمز القفل موجودًا ، أو كان به مثلث تحذير أصفر ، فقد يحتوي موقعك على مراجع إلى أصول HTTP ("محتوى مختلط").

غالبًا ما يرجع المحتوى المختلط إلى عوامل لا تخضع لسيطرتك. يمكن أن يكون ذلك محتوى تابعًا لجهة خارجية أو أنظمة إدارة محتوى معقدة.

من خلال إعادة كتابة عناوين URL من "http" إلى "https" ، تعمل إعادة كتابة HTTPS التلقائية على تبسيط مهمة إتاحة موقع الويب بالكامل عبر HTTPS ، مما يساعد على التخلص من أخطاء المحتوى المختلطة والتأكد من حماية جميع البيانات التي تم تحميلها بواسطة موقع الويب الخاص بك.

إصلاح العناصر غير الآمنة على موقعك

قم بتثبيت المكون الإضافي SSL Insecure Content Fixer. سيتعامل مع جميع العناصر المضمنة ويصلح الموارد غير https في حالة وجودها. تأكد من التحقق من إعدادات المكونات الإضافية إذا لم تعمل خارج الصندوق.

ماذا يحدث في حالة انتهاء صلاحية الشهادة؟

عند انتهاء صلاحية شهادتك ، يتلقى الزوار تحذيرًا بشأنها ويُنصح بعدم الدخول إلى موقعك. يجب ألا تدع هذا يحدث. تأكد دائمًا من تجديد شهادتك في الوقت المناسب . يمكن أيضًا إعطاء نفس التحذير للشهادات الموقعة ذاتيًا التي لم يتم التحقق من صحتها من قبل سلطة خارجية.

قم بتحديث إعدادات Google Analytics بعد الانتقال إلى HTTPS

إذا كان لديك Google Analytics مثبتًا على موقع WordPress الخاص بك ، فأنت بحاجة إلى تحديث إعداداته وإضافة عنوان URL الجديد الخاص بك باستخدام https. قم بتسجيل الدخول إلى لوحة تحكم Google Analytics الخاصة بك وانقر فوق "المسؤول" في القائمة العلوية. بعد ذلك ، تحتاج إلى النقر فوق إعدادات الخاصية أسفل موقع الويب الخاص بك.

هناك سترى خيار URL الافتراضي. انقر فوق HTTP ثم حدد https. لا تنس النقر فوق زر حفظ لتخزين الإعدادات الخاصة بك. أضف أيضًا https: // www وبدون www إلى أدوات مشرفي المواقع من Google لموقعك.

إعداد SSL على صفحات معينة فقط

إذا كنت تريد ، لسبب ما ، إضافة طبقة المقابس الآمنة (SSL) إلى صفحات معينة من موقعك ، فستحتاج إلى المكون الإضافي المسمى WordPress HTTPS (SSL).

على الرغم من حقيقة أن هذا المكون الإضافي لم يتم تحديثه منذ فترة ، إلا أنه لا يزال يعمل بشكل جيد. عند التنشيط ، سيضيف المكون الإضافي عنصر قائمة جديدًا يسمى HTTPS في مسؤول WordPress الخاص بك. يمكنك النقر فوقه لزيارة صفحة إعدادات البرنامج المساعد.

يطلب منك الخيار الأول لصفحة الإعداد إدخال مضيف SSL الخاص بك. في الغالب هو اسم المجال الخاص بك. ومع ذلك ، إذا كنت تقوم بتكوين الموقع على نطاق فرعي وكانت شهادة SSL التي حصلت عليها لاسم المجال الأساسي الخاص بك ، فسوف تدخل المجال الجذر.

إذا كنت تستخدم شهادة SSL مشتركة مقدمة من مضيف الويب الخاص بك ، فستحتاج إلى إدخال معلومات المضيف التي قدموها بدلاً من اسم المجال الخاص بك.

يفرض إعداد إدارة SSL على WordPress استخدام HTTPs في جميع صفحات منطقة الإدارة. تحتاج إلى تحديد هذا المربع للتأكد من أن كل حركة المرور إلى منطقة مسؤول WordPress الخاصة بك آمنة.

الخيار التالي هو استخدام Force SSL حصريًا . تحديد هذا المربع سيستخدم SSL فقط في الصفحات التي حددت فيها خيار Force SSL. ستنتقل كل حركة المرور الأخرى إلى عنوان HTTP القياسي.

يعمل هذا إذا كنت ترغب فقط في استخدام SSL على صفحات معينة مثل عربة التسوق ، والسداد ، وصفحات حساب المستخدم ، وما إلى ذلك. انقر فوق زر حفظ التغييرات لتخزين إعدادات البرنامج المساعد.

إذا كنت تريد استخدام HTTPS لصفحات معينة فقط ، فأنت بحاجة إلى تحرير هذه الصفحات وتحديد خانة الاختيار Force SSL . بمجرد الانتهاء من ذلك ، قم بزيارة صفحتك للتأكد من أن لديك قفلًا أخضر في Chrome والمتصفحات الأخرى.

كيفية ضبط Let's Encrypt With CloudFlare؟

إذا كنت تستخدم CloudFlare مع موقعك ، فربما تكون على دراية بـ CloudFlare Flexible SSL أو كما يسمونه Universal SSL. Universal SSL هو ببساطة اسم خدمة SSL المجانية CloudFlare.

مرة أخرى في عام 2014 ، أعلنت CloudFlare عن SSL عالمي مجاني لجميع مستخدميها. هذا يبدو رائعًا جدًا ، خاصة مع العلم أنه يمكنك استخدامه في الحزمة المجانية الخاصة بهم.

لكن الكثيرين لا يفهمون بالضبط كيف يعمل CloudFlare Flexible SSL. يوفر خيار SSL المرن فقط حركة مرور آمنة بين المستخدم وشبكة CloudFlares .

ليس بين CloudFlare وموقع الويب الخاص بك. مما يعني أن حركة مرور المستخدم تتعرض عبر الإنترنت كحركة مرور HTTP عادية.

لا يُنصح باستخدام بروتوكول SSL المرن إذا كان لديك أي معلومات حساسة على موقع الويب الخاص بك. يجب استخدام هذا الخيار فقط كحل أخير إذا لم تكن قادرًا على إعداد SSL على خادم الويب الخاص بك. هذا الخيار أقل أمانًا بكثير من خيار SSL الكامل الموضح أدناه. - CloudFlare

إذن ما هي مشكلة هذا؟ حسنًا ، قد يعرف مالك موقع الويب هذا أو لا يعرفه. يمكنهم قبول ذلك واختيار استخدام SSL المرن. هؤلاء هم الذين يختارون المخاطرة.

لكن ماذا عن مستخدمي الموقع؟ لن يعرف مستخدمو الموقع الفرق. سيرون HTTPS.

أعتقد أنها شهادة صالحة واستخدام موقع الويب بسعادة ، وتقديم المعلومات الشخصية ، والتفاصيل المصرفية ، وما إلى ذلك دون معرفة أنهم ينتقلون بالفعل عبر بروتوكول HTTP غير الآمن.

لذلك إذا كنت تستخدم Flexible SSL من CloudFlare فلا تغير موقعك إلى عناوين HTTPS URLs. ما عليك سوى تركه كما هو افتراضيًا أو التغيير إلى Full Strict بعد تثبيت Let's Encrypt.

وضع SSL المرن الخاص بـ CloudFlare هو الوضع الافتراضي لمواقع CloudFlare على الخطة المجانية. للاستفادة من وضع SSL الكامل والمتشدد ، والذي يقوم بتشفير الاتصال بين CloudFlare والخادم الأصلي ، من الضروري تثبيت شهادة على الخادم الأصلي .

عند تثبيت شهادة Let's Encrypt SSL على موقعك ، انتقل إلى إعدادات CloudFlare Crypto لموقعك الذي قمت بتثبيت الشهادة عليه ، وقم بتغيير إعداد SSL إلى كامل (صارم) .

الآن لديك ميزة إضافية تتمثل في الاتصال المشفر والمصدق عليه بخادمك الأصلي.

يمكنك أيضًا بدلاً من Let's Encrypt تثبيت شهادة أصل CloudFlare. شهادات أصل Cloudflare هي شهادات TLS مجانية صادرة عن Cloudflare ويمكن تثبيتها على خادمك الأصلي لتسهيل التشفير التام للزائرين باستخدام HTTPS.

يمكنك العثور على هذا الخيار في CloudFlare ضمن علامة التبويب Crypto. بشكل افتراضي ، تكون الشهادات التي تم إنشاؤها حديثًا صالحة لمدة 15 عامًا. يمكنك أيضًا جعلها أقصر.

شهادة أصل CloudFlare ليست موثوقة بعد من قبل المتصفحات. ولكن سيتم الوثوق بها بواسطة CloudFlare ، مما يسمح باتصال النهاية الخلفية بالتشفير والمصادقة.

يحمي هذا أيضًا موقعك إذا تم اختراق إحدى هيئات الشهادات الموثوقة بشكل عام من قبل المهاجمين واستخدامها لإصدار شهادات غير شرعية.

ملاحظة: عند إيقاف CloudFlare مؤقتًا أو المناطق الفردية التي تغمرها الألوان الرمادية ، يجب أن تدرك أنك وزوارك قد تتلقى أخطاء في المستعرضات الخاصة بهم لموقعك باستخدام شهادة CloudFlare Origin حتى تقوم بسحابة برتقالية (وكيل عكسي) مرة أخرى.

لن يثق Chrome والمتصفحات الأخرى في شهادات أصل CloudFlare. هذه مخصصة للاستخدام فقط بواسطة الخوادم الأصلية الموجودة خلف خدمة CloudFlare.

لكن شهادات الجذر متاحة أيضًا. ستسمح لك إضافتها إلى متجر (متاجر) TLS الموثوق بها بالتحقق مباشرةً من الصحة ، دون المرور عبر CloudFlare.

CloudFlare Flexible SSL مقابل Full SSL مقابل Full SSL Strict

اختر فقط " مرن " إذا كان خادم الويب الأصلي لا يقبل اتصالات (HTTPS) الآمنة. حدد " كامل " إذا كان لديك شهادة SSL موقعة ذاتيًا ، واختر " كامل (صارم) " إذا كان لديك شهادة SSL صالحة.

إيقاف التشغيل : لا يوجد اتصال آمن بين الزائر و CloudFlare ، ولا يوجد اتصال آمن بين CloudFlare وخادم الويب أيضًا.

هذا يعني أنه لا يمكن للزوار عرض موقع الويب الخاص بك إلا عبر HTTP ، وأي زائر يحاول الاتصال عبر HTTPS سيعرض إعادة توجيه HTTP 301 إلى إصدار HTTP العادي لموقعك.

مرن SSL : اتصال آمن بين الزائر الخاص بك و CloudFlare ، ولكن لا يوجد اتصال آمن بين CloudFlare وخادم الويب الخاص بك. لست بحاجة إلى الحصول على شهادة SSL على خادم الويب الخاص بك ، لكن زوارك لا يزالون يرون أن الموقع تم تمكين HTTPS.

لا ينصح بهذا الخيار إذا كان لديك أي معلومات حساسة على موقع الويب الخاص بك. يجب استخدامه كحل أخير فقط إذا لم تكن قادرًا على إعداد SSL على خادم الويب الخاص بك. إنه أقل أمانًا من أي خيار آخر (حتى "إيقاف") ، وقد يسبب لك مشكلة عندما تقرر الابتعاد عنه.

SSL الكامل : اتصال آمن بين الزائر و CloudFlare ، واتصال آمن (ولكن غير مصدق) بين CloudFlare وخادم الويب الخاص بك. ستحتاج إلى تكوين خادمك للرد على اتصالات HTTPS ، بشهادة موقعة ذاتيًا على الأقل.

SSL كامل (صارم) : اتصال آمن بين الزائر و CloudFlare ، واتصال آمن ومصادق بين CloudFlare وخادم الويب الخاص بك.

ستحتاج إلى تهيئة خادمك للرد على اتصالات HTTPS ، باستخدام شهادة SSL صالحة. يجب أن تكون هذه الشهادة موقعة من قبل سلطة مصدق ، وأن يكون لها تاريخ انتهاء صلاحية في المستقبل ، وأن تستجيب لطلب اسم المجال (اسم المضيف).

لدي شهادة مثبتة على الخادم. لماذا أرى شهادة CloudFlare؟

عند استخدام CloudFlare ، يقومون بفك تشفير البيانات الموجودة على حوافهم لتخزين وتصفية أي حركة مرور سيئة. اعتمادًا على إعدادات SSL ، يمكنهم إعادة تشفيرها أو إرسالها كنص عادي.

نظرًا لأن كل شهادة تحتاج إلى عنوان IP مخصص ، فإنها تضيف اسم المجال الخاص بك ومجال حرف بدل (* .domain.com) في SAN (اسم بديل للموضوع) إلى الشهادة.

إذا كنت تستخدم خطة CloudFlare المجانية وقمت بتثبيت شهادة جهة خارجية (مثل Let's Encrypt) ، عند التحقق من شهادة موقعك ، ستظهر دائمًا شهادة CloudFlare.

إذا كنت لا تريد عرض اسم CloudFlare عندما يتحقق الزائر من الشهادة ، فأنت بحاجة إلى خطة CloudFlare Business / Enterprise. بمعنى آخر ، عليك أن تدفع.

يمكن للعملاء في هذه الخطط تحميل مفتاح وشهادة SSL الخاصة بهم ، ولن يتم عرض اسم CloudFlare.

كيف يتم نقل شهادة SSL؟

هل تنتقل إلى خادم جديد ولكن لا يزال لديك وقت متبقي على شهادتك القديمة؟ قد تتمكن من نقل شهادتك إلى الخادم الجديد. عند نقل SSL ، يجب أن تكون الشهادة لنفس اسم المجال على الخادم الجديد.

كيفية إضافة SSL يدويًا إلى الكلمات النهائية المجانية لـ WordPress

هذه الأيام HTTPS ضرورة. فهو يزيد من خصوصية المستخدمين ، ويسمح لك باستخدام ميزات المتصفح الجديدة ، ويتيح لك الاحتفاظ بالوصول إلى الميزات الموجودة.

كما رأيت ، باستخدام Let's Encrypt ، يعد الحصول على شهادة SSL أمرًا سهلاً ويمكن أن يكون مجانيًا . ما زلنا في بداية ثورة صغيرة ولكنها مهمة في أمان شبكة الإنترنت.

إذا كنت تقوم بتشغيل موقع ويب WordPress يتعامل مع البيانات الحساسة ، فيجب أن يتوفر لديك بروتوكول SSL. بدون تشفير حركة المرور ، يكون خطر اعتراض معلومات العميل مرتفعاً للغاية.

إلى جانب كونه مزود خدمة مسؤول ، فإن طبقة الأمان المضافة هي أيضًا إشارة إيجابية لمحركات البحث . So if you don't do it for your clients, at least do it for the rankings.

I have already started installing SSL certificate on my WordPress websites. Soon you will also see HTTPS on kasareviews.com. I recommend you taking the same step.

Remember, an ounce of prevention is worth a pound of cure. Take WordPress security seriously . Your visitors and customers will thank you.