WordPress SSL: Iată ce ar trebui să știți despre asta

Dacă afacerea dvs. are o prezență online și indiferent de cât de multe strategii SEO aplicați, nu s-ar putea să obțineți o clasare bună a motorului de căutare sau vizitatorii să revină de pe site-ul dvs. web.

Decizi să-ți auditezi site-ul și să descoperi adevărul dureros: nu există niciun certificat SSL instalat pe site-ul tău! Cu alte cuvinte, securitatea site-ului dvs. web pare a fi nesigură nu numai pentru motoarele de căutare, ci și pentru vizitatori.

În acest articol, veți afla ce este SSL și de ce este important? Ce avantaje oferă certificatul SSL și cum funcționează? Ce tip de certificate WordPress SSL există și care este cel mai potrivit pentru site-ul dvs. web?

Acestea sunt doar câteva dintre întrebările pe care ar trebui să le cunoașteți înainte de a instala WordPress SSL.

Ce este SSL și de ce este important?

Secure Sockets Layer (SSL) este standardul pentru comunicarea criptată între servere și browsere. Un browser primește și interpretează acest certificat și verifică autenticitatea acestuia. Odată efectuată verificarea, toate datele trimise prin conexiunea securizată sunt criptate. Un browser afișează existența acestei conexiuni cu o pictogramă lacăt închis și adaugă https înainte de adresa site-ului web.

Hypertext Transfer Protocol Secure (HTTPS) este o combinație de două protocoale: HTTP și SSL. HTTP este un tunel care transmite datele, iar SSL este un protocol de securitate care criptează datele din tunel. Ca urmare, accesul neautorizat la citirea, copierea sau decriptarea comunicării dintre server și client este (aproape) imposibil. Un certificat SSL tipic include:

• Un nume de domeniu și o cheie publică
• Informații de valabilitate și un număr de serie
• Semnătura unei autorități de certificare

Certificatele SSL au valabilitate temporară (majoritatea până la 90 de zile), deci trebuie reînnoite periodic pentru a garanta încrederea continuă a site-ului dvs. web. Aceste certificate sunt o cerință obligatorie pentru toate site-urile web care gestionează date cu caracter personal și informații financiare sensibile.

Inițiativa Google de a oferi site-urilor web securizate SSL un clasament SERP mai bun indică, de asemenea, importanța instalării certificatelor SSL. Din 2014, certificatele SSL au devenit o componentă obligatorie pentru toate site-urile web. Următorul grafic arată creșterea masivă a procentului de pagini încărcate pe site-uri web certificate SSL.

Matt Mullenweg, cofondatorul WordPress a spus odată: „ Vom promova doar parteneri de găzduire care furnizează în mod implicit un certificat SSL în conturile lor. ”În plus, puteți vedea și o mențiune specială a suportului HTTP pentru cerințele de găzduire.

Cum funcționează un certificat SSL?

Protocolul SSL este o construcție cu patru straturi (înregistrare SSL, Handshake, Change-cipher spec, și Alert protocol) care criptează în siguranță datele între un server și un browser. Aceste straturi permit utilizarea unei chei pentru criptare / decriptare și a unui model de autentificare bazat pe utilizarea unei chei publice și a unei chei private.

În acest model, cheia publică criptează datele, în timp ce cheia privată este utilizată pentru decriptare. Acest lucru se întâmplă la stratul Handshake al protocolului SSL unde se schimbă chei criptografice asimetrice pentru criptarea și decriptarea datelor.

Certificate SSL: validare și tipuri

Certificatele SSL apar în general în trei niveluri de validare:

1. Validarea domeniului (DV)

Autoritatea de certificare verifică dreptul solicitantului de a utiliza un anumit nume de domeniu. Identitatea companiei din spatele domeniului nu este inspectată. Informațiile sunt afișate atunci când un utilizator face clic pe lacătul securizat al site-ului. După cum puteți ghici, acesta este un nivel destul de simplu de validare SSL.

2. Validarea organizației (OV)

Autoritatea de certificare verifică dreptul solicitantului de a utiliza un anumit nume de domeniu și validitatea organizației din spatele domeniului.

Validarea organizației (OV) este mai complexă, dar garantează legitimitatea domeniului și identifică proprietarii companiei, oferind astfel mai multă încredere vizitatorilor. De obicei este utilizat de companiile de comerț electronic și de site-urile web corporative.

3. Validare extinsă (EV)

Autoritatea de certificare verifică dreptul solicitantului de a utiliza un anumit nume de domeniu și supune organizația unei inspecții detaliate. Procesul de emitere a certificatelor cu validare extinsă (EV) este definit pe larg în liniile directoare ale CA / Browser Forum.

Validarea extinsă (EV) este cel mai înalt nivel de validare a certificatului SSL și necesită prezentarea de documente și permise legale pentru a verifica existența companiei. Cu EV, utilizatorii văd un sigiliu sigur al site-ului în bara de adrese a browserului.

În plus față de validare, certificatele SSL sunt disponibile și în mai multe configurații ale aplicației:

1. Domeniu unic

Dacă doriți doar să protejați un domeniu, un certificat cu un singur domeniu este cea mai bună opțiune. Aceste certificate se aplică numai unui domeniu de nivel superior (de exemplu, website.com) . Acest tip de certificat SSL este disponibil cu toate nivelurile de validare.

2. Multi-domeniu

Acest tip de certificat certifică mai multe domenii (de exemplu, website.com , website.com.uk) cu un singur certificat SSL. Rețineți că, în funcție de autoritatea de certificare, numărul de domenii protejate poate varia. Certificatele SSL multi-domeniu sunt disponibile cu toate nivelurile de validare, cu excepția EV.

3. Comodul

Sunt utilizate pentru domenii unice care au mai multe subdomenii. Autoritatea de certificare care emite certificatul SSL wildcard are dreptul de a limita numărul de subdomenii protejate. Acest tip de certificat SSL este disponibil cu toate nivelurile de validare, cu excepția EV.

4. Comodă multi-domeniu

Aceste certificate sunt o combinație de certificate multi-domeniu și wildcard. Puteți utiliza aceste certificate pentru a proteja o serie de domenii de nivel superior, împreună cu subdomeniile. Din nou, limita poate varia în funcție de autoritatea de certificare. Acest tip de certificat SSL este disponibil la toate nivelurile de validare, cu excepția EV.

Avantajele utilizării certificatelor WordPress SSL

În acest moment, ați reușit deja să cunoașteți importanța certificatelor SSL. Acum este timpul să știm despre avantajele certificatelor SSL.

• Încredere: Cu un certificat SSL, vizitatorii știu că conexiunea lor la site-ul web este criptată, îmbunătățind astfel încrederea și credibilitatea.
• Legitimitate: deoarece este clar că toată activitatea se desfășoară pe un site web cunoscut și securizat corespunzător.
• Securitate: Vizitatorii știu că informațiile sunt criptate, prin urmare datele vor fi protejate împotriva oricărui tip de acces sau atac neautorizat de către terți.
• Clasament: Google favorizează paginile web care au SSL și au HTTPS în adresă.

Certificatele SSL sunt recomandate în special companiilor, în special magazinelor online care lucrează cu datele personale ale utilizatorilor.

Să criptăm: certificate SSL / TLS gratuite

Let's Encrypt este o autoritate de certificare (CA) gratuită și automată, care oferă certificate validate de domeniu (DV) gratuit, cu o perioadă de valabilitate de 90 de zile. Acest serviciu este furnizat de Internet Security Research Group (ISRG). Oricine deține un domeniu și o găzduire poate adăuga certificate de SSL Let's WordPress fără niciun cost.

Timpul de activare al unui certificat poate depinde, de asemenea, de disponibilitatea resurselor Let's Encrypt și de o serie de limitări ale autorității de certificare în sine. Aceste limitări includ:

• Certificate pe domeniu înregistrat (50 pe săptămână)
• Numele pe certificat (până la 100)
• Subdomenii unice (până la 5.000 pe săptămână)
• Certificate duplicate (5 pe săptămână)

Pentru a verifica detaliile acestor limitări, consultați secțiunea Să criptăm limitele ratei. De asemenea, voi folosi certificatele Let's Encrypt SSL pentru a demonstra idei practice de acum înainte.

Înainte de a trece la secțiunea următoare, vă recomand să faceți o copie de rezervă a site-ului dvs. WordPress, astfel încât să îl puteți restabili oricând în cazul în care lucrurile merg spre sud. Puteți face copii de rezervă în două moduri: printr-un plugin de backup WordPress sau backup-uri de pe server. Alternativ, puteți crea un mediu de organizare WordPress sau puteți clona întregul site web pentru testare.

Instalați certificate SSL gratuite pe WordPress

Folosesc platforma Cloudways pentru acest articol și presupun că v-ați înscris deja pentru un cont, ați lansat un server cu o aplicație WordPress și l-ați îndreptat către domeniul dvs. Dacă nu, iată cum puteți lansa serverul cu WordPress.

În pasul următor, accesați Aplicații din bara de meniu din stânga sus. Puteți vedea aplicația dvs. WordPress instalată pe serverul dvs. Faceți clic pe aplicația dvs. pentru a intra în tabloul de bord Application Management .

Adăugați un singur domeniu WordPress SSL pe site-ul dvs.

Înainte de a instala WordPress SSL, vă rugăm să vă asigurați că domeniul dvs. este live cu propagare DNS completă. În caz contrar, nu veți putea instala certificatele SSL.

În pasul următor, introduceți numele dvs. de domeniu și aceeași adresă de e-mail pe care ați folosit-o pentru a crea contul Cloudways. Acum, faceți clic pe Instalare certificat .

Adăugați mai multe domenii WordPress SSL pe site-ul dvs.

Pentru a instala certificatul Let's SSry WordPress SSL pe mai multe domenii, faceți clic pe Adăugare domeniu și introduceți numele de domeniu asociate site-ului dvs. WordPress. După ce ați terminat, faceți clic pe Instalare certificat .

Adăugați certificat SSL Wildcard pentru subdomenii

Trebuie doar să bifați caseta de selectare Aplicare wildcard . Va dura câteva momente pentru a vă furniza înregistrarea CNAME care trebuie adăugată la registratorul domeniului.

Conectați-vă la registratorul de domenii și adăugați o înregistrare CNAME cu informații similare:

• Tastați: CNAME
• Gazdă: _acme-challenge
• Valoare: [adresa URL a site-ului dvs.]

După ce ați terminat, reveniți la secțiunea Certificat SSL și faceți clic pe Verificare DNS . Acesta va valida setările și vă va notifica în consecință. În pasul următor, faceți clic pe Instalare certificat pentru a instala WordPress SSL pe site-ul dvs.

Reînnoirea automată a certificatului Let's SSry WordPress SSL

Platforma Cloudways gestionează automat procesul de reînnoire dacă setați opțiunea Auto-Renewal la Activare . De asemenea, îl puteți reînnoi oricând făcând clic pe butonul Reînnoiți acum .

Alternativ, puteți utiliza un serviciu de monitorizare SSL care asigură validitatea tuturor certificatelor SSL și că clienții dvs. nu primesc avertismente de securitate.

Instalați certificate SSL WordPress plătite

Pentru certificatele SSL plătite, trebuie mai întâi să activați Cererea de semnare a certificatului (CSR) în aplicația dvs. WordPress.

Accesați secțiunea Certificat SSL , selectați „ Nu am un certificat ” din meniul derulant, apoi faceți clic pe Creați CSR .

Dacă doriți să utilizați un singur certificat WordPress SSL pe mai multe domenii, bifați caseta de selectare în care scrie SAN și adăugați numele de domeniu în formular.

Odată ce trimiteți formularul, CSR va fi generat. În pasul următor, faceți clic pe butonul Descărcați CSR pentru a descărca fișierul CSR.

Trimiteți fișierul CSR descărcat furnizorului dvs. de certificate SSL WordPress pentru a genera un certificat SSL pe baza cerințelor dvs.

Furnizorul de certificate SSL vă va oferi două fișiere: [domeniul dvs.] .crt (Cod certificat) și [domeniul dvs.] .ca (Fișierul lanțului). Faceți clic pe Instalare certificat și veți vedea o fereastră pop-up care solicită codul certificatului și lanțul CA. Trimiteți aceste informații în câmpurile respective.

După ce ați trimis aceste informații, faceți clic pe Trimiteți și sunteți bine să plecați. SSL ar trebui să funcționeze acum pentru site-ul dvs. WordPress.

Ce este HSTS și de ce ar trebui să-l utilizați?

HTTP Strict Transport Security (HSTS) este o directivă de server web care le spune unui browser web și agenților de utilizator cum să gestioneze conexiunea cu site-ul dvs. web. Trimite un antet de răspuns cu instrucțiuni chiar de la început.

Uneori HTTPS nu este suficient, deoarece atacatorul va găsi în continuare o modalitate de a ajunge la site-ul dvs. web prin http: //. HSTS forțează browserele să utilizeze HTTPS dacă sunt disponibile. Configurarea certificatelor HSTS pentru WordPress SSL este destul de ușoară. Dacă găzduiți pe un server Apache, adăugați următoarele linii în fișierul .htaccess.

 # Folosiți HSTS pentru a forța clienții să folosească numai conexiuni securizate

Antetul setează întotdeauna Strict-Transport-Security "max-age = 300; includeSubDomains; preload"

Înainte de a adăuga HSTS pe site-ul dvs. WordPress, asigurați-vă că ați citit următoarele condiții prealabile:

• Site-ul web trebuie să aibă instalat un certificat SSL valid.
• Redirecționați TOATE legăturile HTTP către HTTPS cu o redirecționare permanentă 301.
• Asigurați-vă că toate subdomeniile sunt acoperite în certificatul SSL. (Luați în considerare un certificat wildcard)

Certificate WordPress SSL pe Cloudflare (Opțional)

Dacă utilizați Cloudflare într-un fel sau altul, trebuie să faceți câțiva pași suplimentari. În primul rând, dezactivați Cloudflare, altfel, procesul de configurare ar putea eșua.

Pasul 1

Conectați-vă la tabloul de bord Cloudflare și sub fila DNS, dezactivați opțiunile www și [domeniul dvs.] .com folosind comutatorul de comutare. Dacă este gri, înseamnă că serviciul este dezactivat.

Pasul 2

Acum, accesați platforma Cloudways → Server Management → Setări și pachete , în fila Advanced , și în modulul WAF alegeți Cloudflare , apoi faceți clic pe butonul Save Changes .

Pasul 3

Reveniți la tabloul de bord Cloudflare și activați opțiunile pe care le-ați dezactivat la pasul 1 . Faceți clic pe fila SSL / TLS din partea de sus și transformați modul de criptare SSL / TLS în Flexibil . Poate dura până la 24 de ore pentru ca Cloudflare să activeze certificatul. Cu toate acestea, dacă ați folosit deja același domeniu înainte, acesta va fi activat instantaneu.

Odată ce certificatul este activat, comutați-l la Complet (strict) .

Ștergeți site-ul web, găzduirea și cache-ul browserului

Acum, este timpul să verificați dacă certificatul SSL WordPress gratuit a fost instalat. Înainte de a merge mai departe, curățați cache-ul site-ului web, precum și cache-ul de pe server, cum ar fi Varnish, navigând la Cloudways Platform → Server Management → Manage Services .

Verificați certificatele SSL funcționează corect

Presupun că ați instalat Let's Encrypt WordPress SSL certificate pentru site-ul dvs. web și ați configurat totul în mod corespunzător. Acum, este timpul să testați certificatul SSL. Vizitați site-ul dvs. web și verificați pictograma afișată.

Dacă vedeți a doua pictogramă, înseamnă că certificatul SSL funcționează bine. Dacă vedeți a treia pictogramă, înseamnă că site-ul web folosește un certificat SSL, dar există câteva elemente pe pagină care nu utilizează HTTPS, un fenomen cunoscut sub numele de conținut mixt.

SSL Labs oferă un instrument excelent de verificare SSL în care introduceți pur și simplu numele domeniului dvs. și va analiza și va oferi un raport ceva de genul mai jos.

Mulți utilizatori Cloudflare raportează probleme atunci când încearcă să importe un certificat SSL WordPress Let's Encrypt gratuit pe domeniul lor pe un cont gratuit Cloudflare. Configurarea de mai sus ar trebui să funcționeze, dar dacă nu, încercați următorii pași:

1. Conectați-vă la Cloudflare și selectați domeniul cu care doriți să lucrați.
2. Selectați SSL / TLS din meniul de sus
3. Schimbați modul de criptare SSL / TLS la Flexibil
4. Setați Utilizați întotdeauna HTTPS la Activat
5. În secțiunea HSTS, activați HSTS
   • Setați vârsta maximă la 3 luni
   • Includeți subdomenii: Dezactivat (modificați după cum doriți - citiți mai sus)
   • Preîncărcare: Dezactivat
6. Setați versiunea minimă TLS la TLS 1.2
7. Criptare oportunistă: Activată
8. Setați TLS 1.3: Activat
9. Rescrieri automate HTTPS: Activat (pentru a activa redirecționarea)
10. Dezactivați SSL universal (citiți din nou mai sus). Procedând astfel, nu mai utilizați certificate SSL Cloudflare și nu utilizați decât certificatele furnizate de serverul dvs.

Procesul de mai sus a fost contribuit de Gary Stevens de la Hosting Canada - Web Hosting Reviews .

Schimbați adresele URL de la HTTP la HTTPS

Accesați tabloul de bord WordPress → Setări → General → înainte de adresa WordPress (URL) și adresa site-ului (URL) → introduceți https în loc de http → și faceți clic pe Salvare modificări în partea de jos a paginii. Aceasta va înlocui toate adresele URL interne la https: // .

Forțați SSL pentru pagina de autentificare WordPress

Prin modificarea adreselor URL din tabloul de bord WordPress, toate adresele URL ale site-ului web ar trebui, de asemenea, modificate. Dacă nu, este posibil să doriți să forțați SSL pentru zona de autentificare WordPress configurând SSL în fișierul wp-config.php.

În fișierul wp-config.php, adăugați următoarea linie unde scrie „ Atât, opriți editarea! ”

 define ('FORCE_SSL_ADMIN', adevărat);

Linia de mai sus va forța SSL pentru paginile de autentificare WordPress (adresa URL este în general: wp-admin / wp-login.php)

Redirecționați HTTP către HTTPS prin fișierul .htaccess

Dacă cineva vă vizitează site-ul web cu HTTP, serverul nu este obligat să difuzeze prin HTTPS. În pasul următor, voi adăuga o regulă la fișierul .htaccess pentru redirecționarea întregului trafic de la HTTP la HTTPS. Înainte de a face modificări, vă rugăm să faceți o copie de siguranță a fișierului .htaccess într-o locație offsite, deoarece un singur punct vă poate afecta WordPress.

Conectați-vă la găzduirea dvs. WordPress → navigați la directorul rădăcină WordPress → deschideți fișierul .htaccess cu orice editor → lipiți următoarele rânduri la începutul fișierului .htaccess.

 RewriteEngine On

RewriteCond% {http: X-Forwarded-Proto}! HTTPS

RewriteRule ^ (. *) $ Https: //% {HTTP_HOST} / $ 1 [R = 301, L]

Fișierul .htaccess ar trebui să arate ca:

 RewriteEngine On

RewriteCond% {http: X-Forwarded-Proto}! HTTPS

RewriteRule ^ (. *) $ Https: //% {HTTP_HOST} / $ 1 [R = 301, L]

# ÎNCEPE WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^ index \ .php $ - [L]

RewriteCond% {REQUEST_FILENAME}! -F

RewriteCond% {REQUEST_FILENAME}! -D

Rescrie Regula. /index.php [L]

</IfModule>

# END WordPress

Actualizați adresele URL CDN la HTTPS

Dacă utilizați un CDN WordPress, actualizați adresele URL WordPress la https: // (la fel cum am tratat în secțiunea Cloudflare de mai sus).

Avertizare de conținut mix

Accesați site-ul dvs. web și verificați dacă toate linkurile interne au fost mutate pe https: //. Dacă puteți vedea în continuare o pictogramă de informații pe unele dintre paginile dvs. web, una sau mai multe adrese URL sunt difuzate prin HTTP. Trebuie să identificați aceste adrese URL.

Identificați adresele URL de avertizare de conținut mix

Pentru a demonstra scenariul Mix Content, am adăugat o imagine într-o postare și am schimbat adresa URL în HTTP accesând editorul de text al unei postări. Apoi, am vizitat postarea și am deschis Developer Console (inspectează elementul). Faceți clic pe pictograma de eroare și introduceți „mix” în bara de căutare. Aceasta vă va arăta toate adresele URL care sunt difuzate prin HTTP și care trebuie actualizate la HTTPS.

În cazul meu, este doar adresa URL a imaginii. Cu toate acestea, există șansa ca câteva imagini externe, foi de stil sau scripturi dintr-un domeniu fără certificat SSL WordPress să fie utilizate pe site-ul dvs. web. Trebuie să le mutați la https: // manual. Alternativ, le puteți elimina sau muta aceste fișiere pe serverul dvs.

Adresele URL non-SSL ale JitBit sunt un instrument online excelent care accesează cu crawlere și verifică linkurile non-SSL de pe un site web. Am scanat site-ul meu de testare, iar următoarea captură de ecran afișează adresele URL care au fost difuzate prin HTTP.

Există mai multe moduri de a remedia problemele de avertizare privind conținutul mixt. Să discutăm câteva dintre ele:

Metoda 1: Folosirea Velvet Blues Update URL-uri Plugin

Există un plugin util Velvet Blues Update URL-uri care verifică toate adresele URL și le actualizează în consecință. După instalarea pluginului, accesați WordPress Dashboard → Instrumente → Actualizați adresele URL → configurați pluginul ca mai jos → și apoi faceți clic pe Actualizați adresele URL acum .

Metoda 2: Utilizarea unei căutări mai bune Înlocuiește pluginul

Better Search Replace este un alt plugin excelent care înlocuiește adresele URL HTTP către HTTPS din baza de date. După instalarea pluginului, accesați Tabloul de bord WordPress → Instrumente → Înlocuire căutare mai bună → configurați pluginul ca mai jos → și apoi faceți clic pe Executare căutare / Înlocuire .

Metoda 3: Utilizarea pluginului SSL foarte simplu

Cel mai simplu mod de a configura HTTPS gratuit este să utilizați pluginul SSL Really Simple. După instalarea pluginului, accesați WordPress Dashboard → Setări → SSL . Dacă totul este făcut corect, veți vedea ceva de genul de mai jos și dacă există ceva greșit de configurat, veți vedea o cruce roșie împreună cu instrucțiunile de remediere a avertismentului.

SSL foarte simplu înlocuiește adresele URL în timp ce pagina este încărcată. Acest lucru poate avea un impact ușor asupra performanței și dacă utilizați un plugin cache WordPress, atunci impactul va fi doar la prima încărcare.

Configurați HTTPS pentru Google Search Console

Pentru a urmări linkurile HTTPS în Search Console, accesați tabloul de bord Google Analytics → Administrator → alegeți proprietatea dorită și faceți clic pe Setări proprietate → modificați adresa URL implicită de la http: // la https: // → și faceți clic pe Salvare la sfârșitul paginii.

Ați terminat cum puteți obține un certificat SSL gratuit pentru WordPress. Nu uitați să schimbați toate adresele URL predefinite de la HTTP la HTTPS, deoarece acestea vor fi urmărite prin Google Analytics.

Încheiem!

Dacă ați ajuns aici, vă puteți imagina acum importanța WordPress SSL și modul în care îl puteți instala în WordPress. Dacă nu îl utilizați, veți pierde potențialii clienți, vizitatorii vă vor abandona site-ul web pentru că nu se simt în siguranță și, cel mai important, veți pierde clasamentul motorului de căutare.

Această ultimă întrebare este deosebit de gravă în cazul Google. Acesta este responsabil pentru penalizarea paginilor fără certificate SSL. Ca să nu mai vorbim de posibilitatea de a vă deschide ușile pentru phishing și furt de date. Dacă aveți întrebări, nu ezitați să întrebați în secțiunea de comentarii de mai jos.