Unul dintre momentele-cheie ale site-ului asigurarea securității în WordPress este de a instala un SSL certificat special. Cu aceasta, utilizatorii vor putea să comunice cu site-ul dvs. printr-un protocol de conexiune sigură. Dar va trebui să facă unele, chiar dacă un loc de muncă simplu pentru a determina ce informații sunt necesare pentru a proteja și asigurați-vă că ea părăsește site-ul în această formă.
Ce este SSL?
protocolul SSL - un standard pentru schimbul de informații sigure între un site web și un browser web. Fără a intra în detalii cu privire la partea tehnică a operei sale, acesta poate fi explicat după cum urmează: se stabilește o relație de încredere între server și un browser web. Atunci când este stabilit „încredere“, serverul criptează datele, astfel încât numai destinatarul final (clientul) va fi în măsură să le decripteze.
Aceste măsuri de securitate sunt luate din cauza probabilității ca orice date transmise prin intermediul internetului de la un punct la altul, pot fi interceptate în orice moment de către hackeri sau alți membri ai rețelei.
Transferul datelor protejate asigură faptul că numai un anumit destinatar să le poată citi. În cazul în care deschide altcineva, el va vedea doar imaginea distorsionată, un set de unele simboluri. Acest lucru este mai bună decât informații vizibile de card de credit, note personale, scrisori, și așa mai departe.
Disponibilitatea SSL este o necesitate pentru orice site, e-commerce, și este recomandat pentru cei care se ocupă cu schimbul de informații sensibile. Nu vom intra în detalii cu privire la procesul de adăugare a certificatului în pachetul dvs. de găzduire, deoarece aceasta depinde de tipul de furnizor de hosting. Dar buna companie de găzduire web vă va oferi cel mai simplu mod de a instala SSL certificat.
După instalarea certificatului fiecare vizitator pe site-ul dvs. va fi capabil de a avea acces la paginile sale peste HTTP sau conexiune HTTPS. cuvântul folosit în cunoștință „poate“ în loc de „va“, deoarece adăugarea certificatului în sine nu este de ajuns. Ai nevoie pentru a configura WordPress, astfel încât să facă vizitatorii pentru a utiliza HTTPS.
Când spunem „utilizarea SSL», ne referim la faptul că schimbul de informații între server și browser-ul prin intermediul protocolului HTTPS în loc de HTTP neprotejat. Acest lucru necesită un SSL certificat valabil, dar nu numai.
Unde și cum se utilizează HTTPS?
Puteți personaliza site-ul WordPress, astfel încât vizitatorii utilizează HTTPS la intrarea pe site, folosind admin, pe fiecare sau pe anumite pagini ale site-ului. Există două abordări pentru a determina necesitatea utilizării acestuia. Primul - la cerere. Adică, numai fișierele cele mai sensibile. A doua cale - pentru întregul site.
Nu cu mult timp în urmă, Google a declarat că site-urile protejate folosind HTTPS au mai mare în rezultatele de căutare. Acest lucru înseamnă că, folosind HTTPS nu numai că va asigura protecția site-ului, dar, de asemenea, să contribuie la SEO. De asemenea, acest raport va ajuta la prevenirea sau elimina orice eroare umană privind confidențialitatea anumitor informații.
Dezavantajul utilizării SSL pentru întregul site este faptul că protocolul HTTPS este mai lent decât HTTP. Motivul este că datele trebuie să fie criptate înainte de a fi trimis și decriptat atunci când a primit. Și aceasta este o sarcină suplimentară pe server, transmiterea de date și un browser Web care le primește. Prin urmare, acest proces necesită timp suplimentar.
Deoarece viteza de încărcare a paginii este foarte importantă pentru utilizatorul final și pentru SEO, aveți nevoie pentru a determina dacă protecția conținutului importante insensibil (cum ar fi pagini de conținut accesibile tuturor utilizatorilor). Aceasta, desigur, depinde de mulți factori și este determinată după evaluarea și testarea site-ului.
În cele mai multe cazuri, datele cele mai sensibile include informații de natură personală referitoare la companie. Aceste informații financiare, parole, numere de card de credit, etc. Și, după cum am menționat mai devreme, instalarea HTTPS este o condiție prealabilă pentru toate site-urile de e-commerce. Și în cazul transmiterii de informații sensibile. Acestea includ, de exemplu, carduri de date medicale.
Rețineți că, dacă te angajezi vreodată pentru a crea un site web, la / de la care vor fi trimise la datele medicale sau financiare, clientul ar trebui să se consulte cu un avocat cu privire la problema securității. Aceste nevoi de securitate ar trebui să fie incluse în acordul-cadru cu privire la crearea site-ului.
Configurarea manuală SSL de WordPress
Există o constantă pe care o puteți utiliza în fișierul wp-config.php, și oferă o conexiune sigură în zona de administrare. Și această constantă - FORCE_SSL_ADMIN - necesită SSL certificat și HTTPS acces la orice loc din admin WordPress.
În mod implicit, această caracteristică este dezactivată. Pentru al activa, trebuie să adăugați în fișierul wp-config.php următorul cod:
define ( 'FORCE_SSL_ADMIN', adevărat);
Citește un articol mare în Codex WordPress cu privire la modul de configurare HTTPS pentru a cripta pagini întregi de site-uri și frontend.
Dar dacă nu poți face toate acestea cu ajutorul a două constante, atunci există un alt mod - folosind un plugin. Ceea ce acum discutăm.
Folosind un plug-in pentru HTTPS
Există un plugin WordPress HTTPS (SSL) excelent gratuit. cu care se poate face foarte ușor toate setările. Cu toate acestea, plugin-ul nu a fost actualizat pentru o lungă perioadă de timp și, după cum se poate observa din directorul de plugin-uri, testate doar pentru versiunea de WordPress 3.5.2. Dar, de asemenea, funcționează bine cu versiunile 3.9 și 4.0.
Acest plugin îndeplinește două funcții. Acesta vă permite să setați la nivel mondial SSL setări pentru site-ul sau site-urile dvs..
Dacă nu doriți să utilizați SSL pentru întregul site, plugin-ul vă permite să selectați posturi și pagini pentru ea.
procesul de configurare plugin-ul este destul de simplu. Panoul de control vă permite să configurați opțiuni pentru întregul site (sau mai multe site-uri, dacă aveți o instalare multisite de WordPress).
Pentru site-ul de securitate SSL nu este de ajuns!
Instalarea și configurarea SSL este cu siguranță un pas important în direcția asigurării securității site-ului de către WordPress și datele utilizatorilor, dar acest lucru nu este suficient. Parola a site-ului, puteți învăța sau ghici încă. În acest caz, SSL nu va proteja site-ul de la utilizarea informațiilor dumneavoastră de către cei care au primit de hacking pentru a accesa site-ul.
Cum pot fi în siguranță? selectați Doar o parolă foarte puternică, prompt actualiza plugin-uri și teme WordPress, scanare periodic pentru script-uri rău intenționate, etc.
Existența SSL-certificatul site-ului nu-l protejeze. Este necesar să se utilizeze, de asemenea, adecvate de securitate plug-in-uri, cum ar fi, WordFence. iThemes de securitate sau de serviciu Sucuri.
Dar instalarea certificat SSL și configurare WordPress pentru a utiliza HTTPS - un prim pas important în direcția asigurării securității a site-ului. Și, după cum sa menționat deja, este destul de simplu.
Bonus! Încercați SSL gratuit de la Cripta Let pe Hostenko
Dacă sunteți un WordPress hosting de la Hostenko. vă puteți conecta manual certificatul SSL de la criptați Jocul va fi lăsat gratuit, făcând clic pe un buton.
Pentru a face acest lucru, du-te la tabloul de bord gazduieste bloc deschis „Hosting de management“ pentru site-ul dvs. și vedeți „Security“ faceți clic pe „Adăugați Cripta certificat SSL Să“:
Sursa: elegantthemes.com
Instalați plugin-ul menționat în acest articol
Confruntați cu problema:
În cazul în care Prescrierea wp-config.php defini ( # 'FORCE_SSL_ADMIN #', adevărat); sau în setările specificați SITEURL și acasă ca https nu pot merge la zona de admin - get ERR_TOO_MANY_REDIRECTS
Alo Aici am cumpărat un certificat, iar când Gazduire include o conexiune securizată SSL, site-ul meu începe să strâmbă afișat. Hoster spune: „Tu ar trebui să facă setările astfel încât toate conținutul site-ului sunt încărcate prin HTTPS.“. Ți se întâmplă să-mi spui cum o fac?
Vă mulțumim!
Vă mulțumesc foarte mult, a rezolvat imediat problema mea!
Dar, am o întrebare. în cazul în care site-ul este deja de lucru, sau vice-versa este acum BU a luat SSL, iar un an mai târziu, nu a vrut să-l reînnoiască.
Motoarele de căutare vor fi, de asemenea, modificate sau rangul ei trebuie să-și piardă?
discuțiile au fost de multe ori pentru a scrie domenii www sau nu, iar acum protocolul în sine este http sau https. Sau va fi, de asemenea, în mod automat substituit?
Dezavantajul utilizării SSL pentru întregul site este faptul că protocolul HTTPS este mai lent decât HTTP. Motivul este că datele trebuie să fie criptate înainte de a fi trimis și decriptat atunci când a primit.
Aceasta este o greșeală profundă. prin HTTPS munca de protocol este mai lent decât HTTPS numai din cauza procesului de „strângere de mână“ (SSL strângere de mână) la stabilirea unei conexiuni.
Criptare, transmiterea și decriptarea datelor este instantanee și nu oferă nici o sarcină apreciabilă pe server sau browser.
Este necesar să se stabilească dacă protecția conținutului importante insensibil (cum ar fi pagini de conținut accesibile tuturor utilizatorilor).
Probabil subestimezi hackeri :) Dacă ați protejat formularul de înscriere prin informațiile cărții de credit HTTPS într-o parte a site-ului, dar nu și protocolul HTTPS pe același site prezinta „pagini de conținut accesibile tuturor utilizatorilor), atacatorul competentă introduce o formă similară pe neprotejată dvs. pagina (spoofing de conținut), care va trimite datele la o pagină securizată, precum și între acestea și oficiul poștal pentru atacator. vizitatorul va observa diferența.