Использование SSL и HTTPS в WordPress

Linux loves

Ключ к безопасности WordPress-На сайте должен быть установлен соответствующий сертификат. Это позволит пользователям обмениваться информацией с сайтом по защищенному, зашифрованному каналу:

Использование SSL и HTTPS в WordPress

Чтобы определить, какую информацию необходимо зашифровать, и убедиться, что она покидает сайт только в зашифрованном виде, необходимо проделать определенную работу. Это не так сложно, если четко определены цели и преимущества этой работы.

Что такое SSL?

Этот протокол является стандартом для обмена зашифрованной информацией между веб-сервером и браузером. Не вдаваясь в подробности, это можно объяснить следующим образом: между сервером и клиентом устанавливаются доверительные отношения.

После установления доверия сервер может зашифровать данные (Например, сайт) таким образом, что только клиент может расшифровать данные. Необходимость шифрования обусловлена тем, что Интернет — это публичная сеть, и информация, передаваемая между двумя точками, может в какой-то момент оказаться доступной другим участникам сети.

Мы отправляем зашифрованные данные, чтобы их мог понять только тот, с кем вы разговариваете. Все другие сайты, пытающиеся прочитать его, получат бессмысленный мусор. В нашем случае передача глупостей лучше, чем передача данных кредитной карты, электронной почты, паролей или другой частной информации.

Использование сертификата требует установки на сайте специального сертификата, который уникальным образом идентифицирует его владельца. Такой сертификат приобретается на ограниченное время у специальных продавцов. Большинство браузеров сигнализируют о наличии действующего сертификата значком замка:

Что такое SSL?

особенно необходим для сайтов электронной коммерции, содержащих платежные данные, кредитные карты и т.д. д.

Я не буду рассказывать о процессе приобретения и установки сертификата, поскольку он различается у разных поставщиков сертификатов и у разных хостеров. Хороший хостинг-провайдер обязательно поможет вам приобрести сертификат и настроить ваш веб-сервер.

ЧИТАТЬ ЕЩЁ:  Онлайн-сервис Figma - все, что нужно знать разработчику

После приобретения сертификата и настройки сервера на его использование любой пользователь сможет просматривать страницы вашего сайта через . Я говорю: «можно«, а не «должен быть«, поскольку на данный момент конфигурация сайта не завершена. Чтобы перенаправить пользователей на безопасное соединение, необходимо выполнить определенные настройки в разделе WordPress.

Когда мы говорим «использовать SSL«Мы имеем в виду, что обмен информацией между сайтом и посетителем происходит по каналу HTTPS-страницу вместо обычного протокола . HTTPS шифрует данные с помощью протокола, заверяет их сертификатом и отправляет через отдельный порт, но это еще не все.

Когда следует использовать HTTPS

Вы можете настроить свой сайт на перенаправление на HTTPS всем зарегистрированным пользователям или предоставлять общий доступ к определенным страницам и путям на сайте только в зашифрованном виде.

Существует два подхода к определению необходимости использования шифрования на вашем сайте. Один из методов заключается в шифровании только потенциально чувствительной информации, другой — в шифровании всего сайта.

Недавно Google сказал , Что сайты, которые поддерживают HTTPS для анонимных пользователей, имеют более высокий рейтинг в поисковых системах.

Это означает, что вы должны использовать HTTPS Может рассматриваться как часть стратегии, а не только как мера безопасности. Кроме того, полное шифрование исключает человеческий фактор при определении конфиденциальности определенной информации.

Недостатком этого подхода является то, что HTTPS Расшифровка происходит медленнее, чем расшифровка . Каждый фрагмент данных должен быть зашифрован на одном конце и расшифрован на другом. Это увеличивает нагрузку на процессоры сервера и клиента и вызывает задержки в обмене данными.

Поскольку время загрузки страницы является важным параметром с точки зрения эргономики и оптимизации, нам необходимо проверить, достаточно ли у нас ресурсов для безопасной реализации шифрования всего трафика, или в нашем случае лучше выбрать наиболее чувствительные данные, а остальные отправить по открытому каналу.

ЧИТАТЬ ЕЩЁ:  Готовимся к HTTP2. руководство для веб-дизайнеров и разработчиков

Влияние шифрования на время доступа к сайту зависит от ряда факторов, поэтому перед принятием решения следует провести соответствующие тесты.

Как я уже упоминал, финансовая информация и пароли относятся к наиболее чувствительным данным и должны быть зашифрованы. Другие типы данных, такие как медицинские карты, также попадают в эту категорию. Если вы создаете сайт, на котором хранятся такие данные, то перед выбором протокола доступа следует проконсультироваться с экспертами по правовым вопросам.

Установка SSL вручную

В ядре WordPress существует константа, которая может быть определена в wp-config.php, ограничить работу администратора безопасным соединением. Эта константа является FORCE_SSL_ADMIN — требует наличия действующего SSL-сертификата на сервере. По умолчанию эта функция отключена. Чтобы включить его, добавьте его в wp-config.php код ниже:

define('FORCE_SSL_ADMIN', true);

Существует также простое решение, которое делает обязательным шифрование всего фронтенда. Вы можете подробно прочитать об этом в эта статья Код WordPress.

Если я лично решу реализовать более сложную схему использования для своего сайта, я, скорее всего, настрою ее с помощью плагина. Вот о чем мы сейчас поговорим.

Использование плагина WordPress HTTPS

Есть отличный бесплатный плагин — WordPress HTTPS (SSL), что позволяет легко выполнять даже самые сложные настройки .

Этот плагин давно не обновлялся и, как вы можете видеть в каталоге плагинов, был протестирован только для WordPress версии 3.5.2, но из своего опыта могу сказать, что он отлично работает с версией 3.9 и 4.0.

Этот плагин позволяет установить глобальные настройки использования для вашего сайта, аналогично использованию констант в wp-config.php. Если вы не хотите использовать шифрование на всем сайте, полезно установить принудительное использование HTTPS для отдельных постов, страниц или разделов.

ЧИТАТЬ ЕЩЁ:  Второй раз повторяю - я человек CAPTCHA

Процесс настройки этого плагина очень прост. Опции, которые применяются ко всему вашему сайту (или сайтов, если у вас многосайтовая установка WordPress), его можно настроить на странице плагина в панели управления.

Параметры безопасности для отдельных страниц и постов могут быть обработаны с помощью метабокса в редакторе публикаций. Это полезно, если вы хотите защитить доступ только к определенным страницам.

Безопасность сайта — это не только SSL!

Шифрование трафика важно для безопасности вашего сайта, но безопасность не ограничивается только этим. Да, это не позволит злоумышленникам перехватить чей-то пароль, но они все равно смогут его угадать.

Политика паролей, своевременное обновление WordPress, Плагины и темы, периодическое сканирование на наличие вредоносных скриптов, ограничения доступа к портам — все это одинаково важно для безопасности вашего сайта.

Все меры безопасности должны работать в комплексе. Если, например, троян проникнет на веб-сайт через раковина, сайт уже взломан — не имеет значения, зашифрован ли его трафик. Все потенциальные проблемы должны быть решены с помощью соответствующих плагинов (WordFence, Безопасность iThemes) или услуг (Sucuri).

-установка и настройка сертификата HTTPS — лишь одно звено в цепи мер безопасности WordPress-страница . Мы надеемся, что наша статья облегчит вам этот шаг.

Оцените статью