Internet nie jest bardzo bezpiecznym miejscem do poufnej rozmowy. Tysiące ciekawskich oczu czeka na wypicie twoich danych osobowych – adresu, numeru telefonu i informacji o karcie kredytowej. Dlatego większość firm korzysta z protokołu Secure HTTP (HTTPS) podczas przetwarzania poufnych zadań. Dzisiaj porozmawiamy o HTTPS i przeprowadzimy debatę na temat tego, czy rzeczywiście go potrzebujemy na naszych stronach.


Trochę herbaty technicznej

HTTP jest protokołem używanym przez serwery i klientów internetowych (przeglądarki) do komunikacji i przesyłania stron internetowych i plików. Istnieje wiele innych protokołów, takich jak FTP, SSH i BitTorrent.

HTTPS to zabezpieczona wersja protokołu HTTP, która wykorzystuje szyfrowanie SSL (Secured Socket Layer). Działanie protokołu SSL w tle wymaga licencjata z informatyki i solidnego zrozumienia kryptografii. Dzięki koncepcji abstrakcji nie musimy się tym martwić. Tylko pamiętaj:

HTTP + SSL = HTTPS

W skrócie, HTTPS używa publicznego i prywatnego klucza dopasowującego „mechanizm uzgadniania” przed przesłaniem danych. Po zakończeniu uzgadniania połączenie zostanie nawiązane i rozpocznie się sesja zabezpieczona. Gdy odwiedzasz witrynę HTTPS, wszystko dzieje się niemal natychmiast, zanim zobaczysz zielony wskaźnik na pasku adresu przeglądarki.

Dalsza lektura:

Cztery powody, dla których HTTPS jest świetny

1. Bezpieczeństwo na najwyższym poziomie: Dzięki SSL twoje połączenie jest szyfrowane. Wirtualny tunel jest tworzony tylko serwer i przeglądarka mogą się komunikować. Nikt inny nie może zinterpretować tego kanału. Nawet jeśli atakujący wejdzie w ten kanał, nie będzie w stanie zrozumieć zaszyfrowanych danych. Potrzebowałby klucza prywatnego znanego tylko przeglądarce.

2. Kontrola: HTTPS wymaga certyfikatu SSL, a pozyskanie go dla firmy to poważny proces. Wymaga przedłożenia oficjalnych dokumentów zweryfikowanych przez Autoryzatora Certyfikatów (CA). Certyfikat SSL jest wydawany tylko wtedy, gdy dokumenty przejdą testy sprawdzające poprawność.

3. Uzasadnia firmy: Odwiedzając witrynę zabezpieczoną protokołem SSL, możesz mieć pewność wiarygodności witryny. Zawsze możesz uzyskać niezbędne dane kontaktowe właściciela z certyfikatu SSL witryny.

4. Integralność danych: Integralność danych odnosi się do spójności żądanych danych i faktycznych danych otrzymanych. Rozważ ten przykład: ktoś odwiedza Twoją witrynę w celu uzyskania określonego wpisu Instrukcje konfiguracji serwera XYZ. Na końcu wpisu pozostawiasz link partnerski. W niezabezpieczonej witrynie osoba atakująca może łatwo nawiązać połączenie i wysłać odwiedzającego zagrożone dane. Najprawdopodobniej zastąpi Twój link partnerski linkiem phishingowym. Tak więc istnieje ogromna różnica w żądanych danych i faktycznie otrzymanych danych – integralność danych jest zniszczona. Z SSL nie jest to możliwe!

Oto Catch:

Wymagane jest ustanowienie bezpiecznego połączenia znaczna moc obliczeniowa zarówno przez serwer, jak i klienta. To jest wynik wolniejsza prędkość transferu w porównaniu do HTTP. Dlatego większość stron nie używa HTTPS przez cały czas. Czekają do momentu, gdy spróbujesz się zalogować lub dokonać zakupu. Witryny e-commerce, takie jak Amazon i Newegg, przestrzegają tej zasady. W ten sposób przeglądanie płonie szybko, a zakupy są bezpieczne.

Czy naprawdę potrzebuję HTTPS w mojej witrynie WordPress??

Dobre pytanie, ale nie jest to prosta odpowiedź tak lub nie. Omówmy to szczegółowo.

Wyszukiwarki preferują witryny HTTPS (tak)

Strona startowa Shutterstock 1

Oto cytat z ostatni post na blogu Google Webmaster Central.

… W ciągu ostatnich kilku miesięcy przeprowadzaliśmy testy, biorąc pod uwagę, czy witryny używają bezpiecznych, szyfrowanych połączeń jako sygnału w naszych algorytmach rankingu wyszukiwania.

Nie oznacza to, że jeśli nie masz HTTPS w swojej witrynie, twoja pozycja SERP spadnie. Na razie. Czujni ludzie uznają to za wczesny wskaźnik tego, co przyniesie przyszłość. Wiele osób narzeka i kwestionuje decyzję Google. Dlaczego, do cholery, miałbyś używać HTTPS na swoim statycznym blogu? Aby uniemożliwić hakerom czytanie komentarzy użytkowników? Cholera, nawet blog Google dla webmasterów nie używa protokołu SSL!

Scenariusze, w których witryny powinny używać HTTPS

Istnieje wiele sytuacji, w których HTTPS powinien być używany jako dodatkowa warstwa bezpieczeństwa. Oto kilka przykładów, w których należy go zastosować:

1. Sklepy e-commerce

Karta kredytowa

Jeśli prowadzisz sklep WordPress za pomocą WooCommerce lub iThemes Exchange, najrozsądniej byłoby użyć HTTPS na stronach transakcji w witrynie. Jak już wiesz, HTTPS działa wolniej niż HTTP i dlatego ma wpływ na wygodę przeglądania. Jednak jeśli chodzi o czyjeś poufne informacje, takie jak adres domowy, numer telefonu lub dane karty kredytowej – poświęcenie prędkości nad bezpieczeństwem jest koniecznością. Zawsze powinieneś używać HTTPS w następujących scenariuszach:

  • Nowy użytkownik rejestruje się lub loguje
  • Użytkownik ma zamiar dokonać płatności

2. Strony darowizn

shutterstock_156197999

Niektóre witryny wyświetlają mały pasek darowizny na pasku bocznym i prawie wszystkie nie używają HTTPS. Oto, co może pójść nie tak. Ponieważ witryna nie jest zabezpieczona, osoba atakująca może łatwo manipulować danymi witryny, aby wyświetlać fałszywe informacje – na przykład zastępując przycisk darowizny PayPal niektórymi witrynami wyłudzającymi informacje. Gdy odwiedzający (raczej dawca) kliknie ten fałszywy link, jego konto może zostać przejęte. Jeśli więc używasz przycisku darowizny w swojej witrynie, spróbuj zastosować protokół SSL.

3. Strony członkowskie

shutterstock_133642784

Wielu przedsiębiorców internetowych prowadzi prywatne fora i strony członkowskie za pomocą WordPress. Takie strony niosą prywatny dane – dane, których publiczność nie powinna widzieć. Jeśli w takich przypadkach zostanie użyty protokół SSL, wyeliminuje on zagrożenia integralności danych i stworzy bezpieczne środowisko dla członków. To jak uderzenie dwóch ptaków jednym kamieniem:

  1. Lepsze bezpieczeństwo
  2. Zwiększ zaufanie klientów

4. Witryny zhakowane w przeszłości

shutterstock_15195401097495

Jeśli Twoja witryna jest ofiarą ukierunkowanego ataku lub została niedawno zhakowana, powinieneś poważnie rozważyć przejście na stronę zaszyfrowaną za pomocą protokołu SSL. Odzyskiwanie z zaatakowanej witryny można przeprowadzić przy użyciu osobistej wiedzy specjalistycznej i / lub pomocy ekspertów ds. Bezpieczeństwa WordPress (takich jak Sucuri).

Aby uchronić się przed przyszłymi atakami i dodać dodatkową warstwę bezpieczeństwa, wymuś użycie HTTPS na całej swojej stronie. Ponieważ jednak SSL zużywa dużo zasobów serwera, Twoja witryna może stać się dość wolna w zależności od konfiguracji serwera. Nie chcesz tego. W ten sposób możesz również selektywnie korzystać z SSL tylko podczas stron logowania i podczas pracy w panelu administratora WordPress.

Konfigurowanie SSL w WordPress

Konfigurowanie protokołu SSL jest skomplikowanym i żmudnym procesem. Wymaga specjalistycznej wiedzy, znacznego czasu i jest dużo miejsca na błędy. Zdecydowanie polecam porozmawiać ze swoim menedżerem hostingowym, aby pomóc Ci skonfigurować się z SSL (sprawdź GoDaddy, dzięki naszemu linkowi możesz zaoszczędzić 25% na certyfikacie SSL). Jeśli zdecydujesz się przejść na stronę HTTPS, możesz bezpiecznie założyć, że budżet może obejmować koszty zarządzanej firmy hostingowej WordPress.

WPExplorer korzysta z WPEngine, a nasza strona jest chroniona przed hakerami, złośliwym oprogramowaniem i atakami DDoS. Plus to jest naprawdę szybkie. Firmy takie jak WPEngine dają możliwość zakupu zintegrowanego certyfikatu SSL. Koszt waha się od 49 do 199 USD rocznie. Możesz także użyć zewnętrznego protokołu SSL, który pomoże Ci skonfigurować i skonfigurować HTTPS w Twojej witrynie.

Wniosek

Do ciebie – jakie są twoje przemyślenia na ten temat? Tak czy nie na HTTPS? Czy korzystałeś już z SSL w swojej witrynie? Podziel się z nami swoimi przemyśleniami!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me