A Internet não é um lugar muito seguro para conversas confidenciais. Existem milhares de olhares indiscretos esperando para ocultar suas informações pessoais – seu endereço, número de telefone e informações de cartão de crédito. É por isso que a maioria das empresas usa o protocolo HTTP seguro (HTTPS) ao processar tarefas confidenciais. Hoje vamos falar sobre HTTPS e debater se realmente precisamos dele em nossos sites.


Um pouco de chá técnico

HTTP é um protocolo usado por servidores e clientes da Web (navegadores) para se comunicar e transferir páginas e arquivos da Web. Existem muitos outros protocolos como FTP, SSH e BitTorrent.

HTTPS é uma versão segura do protocolo HTTP que usa criptografia SSL (Secured Socket Layer). Como o SSL funciona em segundo plano requer um diploma de bacharel em Ciência da Computação e uma sólida compreensão da criptografia. Graças ao conceito de abstração, não precisamos nos preocupar com isso. Apenas lembra-te:

HTTP + SSL = HTTPS

Em poucas palavras, o HTTPS usa uma chave pública e privada que corresponde ao “mecanismo de handshake” antes da transferência de dados. Depois que o aperto de mão é concluído, a conexão é estabelecida e a sessão segura é iniciada. Quando você visita um site HTTPS, tudo isso acontece quase instantaneamente antes de você ver o indicador verde na barra de endereços do seu navegador.

Leitura adicional:

Quatro razões pelas quais o HTTPS é ótimo

1. Segurança de alto nível: Com o SSL, sua conexão é criptografada. Um túnel virtual é criado através do qual somente o servidor e o navegador podem se comunicar. Ninguém mais pode interpretar esse canal. Mesmo se o invasor entrar nesse canal, ele não conseguirá entender os dados criptografados. Ele precisaria da chave privada que é conhecida apenas pelo navegador.

2. Controle: O HTTPS exige um certificado SSL e a aquisição deste último para uma empresa é um processo sério. Exige que os documentos oficiais sejam enviados, verificados pelo CA (Autorizador de Certificados). Somente quando os documentos passam nos testes de validação, o certificado SSL é emitido.

3. Legitimiza as empresas: Quando você visita um site protegido por SSL, pode ter certeza da credibilidade do site. Você sempre pode obter os detalhes de contato necessários do proprietário no certificado SSL do site.

4. Integridade dos dados: A integridade dos dados refere-se à consistência dos dados solicitados e dos dados reais recebidos. Considere este exemplo: alguém visita seu site para uma postagem específica em Instruções de configuração do servidor XYZ. No final da postagem, você deixa um link de afiliado. Em um site não seguro, um invasor pode acessar facilmente a conexão e enviar ao visitante o comprometido dados. Com toda a probabilidade, ele substituirá seu link de afiliado por um link de phishing. Portanto, há uma diferença monumental nos dados solicitados e nos dados realmente recebidos – a integridade dos dados é destruída. Com SSL, nada disso é possível!

Aqui está o truque:

Estabelecer uma conexão segura requer poder computacional substancial pelo servidor e pelo cliente. Este resultado é um taxa de transferência mais lenta quando comparado ao HTTP. É por isso que a maioria dos sites não usa HTTPS o tempo todo. Eles esperam até o momento em que você tenta fazer login ou fazer uma compra. Sites de comércio eletrônico como Amazon e Newegg seguem esta regra. Dessa forma, a navegação é rápida e as compras são seguras.

Eu realmente preciso de HTTPS no meu site WordPress?

Boa pergunta, mas não é uma resposta simples, sim ou não. Então, vamos discutir isso longamente.

Os mecanismos de pesquisa preferem sites HTTPS (sim)

página inicial do shutterstock 1

Aqui está uma citação de um postagem recente no blog da Central do webmaster do Google.

… nos últimos meses, realizamos testes levando em consideração se os sites usam conexões seguras e criptografadas como um sinal em nossos algoritmos de classificação de pesquisa.

Isso não significa que, se você não possui HTTPS no seu site, sua classificação no SERP cairá. Por enquanto. Pessoas vigilantes tomarão isso como um indicador inicial do que o futuro reserva. Muitas pessoas estão reclamando e questionando a decisão do Google. Por que diabos você usaria HTTPS no seu blog estático? Para impedir que hackers leiam os comentários de seus visitantes? Caramba, mesmo o Blog do webmaster do Google não está usando SSL!

Cenários em que sites devem usar HTTPS

Existem muitas situações em que o HTTPS deve ser usado como uma camada adicional de segurança. Aqui estão alguns exemplos em que deve ser aplicado:

1. Lojas de comércio eletrônico

Cartão de crédito

Se você estiver executando uma loja do WordPress usando o WooCommerce ou o iThemes Exchange, seria melhor usar o HTTPS nas páginas de transação do site. Como você já sabe, o HTTPS é mais lento que o HTTP e, portanto, afeta a experiência de navegação do usuário. No entanto, quando se trata de informações confidenciais de alguém como endereço residencial, número de telefone ou detalhes do cartão de crédito, é necessário sacrificar a velocidade pela segurança. Você sempre deve usar HTTPS nos seguintes cenários:

  • Um novo usuário registra ou efetua login
  • Um usuário está prestes a efetuar um pagamento

2. Páginas de Doação

shutterstock_156197999

Alguns sites exibem um pequeno botão de doação na barra lateral e quase todos eles não usam HTTPS. Aqui está o que pode dar errado. Como o site não é protegido, o invasor pode manipular facilmente os dados do site para mostrar informações fraudulentas – como substituir o botão de doação do PayPal por algum site de phishing. Quando um visitante (em vez de doador) clica no link fraudulento, sua conta corre o risco de ser comprometida. Portanto, se você estiver usando um botão de doação em seu site, tente incorporar SSL.

3. Sites de associação

shutterstock_133642784

Muitos empresários da Internet administram fóruns privados e sites de associação usando o WordPress. Esses sites carregam privado dados – dados que você não deseja que o público veja. Se o SSL for usado nesses casos, ele eliminará as ameaças à integridade dos dados e criará um ambiente seguro para seus membros interagirem. É como acertar dois coelhos com uma cajadada só:

  1. Melhor segurança
  2. Aumentar a confiança do cliente

4. Sites hackeados no passado

shutterstock_15195401097495

Se seu site é vítima de um ataque direcionado ou foi recentemente hackeado, considere seriamente mudar para um site criptografado SSL. A recuperação de um site invadido pode ser feita usando conhecimentos pessoais e / ou com a ajuda de especialistas em segurança do WordPress (como Sucuri).

Para se proteger de ataques futuros e adicionar uma camada extra de segurança, force o uso de HTTPS em todo o site. No entanto, como o SSL consome muitos recursos do servidor, seu site pode ficar bastante lento, dependendo da configuração do servidor. Você não quer isso. Assim, você também pode usar o SSL seletivamente apenas durante as páginas de login e enquanto trabalha no painel do administrador do WordPress.

Configurando o SSL no WordPress

A configuração do SSL é um processo complicado e tedioso. Requer conhecimento técnico, tempo substancial e muito espaço para erros. Eu recomendo fortemente conversar com seu gerente de hospedagem para ajudá-lo a configurar o SSL (confira o GoDaddy, com o nosso link, você pode economizar 25% em um certificado SSL). Se você está decidido a mudar para um site HTTPS, é uma aposta segura supor que seu orçamento possa incorporar o custo de uma empresa de hospedagem gerenciada por WordPress.

Nós do WPExplorer usamos o WPEngine e nosso site está protegido contra hackers, malware e ataques DDoS. Além disso, é muito rápido. Empresas como o WPEngine oferecem a opção de comprar um certificado SSL integrado. O custo varia de 49 a 199 USD por ano. Você também pode usar SSL de terceiros e eles ajudarão você a instalar e configurar o HTTPS no seu site.

Conclusão

Sobre você – quais são seus pensamentos sobre esse tópico em particular? Sim ou não em HTTPS? Você já usou SSL em seu site antes? Compartilhe seus pensamentos conosco!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me