W artykule:
Internet nie jest zbyt bezpiecznym miejscem na poufne rozmowy. Tysiące wścibskich oczu czeka na Twoje dane osobowe – adres, numer telefonu i dane karty kredytowej. Dlatego większość firm używa bezpiecznego protokołu HTTP (HTTPS) podczas przetwarzania poufnych zadań. Dzisiaj będziemy rozmawiać o HTTPS i debatować, czy rzeczywiście potrzebujemy go w naszych witrynach.
Herbata Techniczna
HTTP jest protokołem używanym przez serwery WWW i klientów (przeglądarki) do komunikacji i przesyłania stron internetowych i plików. Istnieje wiele innych protokołów, takich jak FTP, SSH i BitTorrent.
HTTPS jest zabezpieczoną wersją protokołu HTTP, który wykorzystuje szyfrowanie SSL (Secured Socket Layer). Jak SSL działa w tle, wymaga licencjata z informatyki i solidnego zrozumienia kryptografii. Dzięki pojęciu abstrakcji nie musimy się o to martwić. Tylko pamiętaj:
HTTP + SSL = HTTPS
W skrócie, HTTPS używa klucza publicznego i prywatnego pasującego do „mechanizmu uścisku dłoni” przed przesyłaniem danych. Po zakończeniu uzgadniania połączenie zostaje nawiązane i rozpoczyna się bezpieczna sesja. Gdy odwiedzasz witrynę HTTPS, wszystko to dzieje się niemal natychmiast, zanim zobaczysz zielony wskaźnik na pasku adresu przeglądarki.
Cztery powody, dla których HTTPS jest świetny
1. Najwyższej klasy bezpieczeństwo: Dzięki SSL Twoje połączenie jest szyfrowane. Powstaje wirtualny tunel, przez który tylko serwer i przeglądarka mogą się komunikować. Nikt inny nie potrafi zinterpretować tego kanału. Nawet jeśli atakujący dotknie tego kanału, nie będzie w stanie zrozumieć zaszyfrowanych danych. Będzie potrzebował klucza prywatnego, który jest znany tylko przeglądarce.
2. Kontrola: HTTPS wymaga certyfikatu SSL i pozyskanie tego ostatniego dla firmy to poważny proces. Wymaga przedłożenia oficjalnych dokumentów, które są weryfikowane przez Autoryzującego certyfikat (CA). Tylko wtedy, gdy dokumenty przechodzą testy walidacyjne, wydawany jest certyfikat SSL.
3. Legitymizuje Firmy: Kiedy odwiedzasz zabezpieczoną witrynę SSL, możesz być pewien wiarygodności witryny. Zawsze możesz uzyskać niezbędne dane kontaktowe właściciela z certyfikatu SSL witryny.
4. Integralność Danych: Integralność danych odnosi się do spójności żądanych danych i rzeczywistych otrzymanych danych. Rozważ ten przykład: ktoś odwiedza Twoją witrynę dla konkretnego postu na Instrukcje konfiguracji serwera XYZ. Na końcu postu zostawiasz link partnerski. W niezabezpieczonej witrynie atakujący może łatwo podłączyć się do połączenia i wysłać odwiedzającego skompromitowany data. Najprawdopodobniej zastąpi Twój link partnerski linkiem phishingowym. Tak więc istnieje ogromna różnica w danych wymaganych i danych faktycznie otrzymanych-integralność danych jest niszczona. Dzięki SSL nic z tego nie jest możliwe!
Oto haczyk:
Nawiązanie bezpiecznego połączenia wymaga znaczna moc obliczeniowa zarówno przez serwer, jak i klienta. Wyniki te są wolniejsza szybkość transferu w porównaniu do HTTP. Dlatego większość witryn nie używa HTTPS przez cały czas. Czekają do momentu, gdy spróbujesz się zalogować lub dokonać zakupu. Witryny e-commerce, takie jak Amazon i Newegg, przestrzegają tej zasady. W ten sposób przeglądanie jest błyskawiczne, a zakupy są bezpieczne.
Czy naprawdę potrzebuję HTTPS w mojej witrynie WordPress?
Dobre pytanie, ale nie jest to prosta odpowiedź ” Tak ” lub „nie”. Omówmy to szczegółowo.
Wyszukiwarki wolą strony HTTPS (tak)
Oto cytat z ostatniego postu na blogu Google Webmaster Central.
… w ciągu ostatnich kilku miesięcy prowadziliśmy testy sprawdzające, czy witryny wykorzystują bezpieczne, zaszyfrowane połączenia jako sygnał w naszych algorytmach rankingu wyszukiwania.
Nie oznacza to, że jeśli nie masz HTTPS w swojej witrynie, Twoja ranga SERP spadnie. Na razie. Czujni ludzie potraktują to jako wczesny wskaźnik tego, co przyniesie przyszłość. Wiele osób narzeka i kwestionuje decyzję Google. Dlaczego, u licha, używasz HTTPS na swoim statycznym blogu? Aby uniemożliwić hakerom czytanie komentarzy odwiedzających? Cholera, nawet blog webmastera Google nie używa SSL!
Scenariusze, w których witryny powinny używać HTTPS
Istnieje wiele sytuacji, w których HTTPS powinien być używany jako dodatkowa warstwa bezpieczeństwa. Oto kilka przykładów, gdzie powinno być stosowane:
1. Sklepy E-commerce
Jeśli prowadzisz sklep WordPress za pomocą WooCommerce lub iThemes Exchange, najlepiej byłoby użyć HTTPS na stronach transakcji witryny. Jak już wiesz, HTTPS jest wolniejszy niż HTTP, a zatem ma wpływ na przeglądanie przez użytkownika. Jednak jeśli chodzi o czyjeś poufne informacje, takie jak adres domowy, numer telefonu lub dane karty kredytowej – poświęcenie szybkości nad bezpieczeństwem jest koniecznością. Należy zawsze używać protokołu HTTPS w następujących scenariuszach:
- Nowy użytkownik rejestruje się lub loguje
- Użytkownik ma zamiar dokonać płatności
2. Strony Darowizny
Niektóre witryny wyświetlają mały przycisk darowizny na pasku bocznym i prawie wszystkie z nich nie używają HTTPS. Oto, co może pójść nie tak. Ponieważ witryna nie jest zabezpieczona, atakujący może łatwo manipulować danymi witryny, aby pokazać fałszywe informacje – takie jak zastąpienie przycisku PayPal donate witryną phishingową. Kiedy odwiedzający (a raczej darczyńca) kliknie ten fałszywy link, jego konto jest zagrożone naruszeniem. Jeśli więc używasz przycisku darowizny w swojej witrynie, spróbuj włączyć protokół SSL.
3. Strony Członkowskie
Wielu przedsiębiorców internetowych prowadzi prywatne fora i witryny członkowskie za pomocą WordPress. Takie strony niosą prywatne dane-DANE, których nie chcesz, aby opinia publiczna widziała. Jeśli protokół SSL jest używany w takich przypadkach, wyeliminuje zagrożenia integralności danych i stworzy bezpieczne środowisko dla członków do interakcji. To jak uderzanie dwóch ptaków jednym kamieniem:
- Lepsze bezpieczeństwo
- Zwiększ zaufanie i zaufanie klientów
4. Strony Hakowane W Przeszłości
Jeśli Twoja witryna jest ofiarą ukierunkowanego ataku lub została niedawno zhakowana, powinieneś poważnie rozważyć przejście na witrynę szyfrowaną SSL. Odzyskiwanie z zhakowanej strony można wykonać za pomocą osobistej wiedzy i / lub z pomocą ekspertów ds. bezpieczeństwa WordPress (takich jak Sucuri).
Aby uchronić się przed przyszłymi atakami i dodać dodatkową warstwę zabezpieczeń, Wymuś użycie protokołu HTTPS w całej witrynie. Ponieważ jednak protokół SSL zużywa wiele zasobów serwera, Twoja witryna może stać się dość powolna w zależności od konfiguracji serwera. Nie chcesz tego. W ten sposób można również selektywnie używać SSL tylko podczas stron logowania i podczas pracy w panelu administratora WordPress.
Konfigurowanie SSL w WordPress
Konfigurowanie SSL to skomplikowany i żmudny proces. Wymaga to wiedzy technicznej, znacznego czasu i jest dużo miejsca na błędy. Zdecydowanie polecam rozmowę z menedżerem hostingu, aby pomóc ci skonfigurować SSL (checkout GoDaddy, z naszym linkiem możesz zaoszczędzić 25% na certyfikacie SSL). Jeśli zdecydujesz się przełączyć na witrynę HTTPS, bezpiecznym zakładem jest założenie, że twój budżet może uwzględniać koszt zarządzanej firmy hostingowej WordPress.
My w WPExplorer używamy WPEngine, a nasza strona jest chroniona przed hakerami, złośliwym oprogramowaniem i atakami DDoS. Do tego jest bardzo szybki. Firmy takie jak WPEngine dają możliwość zakupu zintegrowanego certyfikatu SSL. Koszt waha się od 49 do 199 USD rocznie. Możesz także użyć zewnętrznego protokołu SSL, który pomoże Ci skonfigurować i skonfigurować HTTPS w Twojej witrynie.
Wniosek
Do ciebie – jakie są Twoje myśli na ten konkretny temat? Yay czy nie na HTTPS? Czy korzystałeś wcześniej z protokołu SSL w swojej witrynie? Podziel się z nami swoimi przemyśleniami!
