SSL Gratis Untuk Semua Situs WordPress

Jika Anda memiliki situs web e-niaga, maka SSL wajib untuk memproses kartu kredit dengan aman. Tetapi bahkan jika Anda tidak memproses pembayaran, Anda harus tetap serius mempertimbangkan HTTP (atau HTTPS) yang aman, terutama karena sekarang saya akan menunjukkan cara menyiapkannya dengan cepat, gratis. Mari kita mulai.

Apa Itu SSL Dan Mengapa Saya Harus Peduli?

Singkatnya, SSL adalah "S" di HTTPS. Itu menambahkan lapisan enkripsi ke HTTP yang memastikan bahwa penerima benar-benar seperti yang mereka klaim dan hanya penerima yang berwenang yang dapat mendekripsi pesan untuk melihat isinya.

Bacaan Lebih Lanjut tentang SmashingMag:

• HTTPS Di Mana Saja Dengan Nginx, Varnish, dan Apache
• Cara Mengeluarkan Sertifikat SSL Baru Dengan Kunci SSL Lama
• Bersiap Untuk HTTP/2: Panduan Untuk Desainer Web

Informasi sensitif seperti nomor kartu kredit — pada dasarnya, semua yang bersifat pribadi — harus selalu disajikan melalui HTTPS. Namun, ada kecenderungan yang meningkat untuk menyajikan semua konten melalui HTTPS, seperti yang kita lihat di situs web berita, blog, mesin telusur, dan situs web dari sebagian besar merek utama. Jadi, meskipun situs web Anda tidak memproses pembayaran, ada alasan bagus untuk mempertimbangkan HTTPS, beberapa di antaranya tercantum di sini:

• Kredibilitas . Bahkan audiens non-teknis mengaitkan gembok hijau kecil di bilah alamat browser dengan kepercayaan dan keandalan.
• Perlindungan kata sandi . Mungkin situs web Anda hanya menampung video anak kucing. Tetapi jika pengguna masuk ke situs web Anda melalui Wi-Fi dengan kata sandi yang juga mereka gunakan untuk perbankan online, maka Anda berpotensi memfasilitasi pelanggaran keamanan serius dengan menyiarkan kredensial tersebut secara publik.
• Pemeriksaan masa depan . Banyak situs web yang masih dilayani melalui HTTP, tetapi ada kecenderungan yang tidak dapat disangkal menuju HTTPS, dan ini hanya akan meningkat ketika pengguna menjadi semakin terdidik tentang keamanan web. Berada di sisi kanan sejarah.
• SEO . Google secara resmi mengumumkan bahwa HTTPS digunakan sebagai sinyal peringkat. Dengan kata lain, Google memberi penghargaan kepada situs web HTTPS dengan meningkatkan peringkat mereka di hasil pencarian.

Argumen umum yang menentang HTTPS adalah bahwa hal itu mengurangi kinerja. Benar, proses enkripsi dan dekripsi membutuhkan biaya tambahan milidetik, tetapi dalam kebanyakan situasi itu dapat diabaikan, sebagaimana dibuktikan oleh fakta bahwa perusahaan yang sadar kinerja seperti Google dan Facebook menyajikan semua konten mereka melalui HTTPS. Dan, benar, HTTPS dapat memperburuk masalah kinerja yang ada, seperti banyak file CSS yang disajikan satu per satu, tetapi ini dikurangi dengan mengikuti praktik terbaik dasar untuk kinerja. Dan dengan adopsi HTTP/2, biaya kinerja HTTPS bahkan lebih rendah. Intinya adalah bahwa penurunan kinerja adalah penghalang yang berarti hanya jika situs web Anda terlalu dioptimalkan atau kinerjanya sangat buruk sehingga setiap milidetik penting.

Cara Mengatur HTTPS Gratis

Langkah pertama untuk menyiapkan HTTPS gratis adalah mendaftar ke layanan DNS cloud. Jika Anda tidak tahu apa itu DNS, saya sarankan Anda meluangkan waktu sebentar untuk mempelajarinya sebelum melanjutkan. How DNS Works yang menyenangkan melakukan pekerjaan yang bagus untuk memecahnya menjadi kartun yang lucu. Jika tidak, ketahuilah bahwa DNS adalah sistem di mana nama domain seperti example.com (yang dipahami manusia) ditautkan ke alamat IP seperti 104.28.2.167 (yang dipahami komputer). Anda memiliki banyak pilihan, tetapi saya penggemar CloudFlare karena pengaturannya sangat cepat, dasbornya intuitif, dan paket gratis tersedia dengan banyak fitur canggih.

Menyiapkan CloudFlare

Setelah mendaftar untuk akun CloudFlare, Anda akan dipandu melalui wizard mudah untuk mengkonfigurasi situs web pertama Anda, yang akan diakhiri dengan instruksi tentang cara masuk ke pendaftar domain Anda dan mengarahkan server nama ke CloudFlare. Perubahan akan memakan waktu untuk menyebar, tetapi ketika selesai, CloudFlare akan menghosting catatan DNS situs web Anda. Selanjutnya, aktifkan fitur “SSL fleksibel” CloudFlare.

Memilih pengaturan “SSL fleksibel” penting karena tidak mengharuskan Anda untuk membeli dan memasang sertifikat SSL Anda sendiri di server situs web Anda. Berikut adalah diagram dari apa yang terjadi.

Seperti yang Anda lihat, CloudFlare bertindak sebagai perantara untuk mengamankan lalu lintas antara situs web Anda dan klien. Jika ini adalah situs web HTML statis, Anda sekarang dapat menghubungkannya melalui HTTPS ( https://yourdomain.com ). WordPress, bagaimanapun, memerlukan konfigurasi tambahan untuk bekerja dengan protokol yang dimodifikasi.

Konfigurasi Ulang WordPress Dari HTTP Ke HTTPS

Anda harus terlebih dahulu memperbarui pengaturan "Alamat WordPress" dan "Alamat Situs" di dasbor, di bawah "Pengaturan" → "Umum." Ketika Anda melakukan ini, Anda harus masuk ke dasbor lagi.

Lanjutkan dengan hati-hati. Jika Anda memperbarui pengaturan ini sebelum waktunya, Anda berisiko mengunci diri. Misalnya, jika situs web belum dikonfigurasi dengan benar untuk HTTPS dan pengaturan diperbarui, Anda dapat menyebabkan pengulangan pengalihan yang merusak situs web dan mencegah Anda mengakses dasbor.

Pada titik ini, Anda seharusnya dapat mengunjungi halaman beranda situs web melalui HTTPS. Namun, tautan halaman akan tetap mengarah ke URL HTTP. WordPress menyimpan tautan ke halaman dan gambar sebagai URL absolut, artinya URL lengkap, termasuk protokol, disimpan dalam database. Untuk memastikan bahwa seluruh situs web disajikan secara konsisten melalui HTTPS (tanpa mengeluarkan peringatan tentang konten campuran), Anda perlu memperbarui konten lama Anda.

Memperbarui Konten Lama

Di situs web kecil dengan hanya beberapa halaman, opsi tercepat mungkin hanya memperbarui URL secara manual dengan mengedit halaman yang ada di antarmuka admin. Jika situs webnya besar atau memiliki blog yang sangat aktif, maka pengeditan manual mungkin tidak praktis. Jika host Anda menyediakan phpMyAdmin atau antarmuka lain untuk menjalankan kueri MySQL, Anda dapat melakukannya dengan cukup mudah dengan beberapa kueri MySQL di tab SQL. Atau, Anda dapat mengikuti instruksi The Customize Windows untuk melakukannya dari baris perintah.

Dengan risiko menyatakan yang sudah jelas, ganti yourdomain.com dalam kueri berikut dengan domain Anda yang sebenarnya . Juga, jika Anda telah menyesuaikan awalan tabel WordPress, ganti wp_ dengan awalan yang relevan.

Pertama, perbarui URL posting dan halaman.

 UPDATE wp_posts SET guid = replace(guid, 'https://yourdomain.com','https://yourdomain.com');

[PERBARUI: Seperti yang dibahas dalam komentar, bidang panduan tidak boleh diedit.]

Perbarui juga tabel wp_postmeta .

 UPDATE wp_postmeta SET meta_value = replace(meta_value,'https://yourdomain.com','https://yourdomain.com');

Terakhir, perbarui konten postingan atau halaman yang sebenarnya. Ini akan memperbarui tautan balik apa pun ke HTTPS.

 UPDATE wp_posts SET post_content = REPLACE(post_content, 'https://yourdomain.com', 'https://yourdomain.com');

Setelah menjalankan kueri ini, Anda akan ingin menyegarkan tautan permanen Anda dengan membuka "Pengaturan" → "Permalinks." Cukup ubah pengaturan kembali ke default, lalu atur kembali ke pengaturan apa pun yang semula Anda gunakan.

Sekarang, Anda seharusnya dapat mengeklik menu dan tautan di seluruh situs web, dan protokolnya harus tetap HTTPS.

Memecahkan Masalah Peringatan Konten Campuran

Bergantung pada tema dan plugin yang digunakan, Anda mungkin mendapatkan peringatan di bilah alamat yang menyatakan bahwa sumber daya tertentu tidak dilayani dengan aman. Jika kesalahan terkait dengan aset yang ditambahkan oleh tema atau plugin khusus Anda sendiri, pastikan untuk mengantrekan file JavaScript dan CSS dengan benar dan bukan ke URL hardcode yang dimulai dengan HTTP . Sebagian besar browser akan membiarkan Anda memperluas peringatan untuk menunjukkan permintaan spesifik yang menyebabkan kesalahan. Anda juga dapat mencoba plugin gratis seperti SSL Insecure Content Fixer, yang akan mencoba memperbaiki plugin pihak ketiga yang gagal melakukannya.

Pada titik ini, Anda akan melihat gembok hijau di bilah URL saat mengunjungi situs web Anda. Jika Anda tidak menggunakan plugin e-niaga seperti WooCommerce atau WP eCommerce, selesai! Jika ya, ada langkah terakhir yang penting.

Mendapatkan SSL Fleksibel Untuk Bekerja Dengan Plugin E-Commerce

WordPress memiliki fungsi inti bernama is_SSL() yang diandalkan plugin untuk menentukan apakah lalu lintas dienkripsi dengan SSL. Dengan metode di atas saja, fungsi ini akan mengembalikan false karena enkripsi hanya antara CloudFlare dan klien. Lalu lintas yang berinteraksi dengan PHP tidak terenkripsi, jadi super global yang diperiksa oleh fungsi tersebut (yaitu $_SERVER['HTTPS'] ) tidak akan berguna. Untuk tujuan kami, variabel yang relevan adalah $_SERVER['HTTP_X_FORWARDED_PROTO'] , yang, pada saat penulisan ini, tidak dikenali WordPress. Permintaan untuk mengubah ini sudah lama, tetapi belum diselesaikan.

Untungnya , sebuah plugin gratis akan segera memperbaikinya untuk Anda, CloudFlare Flexible SSL. Cukup instal plugin dan aktifkan. Ingatlah bahwa teknik ini tidak menambah keamanan lagi . Lalu lintas antara CloudFlare dan server situs web Anda masih tidak terenkripsi dan, oleh karena itu, masih rentan terhadap sniffing.

SSL Fleksibel Bukan SSL Penuh

Inisiatif "Universal SSL" CloudFlare adalah upaya menarik untuk membuat Internet lebih aman, tetapi bukannya tanpa kontroversi. Perhatian utama adalah bahwa SSL fleksibel tidak mengenkripsi paruh kedua perjalanan lalu lintas (ke server Anda), namun browser saat ini masih menunjukkan gembok hijau yang sama yang kami kaitkan dengan SSL lengkap . CloudFlare menawarkan pembenaran berikut di blognya:

Memiliki enkripsi mutakhir mungkin tidak tampak penting untuk blog kecil, tetapi penting untuk memajukan masa depan Internet yang dienkripsi secara default. Setiap byte, betapapun tampak biasa, yang mengalir dienkripsi di Internet membuat lebih sulit bagi mereka yang ingin mencegat, mencekik, atau menyensor web. Dengan kata lain, memastikan blog pribadi Anda tersedia melalui HTTPS memungkinkan organisasi hak asasi manusia atau layanan media sosial atau jurnalis independen dapat diakses di seluruh dunia. Bersama-sama kita bisa melakukan hal-hal besar.

Baik atau buruk, SSL fleksibel ada di sini, dan Internet harus beradaptasi. Sementara itu, beban ada pada pemilik situs web untuk dididik dan membuat keputusan yang bertanggung jawab.

Mengarahkan Permintaan HTTP Ke HTTPS

Mengaktifkan situs web untuk berjalan di HTTPS tidak memastikan bahwa permintaan akan benar-benar menggunakan protokol. Jika situs web Anda sudah ada selama beberapa waktu, pengguna mungkin sudah mem-bookmark-nya dengan HTTP. Anda dapat mengalihkan semua permintaan HTTP ke protokol baru dengan menambahkan cuplikan berikut ke bagian atas file .htaccess di root situs web Anda. Jika file tidak ada, Anda dapat menambahkannya dengan aman.

 <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteRule (.*) https://yourdomain.com/$1 [R=301,L] </IfModule>

Jika file .htaccess sudah ada, berhati-hatilah untuk tidak mengubah apa pun di antara baris # BEGIN WordPress dan # END WordPress dalam file tersebut. Baris tersebut dikelola oleh WordPress, dan setiap kali permalink di-refresh, konten di bagian itu akan ditimpa.

Selamat

Dengan memutakhirkan situs web Anda ke HTTPS, Anda telah meningkatkan situs web Anda, melindungi pengguna, dan berpartisipasi dalam kemajuan Internet. Dan itu tidak dikenakan biaya apa pun!