SSL gratuit pentru orice site WordPress

Dacă aveți un site de comerț electronic, atunci SSL este obligatoriu pentru procesarea în siguranță a cardurilor de credit. Dar chiar dacă nu procesați plăți, ar trebui să luați în considerare în mod serios HTTP (sau HTTPS), mai ales acum că vă voi arăta cum să îl configurați rapid, gratuit. Să începem.

Ce este SSL și de ce ar trebui să-mi pese?

Pe scurt, SSL este „S” în HTTPS. Acesta adaugă un strat de criptare la HTTP care asigură că destinatarul este de fapt cine pretinde a fi și că numai destinatarii autorizați pot decripta mesajul pentru a-i vedea conținutul.

Citiți suplimentare despre SmashingMag:

• HTTPS peste tot cu Nginx, Varnish și Apache
• Cum să emiteți un nou certificat SSL cu o cheie SSL veche
• Pregătirea pentru HTTP/2: un ghid pentru web designeri

Informațiile sensibile, cum ar fi numerele cardurilor de credit - practic, orice lucru privat - ar trebui întotdeauna furnizate prin HTTPS. Cu toate acestea, există o tendință din ce în ce mai mare de a difuza tot conținutul prin HTTPS, așa cum vedem pe site-urile de știri, bloguri, motoarele de căutare și site-urile web ale majorității mărcilor mainstream. Deci, chiar dacă site-ul dvs. web nu procesează plăți, există motive întemeiate să luați în considerare HTTPS, dintre care câteva sunt enumerate aici:

• Credibilitatea . Chiar și publicul non-tehnic asociază micul lacăt verde din bara de adrese a browserului cu încredere și fiabilitate.
• Protecție prin parolă . Poate că site-ul dvs. web găzduiește doar videoclipuri cu pisoi. Dar dacă utilizatorii se conectează la site-ul dvs. web prin Wi-Fi cu o parolă pe care o folosesc și pentru serviciile bancare online, atunci puteți facilita o încălcare gravă a securității prin difuzarea publică a acelor acreditări.
• Pregătire pentru viitor . Multe site-uri web sunt încă deservite prin HTTP, dar există o tendință incontestabilă către HTTPS, iar acest lucru va crește doar pe măsură ce utilizatorii devin din ce în ce mai educați despre securitatea web. Fii pe partea dreaptă a istoriei.
• SEO . Google a anunțat oficial că HTTPS este folosit ca semnal de clasare. Cu alte cuvinte, Google recompensează site-urile HTTPS prin creșterea clasamentului lor în rezultatele căutării.

Un argument comun împotriva HTTPS este că reduce performanța. Adevărat, procesul de criptare și decriptare costă milisecunde suplimentare, dar în cele mai multe situații este neglijabil, așa cum demonstrează faptul că companiile conștiente de performanță, cum ar fi Google și Facebook, își servesc tot conținutul prin HTTPS. Și, adevărat, HTTPS poate exacerba problemele de performanță existente, cum ar fi multe fișiere CSS difuzate individual, dar acest lucru este atenuat prin respectarea celor mai bune practici de bază pentru performanță. Și odată cu adoptarea HTTP/2, costul de performanță al HTTPS este și mai mic. Concluzia este că reducerea performanței este un factor de descurajare semnificativ numai dacă site-ul dvs. este fie hiperoptimizat, fie are performanțe atât de slabe încât fiecare milisecundă contează.

Cum să configurați HTTPS gratuit

Primul pas pentru a configura HTTPS gratuit este să vă înscrieți pentru un serviciu DNS în cloud. Dacă nu aveți idee ce este DNS, vă recomand să vă acordați un minut pentru a afla înainte de a continua. Încântătorul Cum funcționează DNS face o treabă grozavă de a-l descompune într-un desen animat ironic. În caz contrar, știți pur și simplu că DNS este sistemul prin care numele de domenii precum example.com (pe care oamenii le înțeleg) sunt legate de adrese IP precum 104.28.2.167 (pe care computerele le înțeleg). Aveți multe opțiuni, dar sunt un fan CloudFlare pentru că este foarte rapid de configurat, tabloul de bord este intuitiv și este disponibil un plan gratuit cu multe funcții puternice.

Configurarea CloudFlare

După ce vă înregistrați pentru un cont CloudFlare, veți fi ghidat printr-un expert ușor pentru a configura primul site web, care se va încheia cu instrucțiuni despre cum să vă conectați la registratorul de domenii și să direcționați serverele de nume către CloudFlare. Modificarea va dura ceva timp pentru a se propaga, dar când este completă, CloudFlare va găzdui înregistrările DNS ale site-ului dvs. web. Apoi, activați caracteristica „SSL flexibil” a CloudFlare.

Alegerea setarii „SSL flexibil” este importantă deoarece nu necesită să cumpărați și să instalați propriul certificat SSL pe serverul site-ului dvs. web. Iată o diagramă a ceea ce se întâmplă.

După cum puteți vedea, CloudFlare acționează ca intermediar pentru a securiza traficul dintre site-ul dvs. web și client. Dacă acesta ar fi un site web HTML static, acum ați putea să vă conectați la acesta prin HTTPS ( https://yourdomain.com ://domeniul dumneavoastră.com ). WordPress, totuși, necesită o configurare suplimentară pentru a funcționa cu protocolul modificat.

Reconfigurarea WordPress de la HTTP la HTTPS

Mai întâi va trebui să actualizați setările „Adresa WordPress” și „Adresa site-ului” din tabloul de bord, sub „Setări” → „General”. Când faceți acest lucru, va trebui să vă conectați din nou la tabloul de bord.

Procedați cu precauție. Dacă actualizați aceste setări prematur, riscați să vă blocați. De exemplu, dacă site-ul web nu este încă configurat corespunzător pentru HTTPS și setările sunt actualizate, puteți provoca o buclă de redirecționare care întrerupe site-ul web și vă împiedică să accesați tabloul de bord.

În acest moment, ar trebui să puteți vizita pagina de pornire a site-ului web prin HTTPS. Cu toate acestea, linkurile de pagină vor indica în continuare adresele URL HTTP. WordPress stochează link-uri către pagini și imagini ca URL-uri absolute, ceea ce înseamnă că URL-ul complet, inclusiv protocolul, este salvat în baza de date. Pentru a vă asigura că întregul site web este difuzat în mod constant prin HTTPS (fără a scuipa avertismente despre conținut mixt), va trebui să actualizați conținutul moștenit.

Actualizarea conținutului vechi

Pe un site web mic, cu doar câteva pagini, cea mai rapidă opțiune ar putea fi pur și simplu actualizarea manuală a adreselor URL prin editarea paginilor existente în interfața de administrare. Dacă site-ul web este mare sau are un blog foarte activ, atunci editarea manuală probabil să nu fie practică. Dacă gazda dvs. oferă phpMyAdmin sau o altă interfață pentru a rula interogări MySQL, puteți face acest lucru destul de ușor cu câteva interogări MySQL în fila SQL. Alternativ, puteți urma instrucțiunile lui Personalizare Windows pentru a face acest lucru din linia de comandă.

Cu riscul de a afirma ceea ce este evident, înlocuiți yourdomain.com dvs. în următoarele interogări cu domeniul dvs. real . De asemenea, dacă ați personalizat prefixul tabelului WordPress, înlocuiți wp_ cu prefixul relevant.

Mai întâi, actualizați adresele URL ale postărilor și paginilor.

 UPDATE wp_posts SET guid = replace(guid, 'https://yourdomain.com','https://yourdomain.com');

[UPDATE: După cum sa discutat în comentarii, câmpul ghid nu trebuie editat.]

Actualizați și tabelul wp_postmeta .

 UPDATE wp_postmeta SET meta_value = replace(meta_value,'https://yourdomain.com','https://yourdomain.com');

În cele din urmă, actualizați conținutul real al postărilor sau paginilor. Aceasta va actualiza orice backlink la HTTPS.

 UPDATE wp_posts SET post_content = REPLACE(post_content, 'https://yourdomain.com', 'https://yourdomain.com');

După ce rulați aceste interogări, veți dori să vă reîmprospătați permalinkurile mergând la „Setări” → „Permalinks”. Pur și simplu modificați setarea la cea implicită, apoi setați-o înapoi la orice setare pe care o utilizați inițial.

Acum, ar trebui să puteți face clic pe meniurile și linkurile de pe site, iar protocolul ar trebui să rămână HTTPS.

Depanarea avertismentelor cu conținut mixt

În funcție de tema și pluginurile utilizate, este posibil să primiți un avertisment în bara de adrese care să arate că anumite resurse nu sunt servite în siguranță. Dacă erorile sunt asociate cu materiale adăugate de propria temă personalizată sau plugin, asigurați-vă că puneți în coadă corect fișierele JavaScript și CSS și nu codificați URL-urile care încep cu HTTP . Majoritatea browserelor vă vor permite să extindeți avertismentul pentru a afișa solicitările specifice care cauzează eroarea. De asemenea, puteți încerca un plugin gratuit, cum ar fi SSL Insecure Content Fixer, care va încerca să corecteze pluginurile terțe care nu au reușit să facă acest lucru.

În acest moment, ar trebui să vedeți lacătul verde în bara de adrese URL atunci când vă vizitați site-ul web. Dacă nu utilizați un plugin de comerț electronic, cum ar fi WooCommerce sau WP eCommerce, ați terminat! Dacă ești, există un ultim pas important.

Obținerea unui SSL flexibil pentru a lucra cu pluginuri de comerț electronic

WordPress are o funcție de bază numită is_SSL() pe care se bazează pluginurile pentru a determina dacă traficul este criptat cu SSL. Doar cu metoda de mai sus, această funcție va returna false deoarece criptarea este doar între CloudFlare și client. Traficul cu care interacționează PHP este necriptat, deci super-globalul pe care îl verifică acea funcție (adică $_SERVER['HTTPS'] ) nu ar fi util. În scopul nostru, variabila relevantă este $_SERVER['HTTP_X_FORWARDED_PROTO'] , pe care, la momentul scrierii, WordPress nu o recunoaște. Solicitarea de modificare este de lungă durată, dar încă nu a fost rezolvată.

Din fericire , un plugin gratuit vă va rezolva imediat acest lucru, CloudFlare Flexible SSL. Pur și simplu instalați pluginul și activați-l. Rețineți că această tehnică nu adaugă mai multă siguranță . Traficul dintre CloudFlare și serverul site-ului dvs. este încă necriptat și, prin urmare, este încă vulnerabil la sniffing.

SSL flexibil nu este SSL complet

Inițiativa „Universal SSL” a CloudFlare este o încercare interesantă de a face internetul mai sigur, dar nu este lipsită de controverse. Principala preocupare este că SSL flexibil nu criptează a doua jumătate a călătoriei traficului (până la serverul dvs.), totuși browserul încă arată în prezent același lacăt verde pe care am ajuns să îl asociam cu SSL complet . CloudFlare oferă următoarea justificare pe blogul său:

A avea o criptare de ultimă oră poate să nu pară importantă pentru un blog mic, dar este esențială pentru a promova viitorul criptat implicit al Internetului. Fiecare octet, oricât de banal par a fi, care circulă criptat pe Internet, face mai dificil pentru cei care doresc să intercepteze, să reducă sau să cenzureze web-ul. Cu alte cuvinte, asigurarea că blogul dvs. personal este disponibil prin HTTPS face mai probabil ca o organizație pentru drepturile omului sau un serviciu de social media sau un jurnalist independent să fie accesibil în întreaga lume. Împreună putem face lucruri grozave.

La bine și la rău, SSL flexibil este aici, iar internetul va trebui să se adapteze. Între timp, sarcina revine proprietarilor de site-uri web să fie educați și să ia decizii responsabile.

Redirecționarea solicitărilor HTTP către HTTPS

Permiterea rulării unui site web pe HTTPS nu asigură faptul că cererile vor folosi protocolul. Dacă site-ul dvs. există de ceva vreme, este posibil ca utilizatorii să-l fi marcat deja cu HTTP. Puteți redirecționa toate solicitările HTTP către noul protocol adăugând următorul fragment în partea de sus a fișierului .htaccess din rădăcina site-ului dvs. web. Dacă fișierul nu există, îl puteți adăuga în siguranță.

 <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteRule (.*) https://yourdomain.com/$1 [R=301,L] </IfModule>

Dacă un fișier .htaccess există deja, aveți grijă să nu schimbați nimic între liniile # BEGIN WordPress și # END WordPress din acel fișier. Aceste linii sunt gestionate de WordPress și, ori de câte ori permalinkurile sunt reîmprospătate, conținutul din acea secțiune este suprascris.

Felicitări

Prin actualizarea site-ului dvs. la HTTPS, v-ați îmbunătățit site-ul, ați protejat utilizatorii și ați participat la dezvoltarea internetului. Și nu te-a costat nimic!