Статьи

HTTPS и WordPress — вам это действительно нужно?

Интернет – не самое безопасное место для конфиденциального разговора. Тысячи любопытных глаз ждут, чтобы украсть вашу личную информацию – ваш почтовый адрес, номер телефона и данные вашей кредитной карты. Вот почему большинство компаний используют протокол Secure HTTP (HTTPS) при обработке конфиденциальных задач. Сегодня мы поговорим о HTTPS и обсудим, действительно ли он нужен нам на наших сайтах.

Немного технического чая

HTTP – это протокол, используемый веб-серверами и клиентами (браузерами) для связи и передачи веб-страниц и файлов. Существует множество других протоколов, таких как FTP, SSH и BitTorrent.

HTTPS – это защищенная версия протокола HTTP, в которой используется шифрование SSL (Secure Socket Layer). Для того, как SSL работает в фоновом режиме, требуется степень бакалавра компьютерных наук и глубокое понимание криптографии. Благодаря концепции абстракции нам не о чем беспокоиться. Просто помни:

HTTP + SSL = HTTPS

Вкратце, HTTPS использует «механизм рукопожатия» для согласования открытого и закрытого ключей перед передачей данных. После того, как рукопожатие выполнено, соединение устанавливается и начинается защищенный сеанс. Когда вы посещаете сайт HTTPS, все это происходит почти мгновенно, прежде чем вы увидите зеленый индикатор в адресной строке браузера.

Дальнейшее чтение:

Четыре причины, по которым HTTPS хорош

HTTPS и WordPress - вам это действительно нужно?

1 Первоклассная безопасность: с помощью SSL ваше соединение зашифровано. Создается виртуальный туннель, через который могут общаться только сервер и браузер. Никто другой не может интерпретировать этот канал. Даже если злоумышленник подключится к этому каналу, он не сможет разобраться в зашифрованных данных. Ему понадобится закрытый ключ, известный только браузеру.

2 Проверка: HTTPS требует и SSL-сертификат, и получение последнего для бизнеса – серьезный процесс. Для этого требуются официальные документы, которые проверяются центром сертификации (CA). Сертификат SSL выдается только после прохождения проверочных тестов.

3 Легитимизирует бизнес. Когда вы посещаете защищенный SSL сайт, вы можете быть уверены в его надежности. Вы всегда можете получить необходимые контактные данные владельца из SSL-сертификата сайта.

4 Целостность данных: целостность данных относится к согласованности запрошенных данных и фактических полученных данных. Рассмотрим следующий пример: кто-то заходит на ваш сайт, чтобы получить конкретную публикацию с инструкциями по настройке сервера XYZ. В конце поста вы оставляете партнерскую ссылку. На незащищенном сайте злоумышленник может легко подключиться к соединению и отправить вашему посетителю скомпрометированные данные. Скорее всего, он заменит вашу партнерскую ссылку на фишинговую. Таким образом, существует огромная разница в запрашиваемых данных и фактически полученных данных – целостность данных нарушается. С SSL ничего из этого невозможно!

Вот уловка:

Установление безопасного соединения требует значительной вычислительной мощности как со стороны сервера, так и со стороны клиента. Это приводит к более низкой скорости передачи по сравнению с HTTP. Вот почему большинство сайтов не используют HTTPS постоянно. Они ждут, пока вы не попытаетесь войти в систему или совершить покупку. Сайты электронной коммерции, такие как Amazon и Newegg, следуют этому правилу. Таким образом, просмотр происходит быстро, а покупки безопасны.

Действительно ли мне нужен HTTPS на моем сайте WordPress?

Хороший вопрос, но это не простой ответ «да» или «нет». Итак, давайте обсудим это подробнее.

Поисковые системы предпочитают сайты HTTPS (да)

HTTPS и WordPress - вам это действительно нужно?

Вот цитата из недавнего сообщения в блоге Google Webmaster Central.

… За последние несколько месяцев мы проводили тесты, чтобы выяснить, используют ли сайты безопасные зашифрованные соединения в качестве сигнала для наших алгоритмов ранжирования в поиске.

Это не означает, что если у вас нет HTTPS на вашем сайте, ваш рейтинг в поисковой выдаче упадет. Теперь. Бдительные люди воспримут это как ранний индикатор того, что ждет в будущем. Многие люди жалуются и ставят под сомнение решение Google. Зачем вам использовать HTTPS в своем статическом блоге? Чтобы хакеры не читали комментарии посетителей? Черт возьми, даже блог Google для веб-мастеров не использует SSL!

Сценарии, в которых сайты должны использовать HTTPS

Существует множество ситуаций, когда HTTPS следует использовать в качестве дополнительного уровня безопасности. Вот несколько примеров, где это следует применить:

1 Интернет-магазины

HTTPS и WordPress - вам это действительно нужно?

Если вы используете магазин WordPress с помощью WooCommerce или iThemes Exchange, было бы наиболее разумно использовать HTTPS на страницах транзакций сайта. Как вы уже знаете, HTTPS медленнее, чем HTTP, и, следовательно, влияет на работу пользователя в Интернете. Однако, когда дело доходит до чьей-либо конфиденциальной информации, такой как домашний адрес, номер телефона или данные кредитной карты, необходимо жертвовать скоростью ради безопасности. Вы всегда должны использовать HTTPS в следующих случаях:

  • Новый пользователь регистрируется или входит в систему
  • Пользователь собирается произвести платеж

2 Страницы пожертвований

HTTPS и WordPress - вам это действительно нужно?

Некоторые сайты отображают небольшую кнопку пожертвования на боковой панели, и почти все они не используют HTTPS. Вот что может пойти не так. Поскольку сайт не защищен, злоумышленник может легко манипулировать данными сайта, чтобы показать мошенническую информацию – например, заменить кнопку пожертвования PayPal на какой-нибудь фишинговый сайт. Когда посетитель (скорее, донор) нажимает на эту мошенническую ссылку, его учетная запись подвергается риску взлома. Итак, если вы используете кнопку пожертвования на своем сайте, попробуйте включить SSL.

3 Сайты членства

HTTPS и WordPress - вам это действительно нужно?

Многие интернет-предприниматели запускают частные форумы и сайты членства с помощью WordPress. Такие сайты несут личные данные – данные, которые вы не хотите, чтобы их увидела публика. Если в таких случаях используется SSL, это устранит угрозы целостности данных и создаст безопасную среду для взаимодействия ваших участников. Это как попасть в двух зайцев:

  1. Лучшая безопасность
  2. Повышайте уверенность и доверие клиентов

4 Сайты, взломанные в прошлом

HTTPS и WordPress - вам это действительно нужно?

Если ваш сайт стал жертвой целевой атаки или был недавно взломан, вам следует серьезно подумать о переходе на сайт с шифрованием SSL. Восстановление со взломанного сайта может быть выполнено с использованием личного опыта и / или с помощью экспертов по безопасности WordPress (таких как Sucuri ).

Чтобы защитить себя от будущих атак и добавить дополнительный уровень безопасности, принудительно используйте HTTPS на всем сайте. Однако, поскольку SSL потребляет много ресурсов сервера, ваш сайт может стать довольно медленным в зависимости от конфигурации вашего сервера. Вы этого не хотите. Таким образом, вы также можете выборочно использовать SSL только на страницах входа и во время работы в панели администратора WordPress.

Настройка SSL в WordPress

Настройка SSL – сложный и утомительный процесс. Это требует технических знаний, значительного времени и большого количества ошибок. Я настоятельно рекомендую поговорить с вашим менеджером хостинга, чтобы помочь вам настроить SSL (проверьте GoDaddy, с нашей ссылкой вы можете сэкономить 25% на сертификате SSL). Если вы полны решимости переключиться на сайт HTTPS, то можно с уверенностью предположить, что ваш бюджет может включать стоимость управляемой хостинговой компании WordPress.

Мы в WPExplorer используем WPEngine, и наш сайт защищен от хакеров, вредоносных программ и DDoS-атак. Плюс это действительно быстро. Такие компании, как WPEngine, предоставляют вам возможность купить интегрированный сертификат SSL. Стоимость варьируется от 49 до 199 долларов в год. Вы также можете использовать сторонний SSL, и они помогут вам установить и настроить HTTPS на вашем сайте.

Заключение

К вам – что вы думаете по этой конкретной теме? Да или нет на HTTPS? Вы раньше использовали SSL на своем сайте? Поделитесь с нами своими мыслями!

Кнопка «Наверх»