Интернет не е много безопасно място за поверителни разговори. Има хиляди любопитни очи, които чакат да излъжат личната ви информация – вашия уличен адрес, телефонния ви номер и данните на кредитната ви карта. Ето защо повечето компании използват протокола Secure HTTP (HTTPS), когато обработват поверителни задачи. Днес ще говорим за HTTPS и ще обсъждаме дали всъщност имаме нужда от него в нашите сайтове.
Contents
Някакъв технически чай
HTTP е протокол, използван от уеб сървъри и клиенти (браузъри) за комуникация и прехвърляне на уеб страници и файлове. Има много други протоколи като FTP, SSH и BitTorrent.
HTTPS е защитена версия на протокола HTTP, който използва SSL (Secked Socket Layer) криптиране. Как SSL работи във фонов режим, изисква бакалавърска степен по компютърни науки и добро разбиране на криптографията. Благодарение на концепцията за абстракция, няма нужда да се притесняваме за това. Просто запомни:
HTTP + SSL = HTTPS
С две думи, HTTPS използва публичен и частен ключ, съвпадащ с „механизъм за ръкостискане“ преди прехвърляне на данни. След като ръкостискането е направено, връзката се установява и защитната сесия започва. Когато посещавате HTTPS сайт, всичко това се случва почти мигновено, преди да видите зеления индикатор в адресната лента на браузъра си..
Допълнителна информация:
Четири причини защо HTTPS е страхотен
1. Най-добрата сигурност: Със SSL връзката ви е криптирана. Създава се виртуален тунел, през който само сървърът и браузърът могат да комуникират. Никой друг не може да интерпретира този канал. Дори ако нападателят се включи в този канал, той няма да може да осмисли криптираните данни. Той ще се нуждае от личния ключ, който е известен само на браузъра.
2. Проверка: HTTPS изисква и SSL сертификат и придобиването на последния за бизнес е сериозен процес. Той изисква да се представят официални документи, които се проверяват от сертифициращия сертификат (CA). Само когато документите преминат тестовете за валидиране, се издава SSL сертификат.
3. Легитимира бизнеса: Когато посещавате защитен от SSL сайт, можете да сте сигурни в достоверността на сайта. Винаги можете да получите необходимите данни за контакт на собственика от SSL сертификата на сайта.
4. Целостност на данните: Целостта на данните се отнася до съгласуваността на исканите данни и реално получените данни. Помислете за този пример: Някой посещава вашия сайт за конкретна публикация на Инструкции за настройка на XYZ сървъра. В края на публикацията оставяте партньорска връзка. На необезпечен сайт, нападател може лесно да се включи във връзката и да изпрати вашия посетител компрометирана данни. По всяка вероятност той ще замени партньорската ви връзка с фишинг връзка. По този начин има монументална разлика в исканите данни и действително получените данни – целостта на данните е унищожена. При SSL нищо от това не е възможно!
Ето уловката:
Установяването на защитена връзка изисква значителна изчислителна мощност както от сървъра, така и от клиента. Резултатите са а по-бавна скорост на трансфер в сравнение с HTTP. Ето защо повечето сайтове не използват HTTPS през цялото време. Те чакат до момента, в който се опитате да влезете или направите покупка. Сайтовете за електронна търговия като Amazon и Newegg следват това правило. По този начин браузването пламва бързо и покупките са сигурни.
Наистина ли се нуждая от HTTPS в моя WordPress сайт?
Добър въпрос, но не е прост отговор да или не. Затова нека да обсъдим това задълбочено.
Търсачките предпочитат HTTPS сайтове (да)
Ето цитат от скорошна публикация в блога на Google Webmaster Central.
… през последните няколко месеца провеждахме тестове, като отчитаме дали сайтовете използват защитени, криптирани връзки като сигнал в нашите алгоритми за класиране при търсене.
Това не означава, че ако нямате HTTPS на сайта си, вашият ранг за SERP ще падне. За сега. Бдителните хора ще приемат това като ранен индикатор за бъдещето. Много хора се оплакват и поставят под въпрос решението на Google. Защо на земята бихте използвали HTTPS в статичния си блог? За да предотвратите хакерите да четат коментарите на посетителите ви? По дяволите, дори блогът на Google Webmaster не използва SSL!
Сценарии, където сайтовете трябва да използват HTTPS
Има много ситуации, при които HTTPS трябва да се използва като допълнителен слой сигурност. Ето няколко примера, където трябва да се приложи:
1. Магазини за електронна търговия
Ако използвате магазин на WordPress, използвайки WooCommerce или iThemes Exchange, би било най-разумно да използвате HTTPS в страниците за транзакции на сайта. Както вече знаете, HTTPS е по-бавен от HTTP и следователно оказва влияние върху опита на сърфиране на потребителя. Когато обаче става въпрос за поверителна информация на някой, като домашен адрес, телефонен номер или данни за кредитната карта – жертвата на бързината над сигурността е необходимо. Винаги трябва да използвате HTTPS при следните сценарии:
- Нов потребител се регистрира или влиза в системата
- Потребител е на път да извърши плащане
2. Страници за дарения
Някои сайтове показват малък бутон за дарение в страничната лента и почти всички не използват HTTPS. Ето какво може да се обърка. Тъй като сайтът не е защитен, нападателят може лесно да манипулира данните на него, за да покаже невярна информация – например замяна на бутона за дарение на PayPal с някакъв фишинг сайт. Когато посетител (по-скоро донор) кликне върху тази измамна връзка, неговият акаунт е застрашен да бъде компрометиран. Така че, ако използвате бутон за дарение на вашия сайт, опитайте да включите SSL.
3. Сайтове за членство
Много интернет предприемачи управляват частни форуми и сайтове за членство, използвайки WordPress. Такива сайтове носят частен data – данни, които не искате обществото да вижда. Ако SSL се използва в такива случаи, това ще премахне заплахите за целостта на данните и ще създаде сигурна среда за взаимодействие на вашите членове. Това е като да удряш две птици с един камък:
- По-добра сигурност
- Увеличете доверието и доверието на клиентите
4. Сайтове, хакнати в миналото
Ако вашият сайт е жертва на целенасочена атака или наскоро е бил хакнат, тогава трябва сериозно да помислите за преминаване към шифрован SSL сайт. Възстановяването от хакерски сайт може да стане с лична експертиза и / или с помощта на експерти по сигурността на WordPress (като Sucuri).
За да се предпазите от бъдещи атаки и да добавите допълнителен слой сигурност, използвайте HTTPS на целия си сайт. Въпреки това, тъй като SSL консумира много сървърни ресурси, вашият сайт може да стане доста бавен в зависимост от конфигурацията на вашия сървър. Не искаш това. По този начин, можете да избирателно да използвате SSL само по време на страници за вход и по време на работа в таблото за управление на администратора на WordPress.
Настройка на SSL в WordPress
Настройката на SSL е сложен и досаден процес. Това изисква техническа експертиза, значително време и има много място за грешки. Горещо препоръчвам да говорите с вашия хостинг мениджър, за да ви помогнем да се настроите с SSL (каси GoDaddy, с нашата връзка можете да спестите 25% на SSL сертификат). Ако сте решени да преминете към HTTPS сайт, тогава е сигурен залог да приемете, че бюджетът ви може да включва разходите на управлявана хостинг компания WordPress.
Ние от WPExplorer използваме WPEngine и нашият сайт е защитен от хакери, злонамерен софтуер и DDoS атаки. Плюс това е наистина бързо. Компании като WPEngine ви дават възможност да закупите интегриран SSL сертификат. Цената варира от 49 до 199 USD годишно. Можете също да използвате SSL на трети страни и те ще ви помогнат да настроите и конфигурирате HTTPS на вашия сайт.
заключение
Пред вас – какви са вашите мисли по тази конкретна тема? Да или не на HTTPS? Използвали ли сте SSL в сайта си преди? Споделете мислите си с нас!
