در حالی که اینترنت چیزهای بسیار جذاب زیادی را به ارمغان آورده است ، اما بخشی از زندگی ما که همیشه به آن احترام نمی گذارد ، حفظ حریم خصوصی است. به اشتراک گذاشتن اطلاعات ما بصورت آنلاین گاهی طبیعی شده است.

من فقط درمورد اطلاعات مربوط به آنچه صبحانه می خوریم نیست ، بلکه همچنین در مورد چگونگی ارائه اطلاعاتی است که باید بهتر حفظ شود.

شماره کارت های اعتباری ، اطلاعات حساب بانکی ، بدون ذکر اطلاعات ورود به سیستم برای ده ها سایتی که احتمالاً امروز به آنها وارد شده اید.

وقت آن است که این اطلاعات از حفاظت شایسته خود برخوردار شوند.

با این حال، این همیشه به عهده بازدیدکنندگان نیست که اقدامی انجام دهند، بلکه این اقدامات به شما به عنوان دارنده یک وبلاگ وردپرس.

اگر سایت وردپرسی شما از اطلاعات حساس استفاده می کند ، کاملاً باید اطمینان حاصل کنید که بازدید کنندگان و مشتریان شما می توانند به شما اعتماد کنند. و چندین روش برای انجام آن وجود دارد.

در این آموزش به شما نشان خواهم داد که چگونه پروتکل HTTPS را به خود اضافه کنید وبلاگ وردپرس.

پروتکل HTTPS و SSL چیست؟

این دو کلمه اختصاری را احتمالاً قبلاً شنیده اید. در غیر این صورت ، به هر حال احتمالاً آنها را در محل کار خود دیده اید.

ممکن است متوجه شده باشید که هر زمان با یک سایت امن (مانند پورتال بانکی آنلاین خود) در ارتباط هستید ، آدرس موجود در نوار مرورگر شما https: // را روبروی میدان همیشگی HTTP: //.

علاوه بر این ، بیشتر مرورگرهای مدرن هنگام ورود به چنین سایتی ، یک قفل کوچک در نوار مرورگر نمایش می دهند.

نماد قفل در نوار مرورگر

در بعضی موارد ، حتی ممکن است کل نام شرکت را نشان دهید.

نوار مرورگر سایت امن-توسعه یافته

اینها نشانه هایی است که سایتی که شما در حال حاضر از آن بازدید می کنید برای محافظت از بازدید و حریم خصوصی بازدید کنندگان آنها اقدامی انجام داده است.

ابزارهای این HTTPS و SSL فوق الذکر هستند. آنها به اطمینان از ارتباطات اینترنتی کمک می کنند.

HTTPS مخفف کلمه مخفف است پروتکل حمل و نقل HyperText ایمن شده تفاوت آن با HTTP در نحوه استفاده از اتصال تأیید شده SSL است. (سوکت امن) Layer) برای ایجاد ارتباط بین مرورگر و سرور.

پروتکل ارتباط بین این دو را برقرار می کند ، جایی که پس از برقراری موفقیت موفقیت آمیز ، فقط اطلاعات رمزگذاری شده منتقل می شوند.

این بدان معنی است که هرگونه اطلاعات متنی ساده که توسط هر بازدید کننده ای قابل خواندن باشد ، با حروف و اعداد تصادفی جایگزین می شود که توسط انسان قابل خواندن نیستند.

اگر یک هکر بتواند در تبادل اطلاعات دخالت کند ، رمزگذاری آن را آسان نمی کند (اما در این صورت به هیچ وجه).

گواهی SSL مورد استفاده برای چنین ارتباطی به سایت پیوست شده است. گواهینامه ها توسط مرجعی به نام گواهی صادر می شوند (کالیفرنیا) و در هر سایت منحصر به فرد هستند.

از نظر تئوری ، هرکسی می تواند گواهینامه SSL صادر کند ، با این حال مرورگرها فقط گواهینامه هایی را از مقامات معتبر می دانند بنابراین ، ویژگی های CA قابلیت اطمینان سایت را تضمین می کنند.

اگر گواهی درست نباشد ، بیشتر مرورگرهای مدرن به شما هشدار می دهند ، این بدان معناست که اتصال احتمالاً غیرقابل اطمینان است.

استانداردهای رمزگذاری

SSL و HTTPS دارای استانداردهای مختلف رمزگذاری هستند. قدیمی ترین نامیده می شود شائو و دیگر استفاده نمی شود جانشین او SHA1 ، در حالی که در گردش است ، در حال حاضر از رده خارج شده است. به عنوان مثال Google Chrome از اوایل سال 2016 شروع به صدور اخطار برای سایت های دارای این استاندارد می کند.

استاندارد رمزگذاری فعلی برای پروتکل های SSL SHA2 است. با این حال ، در برخی از زمان آن را به جای SHA3 که در حال توسعه است.

حکایت: SSL در واقع دیگر نام صحیحی برای گواهی نیست. این فناوری در دهه 90 بهبود یافته و نام آن به TLS (Transport Layer Security) تغییر یافت. با این حال ، نام اختصاری SSL گیر کرده و بدیهی است که تا به امروز مورد استفاده قرار گرفته است.

چرا به SSL و HTTPS نیاز دارید؟

یادگیری نحوه افزودن HTTPS و SSL به وردپرس کاملاً مفید است در صورت راه اندازی سایت تجارت الکترونیکی ضروری است قبول پرداخت ها اطلاعات مالی مشتریان شما را نباید ساده گرفت.

با این حال ، از پروتکل نیز می توان استفاده کرد از اطلاعات دیگر محافظت کنید مانند اطلاعات ورود به سیستم ، داده های آدرس ، و مواردی که افراد زیادی مایل به خصوصی نگه داشتن آنها هستند.

به عنوان یک مالک وب سایت ، ممکن است به دلایل خودخواهانه اضافه کنید که HTTPS تبدیل به یک شده است عامل رتبه بندی در گوگل و سایر موتورهای جستجو.

علاوه بر این ، از آنجا که ما در مورد SEO صحبت می کنیم: HTTPS همچنین در رتبه بندی به شما کمک می کند ، زیرا شارژ بیشتر به سرعت.

در حال تغییر به HTTPS

اولین مرحله در انتقال وب سایت خود به HTTPS خرید گواهی SSL است. چندین راه حل برای خرید گواهی وجود دارد.

مکان مناسب برای شروع احتمالاً شرکت میزبان شماست زیرا آنها غالباً گواهینامه هایی را به عنوان بخشی از خدمات میزبانی خود ارائه می دهند.

با این حال ، تعدادی از فروشندگان شخص ثالث نیز وجود دارد. برای کمک به شما می توانید با لیست مراجع صدور گواهینامه موجود در این لیست مشورت کنید موزیلا فایرفاکس.

هزینه ها ممکن است بسته به ارائه دهنده ، تعداد زیر دامنه های شما و سایر عوامل متفاوت باشد. متأسفانه ، اگر از چندین وب سایت استفاده کنید ، می تواند به سرعت گران شود.

فاکتور هزینه نیز یکی از دلایلی است که منتظر آن هستم " اجازه دهید Encrypt ”، مرجع صدور گواهینامه منبع آزاد و رایگان (Automattic از جمله حامیان مالی است).

پس از نصب گواهی ، باید دستورالعمل های ارائه دهنده را دنبال کنید. روند کار برای همه متفاوت است ، من نمی توانم نحوه انجام این کار را به شما بگویم.

پس از آن برای اجرای گواهینامه و انتقال به HTTPS در سمت سرور ، باید با ارائه دهنده میزبانی خود گپ بزنید. به همین دلیل است که مراجعه به ارائه دهنده خود برای دریافت گواهینامه ممکن است ساده ترین گزینه باشد.

این همه؟ خوب ، اکنون ما روی تغییراتی که باید در وردپرس ایجاد کنیم تمرکز خواهیم کرد.

نحوه پیکربندی وردپرس برای HTTPS و SSL

متأسفانه فقط افزودن گواهینامه کافی نیست. شما باید تنظیمات بیشتری را در وردپرس انجام دهید.

مراحل زیر فرض می کند که شما می خواهید از HTTPS در هر جای سایت خود استفاده کنید ، که به طور کلی ایده خوبی است.

با این حال ، موارد استفاده برای چند مکان در سایت شما نیز وجود دارد. بعداً به این موضوع باز خواهیم گشت.

1. یک نسخه پشتیبان تهیه کنید

مانند هر چیزی که تغییرات عمده ای در وبلاگ شما ایجاد می کند ، اولین غریزه شما باید ایجاد یک نسخه پشتیبان باشد. بنابراین اگر همه چیز اشتباه باشد ، همیشه می توانید به حالت قبل برگردید. در اینجا لیستی از افزونه ها وجود دارد که می توانند به شما کمک کنند

2. SSL را به داشبورد وردپرس خود اضافه کنید

اولین کاری که می خواهیم انجام دهیم افزودن اتصال HTTPS برای تمام صفحات داشبورد وردپرس است. به این ترتیب وقتی شخصی وارد سایت شما می شود ، تمام داده ها به صورت ایمن رد و بدل می شوند.

برای انجام این کار ، باید کد زیر را به کد خود اضافه کنید wp-config.php فایل:

تعریف ( 'FORCE_SSL_ADMIN'، درست است)؛

وقتی خط را اضافه کردید ، فایل را ذخیره کرده و در سرور خود بارگذاری کنید ، وقت آن است که یک تست سریع انجام دهید. به صفحه ورود خود بروید (https://votresite.com/wp-admin) برای بررسی اینکه آیا همه چیز خوب کار می کند

اگر همه چیز خوب است ، شما باید یک اتصال ایمن داشته باشید. با این حال ، اگر مشکلی دارید ، خط را از اینجا حذف کنید wp-config.php زیرا عیب یابی برای انجام وجود دارد.

با این حال ، در حال حاضر ، تصور خواهیم کرد که همه چیز خوب است و می توانیم گام بعدی را برداریم.

3. خود را به روز کنید

اگر منطقه سرپرست شما با موفقیت به HTTPS منتقل شد ، وقت آن است که برای بقیه سایت نیز همین کار را انجام دهید. برای این منظور ابتدا باید آدرس سایت شما را تغییر دهیم.

خیلی ساده است فقط به محل مورد نظر بروید تنظیمات> عمومی و اضافه کنید https:// هم برای آدرس وردپرس (محل نصب شما) و هم برای آدرس سایت (آدرسی که بازدیدکنندگان در مرورگر وارد می کنند).

تنظیمات عمومی

پس انداز کن و بس. بعد از آن احتمالاً از شما خواسته می شود دوباره وارد سیستم شوید.

برای اطمینان از اینکه بازدید کنندگان شما می توانند با خیال راحت در سایت شما گشت و گذار کنند ، باید هدایت مجدد به .htaccess را نیز تنظیم کنید. اکثر افراد باید این پرونده را از قبل در سرور خود داشته باشند (اطمینان حاصل کنید که FTP شما فایل های مخفی را نشان می دهد) در غیر این صورت شما باید یک پرونده ایجاد کنید.

در این پرونده .htaccess، خطوط کد زیر را اضافه کنید:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond% {} HTTPS off
RewriteRule (*). Https: //% {HTTP_HOST}% {REQUEST_URI} [R = 301, L]
</ IfModule>

اکنون همه بازدید کنندگان شما باید به طور خودکار به قسمت امن وب سایت شما هدایت شوند.

نحوه پیکربندی پروتکل HTTPS در صفحات خاص

من توصیه می کنم از SSL در همه جای سایت خود استفاده کنید ، با این حال برخی ممکن است نخواهند از آن در بعضی از صفحات استفاده کنند.

به عنوان مثال در اینجا یک مورد استفاده وجود دارد: شما تصمیم می گیرید که اتصالات ایمن را فقط برای قسمتهای حساس سایت خود مانند فرم های فروشگاه ، سبد خرید و سایر موارد را بدون امنیت SSL پیاده کنید.

این هدف را می توان با پلاگین وردپرس HTTPS (SSL). به شما امکان می دهد محل استفاده از پروتکل HTTPS را در سایت خود انتخاب کنید.

وردپرس-HTTPS-SSL-پلاگین-تنظیمات

اگرچه درست است که افزونه مدتی است به روز نشده است ، اما منابع معتبر ادعا می کنند که استفاده از آن همچنان امکان پذیر است. اگر مشکلی دارید پیشنهاد می کنم بهتر WP امنیت که عملکردی مشابه دارد.

کمک

از نظر تئوری ، موارد بالا باید بیش از اندازه کافی باشد تا کل سایت شما به SSL منتقل شود. با این حال ، از آنجا که همه چیز همیشه مطابق میل شما پیش نمی رود ، در اینجا چند نکته برای عیب یابی آورده شده است.

1. هشدار محتوای مخلوط

محتوای مختلط زمانی اتفاق می افتد که بخش دیگری از محتوای شما از طریق HTTP تحویل داده شود در حالی که بقیه سایت شما از طریق HTTPS با امنیت بیشتری منتقل شده است.

در این حالت ، مرورگرهای مدرن هشداری را نمایش می دهند که نشان دهنده پیام ناامن در مورد محتوای شما است.

از ابزار رایگان استفاده کنید بررسی SSL برای اسکن کل سایت خود از نظر تصاویر ، اسکریپت ها و پرونده های CSS و غیر ایمن با استفاده از این اطلاعات ، می توانید اقدامات اصلاحی انجام دهید. گزینه دیگری برای بررسی صفحات منفرد است چرا NoPadLock.

هنگام گشت و گذار در سایت خود می توانید به دنبال نماد قفل در نوار مرورگر خود بگردید. هنگام بازدید از بازی ای که از محتوای مختلط استفاده می کند ، این یک هشدار نمایش داده می شود.

اگر با چنین صفحه ای روبرو شدید ، می توانید با نگاهی به کنسول موجود در ابزارهای توسعه دهنده Chrome یا Firefox یا با پسوندی مانند Firebug ، مقصر را پیدا کنید.

2. گواهینامه هایی که منقضی می شوند

هنگامی که گواهی شما منقضی می شود ، بازدیدکنندگان هشدار بلندی درباره آن می گیرند و به آنها دستور داده می شود سایت شما را مرور نکنند بنابراین ، شما نباید اجازه دهید این اتفاق بیفتد ، مطمئن شوید که همیشه گواهی خود را به موقع تمدید می کنید.

همین اخطار را می توان برای گواهینامه های خود امضا شده نیز صادر کرد که توسط مقامات خارجی تأیید نشده اند.

3. نام دامنه گواهی با آدرس سایت مطابقت ندارد

گاهی اوقات دلیل اینکه سایت شما از مرورگرها چراغ سبز دریافت نمی کند در تفاوت بین آنها نهفته است نام دامنه واقعی و ثبت شده در گواهی. اگر چنین است، باید آن را با اختیار دامنه خود حل کنید.

با استفاده از راه حل فوق الذکر WhyNoPadLock می توانید به راحتی این خطا را رمزگشایی کنید. یکی دیگر از ابزارهای اسکن سرور است تست سرور SSL توسط « آزمایشگاه های SSL" همچنین رایگان است و می تواند اطلاعات زیادی درباره پیکربندی SSL شما به شما بدهد.

4- CDN SSL را در نظر نمی گیرد

اگر شما یکی از بسیاری از کاربران وردپرس هستید که از شبکه های تحویل محتوا برای سرعت بخشیدن به سایت خود استفاده می کنند ، باید اطمینان حاصل کنید که CDN شما از SSL قبل از استفاده با CDN پشتیبانی می کند. MaxCDN مثالی است که از پروتکل HTTPS پشتیبانی می کند. با تأمین کننده خود مشورت کنید.

خلاصه

اگر از یک سایت وردپرسی استفاده می کنید که داده های حساس را پردازش می کند ، نباید پروتکل HTTPS را دور بزنید. بدون رمزگذاری ترافیک ، احتمال شنود اطلاعات مشتریان بسیار زیاد است.

علاوه بر اینکه یک ارائه دهنده خدمات مسئول است ، لایه امنیتی اضافه شده برای موتورهای جستجو نیز یک امتیاز محسوب می شود. بنابراین اگر این کار را برای مشتریان خود انجام نمی دهید ، حداقل این کار را برای رتبه بندی انجام دهید.

با این حال ، توجه به این نکته مهم است که HTTPS آلفا و امگا امنیت وردپرس نیست. برای ایمن نگه داشتن سایت خود ، مراحل بیشتری لازم است.