Интернет – не самое безопасное место для конфиденциального разговора. Тысячи любопытных глаз ждут, чтобы извлечь вашу личную информацию: ваш адрес, номер телефона и данные вашей кредитной карты. Вот почему большинство компаний используют протокол Secure HTTP (HTTPS) при обработке конфиденциальных задач. Сегодня мы поговорим о HTTPS и обсудим, действительно ли он нам нужен на наших сайтах.
Немного технического чая
HTTP – это протокол, используемый веб-серверами и клиентами (браузерами) для связи и передачи веб-страниц и файлов. Есть много других протоколов, таких как FTP, SSH и BitTorrent.
HTTPS – это безопасная версия протокола HTTP, в которой используется шифрование SSL (Secure Socket Layer). Для использования SSL в фоновом режиме требуется степень бакалавра компьютерных наук и хорошее понимание криптографии. Благодаря концепции абстракции нам не стоит об этом беспокоиться. Только помните:
HTTP + SSL = HTTPS
Проще говоря, HTTPS использует открытый и закрытый ключи, которые соответствуют «механизму рукопожатия» перед передачей данных. После того, как рукопожатие выполнено, соединение устанавливается и начинается безопасный сеанс. Когда вы посещаете сайт HTTPS, все это происходит почти мгновенно, прежде чем вы увидите зеленый индикатор в адресной строке браузера.
Прочие чтения:
Четыре причины, почему HTTPS хорош
1. Безопасность на высшем уровне: С SSL ваше соединение зашифровано. Создается виртуальный туннель, через который могут общаться только сервер и браузер. Никто другой не может интерпретировать этот канал. Даже если злоумышленник воспользуется этим каналом, он не сможет разобраться в зашифрованных данных. Вам понадобится закрытый ключ, который знает только браузер.
2. Проверка: HTTPS требует наличия сертификата SSL, и получение последнего для бизнеса – серьезный процесс. Требуется предоставление официальных документов, которые проверяются центром сертификации (CA). Сертификат SSL выдается только после прохождения проверочных тестов.
3. Легальные компании: Когда вы посещаете сайт с безопасностью SSL, вы можете быть уверены в надежности сайта. Вы всегда можете получить необходимые контактные данные владельца SSL-сертификата сайта.
4. Целостность данных: Целостность данных относится к согласованности запрошенных данных и фактических полученных данных. Рассмотрим следующий пример: кто-то заходит на ваш сайт, чтобы получить конкретное сообщение с инструкциями по настройке сервера XYZ. В конце поста оставьте партнерскую ссылку. На небезопасном сайте злоумышленник может легко получить доступ к соединению и отправить скомпрометированные данные вашему посетителю. Скорее всего, он заменит вашу партнерскую ссылку на фишинговую. Таким образом, существует огромная разница в запрашиваемых данных и фактически полученных данных: целостность данных нарушается. С SSL ничего из этого невозможно!
Вот уловка:
Установка безопасного соединения требует значительной вычислительной мощности как от сервера, так и от клиента. Это результат более низкая скорость передачи по сравнению с HTTP. Вот почему большинство сайтов не используют HTTPS постоянно. Они ждут, пока вы не попытаетесь войти в систему или совершить покупку. Сайты электронной коммерции, такие как Amazon и Newegg, следуют этому правилу. Таким образом, просмотр происходит невероятно быстро, а покупки безопасны.
Мне действительно нужен HTTPS на моем сайте WordPress?
Хороший вопрос, но не простой ответ «да» или «нет». Итак, давайте поговорим об этом подробно.
Поисковые системы предпочитают сайты HTTPS (да)
Вот цитата из недавнего сообщения в блоге в Центре веб-мастеров Google.
… В последние несколько месяцев мы тестировали, используют ли сайты безопасные зашифрованные соединения в качестве сигнала в наших алгоритмах ранжирования поиска.
Это не означает, что если у вас нет HTTPS на вашем сайте, ваш рейтинг в выдаче упадет. На данный момент. Бдительные люди воспримут это как ранний индикатор того, что ждет в будущем. Многие люди жалуются и ставят под сомнение решение Google. Какого черта вы используете HTTPS в своем статическом блоге? Чтобы хакеры не читали комментарии посетителей? Черт возьми, даже блог Google для веб-мастеров не использует SSL!
Сценарии, в которых сайты должны использовать HTTPS
Есть много ситуаций, когда HTTPS следует использовать в качестве дополнительного уровня безопасности. Вот несколько примеров, где это следует применить:
1. Интернет-магазины
Если вы запускаете магазин WordPress с помощью WooCommerce или iThemes Exchange, было бы более целесообразно использовать HTTPS на страницах транзакций сайта. Как вы уже знаете, HTTPS медленнее, чем HTTP, и поэтому влияет на работу пользователя в Интернете. Однако, когда речь идет о чьей-то конфиденциальной информации, такой как домашний адрес, номер телефона или данные кредитной карты, вам нужно пожертвовать скоростью ради безопасности. Вы всегда должны использовать HTTPS в следующих случаях:
- Новый пользователь регистрируется или входит в систему
- Пользователь собирается произвести платеж.
2. Страницы пожертвований
На некоторых сайтах есть небольшая кнопка для пожертвований на боковой панели, и почти все они не используют HTTPS. Вот что может пойти не так. Поскольку сайт не защищен, злоумышленник может легко манипулировать данными на сайте для отображения мошеннической информации, например, заменяя кнопку «Пожертвовать» PayPal на какой-нибудь фишинговый сайт. Когда посетитель (а не донор) нажимает на эту мошенническую ссылку, его учетная запись подвергается риску взлома. Поэтому, если вы используете кнопку пожертвования на своем сайте, попробуйте включить SSL.
3. Сайты членства
Многие интернет-предприниматели проводят частные форумы и сайты членства на WordPress. Такие сайты содержат личные данные, данные, которые вы не хотите, чтобы их увидела публика. Использование SSL в таких случаях устранит угрозы целостности данных и создаст безопасную среду для взаимодействия его участников. Это как попасть в двух зайцев:
- Лучшая безопасность
- Повышайте доверие и уверенность клиентов
4. Ранее взломанные сайты.
Если ваш сайт стал жертвой целевой атаки или был недавно взломан, вам следует серьезно подумать о переходе на сайт с шифрованием SSL. Восстановление со взломанного сайта может быть выполнено на основе личного опыта и / или с помощью экспертов по безопасности WordPress (например, Sucuri).
Чтобы защитить себя от будущих атак и добавить дополнительный уровень безопасности, включите HTTPS на своем сайте. Однако, поскольку SSL потребляет много ресурсов сервера, ваш сайт может стать довольно медленным в зависимости от конфигурации вашего сервера. Вы этого не хотите. Таким образом, вы также можете выборочно использовать SSL только на страницах входа и во время работы в панели администратора WordPress.
Настроить SSL в WordPress
Настройка SSL – сложный и утомительный процесс. Это требует технических знаний, значительного времени и дает много места для ошибок. Я настоятельно рекомендую поговорить с вашим менеджером по хостингу за помощью в настройке SSL (проверьте GoDaddy, с нашей ссылкой вы можете сэкономить 25% на сертификате SSL). Если вы настроены переключиться на сайт HTTPS, то можно с уверенностью предположить, что ваш бюджет может покрыть расходы на управляемую хостинговую компанию WordPress.
В WPExplorer мы используем WPEngine, и наш сайт защищен от хакеров, вредоносных программ и DDoS-атак. К тому же это действительно быстро. Такие компании, как WPEngine, предлагают вам возможность приобрести встроенный сертификат SSL. Стоимость колеблется от 49 до 199 долларов в год. Вы также можете использовать сторонний SSL, и они помогут вам установить и настроить HTTPS на вашем сайте.
вывод
Что вы думаете об этой теме? Да или нет по HTTPS? Вы раньше использовали SSL на своем сайте? Поделитесь своими мыслями с нами!
