اختيار شهادة HTTPS الصحيحة لموقع الويب الخاص بك على WordPress
نشرت: 2019-09-27في منشورنا السابق WordPress HTTPS و SSL و TLS - دليل لمسؤولي مواقع الويب ، أوضحنا ماهية HTTPS وجميع المصطلحات الفنية الأخرى وكيف تعمل. في هذه المقالة ، نناقش شهادات HTTPS ، والطرق المختلفة التي يمكنك من خلالها الحصول على واحدة لموقع الويب الخاص بك على WordPress ، ولماذا يجب عليك أو لا تدفع ثمنها. دعنا نتعمق في الأمر.
ما هي شهادة HTTPS؟
قبل أن نتمكن من مناقشة أسباب وأسباب شهادات HTTPS ، نحتاج إلى مناقشة ماهية الشهادة في المقام الأول. تستخدم الشهادة من أجل:
- تشفير حركة المرور بين خادم الويب ومتصفح الويب ،
- تحقق من أن خادم الويب الذي تتصل به هو في الواقع من تدعي أنه (وسيلة لتحديد الهوية).
تحتوي شهادة HTTPS (شهادة TLS) على دليل تشفير يفيد بأن كيانًا موثوقًا به بواسطة المستعرض يمكنه أن يضمن هوية موقع الويب هذا. يسمى هذا الكيان بالمرجع المصدق (CA). تلعب CA دورًا مهمًا عندما يتعلق الأمر بشهادات HTTPS.
يمكنك التفكير في سلطة تصديق مماثلة لـ "مكتب الجوازات" الذي يتحقق بشكل مستقل من هويتك ويزودك بـ "جواز سفر" (شهادة) لإثبات هويتك للآخرين. ومع ذلك ، لكي يقوم شخص ما (متصفح الويب) بالتحقق من صحة "جواز السفر" الخاص بك ، يجب أن يثق في "مكتب الجوازات" (المرجع المصدق) الذي أصدر "جواز السفر" (الشهادة). على غرار جواز السفر ، ستحتوي الشهادة على ميزات أمان مدمجة تجعل من الصعب انتحالها .
بمعنى آخر ، لخدمة موقع الويب الخاص بك عبر HTTPS ، فأنت بحاجة إلى "مرجع مصدق" لتزويدك بشهادة تثبت هوية موقع WordPress الخاص بك (أنت من تقول أنت).
أنواع مختلفة من شهادات HTTPS
في حين أنه قد لا يكون واضحًا على الفور ، هناك 3 أنواع مختلفة من الشهادات التي يمكنك الحصول عليها:
- التحقق من صحة المجال (DV)
- التحقق من صحة المنظمة (OV)
- المصادقة الممتدة (EV).
شهادات DV هي إلى حد بعيد الشهادات الأكثر شيوعًا. عندما تحصل على شهادة DV ، سترى واجهة مستخدم المتصفح المعتادة التي تتوقعها. لاحظ أن هذا يختلف من متصفح لآخر ، وحتى من إصدار متصفح لآخر ، ولكن عادة ، سترى قفلًا وأحيانًا كلمة "آمن".
الحصول على شهادات OV أصعب من الحصول على شهادات DV لأنها تتطلب المزيد من التحقق من الصحة. ومع ذلك ، نادرًا ما يتم استخدامها على الإطلاق. إنها تبدو متشابهة تمامًا للمستخدم النهائي ، ولا تقدم أي فوائد ملموسة على شهادات DV وتكلف أكثر.
هذا يترك شهادات EV - من المفترض أن تتطلب شهادات التحقق من الصحة الممتدة عملية تحقق شاملة حتى تحصل المنظمة على واحدة. إنها أغلى ثمناً إلى حد كبير ، وقد تم التعامل معها من قبل المتصفحات بشكل مختلف قليلاً من حيث واجهة المستخدم الخاصة بها.
ومع ذلك ، في الإصدارات الحديثة من Chrome و Firefox و Safari ، تم نقل هذا المؤشر إلى قسم أقل وضوحًا. هذا يرجع إلى حد كبير إلى حقيقة أنه لا يوجد دليل على أن شهادات المركبات الكهربائية تنقل أي مستوى ذي مغزى من الثقة إلى المستخدمين النهائيين. في بعض الحالات ، قد تسبب المركبات الكهربائية في الواقع مزيدًا من الارتباك للمستخدمين النهائيين. لدرجة أن الغالبية العظمى من مواقع الإنترنت الأكثر شعبية تنتقل من شهادات EV إلى شهادات DV.
ما نوع الشهادة التي تحتاجها لموقع WordPress الخاص بك؟
لذلك ، باختصار ، تريد شهادة التحقق من صحة المجال (DV) لموقع الويب الخاص بك على WordPress. لا يوجد سبب حقيقي لحاجتك إلى شهادة التحقق من الصحة الموسعة (EV) ، خاصة الآن بعد أن تزيل المتصفحات إلى حد كبير أي ميزة لامتلاك واحدة (بالإضافة إلى أنها باهظة الثمن أيضًا).
الحصول على شهادة HTTPS
تقليديًا ، كان الحصول على شهادة HTTPS يعني دفع رسوم سنوية للمرجع المصدق (CA). كانت العملية يدوية ومزعجة جدًا للمسؤولين.
لحسن الحظ ، في عام 2012 ، بدأت Mozilla العمل على ما أصبح يُعرف باسم Let's Encrypt ؛ مرجع مصدق غير ربحي تديره مجموعة أبحاث أمان الإنترنت (ISRG). يوفر شهادات HTTPS مجانًا للجميع . ليس من المستغرب أنه في غضون بضعة أشهر أصبحت أكبر CA على الإنترنت.
بالإضافة إلى كونه مجرد مرجع مصدق مجاني ، كان Let's Encrypt ثوريًا لأنه كان أول مرجع مصدق يستخدم بروتوكول ACME. يسمح بروتوكول ACME بالتجديد التلقائي للشهادة. يتيح ذلك لـ Let's Encrypt إنشاء شهادات بعمر أقصر (90 يومًا) ، وهو أكثر أمانًا. أيضًا ، لا داعي للقلق من جانب مسؤولي النظام بشأن تجديد شهاداتهم بفضل أدوات مثل Certbot.
لنقم بتشفير قيود شهادات HTTPS
على الرغم من وجود الآلاف من المقالات عبر الإنترنت حول كيفية تشغيل Let's Encrypt لموقع الويب الخاص بك على WordPress ، فمن المهم أن تدرك أنه قد تكون هناك حالات قد لا تتمكن فيها من استخدام شهاداتهم. هذا صحيح بشكل خاص إذا كنت تدفع مقابل الحصول على شهادة HTTPS كجزء من خطة استضافة الويب الخاصة بك ، أو إذا لم يكن لديك سيطرة كاملة على خادم الويب الخاص بك.
في هذه الحالة ، تحقق مما إذا كان بإمكانك استخدام شهادة Let's Encrypt مع دعم عملاء مزود الاستضافة قبل إنفاق الأموال على الشهادة. في الوقت الحاضر ، تدعم غالبية خدمات استضافة WordPress شهادات Let's Encrypt.
إذا لم يكن من الممكن استخدام شهادة Let's Encrypt مع خطة الاستضافة الخاصة بك ، فقد تحتاج إما إلى شهادة HTTPS تجارية ، أو يمكنك استخدام خدمة جدار الحماية / CDN على الإنترنت في WordPress. يقدم معظمهم شهادات HTTPS مجانية كجزء من خدماتهم.
ضبط ووردبريس الخاص بك على HTTPS
بالإضافة إلى الحصول على شهادة HTTPS وتمكين HTTPS على خادم الويب الخاص بك ، ستحتاج أيضًا إلى التأكد من إعداد موقع WordPress الخاص بك لـ HTTPS أيضًا. بينما يمكنك القيام بذلك دون استخدام المكونات الإضافية ، فمن الأسهل على معظم مسؤولي WordPress استخدام مكون إضافي شائع مثل Really Simple SSL. باستخدام هذا المكون الإضافي ، تأكد من أن جميع روابطك تشير بشكل صحيح إلى إصدار HTTPS من موقع الويب الخاص بك.
من المهم أيضًا ملاحظة أن محركات البحث تتعامل مع مواقع HTTP و HTTPS على أنها مواقع مختلفة . لذلك ، ما لم تكن قد قمت بذلك بالفعل ، يجب عليك أيضًا إرسال موقع HTTPS الخاص بك إلى Google Search Console.
هل شهادات HTTPS المجانية جيدة حقًا؟
لا يزال العديد من مالكي مواقع WordPress يشككون في استخدام شهادة HTTPS المجانية من Let's Encrypt. يشعر البعض بالقلق من تصوير صورة لا يأخذون الأمن على محمل الجد ، لذلك يخشون فقدان العملاء. يعتقد البعض الآخر أن شهادات HTTPS المجانية ليست بنفس جودة الشهادة المدفوعة. أنا لا ألومهم - لا يوجد منتج / خدمة جيدة متاحة حقًا مجانًا. ومع ذلك ، هذه حالة مختلفة.
Let's Encrypt مجاني لك كمستخدم ، لكنه ليس مشروعًا مجانيًا. يمكنهم إصدار شهادات HTTPS مجانية بفضل الرعاة مثل Google و Facebook و Microsoft و Cisco وغيرها الكثير! لنفترض أن جميع هذه الشركات الكبيرة تدفع مقابل الحصول على شهادة HTTPS الخاصة بموقع WordPress.
Let's Encrypt هو مرجع مصدق بالكامل. لا يوجد شيء مختلف ، خاصة فيما يتعلق بإمكانيات التشفير ، بين شهادات TLS المجانية من Let's Encrypt والشهادات المدفوعة. بعد قولي هذا ، لا ضرر من دفع ثمن شهادة HTTPS ، إذا كان بإمكانك تبرير التكلفة.
هل يجعل HTTPS موقعي "آمنًا"؟
لسوء الحظ ، لا يوجد شيء آمن بنسبة 100٪ ، وبتأكيد HTTPS ليس استثناءً لهذه القاعدة. HTTPS هو جزء صغير واحد فقط من برنامج أمان موقع WordPress الخاص بك. تسمح:
- المستخدمون لديك للاتصال الآمن بموقعك على الويب دون اعتراض اتصالاتهم من قبل أعين المتطفلين على نفس الشبكة.
- يساعد في جزء من التحدي المستمر وهو أمان موقع الويب.
ومع ذلك ، فهي ليست رصاصة فضية: بينما يجب عليك بلا شك تطبيق HTTPS وفرضه ، فهذا لا يعني أنك انتهيت من تأمين موقع WordPress الخاص بك.
ما الذي يمكنني فعله أيضًا للتأكد من أن موقع WordPress الخاص بي آمن؟
هناك الكثير الذي يمكنك القيام به لتحسين أمان موقع WordPress الخاص بك. نوصيك بالبدء بما يلي:
- استخدم جدار حماية WordPress ،
- فرض سياسات كلمة مرور WordPress قوية ،
- تثبيت البرنامج المساعد لمراقبة سلامة الملفات ،
- احتفظ بسجل لجميع التغييرات التي تحدث على WordPress ،
- حافظ على WordPress الأساسية ، وجميع المكونات الإضافية والسمات والبرامج التي تستخدمها محدثة.