Appuyez sur ceci : SSL vraiment simple avec Rogier Lankhorst

Bienvenue sur Press This, le podcast de la communauté WordPress de WMR. Chaque épisode présente des invités de toute la communauté et des discussions sur les plus grands problèmes auxquels sont confrontés les développeurs WordPress. Ce qui suit est une transcription de l' enregistrement original.

Propulsé par RedCircle

Doc Pop : Vous écoutez Press This, un podcast de la communauté WordPress sur WMR. Chaque semaine, nous mettons en lumière les membres de la communauté WordPress. Je suis votre hôte, Doc Pop. Je soutiens la communauté WordPress à travers mon rôle chez WP Engine et mes contributions sur TorqueMag.Io où je peux faire des podcasts et dessiner des dessins animés et des tutoriels vidéo. Vérifiez cela.

Vous pouvez vous abonner à Press This sur Red Circle, iTunes, Spotify, votre application de podcast préférée ou vous pouvez télécharger des épisodes directement sur wmr.fm.

Aujourd'hui, nous plongeons dans le monde critique de la sécurité des sites Web avec un coup de projecteur sur les certificats SSL. Le certificat SSL est comme un bouclier virtuel qui crypte les données et protège les données de votre utilisateur. Maintenant, si cela ne suffit pas pour vous garder à l'écoute, imaginez que vous consacrez votre cœur et votre âme à la création d'un beau site Web uniquement pour que Google appose une grande étiquette "Non sécurisé" sur votre site lorsque les visiteurs essaient d'y accéder via Chrome, simplement parce que vous ne l'êtes pas. t en utilisant HTTPS ou SSL.

Ici pour me parler aujourd'hui, Rogier Lankhorst, le développeur principal de Really Simple Plugins, les créateurs du plugin WordPress extrêmement populaire, Really Simple SSL, Rogier, merci beaucoup de nous avoir rejoint aujourd'hui.

J'aimerais connaître votre histoire d'origine et comment vous êtes entré dans WordPress.

Rogier Lankhorst : Eh bien, merci de m'avoir dans l'émission. À l'origine, je pense qu'en 2016, un client m'a demandé de mettre son site Web sur SSL le plus rapidement possible. J'ai donc installé un plugin qui était populaire à l'époque et tout le site est tombé en panne. Donc, à ce moment-là, j'ai pensé que je pouvais faire cela plus léger et plus facile, avec une installation en un seul clic.

Et je l'ai publié sur WordPress et c'était vraiment des montagnes russes après ça.

Doc Pop : Absolument. Et ce n'était pas votre premier plugin WordPress, n'est-ce pas ? C'était le premier qui a vraiment décollé de manière aussi massive, mais vous aviez d'autres plugins Really Simple avant cela.

Rogier Lankhorst : De très petites expériences, des choses auxquelles j'ai pensé à l'époque et que je les ai publiées et elles n'ont pas vraiment décollé, comme vous l'avez dit. So Really Simple SSL a été le premier grand succès, on peut dire.

Doc Pop : J'aime toujours cette analogie avec l'achat de nombreux billets de loterie. Par exemple, vous avez lancé de nombreuses expériences et l'une d'entre elles s'est propagée et vous avez pu créer une entreprise à partir de là. Et puisque nous parlons de SSL, pouvez-vous dire aux auditeurs ce qu'est un certificat SSL ? Et pourquoi est-il important pour un site WordPress d'en avoir un ?

Rogier Lankhorst : Avec les certificats SSL, le site Web crypte toutes les données avant qu'elles ne soient envoyées au visiteur du site Web et inversement également. Cela permet donc de sécuriser le Web, non seulement pour les boutiques en ligne, mais également pour tout site Web qui, autrement, pourrait être usurpé par des attaquants. Et c'est aussi génial pour le classement dans Google.

Et cela semble beaucoup mieux dans votre navigateur s'il y a un verrou sur votre site Web. SSL est gratuit, alors pourquoi ne pas l'installer ?

Doc Pop : J'ai mentionné au début de cette émission que la première fois que j'ai pensé à SSL, c'était lorsque j'utilisais Chrome et que je suis tombé sur un site qui n'était pas sécurisé et que ce site était le mien. J'avais donc peur de mon propre site. Et j'ai dû apprendre à installer des certificats SSL afin d'avoir, espérons-le, une meilleure expérience lorsque les utilisateurs viennent sur mon site et le voient. Une fois que vous avez installé SSL et que vous avez une adresse HTTPS, Google n'affichera plus cet avertissement lors des visites Chrome, mais cela affecte-t-il également le référencement ?

Rogier Lankhorst : Oui, bien sûr. Google dispose de nombreux outils puissants pour amener les utilisateurs à faire ce qu'ils veulent. Et l'outil le plus puissant dont ils disposent est le classement. Donc, s'ils veulent que les propriétaires de sites Web fassent quelque chose, ils le mettent simplement dans le mécanisme de classement et le site Web suivra.

Doc Pop : Et vous avez mentionné que les certificats SSL sont gratuits de nos jours. Je crois que lorsque je me suis inscrit pour la première fois, cela commençait à peine à se produire, cela semblait être un processus douloureux et peut-être coûter de l'argent, puis des services comme Let's Encrypt sont apparus et ont vraiment facilité les choses. En plus de cela, de nombreux hébergeurs, y compris le mien, ont commencé à proposer Let's Encrypt gratuitement, ils ont commencé à l'intégrer au processus pour le rendre aussi simple que possible, ce qui est vraiment utile.

Donc, avec ces alternatives disponibles maintenant pour pouvoir installer, peut-être à partir de mon hôte, y a-t-il une raison pour laquelle quelqu'un utiliserait encore Really Simple SSL au lieu de si son hôte le propose ?

Rogier Lankhorst : Eh bien, Really Simple SSL n'a pas été conçu à l'origine pour générer des certificats SSL. C'est juste quelque chose que nous avons ajouté il y a deux ans, parce que je pensais que, si nous sommes Really Simple SSL, nous devrions également pouvoir générer un certificat, mais ce n'est pas la principale raison pour laquelle les gens installent Really Simple SSL.

Lorsque les utilisateurs ont SSL, ils ne savent souvent pas quoi en faire. Et dans WordPress, vous devez faire quelques choses ; ajoutez des redirections, corrigez le contenu mixte, des trucs comme ça, ajoutez des en-têtes de sécurité pour vraiment tirer le meilleur parti du SSL sécurisé que vous pouvez en tirer. Je pense donc que c'est toujours la raison principale, les gens installent Really Simple SSL pour la méthode la plus rapide pour configurer SSL sur votre site Web.

Doc Pop : Ouais, et il y a quelques fonctionnalités de sécurité supplémentaires qui ne le sont pas, je ne les considère pas nécessairement comme liées à SSL qui font partie de Really Simple SSL. Pouvez-vous nous parler de certaines des autres fonctionnalités avancées incluses dans un SSL vraiment simple ?

Rogier Lankhorst : Nous avons remarqué que beaucoup de gens nous considéraient déjà comme un plugin de sécurité. C'est alors que j'ai pensé que nous devions répondre à ces attentes. Nous avons commencé par ajouter des fonctionnalités de renforcement, comme le blocage de l'enregistrement des utilisateurs. De nombreux propriétaires de sites Web ne savent pas que l'enregistrement des utilisateurs est ouvert et des choses comme l'emplacement du journal de débogage, qui peut contenir des informations importantes, comme les adresses e-mail des utilisateurs ou les clés de licence ou des choses comme ça. Édition de fichiers, retour sur l'écran de connexion.

Si vous vous connectez et que WordPress indique que le nom d'utilisateur n'est pas correct, l'attaquant le sait, je peux réessayer. Donc, toutes ces choses sont vraiment le début pour nous d'élargir éventuellement un plugin de sécurité complet. Et la dernière fonctionnalité que nous avons ajoutée est la détection de vulnérabilité, qui est vraiment un excellent outil pour vraiment sécuriser votre site Web car la plupart des problèmes de sécurité des sites Web WordPress sont causés par des plugins avec une vulnérabilité, qui ne sont pas mis à jour. Donc, si les utilisateurs sont plus conscients de cela, je pense que WordPress deviendra beaucoup plus sécurisé.

Doc Pop : Tout ce que vous avez mentionné, je pense, sont de petites bêtes noires que les gens ont à propos de la sécurité de WordPress. Et il est vraiment intéressant que Really Simple SSL ait en quelque sorte évolué pour devenir ce moyen simple d'installer un certificat SSL, mais aussi comme ces choses devraient être corrigées. Voici un moyen très simple de résoudre ce problème.

Je suis un peu curieux de savoir si le gonflement vous concerne, lorsque vous avez un plugin appelé Really Simple SSL. Craignez-vous parfois qu'en ajoutant ces fonctionnalités supplémentaires, vous rendiez les choses un peu plus difficiles. Et puis je suppose qu'en plus de cela, envisagez-vous également de changer le nom du plugin à mesure que vous ajoutez plus de fonctionnalités ?

Rogier Lankhorst : Ouais, eh bien, c'est finalement l'objectif qu'il devienne Really Simple Security. Je pense que ce sera le début de l'année prochaine. Mais en parlant de ballonnement, c'est une chose difficile. Vous voulez garder les choses aussi simples que possible. Nous avons donc travaillé dur pour qu'il soit toujours possible de ne faire que l'activation SSL.

Et toutes les autres choses sont modulaires et non chargées lorsque vous ne les utilisez pas, mais en même temps, je pense que nous sommes vraiment bons pour rendre les choses complexes vraiment simples.

Je pense que c'est là que réside notre pouvoir, ce que nous pouvons vraiment faire pour que les gens le rendent vraiment simple pour les utilisateurs non techniques. Et pour les utilisateurs plus avancés, ils peuvent plonger un peu plus dans les paramètres.

Doc Pop : C'est merveilleux. Je pense que c'est un bon endroit pour que nous prenions une courte pause. Et quand nous reviendrons, nous continuerons à parler à Rogier de la poussée de Google pour SSL. Et je suppose que nous allons parler un peu plus de ce que c'est que d'avoir l'un des plugins les plus populaires du référentiel WordPress.

Alors restez à l'écoute pour cela.

Doc Pop : Bienvenue à nouveau dans Press This, un podcast de la communauté WordPress. Je suis votre hôte Doc Pop. Aujourd'hui, je parle à Rogier Lankhorst, le développeur principal de Really Simple Plugins. Et nous parlons de SSL parce que les plugins Really Simple font un plugin extrêmement populaire appelé Really Simple SSL. Rogier avant, avant cette pause, j'ai mentionné qu'une grande raison pour laquelle nous parlons de certificats SSL ces jours-ci est en grande partie parce que Google a poussé sur le Web pour que cela se produise.

Je vois aussi que Google fait pression pour peut-être raccourcir le terme. Ainsi, certains certificats SSL sont valables environ deux ans, et Google parle de faire pression pour des certificats SSL de 90 jours. Avez-vous pensé à la façon dont Google a encouragé les gens à obtenir des SSL ?

Pensez-vous que cela a bien fonctionné pour tout le monde?

Rogier Lankhorst : Eh bien, je pense que c'est une bonne chose. Au moment où Google a commencé avec cela, beaucoup d'utilisateurs pensaient encore que SSL n'était pas important pour moi car je n'avais qu'un petit blog. Je n'ai aucune donnée utilisateur sur mon site, mais il existe de nombreuses autres façons pour les attaquants d'utiliser ce type de connexion entre les sites Web et peut-être de montrer des informations erronées aux utilisateurs, en prétendant être là avec un autre site Web.

Je pense donc qu'il est très important que tous les sites Web aient éventuellement une connexion SSL. Je pense donc que bien que Google ait toujours ses propres raisons de faire des choses comme ça. Dans ce cas. C'est une bonne chose.

Doc Pop : Et les limites de 90 jours, avez-vous pensé à cela ?

Rogier Lankhorst: Eh bien, je ne connais pas très bien les raisons derrière cela, je dois l'admettre, mais je connais un peu le sujet et qu'il est plus sûr d'avoir des certificats à durée de vie plus courte. Et je pense que cela ne fera pas une grande différence car les certificats SSL les plus utilisés de Let's Encrypt sont déjà valables 90 jours, donc cela n'aurait pas beaucoup d'impact de toute façon.

Doc Pop : Revenons donc à parler de Really Simple SSL. Il existe une version sur le référentiel WordPress, le référentiel de plugins, la version gratuite avec 5 millions. Je sais que je n'arrête pas de le dire, mais c'est un chiffre tellement choquant, 5 millions d'utilisateurs actifs ou plus.

Quelle est la différence entre la version gratuite de Really Simple SSL et la version pro que je sais que vous proposez ?

Rogier Lankhorst : La version pro contient principalement beaucoup d'en-têtes de sécurité et je pense que la plupart des utilisateurs ne sont pas vraiment familiers avec les en-têtes de sécurité. Mais ce sont des en-têtes très importants que les utilisateurs peuvent définir sur leurs sites Web, ce qui augmentera également la sécurité. Et pas seulement pour leur propre site Web, mais aussi pour les visiteurs du site Web, ce qui, je pense, est souvent oublié en matière de sécurité.

Nous facilitons la configuration des en-têtes de sécurité et nous travaillons actuellement sur la détection de vulnérabilités par exemple. Nous avons une fonctionnalité qui gère automatiquement les mises à jour ou l'heure actuelle, si une vulnérabilité est détectée. Nous avons également de nouvelles fonctionnalités intéressantes à venir, qui empêcheront la création d'utilisateurs administrateurs par d'autres méthodes que la mise à jour ou la création du profil utilisateur WordPress.

Donc, si vous regardez les vulnérabilités récentes, vous verrez qu'un gros problème est lorsque les utilisateurs administrateurs sont créés. Donc, si vous verrouillez cela, vous évitez beaucoup de vulnérabilités.

Doc Pop : Nous avions parlé du classement de ce plugin et du référentiel WordPress. Je suis sur la page populaire sur wordpress.org/plugins en ce moment, et je ne sais pas si ceux-ci sont classés en termes d'ordre, mais ce sont tous des plugins avec 5 millions d'installations actives ou plus. Je vois que sur cette liste, Really Simple SSL est le neuvième. Je pense que cela pourrait en fait signifier que c'est le neuvième plugin le plus populaire en ce moment en termes d'installations actives.

Rogier Lankhorst : Absolument. Ouais.

Doc Pop : Waouh. C'est incroyable. Ce n'est pas une grande surprise de voir Yoast et WooCommerce et Akismet ici. Je n'ai pas l'occasion de parler aux personnes qui ont créé des plugins aussi populaires.

Je n'ai pas l'occasion de leur parler trop souvent. Je suis juste un peu curieux pendant que vous êtes ici, à quoi cela ressemble-t-il ? Je veux dire, je suppose que ma première question est que lorsque vous avez un plugin gratuit aussi fou et populaire, j'imagine que cela rend les choses vraiment difficiles, vous recevez probablement beaucoup de demandes, beaucoup de commentaires, beaucoup de questions et de demandes d'aide.

Comment gérez-vous cela pour un plugin gratuit?

Rogier Lankhorst : Je pense qu'il n'y a pas autant de demandes d'assistance que les gens le pensent souvent. Au cours du développement du plugin et au cours des sept, huit dernières années, j'ai toujours essayé soit de créer un article sur le site Web lorsqu'il y avait une question, soit de créer une solution dans le plugin lui-même, soit de le rendre plus clair dans le plugin .

Donc, cette approche a vraiment réduit le soutien. Et nous sommes maintenant avec une entreprise de 10 personnes et avec seulement deux représentants du support. Nous avons également deux autres plugins, avec je pense au total, plus de six millions et demi d'installations. Je pense donc que la charge de support n'est pas aussi importante que beaucoup de gens le pensent en regardant le nombre d'installations.

Doc Pop : Pouvez-vous nous parler du business model d'un plugin gratuit comme celui-ci ? Comment une entreprise comme la vôtre peut-elle activer 5 millions d'installations actives sur Really Simple SSL et rester une entreprise ?

Rogier Lankhorst : Eh bien, bien sûr, pour 100 utilisateurs gratuits, il y a quelqu'un qui achète le plugin premium. C'est là que nous pouvons construire une entreprise à partir des mises à niveau. Parfois, les utilisateurs gratuits se plaignent des mises à jour. Et nous voulons dire aux utilisateurs ce que nous offrons.

Et ils disent toujours, eh bien, je pense que c'est beaucoup parce que le plugin premium nous permet de développer gratuitement pour 5 millions d'utilisateurs.

Doc Pop : Et en termes d'équilibre entre ce qui se passe dans la version gratuite et ce qui se passe dans les versions pro, avez-vous des idées sur la façon dont vous déterminez parfois comment les choses sont facturées ou comment les choses restent gratuites pour aider à promouvoir le produit plus large. Est-il difficile de décider quand de nouvelles fonctionnalités seront ajoutées si elles sont réservées aux pros ou si elles sont gratuites ?

Rogier Lankhorst : Oui. C'est toujours une discussion difficile à laquelle réfléchir, ce qui devrait être dans le gratuit et ce qui devrait être dans le premium. Et nous donnons généralement beaucoup, je pense. Notre approche principale est comme avec les vulnérabilités, la détection est gratuite et tout le monde peut voir s'il a un plugin vulnérable, mais les solutions automatiques pour cela sont premium.

C'est ainsi qu'il est divisé. Et avec la dernière des mises à jour à venir, je pense que nous ajouterons plus dans le plugin premium comme la protection de connexion, l'authentification à deux facteurs et la limitation des tentatives de connexion, des trucs comme ça. C'est aussi parce que nous pensons qu'il y a déjà tellement de choses dans le plugin gratuit que nous voulons garder le bon équilibre. Nous voulons commencer à mettre plus dans une prime dès maintenant.

Doc Pop : Et je pense que c'est un bon endroit pour nous de mettre notre épisode gratuit du podcast en pause publicitaire, ce qui aide à le garder gratuit. C'est une belle transition.

Restez à l'écoute après cette courte pause, nous allons revenir et conclure notre conversation avec Rogier de Really Simple Plugins sur certains des autres plugins que Really Simple propose actuellement.

Donc restez à l'écoute pour en savoir plus.

Doc Pop : Bienvenue à nouveau dans Press This, un podcast de la communauté WordPress. Je suis votre hôte Doc Pop. Aujourd'hui, je parle à Rogier Lankhorst, le développeur principal des plugins Really Simple. Nous avons parlé des certificats SSL et de Really Simple SSL. Nous avons également parlé du fait que Rogier, vous avez plusieurs autres plugins là-bas.

Quels sont les autres plugins sur lesquels vous vous concentrez actuellement chez Really Simple plugins ?

Rogier Lankhorst : Nous avons Complianz, qui est une solution de confidentialité. Et c'est le plugin qui connaît la croissance la plus rapide en dehors de Really Simple SSL. De plus, il propose une bannière de cookies et bloque également les services qui nécessitent un consentement, conformément aux lois locales sur la confidentialité comme le GDPR en Europe. Le Canada est également en train de créer une loi sur la protection de la vie privée. Donc, beaucoup de choses changent dans la législation sur la protection de la vie privée. Le plugin offre donc un moyen de gérer cela automatiquement.

Et nous avons également un plugin de statistiques, qui est assez nouveau. Il a récemment atteint 100 000 installations, et l'objectif est de fournir une solution de statistiques respectueuse de la vie privée, de sorte que vous n'ayez pas à utiliser Google Analytics, qui nécessite un consentement dans la plupart des pays, vous y perdez donc des données.

Doc Pop : C'est vraiment intéressant que vous en parliez car j'ai beaucoup réfléchi ces derniers temps à Google et à la relation du web avec Google. Et je pense que je n'ai plus vraiment besoin d'avoir Google Analytics sur mon site. Je n'ai pas besoin que les gens refusent les cookies si la seule chose qui existe réellement est Google Analytics.

Donc je me dis, vous parlez de statistiques en rafale et vous dites que c'est une alternative à cela. Je suis tout ouïe. Ça m'intéresse vraiment.

Rogier Lankhorst : Oui. C'est plutôt cool car je pense que la plupart des utilisateurs ne connaissent que Google Analytics et qu'ils ne savent pas qu'il existe d'autres solutions. Et la plupart des utilisateurs ne sont pas non plus conscients des problèmes de confidentialité soulevés par Google Analytics, en particulier dans les législations plus strictes en matière de confidentialité.

Doc Pop : Eh bien, merci beaucoup d'être venu dans l'émission aujourd'hui et d'avoir parlé du travail que vous faites et de SSL en général. Cela a été très intéressant de discuter avec vous. Si les gens veulent en savoir plus sur ce sur quoi vous travaillez, quel est un bon moyen de suivre les plugins Really Simple et peut-être sur quoi vous travaillez.

Rogier Lankhorst : Suivez-moi sur Twitter. Ou inscrivez-vous à notre newsletter sur ReallySimpleSSL.com, nous enverrons des newsletters sur nos dernières nouvelles toutes les quelques semaines.

Doc Pop : Eh bien, c'est super. J'apprécie vraiment que tu sois dans l'émission. Euh, merci à tous d'avoir écouté Press This, un podcast de la communauté WordPress de WMR. Nous avons eu beaucoup d'épisodes géniaux ces derniers temps, et bientôt nous irons au WordCamp US, dont nous espérons revenir avec beaucoup plus d'histoires intéressantes et d'interviews avec des gens.

Doc Pop : Merci d'avoir écouté Press This, un podcast de la communauté WordPress sur WMR. Encore une fois, je m'appelle Doc et vous pouvez suivre mes aventures avec le magazine Torque sur Twitter @thetorquemag ou vous pouvez aller sur torquemag.io où nous contribuons chaque jour à des tutoriels, des vidéos et des interviews comme celle-ci. Alors consultez torquemag.io ou suivez-nous sur Twitter. Vous pouvez vous abonner à Press This sur Red Circle, iTunes, Spotify, ou vous pouvez le télécharger directement sur wmr.fm chaque semaine. Je suis votre hôte Doctor Popular Je soutiens la communauté WordPress grâce à mon rôle chez WP Engine. Et j'adore mettre en lumière les membres de la communauté chaque semaine sur Press This.