Premi questo: SSL davvero semplice con Rogier Lankhorst
Pubblicato: 2023-08-19Benvenuti a Press This, il podcast della community WordPress di WMR. Ogni episodio presenta ospiti provenienti da tutta la comunità e discussioni sui maggiori problemi che devono affrontare gli sviluppatori di WordPress. Quanto segue è una trascrizione della registrazione originale.
Alimentato da RedCircle
Doc Pop : Stai ascoltando Press This, un podcast della community di WordPress su WMR. Ogni settimana mettiamo in luce i membri della community di WordPress. Sono il tuo ospite, Doc Pop. Sostengo la community di WordPress attraverso il mio ruolo in WP Engine e i miei contributi su TorqueMag.Io dove posso fare podcast e disegnare cartoni animati e video tutorial. Controlla quello.
Puoi iscriverti a Press This su Red Circle, iTunes, Spotify, la tua app di podcasting preferita oppure puoi scaricare gli episodi direttamente su wmr.fm.
Oggi ci addentriamo nel mondo critico della sicurezza dei siti web con un riflettore sui certificati SSL. Il certificato SSL è come uno scudo virtuale che crittografa i dati e protegge i dati dell'utente. Ora, se questo non è abbastanza per tenerti in ascolto, immagina di dedicare il tuo cuore e la tua anima alla creazione di un bellissimo sito Web solo per avere Google che appone una grande etichetta "Non sicuro" sul tuo sito quando i visitatori provano ad accedervi tramite Chrome, semplicemente perché non lo sei t utilizzando HTTPS o SSL.
Qui per parlare con me oggi è Rogier Lankhorst, lo sviluppatore principale di Really Simple Plugins, i creatori del popolarissimo plugin WordPress, Really Simple SSL, Rogier, grazie mille per esserti unito a noi oggi.
Mi piacerebbe conoscere la tua storia di origine e come sei entrato in WordPress.
Rogier Lankhorst: Beh, grazie per avermi ospitato nello show. Inizialmente, credo nel 2016, un cliente mi ha chiesto di inserire il suo sito Web in SSL il più rapidamente possibile. Quindi ho installato un plug-in che era popolare in quel momento e l'intero sito è andato in crash. Quindi in quel momento, ho pensato di poterlo fare in modo più leggero e semplice, con un solo clic di installazione.
E l'ho pubblicato su WordPress e dopo è stato davvero un ottovolante.
Doc Pop: Assolutamente. E questo non era il tuo primo plugin per WordPress, giusto? Questo è stato il primo che è decollato davvero in modo così massiccio, ma prima avevi altri plugin Really Simple.
Rogier Lankhorst: Alcuni esperimenti davvero piccoli, cose a cui ho pensato in quel momento e le ho pubblicate e non sono decollate davvero, come hai detto. Quindi Really Simple SSL è stato il primo, grande successo che potresti dire.
Doc Pop: Mi piace sempre quell'analogia sull'acquisto di molti biglietti della lotteria. Come se avessi fatto molti esperimenti e uno di loro ha preso piede e sei stato in grado di costruire un business da esso. E visto che stiamo parlando di SSL, puoi dire agli ascoltatori cos'è un certificato SSL? E perché è importante che un sito WordPress ne abbia uno?
Rogier Lankhorst: Con i certificati SSL, il sito Web crittografa tutti i dati prima che vengano inviati al visitatore del sito Web e viceversa. Quindi aiuta a proteggere il Web e non solo per i negozi online, ma anche per qualsiasi sito Web che altrimenti potrebbe essere impersonato da aggressori. Ed è anche ottimo per il posizionamento su Google.
E sembra molto meglio nel tuo browser se c'è un lucchetto sul tuo sito web. SSL è gratuito, quindi perché non installarlo?
Doc Pop: Ho menzionato all'inizio di questo spettacolo, come la prima volta che ho pensato a SSL è stato quando stavo usando Chrome e mi sono imbattuto in un sito che non era sicuro e quel sito era mio. Quindi ero spaventato dal mio stesso sito. E ho dovuto imparare a installare i certificati SSL per avere, si spera, un'esperienza migliore quando gli utenti vengono sul mio sito e lo vedono. Una volta installato SSL e disponi di un indirizzo HTTPS, Google non mostrerà più quell'avviso durante le visite di Chrome, ma influisce anche sulla SEO?
Rogier Lankhorst: Sì, certo. Google ha molti potenti strumenti per convincere gli utenti a fare ciò che vogliono. E lo strumento più potente che hanno è la classifica. Quindi, se vogliono che i proprietari di siti web facciano qualcosa, lo inseriscono semplicemente nel meccanismo di classificazione e il sito web seguirà.
Doc Pop: E hai detto che i certificati SSL sono gratuiti in questi giorni. Credo che quando mi sono registrato per la prima volta, stava appena iniziando a succedere, sembrava che fosse un processo doloroso e forse costava un po' di soldi e poi sono arrivati servizi come Let's Encrypt e l'hanno reso davvero più facile. Inoltre, molti host web, incluso il mio, hanno iniziato a offrire Let's Encrypt gratuitamente, hanno iniziato a integrarlo nel processo per renderlo il più semplice possibile, il che è davvero utile.
Quindi, con queste alternative disponibili ora per poter installare, magari dal mio host, c'è una ragione per cui qualcuno dovrebbe ancora utilizzare Really Simple SSL invece che se il proprio host lo offre?
Rogier Lankhorst: Bene, Really Simple SSL non è stato originariamente creato per generare certificati SSL. È solo qualcosa che abbiamo aggiunto due anni fa, perché ho pensato, beh, se siamo Really Simple SSL, dovremmo essere in grado di generare anche un certificato, ma non è il motivo principale per cui le persone installano Really Simple SSL.
Quando gli utenti hanno SSL, spesso non sanno cosa farne. E in WordPress, devi fare alcune cose; aggiungi reindirizzamenti, correggi contenuti misti, cose del genere, aggiungi intestazioni di sicurezza per ottenere davvero tutto dall'SSL sicuro che puoi ottenere da esso. Quindi penso che sia ancora il motivo principale, le persone installano Really Simple SSL solo per il metodo più rapido per configurare SSL sul tuo sito web.
Doc Pop: Sì, e ci sono alcune funzionalità di sicurezza aggiuntive che non sono, non le penso necessariamente come correlate a SSL che fanno parte di Really Simple SSL. Puoi parlarci di alcune delle altre funzionalità avanzate incluse in un SSL davvero semplice?
Rogier Lankhorst: Abbiamo notato che molte persone già pensavano a noi come a un plug-in di sicurezza. Quindi, è stato allora che ho pensato che dovevamo soddisfare quelle aspettative. Abbiamo iniziato con l'aggiunta di alcune funzionalità di rafforzamento, come il blocco della registrazione dell'utente. Molti proprietari di siti Web non sono a conoscenza del fatto che la registrazione dell'utente è aperta e cose come la posizione del registro di debug, che può contenere informazioni importanti, come indirizzi e-mail degli utenti o chiavi di licenza o cose del genere. Modifica dei file, feedback sulla schermata di accesso.
Se accedi e WordPress dice che il nome utente non è corretto, l'aggressore lo sa, posso riprovare. Quindi tutte queste cose sono davvero l'inizio per noi per ampliare alla fine un plug-in di sicurezza completo. E l'ultima funzionalità che abbiamo aggiunto è stata il rilevamento delle vulnerabilità, che è davvero un ottimo strumento per proteggere davvero il tuo sito Web poiché la maggior parte dei problemi nei siti Web WordPress con sicurezza sono causati da plug-in con una vulnerabilità, che non vengono aggiornati. Quindi, se gli utenti ne sono più consapevoli, penso che WordPress diventerà molto più sicuro.
Doc Pop: Tutto ciò che hai menzionato, penso, sono piccole irritazioni che le persone hanno sulla sicurezza di WordPress. Ed è davvero interessante che Really Simple SSL si sia evoluto in questo modo semplice per installare un certificato SSL, ma anche queste cose dovrebbero essere patchate. Ecco un modo davvero semplice per risolverlo.
Sono curioso di sapere se il gonfiore è una tua preoccupazione, quando hai un plug-in chiamato Really Simple SSL. A volte sei preoccupato che aggiungendo queste funzionalità extra, potresti renderlo un po' più difficile? E poi immagino, oltre a questo, stai anche pensando di cambiare il nome del plugin man mano che aggiungi altre funzionalità?
Rogier Lankhorst: Sì, beh, alla fine questo è l'obiettivo che diventerà Really Simple Security. Penso che sarà l'inizio del prossimo anno. Ma mentre si parla di gonfiore, è una cosa difficile. Vuoi mantenere le cose il più semplici possibile. Quindi abbiamo lavorato sodo per rendere ancora possibile solo l'attivazione SSL.
E tutte le altre cose sono modulari e non caricate quando non le usi, ma allo stesso tempo, penso che siamo davvero bravi a rendere le cose complesse davvero semplici.
Penso che sia qui che il nostro potere è ciò che possiamo davvero fare per le persone per renderlo davvero semplice per gli utenti non tecnici. E per gli utenti più avanzati, possono immergersi un po' di più nelle impostazioni.
Doc Pop: È meraviglioso. Penso che sia un buon posto per fare una breve pausa. E quando torneremo, continueremo a parlare con Rogier della spinta di Google per SSL. E immagino che parleremo un po' di più di com'è avere uno dei plugin più popolari nel repository di WordPress.
Quindi resta sintonizzato per quello.
Doc Pop: Bentornati a Press This, un podcast della community di WordPress. Sono il tuo ospite Doc Pop. Oggi parlo con Rogier Lankhorst, lo sviluppatore principale di Really Simple Plugins. E stiamo parlando di SSL perché i plug-in Really Simple creano un plug-in estremamente popolare chiamato Really Simple SSL. Rogier prima, prima di questa interruzione ho detto che una grande ragione per cui stiamo parlando di certificati SSL in questi giorni è in gran parte perché Google ha fatto pressioni sul web affinché ciò accadesse.
Sto anche vedendo che Google sta spingendo per forse accorciare il termine. Quindi alcuni certificati SSL durano circa due anni e Google sta parlando di spingere per certificati SSL di 90 giorni. Hai pensato a come Google ha incoraggiato le persone a ottenere SSL?
Pensi che abbia funzionato bene per tutti?
Rogier Lankhorst: Beh, penso che sia una buona cosa. Quando Google ha iniziato con questo, molti utenti pensavano ancora che SSL non fosse importante per me perché ho solo un piccolo blog. Non ho dati utente sul mio sito, ma ci sono molti altri modi in cui gli aggressori possono utilizzare quel tipo di connessione tra siti web e magari mostrare informazioni sbagliate agli utenti, fingendo di essere lì con un altro sito web.
Quindi penso che sia molto importante che alla fine tutti i siti web dispongano di una connessione SSL. Quindi penso che anche se Google ha sempre le sue ragioni per fare cose del genere. In questo caso. È una buona cosa.
Doc Pop: E i limiti di 90 giorni, ci hai pensato?
Rogier Lankhorst: Beh, non conosco molto bene le ragioni che stanno dietro, devo ammetterlo, ma ne so un po' e so che è più sicuro avere certificati di durata più breve. E penso che non farà molta differenza perché i certificati SSL più utilizzati da Let's Encrypt sono già per 90 giorni, quindi non avrebbe comunque molto impatto.
Doc Pop: Quindi torniamo a parlare di Really Simple SSL. C'è una versione sul repository di WordPress, il repository dei plugin, la versione gratuita con 5 milioni. So che continuo a dirlo, ma è un numero così scioccante, 5 milioni di utenti attivi o più.
Qual è la differenza tra la versione gratuita di Really Simple SSL e la versione pro che so che offrite?
Rogier Lankhorst: La versione pro contiene principalmente molte intestazioni di sicurezza e penso che la maggior parte degli utenti non abbia molta familiarità con le intestazioni di sicurezza. Ma queste sono alcune intestazioni molto importanti che gli utenti possono impostare sui loro siti Web, il che aumenterà anche la sicurezza. E non solo per il proprio sito Web, ma anche per i visitatori del sito Web, che penso siano spesso dimenticati per sicurezza.
Semplifichiamo la configurazione delle intestazioni di sicurezza e attualmente stiamo lavorando al rilevamento delle vulnerabilità, ad esempio. Abbiamo una funzione che gestisce automaticamente gli aggiornamenti o l'ora corrente, se viene rilevata una vulnerabilità. Abbiamo anche alcune nuove fantastiche funzionalità in arrivo, che impediranno la creazione di utenti amministratori con metodi diversi dall'aggiornamento o dalla creazione del profilo utente di WordPress.
Quindi, se guardi alle recenti vulnerabilità, vedrai che un grosso problema è quando vengono creati gli utenti amministratori. Quindi, se lo blocchi, previeni molte vulnerabilità.
Doc Pop: Avevamo parlato della classifica di questo plugin e del repository di WordPress. Sono sulla pagina popolare su wordpress.org/plugins in questo momento e non so se questi sono classificati in termini di ordine, ma questi sono tutti plugin con 5 milioni di installazioni attive o superiori. Vedo che solo in questo elenco, Really Simple SSL è il nono in basso. Penso che potrebbe effettivamente significare che è il nono plug-in più popolare al momento in termini di installazioni attive.
Rogier Lankhorst: Assolutamente. Sì.
Doc Pop: Wow. È incredibile. Non è una grande sorpresa vedere Yoast, WooCommerce e Akismet qui. Non riesco a parlare con persone che hanno creato plugin così popolari.
Non ho la possibilità di parlare con loro troppo spesso. Sono solo un po' curioso visto che sei qui, com'è? Voglio dire, immagino che la mia prima domanda sia quando hai un plug-in gratuito così follemente popolare, immagino che lo renda davvero difficile, probabilmente ricevi molte richieste, molti commenti, molte domande e richieste di aiuto.
Come lo gestisci per un plugin gratuito?
Rogier Lankhorst: Penso che non ci siano così tante richieste di supporto come spesso pensano le persone. Durante lo sviluppo del plugin e negli ultimi sette, otto anni, ho sempre cercato di creare un articolo sul sito web quando c'era una domanda o di creare una soluzione nel plugin stesso, o di renderlo più chiaro nel plugin .
Quindi questo approccio ha davvero ridotto il supporto. E ora siamo con un'azienda di 10 e con solo due rappresentanti di supporto. Abbiamo anche altri due plugin, con un totale di oltre sei milioni e mezzo di installazioni. Quindi penso che il carico di supporto non sia così grande come molte persone pensano guardando i numeri delle installazioni.
Doc Pop: Puoi parlarci del modello di business di un plugin gratuito come questo? In che modo un'azienda come la tua consente 5 milioni di installazioni attive su Really Simple SSL ed è ancora un'azienda?
Rogier Lankhorst: Ovviamente, per ogni 100 utenti gratuiti, c'è qualcuno che acquista il plug-in premium. È lì che possiamo costruire un'azienda dagli aggiornamenti. A volte gli utenti gratuiti si lamentano degli aggiornamenti. E vogliamo dire agli utenti cosa offriamo.
E dicono sempre, beh, penso che sia un ottimo affare perché il plug-in premium ci consente di sviluppare gratuitamente per 5 milioni di utenti.
Doc Pop: E in termini di bilanciamento di ciò che va nelle versioni gratuite e cosa va nelle versioni pro, hai dei pensieri su come a volte determini come le cose vengono addebitate o come le cose rimangono gratuite per aiutare a promuovere il prodotto più grande. È difficile decidere quando aggiungere nuove funzionalità se sono solo per professionisti o se sono gratuite?
Rogier Lankhorst: Sì. È sempre una discussione difficile a cui pensare, cosa dovrebbe essere gratuito e cosa dovrebbe essere premium. E di solito regaliamo molto, credo. Il nostro approccio principale è come con le vulnerabilità, il rilevamento è gratuito e tutti possono vedere se hanno un plug-in vulnerabile, ma le soluzioni automatiche per questo sono premium.
Quindi è così che è diviso. E con l'ultimo dei prossimi aggiornamenti, penso che aggiungeremo altro nel plugin premium come la protezione dell'accesso, l'autenticazione a due fattori e limiteremo i tentativi di accesso, cose del genere. Questo anche perché pensiamo che ci sia già così tanto nel plugin gratuito che vogliamo mantenere il giusto equilibrio. Vogliamo iniziare a mettere di più in un premium in questo momento.
Doc Pop: E penso che sia un buon punto per noi per portare il nostro episodio gratuito del podcast in una pausa pubblicitaria, il che aiuta a mantenerlo libero. È un bel seguito.
Resta sintonizzato perché dopo questa breve pausa, torneremo e concluderemo la nostra conversazione con Rogier di Really Simple Plugins su alcuni degli altri plugin che Really Simple sta offrendo in questo momento.
Quindi rimanete sintonizzati per saperne di più.
Doc Pop: Bentornati a Press This, un podcast della community di WordPress. Sono il tuo ospite Doc Pop. Oggi parlo con Rogier Lankhorst, lo sviluppatore principale dei plug-in Really Simple. Abbiamo parlato di certificati SSL e di Really Simple SSL. Abbiamo anche parlato del fatto che Rogier, hai molti altri plugin là fuori.
Quali sono alcuni degli altri plugin su cui ti stai attualmente concentrando su plugin Really Simple?
Rogier Lankhorst: Abbiamo Complianz, che è una soluzione per la privacy. Ed è il plug-in in più rapida crescita oltre a Really Simple SSL. Inoltre, offre un cookie banner e blocca anche i servizi che richiedono il consenso, secondo le leggi locali sulla privacy come il GDPR in Europa. Anche il Canada sta creando una legge sulla privacy. Quindi molte cose stanno cambiando nella legislazione sulla privacy. Quindi il plugin offre un modo per gestirlo automaticamente.
E abbiamo anche un plugin per le statistiche, che è abbastanza nuovo. Recentemente ha raggiunto le 100.000 installazioni e l'obiettivo è fornire una soluzione statistica rispettosa della privacy, quindi non è necessario utilizzare Google Analytics, che richiede il consenso nella maggior parte dei paesi, quindi si perdono dati lì.
Doc Pop: È davvero interessante che tu ne parli perché ultimamente ho pensato molto a Google e al rapporto del web con Google. E sto pensando, non ho più bisogno di avere Google Analytics sul mio sito. Non ho bisogno che le persone disattivino i cookie se l'unica cosa che c'è davvero è Google Analytics.
Quindi sono tipo, stai parlando di statistiche esplosive e stai dicendo che è un'alternativa a quello. Sono tutto orecchie. Sono decisamente interessato a questo.
Rogier Lankhorst: Sì. È piuttosto interessante perché penso che la maggior parte degli utenti conosca solo Google Analytics e non sappia che ci sono più soluzioni. E la maggior parte degli utenti non è nemmeno a conoscenza dei problemi di privacy sollevati da Google Analytics, specialmente nelle normative sulla privacy più rigide.
Doc Pop: Bene, grazie mille per essere venuto allo show oggi e aver parlato del lavoro che state facendo e di SSL in generale. È stato molto interessante chattare con te. Se le persone vogliono saperne di più su ciò su cui stai lavorando, qual è un buon modo per tenere traccia dei plug-in Really Simple e forse su cosa stai lavorando.
Rogier Lankhorst: Seguimi su Twitter. Oppure iscriviti alla nostra newsletter su ReallySimpleSSL.com, invieremo newsletter sulle nostre ultime notizie ogni poche settimane.
Doc Pop: Beh, è fantastico. Apprezzo molto averti nello show. Uh, grazie a tutti per aver ascoltato Press This, un podcast della community WordPress di WMR. Abbiamo avuto un sacco di grandi episodi ultimamente, e presto andremo al WordCamp US, dove speriamo di tornare da lì con storie e interviste molto più interessanti.
Doc Pop: Grazie per aver ascoltato Press This, un podcast della community di WordPress su WMR. Ancora una volta, mi chiamo Doc e puoi seguire le mie avventure con la rivista Torque su Twitter @thetorquemag oppure puoi andare su torquemag.io dove contribuiamo con tutorial, video e interviste come questa ogni giorno. Dai un'occhiata a torquemag.io o seguici su Twitter. Puoi iscriverti a Press This su Red Circle, iTunes, Spotify o puoi scaricarlo direttamente su wmr.fm ogni settimana. Sono il tuo host Doctor Popular Sostengo la community di WordPress attraverso il mio ruolo in WP Engine. E mi piace mettere in luce i membri della comunità ogni settimana su Press This.