Naciśnij to: Naprawdę proste SSL z Rogierem Lankhorstem

Witamy w Press This, podcaście społeczności WordPress z WMR. Każdy odcinek zawiera gości z całej społeczności i dyskusje na temat największych problemów, przed którymi stoją programiści WordPress. Poniżej znajduje się transkrypcja oryginalnego nagrania.

Obsługiwane przez RedCircle

Doc Pop : Słuchasz Press This, podcastu społeczności WordPress w WMR. Co tydzień zwracamy uwagę na członków społeczności WordPress. Jestem twoim gospodarzem, Doc Pop. Wspieram społeczność WordPress poprzez moją rolę w WP Engine i mój wkład w TorqueMag.Io, gdzie robię podcasty i rysuję kreskówki oraz filmy instruktażowe. Sprawdź to.

Możesz subskrybować Press This w Red Circle, iTunes, Spotify, swojej ulubionej aplikacji do podcastów lub pobierać odcinki bezpośrednio na wmr.fm.

Dzisiaj zanurzamy się w krytyczny świat bezpieczeństwa witryn internetowych, skupiając się na certyfikatach SSL. Certyfikat SSL jest jak wirtualna tarcza, która szyfruje dane i chroni dane Twojego użytkownika. Teraz, jeśli to nie wystarczy, aby Cię słuchać, wyobraź sobie, że wkładasz całe serce i duszę w tworzenie pięknej strony internetowej tylko po to, by Google przykleił dużą etykietę „Niezabezpieczona” na Twojej stronie, gdy odwiedzający próbują uzyskać do niej dostęp przez Chrome, po prostu dlatego, że nie jesteś t za pomocą HTTPS lub SSL.

Dziś rozmawia ze mną Rogier Lankhorst, główny programista Really Simple Plugins, twórcy niezwykle popularnej wtyczki WordPress, Really Simple SSL, Rogier, dziękuję bardzo za dołączenie do nas dzisiaj.

Chciałbym usłyszeć o Twojej historii pochodzenia i o tym, jak dostałeś się do WordPressa.

Rogier Lankhorst: Cóż, dziękuję za zaproszenie mnie do programu. Pierwotnie, jak sądzę, w 2016 roku klient poprosił mnie o jak najszybsze wprowadzenie protokołu SSL w jego witrynie. Zainstalowałem więc popularną wówczas wtyczkę i cała strona przestała działać. Więc w tamtym momencie pomyślałem, że mogę zrobić to lżej i łatwiej, instalując tylko jednym kliknięciem.

Opublikowałem to na WordPressie i po tym naprawdę była to kolejka górska.

Doktor Pop: Oczywiście. I to nie była twoja pierwsza wtyczka WordPress, prawda? To była pierwsza, która naprawdę odniosła sukces w tak masowy sposób, ale wcześniej miałeś kilka innych naprawdę prostych wtyczek.

Rogier Lankhorst: Niektóre naprawdę małe eksperymenty, rzeczy, o których wtedy pomyślałem i je opublikowałem, ale tak naprawdę nie odniosły sukcesu, jak powiedziałeś. So Really Simple SSL był pierwszym, wielkim hitem, o którym można powiedzieć.

Doc Pop: Zawsze podobała mi się ta analogia z kupowaniem wielu losów na loterię. Na przykład przeprowadziłeś wiele eksperymentów, a jeden z nich się przyjął i udało ci się zbudować z tego biznes. A skoro mówimy o SSL, czy możesz powiedzieć słuchaczom, czym jest certyfikat SSL? I dlaczego ważne jest, aby witryna WordPress ją miała?

Rogier Lankhorst: Dzięki certyfikatom SSL witryna szyfruje wszystkie dane przed wysłaniem do odwiedzającego witrynę i odwrotnie. Pomaga więc zabezpieczyć sieć nie tylko w przypadku sklepów internetowych, ale także każdej witryny internetowej, pod którą atakujący mogliby się podszyć. Świetnie nadaje się również do pozycjonowania w Google.

I po prostu wygląda o wiele lepiej w przeglądarce, jeśli na Twojej stronie internetowej jest blokada. SSL jest bezpłatny, więc dlaczego go nie zainstalować?

Doc Pop: Wspomniałem na początku tego programu, że po raz pierwszy pomyślałem o SSL, kiedy korzystałem z Chrome i natknąłem się na niezabezpieczoną stronę, która była moja. Przestraszyłem się więc własnej strony. I musiałem nauczyć się instalować certyfikaty SSL, aby mieć lepsze wrażenia, gdy użytkownicy odwiedzają moją witrynę i ją widzą. Gdy zainstalujesz SSL i masz adres HTTPS, Google nie będzie już wyświetlać tego ostrzeżenia podczas wizyt w Chrome, ale czy ma to również wpływ na SEO?

Rogier Lankhorst: Tak, jasne. Google ma wiele potężnych narzędzi, dzięki którym użytkownicy mogą robić to, co chcą. A najpotężniejszym narzędziem, jakie mają, jest ranking. Więc jeśli chcą, aby właściciele witryn coś zrobili, po prostu umieszczają to w mechanizmie rankingowym, a strona podąży za nimi.

Doc Pop: Wspomniałeś, że certyfikaty SSL są obecnie bezpłatne. Wydaje mi się, że kiedy po raz pierwszy się do nich zapisałem, wydawało się, że to bolesny proces i być może kosztował trochę pieniędzy, a potem pojawiły się usługi takie jak Let's Encrypt i naprawdę to ułatwiły. Co więcej, wielu hostów internetowych, w tym mój, zaczęło oferować bezpłatne Let's Encrypt, zaczęli wbudowywać je w proces, aby był jak najprostszy, co jest naprawdę pomocne.

Więc z tymi alternatywami, które można teraz zainstalować, być może z mojego hosta, czy istnieje powód, dla którego ktoś nadal korzystałby z Really Simple SSL zamiast, gdyby ich host to oferował?

Rogier Lankhorst: Cóż, naprawdę proste SSL nie zostało pierwotnie stworzone do generowania certyfikatów SSL. To po prostu coś, co dodaliśmy dwa lata temu, ponieważ pomyślałem, że jeśli mamy naprawdę prosty protokół SSL, powinniśmy również móc wygenerować certyfikat, ale nie jest to główny powód, dla którego ludzie instalują naprawdę prosty protokół SSL.

Kiedy użytkownicy mają SSL, często nie wiedzą, co z tym zrobić. A w WordPress musisz zrobić kilka rzeczy; dodaj przekierowania, napraw mieszane treści i tym podobne rzeczy, dodaj nagłówki bezpieczeństwa, aby naprawdę wydobyć wszystko z bezpiecznego SSL, z którego możesz się wydostać. Myślę więc, że to wciąż główny powód, dla którego ludzie instalują Really Simple SSL, aby uzyskać najszybszą metodę konfiguracji SSL w Twojej witrynie.

Doc Pop: Tak, i jest kilka dodatkowych funkcji bezpieczeństwa, które nie są, nie myślę o nich koniecznie jako związanych z SSL, które są częścią Really Simple SSL. Czy możesz nam powiedzieć o niektórych innych zaawansowanych funkcjach, które zawiera Really Simple SSL?

Rogier Lankhorst: Zauważyliśmy, że wiele osób myślało o nas jako o wtyczce bezpieczeństwa. Wtedy pomyślałem, że musimy spełnić te oczekiwania. Zaczęliśmy od dodania pewnych funkcji wzmacniających, takich jak blokowanie rejestracji użytkowników. Wielu właścicieli witryn nie zdaje sobie sprawy, że rejestracja użytkownika jest otwarta i takie rzeczy jak lokalizacja dziennika debugowania, który może zawierać ważne informacje, takie jak adresy e-mail użytkowników lub klucze licencyjne lub tym podobne. Edycja plików, informacja zwrotna na ekranie logowania.

Jeśli zalogujesz się i WordPress powie, że nazwa użytkownika jest niepoprawna, atakujący wie, mogę spróbować ponownie. Tak więc wszystkie te rzeczy są dla nas początkiem, aby w końcu rozszerzyć się na w pełni bezpieczną wtyczkę. Ostatnią funkcją, którą dodaliśmy, było wykrywanie luk w zabezpieczeniach, które jest naprawdę świetnym narzędziem do naprawdę bezpiecznego zabezpieczenia witryny, ponieważ większość problemów w witrynach WordPress z bezpieczeństwem jest spowodowana przez wtyczki z luką w zabezpieczeniach, które nie są aktualizowane. Więc jeśli użytkownicy będą tego bardziej świadomi, myślę, że WordPress stanie się o wiele bardziej bezpieczny.

Doc Pop: Myślę, że wszystko, o czym wspomniałeś, to małe irytacje, które ludzie mają na temat bezpieczeństwa WordPress. I to naprawdę interesujące, że Really Simple SSL ewoluowało w ten łatwy sposób instalowania certyfikatu SSL, ale także te rzeczy powinny zostać załatane. Oto naprawdę prosty sposób, aby to naprawić.

Jestem trochę ciekawy, czy wzdęcie jest twoim zmartwieniem, kiedy masz wtyczkę o nazwie Really Simple SSL. Czy czasami martwisz się, że dodając te dodatkowe funkcje, możesz to trochę utrudnić. A poza tym myślę, że myślisz również o zmianie nazwy wtyczki, gdy dodasz więcej funkcji?

Rogier Lankhorst: Tak, cóż, ostatecznie taki jest cel, aby stało się to naprawdę prostym bezpieczeństwem. Myślę, że będzie to początek przyszłego roku. Ale mówiąc o wzdęciach, to trudna sprawa. Chcesz, aby wszystko było tak proste, jak to tylko możliwe. Dlatego ciężko pracowaliśmy, aby nadal można było po prostu aktywować SSL.

Wszystkie inne rzeczy są modułowe i nie ładują się, gdy ich nie używasz, ale jednocześnie myślę, że jesteśmy naprawdę dobrzy w upraszczaniu skomplikowanych rzeczy.

Myślę, że nasza moc polega na tym, co naprawdę możemy zrobić dla ludzi, aby uczynić to naprawdę prostym dla użytkowników nietechnicznych. Bardziej zaawansowani użytkownicy mogą bardziej zagłębić się w ustawieniach.

Doktor Pop: To wspaniale. Myślę, że to dobre miejsce na krótką przerwę. A kiedy wrócimy, będziemy dalej rozmawiać z Rogierem o naciskach Google na SSL. I myślę, że po prostu porozmawiamy trochę więcej o tym, jak to jest mieć jedną z najpopularniejszych wtyczek w repozytorium WordPress.

Więc bądź na bieżąco.

Doc Pop: Witamy ponownie w Press This, podcaście społeczności WordPress. Jestem twoim gospodarzem Doc Pop. Dzisiaj rozmawiam z Rogierem Lankhorstem, głównym programistą w Really Simple Plugins. A mówimy o SSL, ponieważ wtyczki Really Simple tworzą niezwykle popularną wtyczkę o nazwie Really Simple SSL. Rogier wcześniej, przed tą przerwą wspomniałem, że głównym powodem, dla którego obecnie mówimy o certyfikatach SSL, jest w dużej mierze to, że Google naciskał w Internecie, aby tak się stało.

Widzę też, że Google naciska na skrócenie terminu. Tak więc niektóre certyfikaty SSL są na około dwa lata, a Google mówi o forsowaniu 90-dniowych certyfikatów SSL. Czy zastanawiałeś się, jak Google zachęcał ludzi do korzystania z SSL?

Myślisz, że wyszło to wszystkim na dobre?

Rogier Lankhorst: Myślę, że to dobrze. W czasie, gdy Google zaczął od tego, wielu użytkowników nadal uważało, że SSL nie jest dla mnie ważny, ponieważ mam tylko małego bloga. Nie mam żadnych danych użytkowników w mojej witrynie, ale istnieje wiele innych sposobów, w jakie osoby atakujące mogą wykorzystywać tego rodzaju połączenia między witrynami i być może wyświetlać użytkownikom błędne informacje, udając, że znajdują się tam z inną witryną.

Myślę więc, że bardzo ważne jest, aby wszystkie strony internetowe miały w końcu połączenie SSL. Myślę więc, że chociaż Google zawsze ma swoje własne powody, by robić takie rzeczy. W tym przypadku. To dobra rzecz.

Doc Pop: A 90-dniowe limity, czy myślałeś o tym?

Rogier Lankhorst: Muszę przyznać, że nie jestem zbyt zaznajomiony z przyczynami tego stanu rzeczy, ale trochę o tym wiem i wiem, że krótsze okresy ważności certyfikatów są bezpieczniejsze. I myślę, że nie będzie to miało większego znaczenia, ponieważ najczęściej używane certyfikaty SSL z Let's Encrypt są już na 90 dni, więc i tak nie miałoby to większego wpływu.

Doc Pop: Wróćmy więc do rozmowy o naprawdę prostym SSL. Jest wersja w repozytorium WordPress, repozytorium wtyczek, darmowa wersja z 5 milionami. Wiem, że ciągle to powtarzam, ale to szokująca liczba, 5 milionów aktywnych użytkowników lub więcej.

Jaka jest różnica między darmową wersją Really Simple SSL a wersją pro, którą wszyscy oferujecie?

Rogier Lankhorst: Wersja pro zawiera głównie wiele nagłówków bezpieczeństwa i myślę, że większość użytkowników nie jest zaznajomiona z nagłówkami bezpieczeństwa. Ale są to bardzo ważne nagłówki, które użytkownicy mogą ustawić na swoich stronach internetowych, co również zwiększy bezpieczeństwo. I to nie tylko dla własnej strony internetowej, ale także dla odwiedzających ją osób, o czym myślę, że często zapomina się o bezpieczeństwie.

Ułatwiamy konfigurowanie nagłówków bezpieczeństwa i obecnie pracujemy na przykład nad wykrywaniem luk w zabezpieczeniach. Mamy funkcję, która automatycznie obsługuje aktualizacje lub bieżący czas, jeśli zostanie wykryta luka. Przygotowaliśmy również kilka fajnych nowych funkcji, które zapobiegną tworzeniu użytkowników administracyjnych innymi metodami niż aktualizacja lub tworzenie profilu użytkownika WordPress.

Jeśli więc spojrzysz na ostatnie luki w zabezpieczeniach, zobaczysz, że dużym problemem jest tworzenie użytkowników administracyjnych. Więc jeśli to zablokujesz, zapobiegniesz wielu lukom w zabezpieczeniach.

Doc Pop: Rozmawialiśmy o rankingu tej wtyczki i repozytorium WordPress. Jestem teraz na popularnej stronie na wordpress.org/plugins i nie wiem, czy są one uszeregowane pod względem kolejności, ale są to wtyczki z co najmniej 5 milionami aktywnych instalacji. Widzę, że właśnie na tej liście, Really Simple SSL jest na dziewiątym miejscu. Myślę, że może to faktycznie oznaczać, że jest to obecnie dziewiąta najpopularniejsza wtyczka pod względem aktywnych instalacji.

Rogier Lankhorst: Oczywiście. Tak.

Doktor Pop: Wow. To jest niesamowite. Nie jest wielką niespodzianką zobaczyć tutaj Yoasta, WooCommerce i Akismet. Nie mogę rozmawiać z ludźmi, którzy stworzyli tak popularne wtyczki.

Nie mam okazji często z nimi rozmawiać. Jestem po prostu ciekawy, skoro tu jesteś, jak to jest? Myślę, że moje pierwsze pytanie brzmi: kiedy masz tak szaloną popularną darmową wtyczkę, wyobrażam sobie, że to naprawdę utrudnia, prawdopodobnie otrzymujesz wiele próśb, wiele komentarzy, wiele pytań i próśb o pomoc.

Jak sobie z tym radzisz w przypadku darmowej wtyczki?

Rogier Lankhorst: Myślę, że nie jest tak wiele próśb o wsparcie, jak ludzie często myślą. Podczas rozwoju wtyczki i przez ostatnie siedem, osiem lat zawsze starałem się albo stworzyć artykuł na stronie internetowej, gdy pojawiało się pytanie, albo stworzyć rozwiązanie w samej wtyczce, albo uczynić to bardziej przejrzystym we wtyczce .

Więc to podejście naprawdę obniżyło wsparcie. A teraz jesteśmy z firmą liczącą 10 osób i tylko z dwoma przedstawicielami wsparcia. Mamy też dwie inne wtyczki, które w sumie mają ponad sześć i pół miliona instalacji. Myślę więc, że obciążenie wsparcia nie jest tak duże, jak wielu ludzi sądzi, patrząc na liczbę instalacji.

Doc Pop: Czy możesz porozmawiać o modelu biznesowym darmowej wtyczki takiej jak ta? W jaki sposób firma taka jak Twoja umożliwia 5 milionów aktywnych instalacji na Really Simple SSL i nadal jest firmą?

Rogier Lankhorst: Cóż, oczywiście na każde 100 darmowych użytkowników przypada ktoś, kto kupuje wtyczkę premium. To tam z ulepszeń możemy zbudować firmę. Czasami darmowi użytkownicy narzekają na aktualizacje. I chcemy powiedzieć użytkownikom, co oferujemy.

I zawsze mówią, cóż, myślę, że to świetna okazja, ponieważ wtyczka premium pozwala nam rozwijać się za darmo dla 5 milionów użytkowników.

Doc Pop: A jeśli chodzi o równoważenie tego, co jest dostępne w wersji bezpłatnej, a co w wersji pro, czy zastanawiasz się, jak czasami określasz, w jaki sposób rzeczy są naliczane lub jak rzeczy pozostają bezpłatne, aby pomóc w promowaniu większego produktu. Czy trudno jest zdecydować, kiedy zostaną dodane nowe funkcje, czy są one dostępne tylko dla profesjonalistów, czy też są bezpłatne?

Rogier Lankhorst: Tak. To zawsze trudna dyskusja o tym, co powinno być darmowe, a co premium. I myślę, że zwykle dużo dajemy. Nasze główne podejście jest podobne do luk w zabezpieczeniach, wykrywanie jest bezpłatne i każdy może zobaczyć, czy ma podatną na ataki wtyczkę, ale automatyczne rozwiązania tego problemu są premium.

Więc tak to jest podzielone. Myślę, że wraz z ostatnią z nadchodzących aktualizacji dodamy więcej we wtyczce premium, na przykład ochronę logowania, uwierzytelnianie dwuskładnikowe i ograniczenie prób logowania i tym podobne rzeczy. Dzieje się tak również dlatego, że uważamy, że w darmowej wtyczce jest już tak wiele rzeczy, że chcemy zachować odpowiednią równowagę. Już teraz chcemy zacząć wpłacać więcej na składkę.

Doc Pop: I myślę, że to dobre miejsce, aby przenieść nasz bezpłatny odcinek podcastu na przerwę reklamową, co pomaga utrzymać go za darmo. To niezła przeprawa.

Bądź na bieżąco po tej krótkiej przerwie, wrócimy i zakończymy naszą rozmowę z Rogierem z Really Simple Plugins na temat niektórych innych wtyczek, które Really Simple oferuje teraz.

Więc czekajcie na więcej.

Doc Pop: Witamy ponownie w Press This, podcaście społeczności WordPress. Jestem twoim gospodarzem Doc Pop. Dzisiaj rozmawiam z Rogierem Lankhorstem, głównym twórcą wtyczek Really Simple. Mówiliśmy o certyfikatach SSL i Really Simple SSL. Rozmawialiśmy również o tym, że Rogier, masz tam kilka innych wtyczek.

Jakie są inne wtyczki, na których obecnie koncentrujesz się w wtyczkach Really Simple?

Rogier Lankhorst: Mamy Complianz, rozwiązanie zapewniające prywatność. Jest to najszybciej rozwijająca się wtyczka oprócz Really Simple SSL. Oferuje baner plików cookie, a także blokuje usługi wymagające zgody, zgodnie z lokalnymi przepisami dotyczącymi prywatności, takimi jak RODO w Europie. Kanada również wprowadza prawo dotyczące prywatności. Tak więc wiele rzeczy zmienia się w przepisach dotyczących prywatności. Wtyczka oferuje więc sposób na automatyczną obsługę tego.

Mamy też wtyczkę do statystyk, która jest całkiem nowa. Niedawno osiągnął 100 000 instalacji, a celem jest zapewnienie rozwiązania statystycznego przyjaznego dla prywatności, dzięki czemu nie musisz korzystać z Google Analytics, co wymaga zgody w większości krajów, więc tracisz tam dane.

Doc Pop: To naprawdę interesujące, że o tym mówisz, ponieważ ostatnio dużo myślałem o Google i związkach sieci z Google. I myślę, że tak naprawdę nie potrzebuję już Google Analytics w mojej witrynie. Nie potrzebuję ludzi, którzy rezygnują z plików cookie, jeśli jedyne, co naprawdę istnieje, to Google Analytics.

Więc myślę, że mówisz o statystykach wybuchu i mówisz o tym, że jest to alternatywa dla tego. Zamieniam się w słuch. Zdecydowanie jestem tym zainteresowany.

Rogier Lankhorst: Tak. To całkiem fajne, ponieważ myślę, że większość użytkowników zna tylko Google Analytics i nie wie, że istnieje więcej rozwiązań. Większość użytkowników nie jest też świadoma problemów związanych z prywatnością, jakie stwarza Google Analytics, zwłaszcza w bardziej rygorystycznych przepisach dotyczących prywatności.

Doc Pop: Cóż, dziękuję bardzo za przybycie na dzisiejszy program i rozmowę o pracy, którą wszyscy wykonujecie i ogólnie o SSL. Rozmowa z tobą była bardzo interesująca. Jeśli ludzie chcą dowiedzieć się więcej o tym, nad czym pracujesz, jaki jest dobry sposób śledzenia wtyczek Really Simple i być może tego, nad czym pracujesz.

Rogier Lankhorst: Śledź mnie na Twitterze. Lub zapisz się do naszego biuletynu na ReallySimpleSSL.com, co kilka tygodni będziemy wysyłać biuletyny z najnowszymi wiadomościami.

Doktor Pop: Cóż, to świetnie. Naprawdę doceniam, że jesteś w programie. Uh, dziękuję wszystkim za wysłuchanie Press This, podcastu społeczności WordPress z WMR. Ostatnio mieliśmy wiele świetnych odcinków, a wkrótce wybieramy się na WordCamp US, z którego, miejmy nadzieję, wrócimy stamtąd z dużo ciekawszymi historiami i wywiadami z ludźmi.

Doc Pop: Dziękujemy za wysłuchanie Press This, podcastu społeczności WordPress w WMR. Jeszcze raz, nazywam się Doc i możesz śledzić moje przygody z magazynem Torque na Twitterze @thetorquemag lub możesz wejść na Torquemag.io, gdzie codziennie publikujemy samouczki, filmy i wywiady, takie jak ten. Sprawdź więc torquemag.io lub śledź nas na Twitterze. Możesz subskrybować Press This na Red Circle, iTunes, Spotify lub pobrać go bezpośrednio na wmr.fm co tydzień. Jestem twoim gospodarzem Doctor Popular Wspieram społeczność WordPress poprzez moją rolę w WP Engine. I uwielbiam zwracać uwagę członków społeczności każdego tygodnia na Press This.