Pressione isto: SSL realmente simples com Rogier Lankhorst
Publicados: 2023-08-19Bem-vindo ao Press This, o podcast da comunidade WordPress da WMR. Cada episódio apresenta convidados de toda a comunidade e discussões sobre os maiores problemas enfrentados pelos desenvolvedores do WordPress. O que se segue é uma transcrição da gravação original.
Desenvolvido por RedCircle
Doc Pop : Você está ouvindo Press This, um podcast da comunidade WordPress no WMR. A cada semana, destacamos os membros da comunidade WordPress. Sou seu anfitrião, Doc Pop. Apoio a comunidade WordPress por meio de minha função no WP Engine e minhas contribuições no TorqueMag.Io, onde faço podcasts e desenho cartoons e vídeos tutoriais. Dê uma olhada.
Você pode se inscrever no Press This no Red Circle, iTunes, Spotify, seu aplicativo de podcast favorito ou pode baixar os episódios diretamente em wmr.fm.
Hoje, estamos mergulhando no mundo crítico da segurança de sites com destaque para os certificados SSL. O certificado SSL é como um escudo virtual que criptografa dados e protege os dados do usuário. Agora, se isso não for suficiente para mantê-lo ouvindo, imagine derramar seu coração e alma para criar um belo site apenas para que o Google coloque um grande rótulo “Não seguro” em seu site quando os visitantes tentarem acessá-lo através do Chrome, simplesmente porque você não está t usando HTTPS ou SSL.
Aqui para falar comigo hoje é Rogier Lankhorst, o principal desenvolvedor de Really Simple Plugins, os criadores do plugin WordPress extremamente popular, Really Simple SSL, Rogier, muito obrigado por se juntar a nós hoje.
Eu adoraria ouvir sobre sua história de origem e como você entrou no WordPress.
Rogier Lankhorst: Bem, obrigado por me receber no show. Originalmente, acho que em 2016, um cliente me pediu para colocar seu site em SSL o mais rápido possível. Então instalei um plug-in que era popular na época e todo o site caiu. Então, naquele momento, pensei que poderia fazer isso de forma mais leve e fácil, com apenas um clique para instalar.
E eu publiquei no WordPress e realmente foi uma montanha-russa depois disso.
Doc Pop: Com certeza. E esse não foi o seu primeiro plugin WordPress, certo? Este foi o primeiro que realmente decolou de forma massiva, mas você tinha alguns outros plugins Really Simple antes disso.
Rogier Lankhorst: Alguns experimentos realmente pequenos, coisas que pensei na época e publiquei e não decolaram muito, como você disse. So Really Simple SSL foi o primeiro grande sucesso que você poderia dizer.
Doc Pop: Sempre gosto dessa analogia sobre comprar muitos bilhetes de loteria. Como se você fizesse vários experimentos e um deles pegasse e você pudesse construir um negócio a partir dele. E já que estamos falando de SSL, você pode dizer aos ouvintes o que é um certificado SSL? E por que é importante que um site WordPress tenha um?
Rogier Lankhorst: Com certificados SSL, o site criptografa todos os dados antes de serem enviados ao visitante do site e vice-versa também. Portanto, ajuda a proteger a Web e não apenas para lojas na Web, mas também para qualquer site que, de outra forma, poderia ser representado por invasores. E também é ótimo para classificação no Google.
E fica muito melhor no seu navegador se houver um bloqueio no seu site. O SSL é gratuito, então por que não instalá-lo?
Doc Pop: Mencionei no início deste programa como a primeira vez que pensei em SSL foi quando estava usando o Chrome e me deparei com um site que não era seguro e esse site era meu. Então eu estava com medo do meu próprio site. E tive que aprender sobre a instalação de certificados SSL para, com sorte, ter uma experiência melhor quando os usuários acessarem meu site e o virem. Depois de instalar o SSL e ter um endereço HTTPS, o Google não exibirá mais esse aviso nas visitas do Chrome, mas isso também afeta o SEO?
Rogier Lankhorst: Sim, claro. O Google tem muitas ferramentas poderosas para fazer com que os usuários façam o que quiserem. E a ferramenta mais poderosa que eles têm é o ranking. Portanto, se eles desejam que os proprietários de sites façam algo, basta colocá-lo no mecanismo de classificação e o site o seguirá.
Doc Pop: E você mencionou que os certificados SSL são gratuitos atualmente. Eu acredito que quando eu me inscrevi para eles, isso estava apenas começando a acontecer, parecia que era um processo doloroso e talvez custasse algum dinheiro e então serviços como o Let's Encrypt apareceram e realmente tornaram tudo mais fácil. Além disso, muitos hosts da Web, inclusive o meu, começaram a oferecer o Let's Encrypt gratuito, começaram a incorporá-lo ao processo para torná-lo o mais simples possível, o que é realmente útil.
Portanto, com essas alternativas disponíveis agora para poder instalar, talvez do meu host, há uma razão para que alguém ainda esteja usando o Really Simple SSL em vez de se o host o oferecer?
Rogier Lankhorst: Bem, Really Simple SSL não foi originalmente construído para gerar certificados SSL. Isso é apenas algo que adicionamos há dois anos, porque pensei, bem, se formos o Really Simple SSL, deveríamos ser capazes de gerar um certificado também, mas não é a principal razão pela qual as pessoas instalam o Really Simple SSL.
Quando os usuários têm SSL, eles geralmente não sabem o que fazer com ele. E no WordPress, você precisa fazer algumas coisas; adicione redirecionamentos, corrija conteúdo misto, coisas assim, adicione cabeçalhos de segurança para realmente obter tudo do SSL seguro que você pode obter dele. Portanto, acho que esse ainda é o principal motivo, as pessoas instalam o Really Simple SSL apenas para obter o método mais rápido de configurar o SSL em seu site.
Doc Pop: Sim, e há alguns recursos de segurança adicionais que não são, não os considero necessariamente relacionados a SSL que fazem parte do SSL Really Simple. Você pode nos contar sobre alguns dos outros recursos avançados que um SSL Really Simple inclui?
Rogier Lankhorst: Percebemos que muitas pessoas já pensavam em nós como um plugin de segurança. Então, foi aí que pensei que tínhamos que atender a essas expectativas. Começamos adicionando alguns recursos de proteção, como bloquear o registro do usuário. Muitos proprietários de sites não sabem que o registro do usuário é aberto e coisas como o local do log de depuração, que pode conter informações importantes, como endereços de e-mail do usuário ou chaves de licença ou coisas assim. Edição de arquivo, feedback na tela de login.
Se você fizer login e o WordPress disser, o nome de usuário não está correto, o invasor sabe, posso tentar novamente. Portanto, todas essas coisas são realmente o começo para ampliarmos em um plug-in de segurança completo eventualmente. E o último recurso que adicionamos foi a detecção de vulnerabilidade, que é realmente uma ótima ferramenta para realmente proteger seu site, já que a maioria dos problemas em sites WordPress com segurança são causados por plug-ins com uma vulnerabilidade, que não são atualizados. Portanto, se os usuários estiverem mais cientes disso, acho que o WordPress se tornará muito mais seguro.
Doc Pop: Tudo o que você mencionou, eu acho, são pequenas irritações que as pessoas têm sobre a segurança do WordPress. E é realmente interessante que o Really Simple SSL tenha evoluído para essa maneira fácil de instalar um certificado SSL, mas também como essas coisas devem ser corrigidas. Aqui está uma maneira muito fácil de corrigir isso.
Estou curioso para saber se o inchaço é uma preocupação sua, quando você tem um plugin chamado Really Simple SSL. Às vezes, você se preocupa com a possibilidade de adicionar esses recursos extras, tornando-o um pouco mais difícil. Além disso, acho que você também está pensando em mudar o nome do plug-in à medida que adiciona mais recursos?
Rogier Lankhorst: Sim, bem, eventualmente esse é o objetivo de se tornar o Really Simple Security. Acho que será no início do ano que vem. Mas ao falar sobre inchaço, isso é uma coisa difícil. Você quer manter as coisas o mais simples possível. Por isso, trabalhamos muito para que ainda seja possível fazer apenas a ativação do SSL.
E todas as outras coisas são modulares e não carregadas quando você não as usa, mas, ao mesmo tempo, acho que somos muito bons em tornar coisas complexas realmente simples.
Acho que é aí que está o nosso poder, o que realmente podemos fazer pelas pessoas para torná-lo realmente simples para usuários não técnicos. E para usuários mais avançados, eles podem mergulhar um pouco mais nas configurações.
Doc Pop: Isso é maravilhoso. Acho que é um bom lugar para fazermos uma pequena pausa. E quando voltarmos, continuaremos conversando com Rogier sobre a pressão do Google por SSL. E acho que vamos falar um pouco mais sobre como é ter um dos plugins mais populares no repositório do WordPress.
Portanto, fique atento a isso.
Doc Pop: Bem-vindo de volta ao Press This, um podcast da comunidade WordPress. Eu sou seu anfitrião, Doc Pop. Hoje estou conversando com Rogier Lankhorst, o desenvolvedor líder da Really Simple Plugins. E estamos falando de SSL porque os plug-ins Really Simple criam um plug-in extremamente popular chamado Really Simple SSL. Rogier antes, antes desse intervalo eu mencionei que um grande motivo pelo qual estamos falando sobre certificados SSL hoje em dia é principalmente porque o Google fez um push na web para que isso acontecesse.
Também estou vendo que o Google está pressionando para talvez encurtar o prazo. Portanto, alguns certificados SSL duram cerca de dois anos, e o Google está falando em pressionar por certificados SSL de 90 dias. Você já pensou em como o Google incentivou as pessoas a obter SSLs?
Você acha que funcionou bem para todos?
Rogier Lankhorst: Bem, acho que é uma coisa boa. Na época em que o Google começou com isso, muitos usuários ainda pensavam que o SSL não era importante para mim porque eu tinha apenas um pequeno blog. Não tenho nenhum dado de usuário em meu site, mas existem várias outras maneiras pelas quais os invasores podem usar esse tipo de conexão entre sites e talvez mostrar informações erradas aos usuários, fingindo estar lá com outro site.
Portanto, acho muito importante que todos os sites tenham uma conexão SSL eventualmente. Então, acho que, embora o Google sempre tenha seus próprios motivos para fazer coisas como essa. Nesse caso. É uma coisa boa.
Doc Pop: E os limites de 90 dias, você pensou sobre isso?
Rogier Lankhorst: Bem, não estou muito familiarizado com as razões por trás disso, tenho que admitir, mas sei um pouco sobre isso e que é mais seguro ter certificados de vida útil mais curtos. E acho que não vai fazer muita diferença porque os certificados SSL mais usados da Let's Encrypt já são de 90 dias, então não teria muito impacto mesmo.
Doc Pop: Então, vamos voltar a falar sobre o SSL Realmente Simples. Tem uma versão no repositório WordPress, o repositório de plugins, a versão gratuita com 5 milhões. Eu sei que continuo dizendo isso, mas é um número tão chocante, 5 milhões de usuários ativos ou mais.
Qual é a diferença entre a versão gratuita do Really Simple SSL e a versão pro que eu sei que vocês oferecem?
Rogier Lankhorst: A versão pro contém principalmente muitos cabeçalhos de segurança e acho que a maioria dos usuários não está realmente familiarizada com os cabeçalhos de segurança. Mas esses são alguns cabeçalhos muito importantes que os usuários podem definir em seus sites, o que também aumentará a segurança. E não apenas para o próprio site, mas também para os visitantes do site, que acho que muitas vezes são esquecidos na segurança.
Facilitamos muito a configuração dos cabeçalhos de segurança e atualmente estamos trabalhando na detecção de vulnerabilidades, por exemplo. Temos um recurso que trata automaticamente as atualizações ou hora atual, se uma vulnerabilidade for detectada. Também temos alguns novos recursos interessantes chegando, que impedirão a criação de usuários administrativos por qualquer outro método além da atualização ou criação do perfil de usuário do WordPress.
Portanto, se você observar as vulnerabilidades recentes, verá que um grande problema é quando os usuários administrativos são criados. Portanto, se você bloquear isso, evitará muitas vulnerabilidades.
Doc Pop: Conversamos sobre a classificação deste plugin e do repositório WordPress. Estou na página popular em wordpress.org/plugins agora e não sei se eles estão classificados em termos de ordem, mas todos são plug-ins com 5 milhões de instalações ativas ou mais. Vejo que apenas nesta lista, Really Simple SSL é o nono abaixo. Acho que isso pode significar que é o nono plugin mais popular no momento em termos de instalações ativas.
Rogier Lankhorst: Com certeza. Sim.
Doc Pop: Uau. É incrível. Não é uma grande surpresa ver Yoast, WooCommerce e Akismet aqui. Não consigo falar com pessoas que criaram esses plugins populares.
Eu não tenho a chance de falar com eles com muita frequência. Estou meio curioso enquanto você está aqui, como é isso? Quero dizer, acho que aqui está minha primeira pergunta: quando você tem um plug-in gratuito popular tão maluco, imagino que seja muito difícil, você provavelmente recebe muitos pedidos, muitos comentários, muitas perguntas e pedidos de ajuda.
Como você lida com isso para um plugin gratuito?
Rogier Lankhorst: Acho que não são tantos pedidos de suporte quanto as pessoas costumam pensar. Durante o desenvolvimento do plugin e nos últimos sete, oito anos, sempre tentei criar um artigo no site quando havia uma dúvida ou criar uma solução no próprio plugin, ou deixar mais claro no plugin .
Portanto, essa abordagem realmente manteve o suporte baixo. E agora estamos com uma empresa de 10 e com apenas dois representantes de suporte. Também temos dois outros plugins, com um total de mais de seis milhões e meio de instalações. Portanto, acho que a carga de suporte não é tão grande quanto muitas pessoas pensam olhando para os números das instalações.
Doc Pop: Você pode falar sobre o modelo de negócios de um plugin gratuito como este? Como uma empresa como a sua habilita 5 milhões de instalações ativas no Really Simple SSL e ainda é uma empresa?
Rogier Lankhorst: Bem, claro, para cada 100 usuários gratuitos, há alguém que compra o plug-in premium. É aí que podemos construir uma empresa a partir das atualizações. Às vezes, os usuários gratuitos reclamam das atualizações. E queremos dizer aos usuários o que oferecemos.
E eles sempre dizem, bem, acho que é um ótimo negócio porque o plug-in premium nos permite desenvolver gratuitamente para 5 milhões de usuários.
Doc Pop: E em termos de equilibrar o que vai na versão gratuita e o que vai nas versões pro, você tem alguma opinião sobre como às vezes determina como as coisas são cobradas ou como as coisas ficam gratuitas para ajudar a promover o produto maior? É difícil decidir quando novos recursos são adicionados se forem apenas profissionais ou se forem gratuitos?
Rogier Lankhorst: Sim. Essa é sempre uma discussão difícil de se pensar, o que deve ser gratuito e o que deve ser premium. E geralmente doamos muito, eu acho. Nossa abordagem principal é como com as vulnerabilidades, a detecção é gratuita e todos podem ver se possuem um plug-in vulnerável, mas as soluções automáticas para isso são premium.
Então é assim que é dividido. E com a última das próximas atualizações, acho que adicionaremos mais no plug-in premium, como proteção de login, autenticação de dois fatores e limite de tentativas de login, coisas assim. Isso também porque achamos que já existe tanto no plug-in gratuito que queremos manter o equilíbrio certo. Queremos começar a colocar mais em um prêmio agora.
Doc Pop: E acho que é um bom lugar para colocarmos nosso episódio gratuito do podcast no intervalo comercial, o que ajuda a mantê-lo gratuito. Essa é uma boa sequência.
Fique atento, pois após esse breve intervalo, voltaremos e encerraremos nossa conversa com Rogier, do Really Simple Plugins, sobre alguns dos outros plugins que o Really Simple está oferecendo no momento.
Então fique atento para mais.
Doc Pop: Bem-vindo de volta ao Press This, um podcast da comunidade WordPress. Eu sou seu anfitrião, Doc Pop. Hoje, estou conversando com Rogier Lankhorst, o principal desenvolvedor de plugins Really Simple. Temos falado sobre certificados SSL e Really Simple SSL. Também falamos sobre o fato de Rogier, você ter vários outros plugins por aí.
Quais são alguns dos outros plugins que você está focando atualmente em plugins Really Simple?
Rogier Lankhorst: Temos o Complianz, que é uma solução de privacidade. E é o plug-in que mais cresce além do Really Simple SSL. Além disso, oferece um banner de cookie e também bloqueia serviços que exigem consentimento, de acordo com as leis de privacidade locais, como o GDPR na Europa. O Canadá também está criando uma opção na lei de privacidade. Muitas coisas estão mudando na legislação de privacidade. Portanto, o plug-in oferece uma maneira de lidar com isso automaticamente.
E também temos um plug-in de estatísticas, que é bem novo. Recentemente, atingiu 100.000 instalações e o objetivo é fornecer uma solução de estatísticas amigável à privacidade, para que você não precise usar o Google Analytics, que requer consentimento na maioria dos países, para que você perca dados lá.
Doc Pop: É muito interessante você estar falando sobre isso porque ultimamente tenho pensado muito sobre o Google e o relacionamento da web com o Google. E estou pensando, não preciso mais ter o Google Analytics no meu site. Não preciso que as pessoas desativem os cookies se a única coisa realmente existente for o Google Analytics.
Então, eu estou tipo, você está falando sobre estatísticas de estouro e está falando sobre ser uma alternativa a isso. Sou todo ouvidos. Estou definitivamente interessado nisso.
Rogier Lankhorst: Sim. É muito legal porque acho que a maioria dos usuários só conhece o Google Analytics e não sabe que existem mais soluções. E a maioria dos usuários também não está ciente dos problemas de privacidade que o Google Analytics levanta, especialmente em legislações de privacidade mais rígidas.
Doc Pop: Bem, muito obrigado por vir ao programa hoje e falar sobre o trabalho que vocês estão fazendo e sobre o SSL em geral. Tem sido muito interessante conversar com você. Se as pessoas quiserem saber mais sobre o que você está trabalhando, qual é uma boa maneira de acompanhar os plugins Really Simple e talvez no que você está trabalhando.
Rogier Lankhorst: Siga-me no Twitter. Ou inscreva-se em nosso boletim informativo em ReallySimpleSSL.com, enviaremos boletins informativos sobre nossas últimas notícias a cada poucas semanas.
Doc Pop: Bem, isso é ótimo. Eu realmente aprecio ter você no show. Uh, obrigado a todos por ouvir Press This, um podcast da comunidade WordPress da WMR. Tivemos muitos episódios ótimos ultimamente, e em breve estaremos indo para o WordCamp US, que esperamos voltar de lá com muito mais histórias interessantes e entrevistas com o pessoal.
Doc Pop: Obrigado por ouvir o Press This, um podcast da comunidade WordPress no WMR. Mais uma vez, meu nome é Doc e você pode acompanhar minhas aventuras com a revista Torque no Twitter @thetorquemag ou pode acessar torquemag.io, onde contribuímos com tutoriais, vídeos e entrevistas como esta todos os dias. Então confira torquemag.io ou siga-nos no Twitter. Você pode se inscrever no Press This no Red Circle, iTunes, Spotify ou baixá-lo diretamente em wmr.fm toda semana. Sou seu anfitrião, Doutor Popular. Apoio a comunidade WordPress por meio de minha função na WP Engine. E adoro destacar os membros da comunidade todas as semanas no Press This.