按此：Rogier Lankhorst 打造的真正简单的 SSL

欢迎来到 Press This，WMR 的 WordPress 社区播客。 每集都有来自社区各地的嘉宾，并讨论 WordPress 开发人员面临的最大问题。 以下是原始录音的转录。

由红圈提供支持

Doc Pop ：您正在收听 Press This，这是 WMR 上的 WordPress 社区播客。 每周我们都会重点关注 WordPress 社区的成员。 我是你们的主持人，波普博士。 我通过在 WP Engine 中的角色以及在 TorqueMag.Io 上的贡献来支持 WordPress 社区，在 TorqueMag.Io 上我可以制作播客、绘制漫画和教程视频。 检查出。

您可以在 Red Circle、iTunes、Spotify、您最喜欢的播客应用程序上订阅 Press This，也可以直接在 wmr.fm 下载剧集。

今天，我们将深入探讨网站安全的关键领域，重点关注 SSL 证书。 SSL 证书就像一个虚拟盾牌，可以加密数据并保护用户的数据。 现在，如果这还不足以让您继续倾听，想象一下，您全心全意地制作了一个漂亮的网站，但当访问者尝试通过 Chrome 访问您的网站时，Google 却在您的网站上贴上了一个大大的“不安全”标签，仅仅因为您不安全。使用 HTTPS 或 SSL。

今天与我交谈的是 Rogier Lankhorst，他是Really Simple Plugins 的首席开发人员，也是极受欢迎的WordPress 插件Really Simple SSL 的开发者，Rogier，非常感谢您今天加入我们。

我很想听听您的起源故事以及您如何进入 WordPress。

Rogier Lankhorst：嗯，谢谢你邀请我参加演出。 最初，我记得在 2016 年，一位客户要求我尽快将他的网站接入 SSL。 于是我安装了一个当时流行的插件，然后整个网站就瘫痪了。 所以在那一刻，我想我可以做得更轻，更容易，只需一键安装。

我在 WordPress 上发布了它，之后真的就像坐过山车一样。

波普博士：当然。 而且，这不是您的第一个 WordPress 插件，对吧？ 这是第一个真正以如此大规模的方式起飞的插件，但在此之前你还有其他一些非常简单的插件。

Rogier Lankhorst：正如你所说，一些非常小的实验，我当时想到的并发表了它们，但它们并没有真正起飞。 所以，Really Simple SSL 是第一个，可以说是大受欢迎。

Doc Pop：我总是喜欢购买大量彩票的比喻。 就像你进行了很多实验，其中一个成功了，你已经能够从中建立起一项业务。 既然我们谈论的是 SSL，您能告诉听众什么是 SSL 证书吗？ 为什么 WordPress 网站拥有一个如此重要？

Rogier Lankhorst：通过 SSL 证书，网站可以在将所有数据发送给网站访问者之前对其进行加密，反之亦然。 因此，它不仅有助于保护网络商店的网络安全，还有助于保护任何可能被攻击者冒充的网站。 而且它也非常适合在 Google 中排名。

如果您的网站上有锁，那么它在浏览器中看起来就会好得多。 SSL 是免费的，为什么不安装它呢？

Doc Pop：我在本节目开始时提到，我第一次想到 SSL 是在我使用 Chrome 时，遇到一个不安全的网站，而该网站是我的。 所以我对自己的网站感到害怕。 并且必须了解如何安装 SSL 证书，以便当用户访问我的网站并查看它时有更好的体验。 一旦您安装了 SSL 并且拥有了 HTTPS 地址，那么 Google 将不再在 Chrome 访问时显示该警告，但这是否也会影响 SEO？

罗吉尔·兰克霍斯特：是的，当然。 谷歌有很多强大的工具可以让用户做他们想做的事。 他们拥有的最强大的工具就是排名。 因此，如果他们希望网站所有者做某事，他们只需将其放入排名机制中，网站就会跟随。

Doc Pop：您提到 SSL 证书现在是免费的。 我相信当我第一次注册他们时，这才刚刚开始发生，这似乎是一个痛苦的过程，而且可能要花一些钱，然后像 Let's Encrypt 这样的服务出现，确实让这一切变得更容易。 最重要的是，许多网络主机（包括我的）开始提供免费的 Let's Encrypt，他们开始将其构建到流程中以使其尽可能简单，这确实很有帮助。

因此，现在有了这些可以从我的主机安装的替代方案，是否有人仍然会使用“真正简单的 SSL”而不是他们的主机提供它？

Rogier Lankhorst：嗯，Really Simple SSL 最初并不是为了生成 SSL 证书而构建的。 这只是我们两年前添加的内容，因为我想，好吧，如果我们是Really Simple SSL，我们也应该能够生成证书，但这并不是人们安装Really Simple SSL 的主要原因。

当用户拥有 SSL 时，他们通常不知道如何使用它。 在 WordPress 中，您需要做一些事情； 添加重定向、修复混合内容等，添加安全标头以真正充分利用您可以利用的安全 SSL。 所以我认为这仍然是主要原因，人们安装Really Simple SSL只是为了在您的网站上配置SSL的最快方法。

Doc Pop：是的，还有一些附加的安全功能，但我不认为它们一定与 SSL 相关，它们是真正简单 SSL 的一部分。 您能告诉我们一些真正简单的 SSL 包含的其他高级功能吗？

Rogier Lankhorst：我们注意到很多人已经将我们视为安全插件。 所以，那时我认为我们必须满足这些期望。 我们首先添加了一些强化功能，例如阻止用户注册。 许多网站所有者不知道用户注册已开放，以及诸如调试日志位置之类的信息，其中可能包含重要信息，例如用户电子邮件地址或许可证密钥或类似的信息。 文件编辑、登录屏幕反馈。

如果您登录后 WordPress 提示用户名不正确，攻击者知道，我可以重试。 因此，所有这些实际上都是我们最终扩展为完整安全插件的开始。 我们添加的最后一个功能是漏洞检测，这确实是一个真正保护您网站安全的好工具，因为 WordPress 网站中的大多数安全问题都是由具有漏洞的插件引起的，而这些插件没有更新。 因此，如果用户更加意识到这一点，我认为 WordPress 将会变得更加安全。

Doc Pop：我认为你提到的一切都是人们对 WordPress 安全性的小小烦恼。 非常有趣的是，Really Simple SSL 已经演变成这种安装 SSL 证书的简单方法，但也像这些东西应该修补一样。 这是一个非常简单的方法来解决这个问题。

我有点好奇当你有一个名为Really Simple SSL 的插件时，膨胀是否是你所关心的问题。 有时您是否担心添加这些额外的功能可能会让事情变得更加困难。 然后我想最重要的是，当您添加更多功能时，您是否也在考虑更改插件的名称？

Rogier Lankhorst：是的，最终的目标是成为“真正简单的安全”。 我认为那将是明年初。 但在谈论膨胀时，这是一件困难的事情。 您想让事情尽可能简单。 因此，我们努力让 SSL 激活仍然成为可能。

所有其他东西都是模块化的，当你不使用它时不会加载，但与此同时，我认为我们非常擅长使复杂的东西变得非常简单。

我认为这就是我们真正能为人们做的事情，让非技术用户变得非常简单。 对于更高级的用户，他们可以更深入地了解设置。

Pop 博士：那太棒了。 我认为那是我们短暂休息的好地方。 当我们回来时，我们将继续与 Rogier 讨论 Google 对 SSL 的推动。 我想，我们将更多地讨论一下拥有 WordPress 存储库中最受欢迎的插件之一是什么感觉。

所以请继续关注。

Doc Pop：欢迎回到 WordPress 社区播客 Press This。 我是你们的主持人 Doc Pop。 今天我要采访的是Really Simple Plugins 的首席开发人员Rogier Lankhorst。 我们谈论 SSL 是因为 Very Simple 插件制作了一个非常受欢迎的插件，称为 Very Simple SSL。 Rogier 之前，在这次休息之前，我提到过，我们现在谈论 SSL 证书的一个重要原因很大程度上是因为 Google 在网络上推动了这种情况的发生。

我还看到谷歌正在推动缩短这一期限。 因此，有些 SSL 证书的有效期约为两年，而 Google 正在讨论推动 90 天的 SSL 证书。 您对 Google 如何鼓励人们获取 SSL 有什么想法吗？

你认为这对每个人来说都很好吗？

Rogier Lankhorst：嗯，我认为这是一件好事。 当 Google 开始使用此技术时，许多用户仍然认为 SSL 对我来说并不重要，因为我只有一个小博客。 我的网站上没有任何用户数据，但攻击者可以通过很多其他方式利用网站之间的这种连接，并可能向用户显示错误信息，假装在另一个网站上。

所以我认为所有网站最终都拥有 SSL 连接非常重要。 所以我觉得虽然谷歌做这样的事情总是有它自己的理由的。 在这种情况下。 这是一件好事。

Doc Pop：那么 90 天的限制，你对此有什么想法吗？

Rogier Lankhorst：嗯，我不得不承认，我不太熟悉其背后的原因，但我对此有所了解，并且证书的生命周期较短会更安全。 我认为这不会产生太大的影响，因为 Let's Encrypt 最常用的 SSL 证书已经有 90 天的有效期，所以无论如何也不会有太大影响。

Doc Pop：那么让我们回到谈论真正简单的 SSL。 WordPress 存储库上有一个版本，即插件存储库，免费版本有 500 万。 我知道我一直这么说，但这是一个令人震惊的数字，有 500 万甚至更多的活跃用户。

Very Simple SSL 的免费版本和我知道你们提供的专业版本有什么区别？

Rogier Lankhorst：专业版主要包含很多安全标头，我认为大多数用户对安全标头并不是很熟悉。 但这些是用户可以在其网站上设置的一些非常重要的标头，这也将提高安全性。 不仅是为了他们自己的网站，也是为了网站访问者，我认为这一点在安全方面经常被遗忘。

我们使配置安全标头变得非常容易，例如，我们目前正在致力于漏洞检测。 如果检测到漏洞，我们有一个功能可以自动处理更新或当前时间。 我们还将推出一些很酷的新功能，这些功能将阻止通过 WordPress 用户配置文件更新或创建之外的任何其他方法创建管理员用户。

因此，如果您查看最近的漏洞，您会发现一个大问题是创建管理员用户的时间。 因此，如果你锁定它，就可以防止很多漏洞。

Doc Pop：我们讨论过这个插件和 WordPress 存储库的排名。 我现在在 wordpress.org/plugins 上的热门页面上，我不知道这些是否按顺序排列，但这些都是活跃安装量达到 500 万或更高的插件。 我发现在这个列表中，Really Simple SSL 排在第九位。 我认为这实际上可能意味着它是目前活跃安装量第九大流行的插件。

罗吉尔·兰克霍斯特：当然。 是的。

波普博士：哇。 那真是难以置信。 在这里看到 Yoast、WooCommerce 和 Akismet 并不令人意外。 我无法与创建如此流行插件的人交谈。

我没有机会经常和他们交谈。 我只是有点好奇你在这里，那是什么样的？ 我的意思是，我想我的第一个问题是，当你拥有如此疯狂流行的免费插件时，我想这真的很难，你可能会收到很多请求、很多评论、很多问题和帮助请求。

对于免费插件你如何处理这个问题？

Rogier Lankhorst：我认为支持请求并不像人们想象的那么多。 在插件的开发过程中以及过去七八年的时间里，我总是尝试在出现问题时在网站上创建一篇文章，或者在插件本身中创建解决方案，或者在插件中使其更清晰。

因此，这种做法确实降低了支持率。 我们现在的公司有 10 名员工，只有两名支持代表。 我们还有另外两个插件，我认为总共有超过六百万次安装。 因此，我认为支持负载并不像许多人从安装数量上想象的那么大。

Doc Pop：您能谈谈像这样的免费插件的商业模式吗？ 像您这样的公司如何在 Very Simple SSL 上实现 500 万次活跃安装并且仍然是一家公司？

Rogier Lankhorst：当然，每 100 个免费用户，就会有人购买高级插件。 这就是我们可以通过升级来建立一家公司的地方。 有时免费用户会抱怨升级。 我们想告诉用户我们提供什么。

他们总是说，嗯，我认为这是一个很好的交易，因为高级插件允许我们为 500 万用户免费开发。

Doc Pop：在平衡免费版和专业版中的内容方面，您是否有想过如何有时确定如何收费或如何保持免费以帮助推广更大的产品。 是否很难决定何时添加新功能（仅限专业版或免费）？

罗吉尔·兰克霍斯特：是的。 什么应该是免费的，什么应该是付费的，这始终是一个很难思考的问题。 我认为我们通常会放弃很多。 我们的主要方法就像漏洞一样，检测是免费的，每个人都可以看到他们是否有易受攻击的插件，但自动解决方案是高级的。

所以就是这么划分的。 随着最后一次即将到来的更新，我认为我们将在高级插件中添加更多内容，例如登录保护、两因素身份验证和限制登录尝试等。 这也是因为我们认为免费插件已经有很多内容，我们希望保持平衡。 我们希望现在就开始投入更多的溢价。

Doc Pop：我认为这是我们将播客的免费剧集插入广告的好地方，这有助于保持其免费。 这是一个很好的延续。

请继续关注，在短暂的休息之后，我们将回来并结束与Really Simple Plugins 的 Rogier 的对话，讨论Really Simple 目前提供的一些其他插件。

请继续关注更多信息。

Doc Pop：欢迎回到 WordPress 社区播客 Press This。 我是你们的主持人 Doc Pop。 今天，我正在与 Very Simple 插件的首席开发人员 Rogier Lankhorst 交谈。 我们一直在讨论 SSL 证书和 Very Simple SSL。 我们还讨论了 Rogier，您还有其他几个插件。

您目前在 Very Simple 插件中关注的其他插件有哪些？

Rogier Lankhorst：我们有 Complianz，这是一个隐私解决方案。 它是除了Really Simple SSL 之外增长最快的插件。 而且，它还提供 cookie 横幅，并根据欧洲 GDPR 等当地隐私法阻止需要同意的服务。 加拿大也在制定隐私法。 因此，隐私立法中的很多事情都在发生变化。 因此该插件提供了一种自动处理该问题的方法。

我们还有一个统计插件，这是相当新的。 它最近的安装量达到了 100,000 次，其目标是提供隐私友好的统计解决方案，这样您就不必使用 Google Analytics，这在大多数国家/地区都需要征得同意，因此您会在那里丢失数据。

Doc Pop：你谈论这个真的很有趣，因为我最近一直在思考谷歌以及网络与谷歌的关系。 我在想，我真的不再需要在我的网站上使用谷歌分析了。 如果真正存在的唯一东西是谷歌分析，我不需要让人们选择退出cookie。

所以我想，你正在谈论突发统计数据，并且你正在谈论它是它的替代方案。 我洗耳恭听。 我对此绝对感兴趣。

罗吉尔·兰克霍斯特：是的。 这很酷，因为我认为大多数用户只知道 Google Analytics，而不知道还有更多解决方案。 而且大多数用户也没有意识到 Google Analytics 引发的隐私问题，尤其是在更严格的隐私立法中。

Doc Pop：嗯，非常感谢您今天参加节目并谈论你们正在做的工作以及 SSL 的总体情况。 和你聊天非常有趣。 如果人们想更多地了解您正在从事的工作，那么有什么好方法可以跟踪“真正简单”的插件以及您正在从事的工作。

Rogier Lankhorst：在 Twitter 上关注我。 或者在ReallySimpleSSL.com 上注册我们的时事通讯，我们将每隔几周发送一次有关我们最新消息的时事通讯。

波普博士：嗯，那太好了。 我真的很感谢你参加这个节目。 呃，感谢大家收听 Press This，一个来自 WMR 的 WordPress 社区播客。 我们最近有很多精彩的剧集，很快我们就会去 WordCamp US，希望我们能从那里带着更多有趣的故事和对人们的采访回来。

Doc Pop：感谢您收听 Press This，这是 WMR 上的 WordPress 社区播客。 再说一遍，我的名字是 Doc，您可以在 Twitter @thetorquemag 上关注我在《Torque》杂志上的冒险经历，或者您也可以访问 Torquemag.io，我们每天都会提供类似的教程、视频和采访。 请访问 Torquemag.io 或在 Twitter 上关注我们。 您可以在 Red Circle、iTunes、Spotify 上订阅 Press This，也可以每周直接在 wmr.fm 下载。 我是你们的主持人流行博士，我通过我在 WP Engine 的角色来支持 WordPress 社区。 我喜欢每周在 Press This 上关注社区成员。