Embora a internet tenha trazido muitas coisas incríveis, uma parte de nossas vidas que nem sempre respeita é a privacidade. Compartilhar nossas informações online às vezes se tornou normal.

Não estou falando apenas sobre o que comemos no café da manhã, mas também como fornecemos informações que deveriam ser mantidas em sigilo.

Números de cartão de crédito, informações de contas bancárias, sem falar nas informações de login de dezenas de sites que você provavelmente acessou hoje.

É hora de essas informações obterem a proteção que merecem.

No entanto, nem sempre cabe aos visitantes agir, mas também essas ações cabem a você como titular de um blog WordPress.

Se o seu site WordPress lida com informações confidenciais, você absolutamente precisa ter certeza de que seus visitantes e clientes podem confiar em você. E existem várias maneiras de fazer isso.

Neste tutorial, mostrarei como adicionar o protocolo HTTPS ao seu blog WordPress.

O que é um protocolo HTTPS e SSL?

Você provavelmente já ouviu essas duas siglas antes. Se não, é provável que você já os tenha visto no trabalho.

Você deve ter notado que sempre que interage com um site seguro (como o portal de seu banco online), o endereço na barra do navegador https: // na frente da praça usual http: //.

Além disso, os navegadores mais modernos exibirão um pequeno cadeado na barra do navegador quando você estiver conectado a um site desse tipo.

Cadeado símbolo-in-browser bar

Em alguns casos, você pode até ver o nome completo da empresa exibido.

Secure-site-browser bar-estendida

Esses são sinais de que o site que você está visitando no momento tomou medidas para proteger seu tráfego e a privacidade de seus visitantes.

As ferramentas para isso são os mencionados HTTPS e SSL. Eles ajudam a tornar a comunicação pela Internet confiável.

HTTPS significa HyperText Transport Protocol seguro. Difere do HTTP na maneira como usa uma conexão certificada SSL (Secure Socket Camada) para estabelecer uma conexão entre o navegador e o servidor.

O protocolo estabelece a conexão entre os dois, onde, uma vez que o relacionamento seja estabelecido com sucesso, apenas as informações criptografadas serão transferidas.

Isso significa que todas as informações em texto simples que podem ser lidas por qualquer visitante serão substituídas por letras e números aleatórios que não podem ser lidos por humanos.

Se um hacker conseguir interferir na troca de informações, a criptografia não tornará isso fácil (mas nem um pouco).

O certificado SSL usado para essa conexão é fixo no site. Os certificados são emitidos por uma autoridade chamada certificado (CA) e são exclusivos por site.

Em teoria, qualquer pessoa pode emitir certificados SSL, no entanto, os navegadores só consideram os certificados de autoridades conhecidas como confiáveis. Portanto, as funcionalidades do CA garantem a confiabilidade do site.

A maioria dos navegadores modernos irá avisá-lo se o certificado não estiver correto, o que significa que a conexão provavelmente não é confiável.

Os padrões de criptografia

SSL e HTTPS vêm com diferentes padrões de criptografia. O mais antigo é chamado Shao e não é mais usado. Seu sucessor SHA1, enquanto ainda em circulação, é atualmente eliminado. O Google Chrome, por exemplo, começará a emitir avisos para sites que executam esse padrão no início de 2016.

O padrão de criptografia atual para protocolos SSL é SHA2. No entanto, em determinado momento, dará lugar a SHA3 que está atualmente em desenvolvimento.

Curiosidades: Na verdade, SSL não é mais o nome correto para o certificado. A tecnologia foi aprimorada na década de 90 e seu nome mudou para TLS (Transport Layer Security). No entanto, a sigla SSL travou e é obviamente usada até hoje.

Por que precisa SSL e HTTPS

Aprender como adicionar HTTPS e SSL ao WordPress é absolutamente essencial se você administra um site de comércio eletrônico para aceitar pagamentos. As informações financeiras de seus clientes não devem ser consideradas levianamente.

No entanto, o protocolo também pode ser usado para proteger outras informações como informações de login, dados de endereço e coisas que várias pessoas gostariam de manter privadas.

Como proprietário de um site, você também pode considerar adicionar HTTPS por motivos egoístas, pois ele se tornou um fator de classificação no Google e em outros mecanismos de pesquisa.

Além disso, já que estamos falando de SEO: HTTPS também vai te ajudar na sua classificação, porque mais carga rapidamente.

A transição para HTTPS

A primeira etapa para mover seu site para HTTPS é adquirir um certificado SSL. existem várias soluções para adquirir um certificado.

Provavelmente, o lugar certo para começar é sua empresa de hospedagem, pois ela costuma fornecer certificados como parte de seus serviços de hospedagem.

No entanto, também existem vários fornecedores de terceiros. Para ajudá-lo, você pode consultar a lista de autoridades de certificação incluídas em Mozilla Firefox.

Os custos podem variar dependendo do provedor, seu número de subdomínios e outros fatores. Infelizmente, se você usar vários sites, pode ficar caro rapidamente.

O fator custo também é um dos motivos pelos quais estou esperando " Deixei Encrypt ”, uma futura autoridade de certificação gratuita e de código aberto (Automattic está entre os patrocinadores).

Depois de instalar um certificado, você precisará seguir as instruções do fornecedor. O processo é diferente para todos, não sei como fazê-lo aqui.

Depois disso, você precisa conversar com seu provedor de hospedagem para implementar o certificado e fazer a transição para HTTPS no lado do servidor. É também por isso que recorrer ao seu provedor para obter o certificado pode ser a opção mais fácil.

Isso é tudo ? Ok, agora vamos nos concentrar nas mudanças que precisamos fazer no WordPress.

Como configurar o WordPress para HTTPS e SSL

Infelizmente, apenas adicionar o certificado não é suficiente. Você precisa fazer ajustes adicionais no WordPress.

As etapas a seguir pressupõem que você deseja usar HTTPS em qualquer lugar do seu site, o que geralmente é uma boa ideia.

No entanto, também existem casos de uso para alguns locais em seu site. Voltaremos a isso mais tarde.

1. Faça um backup

Como tudo que envolve grandes mudanças em seu blog, seu primeiro instinto deve ser criar um backup. Portanto, se as coisas derem errado, você pode sempre voltar ao estado anterior. Aqui está uma lista de plug-ins que podem ajudá-lo

2. Adicionar SSL em seu painel WordPress

A primeira coisa que queremos fazer é adicionar uma conexão HTTPS para todas as páginas no painel do WordPress. Desta forma, quando alguém se loga em seu site, todos os dados serão trocados com segurança.

Para fazer isso, você deve adicionar a seguinte linha de código ao seu wp-config.php file:

define ( 'FORCE_SSL_ADMIN', true);

Depois de adicionar a linha, salve o arquivo e carregue-o no servidor, é hora de executar um teste rápido. Vá para a sua página de login (https://votresite.com/wp-admin) para verificar se tudo está funcionando bem.

Se tudo estiver bem, você deve ter uma conexão segura. No entanto, se você encontrar um problema, remova a linha de wp-config.php porque haverá solução de problemas para fazer.

No entanto, por enquanto, assumiremos que está tudo bem e podemos dar o próximo passo.

3. Atualize seu

Se sua área de administração foi movida com sucesso para HTTPS, é hora de fazer o mesmo para o resto do site. Para isso, devemos primeiro alterar o endereço do seu site.

É muito simples basta ir ao local Configurações> Geral e adicione https:// tanto para seu endereço WordPress (onde reside sua instalação) e endereço do site (o endereço que os visitantes inserem no navegador).

Definições-gerais

Salve e pronto. Você provavelmente será solicitado a fazer login novamente depois.

Para garantir que seus visitantes possam navegar com segurança em seu site, você também deve configurar um redirecionamento para .htaccess. A maioria das pessoas já deve ter esse arquivo presente em seu servidor (certifique-se de que seu FTP mostre arquivos ocultos), caso contrário, você precisará criar um.

Neste arquivo .htaccess, adicione as seguintes linhas de código:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond% {} HTTPS off
RewriteRule (*). Https: //% {HTTP_HOST}% {REQUEST_URI} [R = 301, L]
</ IfModule>

Agora todos os seus visitantes devem ser redirecionados automaticamente para a parte segura do seu site.

Como configurar o protocolo HTTPS em certas páginas

Eu recomendo que você use SSL em todo o seu site, mas alguns podem não querer usá-lo em algumas páginas.

Aqui está um caso de uso, por exemplo: Você decide implementar conexões seguras apenas para partes confidenciais do seu site, como formulários de loja, carrinhos de compras e deixa o resto sem segurança SSL.

Esse objetivo pode ser alcançado com a WordPress Plugin HTTPS (SSL). Ele permite que você escolha onde usar o protocolo HTTPS no seu site.

WordPress-HTTPS SSL-plugin-configurações

Embora seja verdade que o plugin não é atualizado há algum tempo, fontes confiáveis ​​afirmam que ainda é possível usá-lo. Se você tiver algum problema, eu sugiro Segurança melhor WP que tem características semelhantes.

ajudar

Em teoria, o acima exposto deve ser mais do que suficiente para mover todo o seu site para SSL. No entanto, como as coisas nem sempre acontecem da maneira que você deseja, aqui estão algumas dicas de solução de problemas.

1. Aviso de conteúdo misto

O conteúdo misto ocorre quando partes do seu conteúdo continuam a ser entregues por HTTP, enquanto o resto do seu site foi movido pelo HTTPS, mais seguro.

Nesse caso, os navegadores modernos exibem um aviso, que indica uma mensagem insegura sobre o seu conteúdo.

Use a ferramenta gratuita Verifique SSL para digitalizar todo o seu site em busca de imagens, scripts e arquivos CSS não seguros, etc. Com essas informações, você pode executar uma ação corretiva. Uma alternativa para verificar páginas singulares é WhyNoPadLock.

Você também pode procurar o símbolo do cadeado na barra do navegador enquanto navega no site. Ele exibirá um aviso quando você visitar um jogo que usa conteúdo misto.

Se você encontrar essa página, poderá encontrar o culpado dando uma olhada no console nas ferramentas de desenvolvedor do Chrome ou Firefox ou com uma extensão como Firebug.

2. Certificados que expiram

Quando seu certificado expira, os visitantes recebem um aviso alto sobre isso e são instruídos a não navegar em seu site. Portanto, você não deve permitir que isso aconteça; certifique-se de sempre renovar seu certificado a tempo.

O mesmo aviso também pode ser dado para certificados autoassinados que não são validados por uma autoridade externa.

3. O nome de domínio do certificado não corresponde ao endereço do site

Às vezes, a razão pela qual seu site não recebe luz verde dos navegadores reside na diferença entre o nome de domínio real e o registrado no certificado. Nesse caso, você precisa resolvê-lo com sua autoridade de domínio.

Você pode descriptografar facilmente esse erro usando a solução WhyNoPadLock mencionada anteriormente. Outra ferramenta de verificação de servidor é Teste de Servidor SSL por « SSL Labs" Também é gratuito e pode fornecer muitas informações sobre sua configuração SSL.

4. CDN não considera SSL

Se você é um dos muitos usuários do WordPress que usam redes de entrega de conteúdo para acelerar seus sites, você deve garantir que seu CDN oferece suporte a SSL antes de usá-lo com seu CDN. MaxCDN é um exemplo que suporta o protocolo HTTPS. Verifique com seu fornecedor.

Resumir

Se você estiver usando um site WordPress que processa dados confidenciais, não ignore o protocolo HTTPS. Sem criptografia de tráfego, o risco de as informações de seus clientes serem interceptadas é simplesmente muito grande.

Além de ser um provedor de serviços responsável, a camada adicional de segurança é uma vantagem para os mecanismos de pesquisa. Então, se você não faz isso pelos seus clientes, pelo menos faça pelos rankings.

No entanto, é importante observar que HTTPS não é o alfa e o ômega da segurança do WordPress. Para manter seu site realmente seguro, etapas adicionais são necessárias.