Das Internet ist kein sehr sicherer Ort für vertrauliche Gespräche. Es warten Tausende von neugierigen Blicken darauf, Ihre persönlichen Daten auszuspähen – Ihre Anschrift, Ihre Telefonnummer und Ihre Kreditkarteninformationen. Aus diesem Grund verwenden die meisten Unternehmen bei der Verarbeitung vertraulicher Aufgaben das Protokoll Secure HTTP (HTTPS). Heute werden wir über HTTPS sprechen und darüber diskutieren, ob wir es tatsächlich auf unseren Websites brauchen.
Etwas technischer Tee
HTTP ist ein Protokoll, das von Webservern und Clients (Browsern) verwendet wird, um Webseiten und Dateien zu kommunizieren und zu übertragen. Es gibt viele andere Protokolle wie FTP, SSH und BitTorrent.
HTTPS ist eine gesicherte Version des HTTP-Protokolls, die SSL-Verschlüsselung (Secured Socket Layer) verwendet. Wie SSL im Hintergrund funktioniert, erfordert einen Bachelor-Abschluss in Informatik und ein solides Verständnis der Kryptographie. Dank des Konzepts der Abstraktion brauchen wir uns darüber keine Gedanken zu machen. Denk dran:
HTTP + SSL = HTTPS
Kurz gesagt, HTTPS verwendet vor der Datenübertragung einen „Handshake-Mechanismus“, der den öffentlichen und den privaten Schlüssel abgleicht. Sobald der Handshake abgeschlossen ist, wird die Verbindung hergestellt und die gesicherte Sitzung beginnt. Wenn Sie eine HTTPS-Site besuchen, geschieht all dies fast augenblicklich, bevor Sie die grüne Anzeige in der Adressleiste Ihres Browsers sehen.
Vier Gründe, warum HTTPS großartig ist
1. Erstklassige Sicherheit: Mit SSL ist Ihre Verbindung verschlüsselt. Es entsteht ein virtueller Tunnel, durch den nur der Server und der Browser können kommunizieren. Niemand sonst kann diesen Kanal interpretieren. Selbst wenn der Angreifer diesen Kanal anzapft, könnte er die verschlüsselten Daten nicht verstehen. Er bräuchte den privaten Schlüssel, der nur dem Browser bekannt ist.
2. Prüfung: HTTPS erfordert ein SSL-Zertifikat und der Erwerb des letzteren für ein Unternehmen ist ein ernsthafter Prozess. Es erfordert die Vorlage offizieller Dokumente, die vom Certificate Authorizer (CA) verifiziert werden. Erst wenn die Dokumente die Validierungstests bestehen, wird das SSL-Zertifikat ausgestellt.
3. Legitimiert Unternehmen: Wenn Sie eine SSL-gesicherte Site besuchen, können Sie sich der Glaubwürdigkeit der Site sicher sein. Die erforderlichen Kontaktdaten des Inhabers können Sie jederzeit dem SSL-Zertifikat der Site entnehmen.
4. Datenintegrität: Die Datenintegrität bezieht sich auf die Konsistenz der angeforderten und der tatsächlich empfangenen Daten. Betrachten Sie dieses Beispiel: Jemand besucht Ihre Website für einen bestimmten Beitrag auf Anweisungen zur Einrichtung des XYZ-Servers. Am Ende des Beitrags hinterlassen Sie einen Affiliate-Link. Auf einer ungesicherten Seite könnte ein Angreifer die Verbindung leicht anzapfen und Ihrem Besucher die kompromittiert Daten. Aller Wahrscheinlichkeit nach wird er Ihren Affiliate-Link durch einen Phishing-Link ersetzen. Somit besteht ein gewaltiger Unterschied zwischen den angeforderten und den tatsächlich empfangenen Daten – die Integrität der Daten wird zerstört. Mit SSL ist all dies nicht möglich!
Hier ist der Haken:
Der Aufbau einer sicheren Verbindung erfordert erhebliche Rechenleistung sowohl vom Server als auch vom Client. Dieses Ergebnis ist a langsamere Übertragungsrate im Vergleich zu HTTP. Aus diesem Grund verwenden die meisten Websites nicht immer HTTPS. Sie warten, bis Sie versuchen, sich einzuloggen oder einen Kauf zu tätigen. E-Commerce-Sites wie Amazon und Newegg folgen dieser Regel. Auf diese Weise ist das Surfen blitzschnell und Einkäufe sind sicher.
Brauche ich wirklich HTTPS in meiner WordPress-Site?
Gute Frage, aber es ist keine einfache Ja-Nein-Antwort. Lassen Sie uns das also ausführlich besprechen.
Suchmaschinen bevorzugen HTTPS-Sites (ja)
Hier ist ein Zitat von a neuer Beitrag im Google Webmaster Central-Blog.
…in den letzten Monaten haben wir getestet, ob Websites sichere, verschlüsselte Verbindungen als Signal in unseren Suchranking-Algorithmen verwenden.
Dies bedeutet nicht, dass Ihr SERP-Rang sinkt, wenn Sie kein HTTPS auf Ihrer Website haben. Zur Zeit. Wachsame Menschen werden dies als einen frühen Indikator für die Zukunft nehmen. Viele Leute beschweren sich und stellen die Entscheidung von Google in Frage. Warum in aller Welt würden Sie HTTPS in Ihrem statischen Blog verwenden? Um zu verhindern, dass Hacker die Kommentare Ihrer Besucher lesen? Verdammt, selbst der Google Webmaster Blog verwendet kein SSL!
Szenarien, in denen Websites HTTPS verwenden sollten
Es gibt viele Situationen, in denen HTTPS als zusätzliche Sicherheitsebene verwendet werden sollte. Hier sind einige Beispiele, wo es angewendet werden sollte:
1. E-Commerce-Shops
Wenn Sie einen WordPress-Shop mit WooCommerce oder iThemes Exchange betreiben, ist es am besten, HTTPS auf den Transaktionsseiten der Site zu verwenden. Wie Sie bereits wissen, ist HTTPS langsamer als HTTP und wirkt sich daher auf das Surferlebnis des Benutzers aus. Wenn es jedoch um vertrauliche Informationen wie Privatadresse, Telefonnummer oder Kreditkartendaten geht, ist es notwendig, Geschwindigkeit statt Sicherheit zu opfern. In den folgenden Szenarien sollten Sie immer HTTPS verwenden:
- Ein neuer Benutzer registriert oder loggt sich ein
- Ein Benutzer ist im Begriff, eine Zahlung zu tätigen
2. Spendenseiten
Einige Websites zeigen in ihrer Seitenleiste einen kleinen Spenden-Button an und fast alle verwenden kein HTTPS. Hier ist, was schief gehen kann. Da die Site nicht gesichert ist, kann der Angreifer die Daten der Site leicht manipulieren, um betrügerische Informationen anzuzeigen – beispielsweise den PayPal-Spenden-Button durch eine Phishing-Site zu ersetzen. Wenn ein Besucher (eher ein Spender) auf diesen betrügerischen Link klickt, besteht die Gefahr, dass sein Konto kompromittiert wird. Wenn Sie also auf Ihrer Website eine Spendenschaltfläche verwenden, versuchen Sie, SSL zu integrieren.
3. Mitgliedschaftsseiten
Viele Internetunternehmer betreiben private Foren und Mitgliederseiten mit WordPress. Solche Seiten tragen Privatgelände Daten – Daten, die die Öffentlichkeit nicht sehen soll. Wenn in solchen Fällen SSL verwendet wird, würde es Bedrohungen der Datenintegrität beseitigen und eine sichere Umgebung für die Interaktion Ihrer Mitglieder schaffen. Es ist, als würde man zwei Fliegen mit einer Klappe schlagen:
- Bessere Sicherheit
- Vertrauen und Vertrauen der Kunden stärken
4. In der Vergangenheit gehackte Websites
Wenn Ihre Site Opfer eines gezielten Angriffs wurde oder kürzlich gehackt wurde, sollten Sie ernsthaft in Erwägung ziehen, auf eine SSL-verschlüsselte Site umzusteigen. Die Wiederherstellung von einer gehackten Website kann mit persönlichem Fachwissen und / oder mit Hilfe von WordPress-Sicherheitsexperten (wie Sucuri) erfolgen.
Um sich vor zukünftigen Angriffen zu schützen und eine zusätzliche Sicherheitsebene hinzuzufügen, erzwingen Sie die Verwendung von HTTPS auf Ihrer gesamten Website. Da SSL jedoch viele Serverressourcen verbraucht, kann Ihre Site je nach Serverkonfiguration ziemlich langsam werden. Das willst du nicht. So könnten Sie SSL auch selektiv nur während der Anmeldeseiten und während der Arbeit im WordPress-Administrator-Dashboard verwenden.
SSL in WordPress einrichten
Die Einrichtung von SSL ist ein komplizierter und langwieriger Prozess. Es erfordert technisches Know-how, viel Zeit und es gibt viel Raum für Fehler. Ich würde dringend empfehlen, mit Ihrem Hosting-Manager zu sprechen, um Ihnen bei der Einrichtung von SSL zu helfen (prüfen Sie GoDaddy, mit unserem Link können Sie 25 % bei einem SSL-Zertifikat sparen). Wenn Sie entschlossen sind, zu einer HTTPS-Site zu wechseln, können Sie davon ausgehen, dass Ihr Budget die Kosten eines verwalteten WordPress-Hosting-Unternehmens umfassen kann.
Wir bei Themelocal verwenden WPEngine und unsere Website ist vor Hackern, Malware und DDoS-Angriffen geschützt. Außerdem ist es wirklich schnell. Unternehmen wie WPEngine bieten Ihnen die Möglichkeit, ein integriertes SSL-Zertifikat zu erwerben. Die Kosten variieren zwischen 49 und 199 USD pro Jahr. Sie können auch SSL von Drittanbietern verwenden, die Ihnen bei der Einrichtung und Konfiguration von HTTPS auf Ihrer Site helfen.
Abschluss
Zu Ihnen – was denken Sie zu diesem speziellen Thema? Ja oder nein bei HTTPS? Haben Sie schon einmal SSL in Ihrer Site verwendet? Teilen Sie uns Ihre Gedanken mit!