You are here: Home » WordPress » HTTPS a váš WordPress

HTTPS a váš WordPress

HTTPS se většinou věnují spíše odborné články a zapomínají, že dnešní průměrný průměrný provozovatel webu začíná být spíše ten kdo tvoří obsah, než ten kdo umí vytvořit web. Svou velkou zásluhu na tom má i WordPress, který díky velké podpoře komunity začali nabízet hostingové společnosti jako instalaci na jedno kliknutí. Pojďme si tedy v jednoduchosti povědět něco o HTTPS a co vám může přinést.

Jen ve zkratce si připomeneme dva nejdůležitější pojmy. HTTPS je protokol, přes který komunikuje klient (internetový prohlížeč) se serverem. Máme různé druhy protokolů, například FTP (na přenos souborů) anebo SMTP (na posílání emailů). HTTPS na rozdíl od HTTP všechnu komunikaci šifruje pomocí SSL anebo TLS.

SSL se postará o to, aby všechna komunikace byla zašifrována, HTTPS o to aby proběhla komunikace. Následně vše server zašifruje a pošle přes HTTPS zpět. Váš prohlížeč si je díky SSL dešifruje a zobrazí je. Mezi vašim prohlížečem a serverem je tak vytvořen jakýsi šifrovaný tunel, kterým mohou proudit data a kdokoliv ty data uvidí, tak mu nebudou dávat smysl.

Přeštěte si   Ransomware který cíli na WordPress

Kdo může data vidět?

Pokud si otevřete program Příkazový řádek ve Windows a zadáte tracert vašedomena.cz, tak uvidíte jakou cestu musí pakety (data) projít než se dostanou na server. Na každé „zastávce“ si je může kdokoliv přečíst – váš router, poskytovatel internetu, jeho poskytovatel konektivity, routery v datacentru, fyzický server. Pokaždé když se přihlásíte na váš WordPress tak touto cestou putuje vaše přihlašovací jméno a heslo. Samozřejmě to funguje i obráceně, když jdou data zase zpět. Dále do přenesených dat může případný útočník zasáhnout a pozměnit je.

V současné době je to o dobré víře. Každému na cestě musíte důvěřovat, že takto přečtená data nezneužije. Pokud začnete data šifrovat, tak musíte věřit jen svému prohlížeči (počítači) a webserveru. Nic na cestě vás nemusí zajímat.

Samozřejmě aktuální hrozbou jsou spíše různé free wifi a napadený router, který odesílá hesla případnému útočníkovi.

Zneužitelnost dat

Pokud máte na WordPress jen svůj malý blog, tak vám při odposlechnutí dat hrozí „jen“ že vám někdo hackne web. Pak budete muset měnit heslo, všechno čistit anebo kompletně přehrát zálohou. Tedy práce pro vás. Horší je, když máte v databázi něco, co může někdo jiný zneužít. Například emailové schránky vašich uživatelů budou  zaplaveny spamem a zavirovanými emaily vašim jménem. Velice nepříjemné, ale i to se dá přežít. Ovšem pokud sbíráte i citlivé osobní údaje, mohou být zneužity například pro různé průzkumy.

Přeštěte si   Jak minimalizovat bezpečnostní hrozby WordPress pluginů

Pozměnění dat

Jakákoliv nešifrovaná komunikace může být pozměněna. Například pokud by se útočník zmocnil vašeho routeru, může na každé stránce kterou navštívíte vyměnit reklamu za svou a to včetně vašeho webu. Prostě router přijme zdrojový kód stránky ze serveru, část v něm pozmění a pošle vám jej. U HTTPS tohle nejde, protože je vytvořený šifrovaný tunel. Jakýkoliv zásah by jej zbortil a upozornil prohlížeč uživatele.

Na celém světě existují stovky tisíc napadených zařízení, které toto mohou udělat. Jejich vlastníci o ani netuší. Další stovky tisíc jsou proti zranitelné a potřebují urychleně aktualizovat firmware. Ovšem zeptejte se sami sebe, kdy jste naposledy aktualizovali firmware na svém domácím routeru?

Přeštěte si   Máte zájem ovlivnit budoucnost WordPress?

Jak je to s WordPress a HTTPS

Je to neskutečně jednoduchá záležitost. Většina z vás má hosting u společnosti, která podporuje Let’s Encrypt (viz. odkaz na seznam níže). Díky ní můžete mít certifikát pro šifrování zcela zdarma. Navíc vám vše zřídí téměř na počkání a o prodlužování se postarají za vás.

Jestli je vše funkční zjistíte tím, že si zkusíte dát do adresy https://vašedoména.cz. Pokud prohlížeč nebude protestovat (objeví se chyba certifikátu), tak je vše připraveno.

Co se týká WordPress tak stačí v Nastavení – Obecné změnit u Instalace WordPressu (URL) a Úvodní stránka webu (URL) adresu z http:// na https://.

Ano takto jednoduché to je. Tedy měli byste předtím ještě vyprázdnit a vypnout cache. Po skončení bude potřeba, aby všechno bylo správně přesměrováno na HTTPS verzi. S tím mi pomohl plugin Easy HTTPS (SSL) Redirection. Také se ujistěte, že všechno, co se do stránky vkládá jede na HTTPS (počítadla, reklamy atd.).

Share Button

Programuju v PHP už několik let spíše pro zábavu. Baví mě WordPress, protože tak lenivým lidem jako jsem já ušetří spoustu času. A rád sbírám reklamní flash disky. Tento blog používám pro utřídění myšlenek.

http://n-host.cz

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *