WordPress HTTPS, SSL & amp;TLS – Web Sitesi Yöneticisi Kılavuzu
Web sitesini ziyaret ettiğinizde, tarayıcınız (istemci olarak da bilinir) web sunucusuna bir HTTP isteği gönderir. Web sunucusu bir HTTP yanıtı gönderdikten sonra, tarayıcı sayfanızı ekranınıza oluşturabilir. Ancak, HTTP trafiğinin sorunları vardır; Bu düz metin protokolü. Bu onu gözetim ve müdahaleye karşı savunmasız hale getirir. Saldırgan sizinle aynı ağdaysa, HTTP trafiğinizi kesebilir ve okuyabilirler. Ayrıca isteğinizi sunucuya ve sunucu yanıtını size de değiştirebilirler. Bu, ortadaki insan (MITM) saldırısı olarak bilinir. Bu, otel lobisi ve kamusal alan gibi kamu wifi’de kolayca olabilir.
Bu nedenle web sitesi HTTPS kullanmalıdır – böylece trafik dokunamaz. Bu makalede HTTPS, SSL ve TLS’nin ne olduğu açıklanmaktadır. Ayrıca, WordPress web sitenizi HTTPS’de çalışacak şekilde nasıl yapılandırabileceğinizi de açıklar. İçerik Listesi
SSL ve TLS nedir?
HTTPS nedir?
HTTPS nasıl çalışır?
TLS el sıkışma
Kamusal ve Kişisel Anahtar (Keakim)
WordPress sitemde gerçekten HTTPS’ye ihtiyacım var mı?
HTTPS TLS sertifikası alın (aka SSL sertifikası)
Dağıtılan ve yönetilen WordPress barındırma üzerindeki https
Https wordpress yapılandırma
Bir web sunucusu yapılandırın
WordPress URL’sini HTTPS’ye yapılandırma
WordPress Gösterge Tablosunda TLS’yi zorlayın (Bonus İpuçları)
Sıkı Taşıma Güvenliği Ekleme HTTP (HSTS)
Web sunucusunda HST’leri yapılandırma
TLS şifre
WordPress’im HTTPS’de çalışıyor, güvenli mi?
SSL ve TLS nedir? İnternet gelişmeye başladıktan sonra, trafiği dinleyebilen veya değiştirebilen – SSL’ye giren veya soket katmanını güvenli bir şekilde değiştirebilen kimseden istemciler ve sunucular arasında bilgiyi güvenli bir şekilde aktarmak için bir mekanizmaya ihtiyacımız olduğu açıktır. SSL, bu sorunun üstesinden gelmek için ilk olarak 1995 yılında Netscape tarafından geliştirilen bir İnternet Güvenlik Protokolüdür. Daha spesifik olarak, SSL aşağıdaki şeyleri elde etmeye kararlıdır:
Şifreleme – Trafiği şifrelemek, böylece dinleyerek yetkisiz bir üçüncü taraf tarafından ele geçirilemez,
Kimlik Doğrulama – İstemcinin konuştuğu sunucunun söyledikleri sunucu olduğundan emin olmak için,
Dürüstlük – İstemci ve sunucu arasında gönderilen verilerin yol boyunca başkaları tarafından değiştirilmemesini sağlamak için.
Ancak, zaman içinde güvenlik araştırmacıları SSL’de bir dizi güvenlik sorununu belirlediler. Bu nedenle SSL’nin yerini TLS (taşıma katmanı güvenlik protokolü) aldı. SSL ve TLS arasındaki temel fark çok sert olsa da, TLS’nin amacı çoğunlukla aynıdır.
Not: SSL’nin TLS’ye atıfta bulunmak için kullanıldığını görebilirsiniz. SSL eski bir protokoldür ve artık güvenli değildir. Ancak popülaritesi nedeniyle birçoğu hala SSL’yi kısaltma olarak kullanıyor, oysa TLS tarafından kastediliyor. HTTPS nedir? HTTPS veya HyperText Transfer Protokolü Secure, HTTP protokolünün güvenli bir sürümüdür. HTTP’ler, daha önce kullanılandan daha güvenli bir protokol ve daha güvenli olan taşıma katmanı güvenliğine (TLS) bağlıdır, güvenli soket katmanı (SSL). TLS, HTTPS talep ve yanıtları için şifreleme, kimlik doğrulama ve bütünlük sağlar. HTTPS’yi TLS tünelinden geçen HTTP’den (protokolün olağan metin sürümü) bir istek ve yanıt olarak değerlendirebilirsiniz. Bunun teknik terimi kapsülleme. TLS’nin yalnızca HTTP’yi değil, diğer protokolleri özetlemek için kullanılabileceğini belirtmek önemlidir. Tarayıcı gezinme çubuğunda veya yeşil bir asma kilitle URL’nin başlangıcına (HTTPS ile başlayarak) bakarak HTTPS kullanan web sitelerini görebilirsiniz. HTTP’deki web sitesini keşfederseniz, tarayıcı güvenli olmadığını belirtir.
HTTPS nasıl çalışır? HTTPS, tarayıcılar ve web sunucularını kullanarak bir web sayfası istediğinizde, Handshake TLS adlı bir işlem başlatırsınız. TLS el sıkışma, istemcilerin ve sunucuların iletişim kurmaları ve nasıl iletişim kurmaları gerektiğine karar vermeleri için bir yoldur. El sıkışma sırasında müşteriler ve sunucular aşağıdakileri yapar:
Kullanılacak TLS protokolü sürümüne karar verin (TLS 1.0, 1.2, 1.3 …),
Sunucu kimliğini doğrulamak,
Güvenle iletişim kurmak için el sıkışma bittikten sonra kullanılacak bir şifreleme anahtarı üretin. Sertifikalar pasaportlara benzer – Sertifika Otoritesi (CA) adı verilen güvenilir bir merkezi otorite tarafından, web sitesinin tarayıcınıza kanıtlanabilecek kimliğini bağımsız olarak belirleyen.
Bir web sunucusu tarafından genel bir anahtar içeren bir istemciye gönderilen genel ve kişisel anahtar (KePair) TLS sertifikası (genellikle SSL sertifikası olarak adlandırılır). Genel anahtarlar, KePage adlı iki özel anahtardan biridir. Bir tuş özü iki anahtardan oluşur; ortak anahtar ve özel anahtar. Genel anahtarlar müşterilerle paylaşılırken, kişisel anahtarlar sunucuda gizli tutulur ve asla açıklanmaz. Anahtar çift birlikte dövüldü. Genel ve kişisel anahtar çiftleri çok çekici bir ilişkiye sahiptir – sunucunun kişisel anahtarını bilmeden (bu bir sır ve yalnızca bir sunucunun bilmesi gerekir), istemci, kişiselini kullanarak sunucu tarafından şifre çözülebilecek bir genel sunucu anahtarı kullanarak verileri şifreleyebilir. anahtar.
Bu kafa karıştırıcı geliyorsa, bunun “tarayıcınızı” gönderen “sunucu”, bir asma kilitle korunan açık bir bavul (genel anahtar) gibi olduğunu düşünün. Sunucu “kilit kilidi (özel anahtar) ile içinde ne olduğunu görebilir. WordPress sitemde gerçekten HTTPS’ye ihtiyacım var mı? Evet. Web siteniz tarafından sunulan herhangi bir trafik türü (kişisel kimlik bilgileri (PII), kart sahibi verileri veya kedi resmi olsun), web sitenize HTTPS aracılığıyla hizmet vermemeniz için kesinlikle hiçbir neden yoktur. İlk önce, olduğunuzda Web sitenizi HTTP’de çalıştıran bilgisayar korsanları, WordPress şifrelerinizi ve kimlik bilgilerinizi kolayca çalabilir ve web sitenize hackleyebilir. Tüm bunları serbestçe sunulan araçları kullanarak yapabilirler. Güvenlik ve daha iyi kullanıcı deneyiminin faydalarına ek olarak, çeşitli performans avantajları sunan yeni HTTP/2 protokolü, bir web tarayıcısında TLS olmadan kullanılamaz. Buna ek olarak, HTTPS ayrıca arama motoru optimizasyonu (SEO) avantajlarına sahiptir ve Google arama sıralama algoritmasının bir parçasıdır. HTTPS TLS Sertifikası (AKA SSL Sertifikası) Alma HTTPS ayarlamak için, her şeyi kendiniz ayarlarsanız bir TLS sertifikasına ihtiyacınız vardır. Düzinelerce ücretli TLS sertifikası teklifi görmenize rağmen, Let’s Encrypt adlı kar amacı gütmeyen sertifika yetkilisinden ücretsiz TLS sertifikası alabilirsiniz. Ücretsiz olarak şifreleyelim ve ne ödediğiniz sertifikalar arasında kesinlikle hiçbir fark yoktur.
HTTPS Dağıtılan ve yönetilen WordPress barındırma konusundaki WordPress barındırma, barındırma çözümleri veya birlikte, barındırma sağlayıcınızın HTTP’leri eklemek için ücret ödeyebileceğini veya ödemeyebileceğini unutmayın – eğer sorun ise, bir sertifika almak için para harcamadan önce, müşterilerine sorun. Bunun yerine Sertifikaları Hizmetler ile Şifrelet Letpt Sertifikası kullanıp kullanamayacağınızı destekleyin. Let’s Encrypt Topluluk Forumu da size yardımcı olabilecek iyi bir kaynaktır. HTTPS WordPress’i yapılandırma (WordPress sitenizde TL’leri uygulama) Ayarlarınıza bağlı olarak WordPress sitenize TLS uygulamanın birkaç yolu vardır. Çoğu durumda, web sunucunuzu tüm HTTP trafiğini HTTPS’ye yönlendirecek şekilde yapılandıracaksınız (bkz. SSL Mozilla Yapılandırma Jeneratörü. Ayrıca WordPress’i HTTPS’de dinlemek için yapılandırmanız gerekir. Bunu gerçekten basit SSL veya WP Force SSL gibi eklentilerle yapabilirsiniz. Bu örnek, ek eklentiler kullanmadan nasıl yapılacağını göreceğiz. Web sunucusu dikkatini yapılandırma
Web sunucusu yapılandırmasına kopyalarken/yapışırken dikkatli olun ve web sunucusu belgelerinize bakarak ne yaptıklarını tam olarak bildiğinizden emin olun.
%{Http_host} (http apache sunucusu) veya $ http_host (nginx) kullanarak birçok çevrimiçi örnek bulabilirsiniz – her ikisi de web sitenizi HTTP ana bilgisayar başlık saldırılarına karşı savunmasız hale getirebilir – bunun yerine, konfigürasyonunuzda ana bilgisayar adınızı yazdığı gibi yazın. Altında görüldü.
Nginx kullanıyorsanız, aşağıdakileri yapılandırabilirsiniz:
Sunucu {
80 dinle;
Server_name example.com www.example.com;
Dönüş 301 https: //example.com
Veya Apache HTTP sunucusunu kullanıyorsanız, aşağıdakileri yapılandırabilirsiniz: & amp; lt; ifmodule mod_rewrite.c & amp; gt;
Yeniden yazma
Yeniden yazma %{https} kapalı
Yeniden yazma ^(.*) $ Https: //www.example.com% {request_uri} [l, r = 301]
& amp; ifmodule & gt;
WordPress URL’sini HTTPS’ye yapılandırma Web sunucusunda HTTPS’yi etkinleştirdikten sonra WordPress’i de hazırlamanız gerekir. Teorik olarak bunu manuel olarak yapabilirsiniz: Genel WordPress ayarlarındaki WordPress adresini ve site adresini değiştirmeniz yeterlidir. Ayrıca tüm web sitesi bağlantılarınızı HTTP’den HTTPS’ye değiştirmek için veritabanında arama yapmanız ve değiştirmeniz gerekir. [Ekran görüntüsü] Bu nedenle, WordPress sitenizi HTTPS’ye yönlendirmek için eklentileri kullanmak çok daha kolaydır. İşlem boyunca size yardımcı olmak için gerçekten basit SSL gibi popüler eklentileri kullanabilirsiniz. WordPress TLS gösterge panelinde TLS’nin uygulanması yalnızca kullanılmaktadırsa kullanışlıdır. Bu nedenle, WordPress sitenizin yalnızca TLS’yi desteklemediğinden, aynı zamanda bunu da uyguladığından emin olmak istersiniz. WordPress panosuna her zaman HTTPS aracılığıyla erişilmesi gerektiğinden, WordPress force_ssl_admin için wp-config.php.define (‘force_ssl_admin’, true) üzerinde ayarlanabilen özel yapılandırma seçeneğini içerir;
Dikkat
Web sitenizin hazırlanmasına ve yapılandırmasına bağlı olarak (özellikle, ters bir proxy kullanıyorsanız), bu WordPress kontrol paneline bir isteğe neden olabilir. Nasıl düzeltileceği hakkında daha fazla bilgi için WordPress belgelerine bakın ve her zaman bir evreleme ortamındaki değişikliklerinizi üretime başlatmadan önce test edin.
Buna ek olarak, force_ssl_admin’i true olarak ayarlamadan önce yapılandırılmış bir TLS ve doğru şekilde işleviniz olduğundan emin olun. Kiat Bonus 1: Katı ulaşım güvenliği HTTP (HSTS) Ekleyin, ancak tüm trafiğinizi HTTP’lere aktarmak ne yazık ki, saldırgan hala olabilir. Be birkaç numara var. SSL şeridi olarak bilinen saldırı, saldırganın, HTTP HTTPS’de güvenli olan ve sıkı çalışmanızı etkili bir şekilde yenen siteyi keşfetmek için tarayıcıyı kandırmasına izin verecektir. SSL şeridi saldırısı hakkında daha fazla bilgi için (çok teknik), aşağıdaki Moxie Marlinspike’ın konuşmasını izleyin.
Sonuç olarak, tarayıcı artık HTTP katı taşıma güvenliği veya HST’ler uygulamaktadır. HSTS, tarayıcıya bu özel web sitesine HTTP aracılığıyla erişilmemesi gerektiğini söyleyen basit bir HTTP başlığından başka bir şey değildir ve herhangi bir SSL şerit saldırısını yener. Web sunucusunda HST’leri yapılandırın dikkat
HTTPS’den emin olana kadar HST’leri etkinleştirmeyin – bu HTTP başlığını alan her ziyaretçi, sitenizi yalnızca HTTPS aracılığıyla görebilecektir.
Her zaman maksimum yaş-seçsel özelliği ayarlayın, HST’leri ilk uyguladığınızda (sorunun potansiyelini sınırlamak için) düşük bir değer ayarlamayı seçebilir ve HST’leri kullanarak daha emin olduğunuzda artırabilirsiniz.
Nginx kullanıyorsanız, 443 numaralı bağlantı noktasını dinleyen sunucu bloğunda aşağıdakileri yapılandırabilirsiniz:# hsts (ngx_http_headers_module gerekli) (63072000 saniye)
Add_header Sıkı-İletiş-Güvenlik “Max-age = 63072000” her zaman;
Veya Apache HTTP sunucusunu kullanıyorsanız, 443 numaralı bağlantı noktasında sanalHost’unuzu dinlerken aşağıdakileri yapılandırabilirsiniz:# HTTP Sıkı Aktarım Güvenliği (MOD_HEADERS gerekli) (63072000 saniye)
Daima Sıkı İletli Güvenlik Başlığı “Max-Age = 63072000”
Bonus İpuçları 2: TLS Cipher’i yapılandırma Tarayıcı ve sunucu arasındaki veri aktarımının güvenli olduğundan emin olmak için, her iki taraf da Cipher Suite olarak bilinen şeyi kullanmayı kabul edin – kimlik doğrulama algoritmaları, şifreleme ve mesaj kimlik doğrulama kodu (MAC) – bir kombinasyonu – Güvenlik ayarlarını müzakere etmek ve verileri güvenli bir şekilde aktarmak. Ne yazık ki, birçok eski kodun güvenlik açığı var ve artık kullanmak için çok güvenli değil. Hangi Cipher’in kullanılacağına karar verirken karmaşık bir iştir, Mozilla SSL yapılandırma jeneratörü, ihtiyaçlarınıza uygun bir Cipher TLS serisini seçmenizi kolaylaştırır. Mümkünse, modern veya orta bir profil kullanmayı deneyin ve kullanın, özellikle kullanım durumunuza bağlı olarak, özellikle eski tarayıcıyı desteklemeniz veya kuralları ve uyumluluk gereksinimlerini karşılamanız gerekiyorsa, biraz farklı bir şifre paketi yapılandırması kullanmanız gerekebilir. . Nginx kullanıyorsanız, aşağıdaki Cipher TLS’yi (Mozilla SSL Yapılandırma Jeneratörüne göre) yapılandırabilirsiniz Aracı: # Ara Yapılandırma
SSL_PROTOCOLS TLSV1.2 TLSV1.3;
SSL_CIPHERS ECDHE-ECDSA-AES128-GCM-SH256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES25
6-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-Chacha20-Poly1305: ECDH
E-RSA-Chacha20-Poly1305: DHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384;
SSL_PREFER_SERVER_CIPHERS KAPALI;
Veya HTTP sunucusu Apache’yi kullanıyorsanız, aşağıdaki Cipher TLS’yi (Mozilla SSL yapılandırma jeneratörüne dayanarak) yapılandırırsınız:# ara konfigürasyonlar lprotocol All -sslv3 -tlsv1 -tlsv1.1
SSLCIPHERSUite ECDHE-ECDSA128-GCM-SH256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: -RSA-Pol256-GCM-SHA384: -RSA-pol256-gcm-sha: RSA-AES128-GCM-SH256: DHE-RSA-AES256-GCM-SHA384
Sslhonorcipherorder kapalı
Sslsessicicks
Daha fazla teknik bilgiler için SSLabs adlı ücretsiz bir araç kullanarak web sitenizin TLS yapılandırma puanını da test edebilirsiniz. WordPress’im HTTPS’de çalışıyor, güvenli mi? Yeşil asma kilit simgesi ve tarayıcı adresinizin yanındaki “güvenli” kelimeler, HTTPS’nin web sitesinin tüm güvenlik sorunlarını çözen sihirli bir çubuk olduğuna inandırabilir. Ne yazık ki hayır.
HTTPS, WordPress’in güvenliğinin sadece küçük bir parçasıdır: HTTPS, ziyaretçilerin güvenli bir bağlantı yoluyla web sitenizi keşfetmelerine izin verir. Ancak bu, web sitenizi bir WordPress güvenlik duvarı gibi korumaz veya daha güvenli hale getirmez. Bu, HTTP’de çalışan web sitesinden daha güvenli olduğu anlamına gelmez. Diğer güvenlik savunması gibi, HTTPS de bazı sorunların çözülmesine yardımcı olur. Başka bir deyişle, kesinlikle HTTP’leri uygulamak ve uygulamak zorunda kalsanız da, sakin olabileceğiniz ve artık güvenlik konusunda endişelenebileceğiniz anlamına gelmez. Hala:
İki faktör kimlik doğrulaması ekleyin
Dosya bütünlüğü izleme eklentisini yükleyin
Güçlü bir WordPress şifre politikası uygulayın
WordPress etkinlik günlüğünü web sitenizde meydana gelen tüm değişikliklerin bir kaydı olarak kaydedin
