Kasaya: HTTP-KE-HTTPS Kontrol Listesi
Geçen hafta, diğer birçok faydası olan ana güvenlik önlemleri olan WPSOut’u (ve diğer tüm web özelliklerimizi) SSL’ye çevirdik. Bu makale, WordPress sitesini SSL’ye iletirken tekrarlanan birkaç önemli “gotcha” yı belgelemektedir. SSL: Burada tonoz için SSL’ye kısa bir genel bakış vereceğiz. Basitlik uğruna, SSL, TLS ve HTTP’ler arasındaki farkı görmezden geliriz. Bu, aşağıdaki kısaltmaları kullanmamızı sağlar: Site tarafından etkinleştirilmesini gerektiren https: // aracılığıyla eriştiğinizde siteniz “güvenli” dir.
Hassas kullanıcı bilgilerini ele alırsanız neden SSL SSL’ye taşınmanız çok önemlidir, ancak bunun iyi bir fikir olmadığı bir durum yoktur. Sitenizi SSL Şifreleme Yapımı Altına Yerleştirme Gerçekten çalınmadı-siteniz ve kullanıcınız arasındaki iletişim. Alternatiflerden daha iyi geliyor, değil mi? O. Kredi kartı verileri veya tıbbi kayıtlar gibi hassas kullanıcı bilgilerini ele alırsanız, SSL’nin kesinlikle önemli olan bir istisnası yoktur, ancak temel olarak iyi bir fikir olmadığı durumlar yoktur. Kullanıcı güveni sayesinde SSL sertifikaları, güvenlik ile ilgili olmayan metrikleri etkileyebilir.
Bu iyi bir fikir olduğundan, kullanıcılar SSL’yi bir genel güven düzeyiyle ilişkilendirir. Tüm büyük siteler – Amazon, Google, YouTube, vb. – Yalnızca SSL ve birçok kullanıcı için SSL sertifikalarını (URL çubuğundaki yeşil tuş ışığı) bkz. Site ile serbestçe etkileşime girebileceklerinin genel bir göstergesidir. Siteniz için SSL sertifikaları, kullanıcı katılımı ve dönüşüm oranı gibi güvenlik ile ilgili olmayan metrikleri bile etkileyebilir. Sitenizi SSL’ye taşımanın bir başka iyi nedeni de şimdi, nihayet ücretsizdir. Sitenizi SSL’ye taşımanın bir başka iyi nedeni de şimdi, nihayet ücretsizdir. Geçen hafta yazdığımız gibi, Let’s Enstrypt şimdi herkes için ücretsiz SSL sertifikaları sunuyor ve en sevdiğimiz ev sahibi site alanımız sertifikanın kullanımını çok basit hale getirmek için ekstra çaba gösterdi. Ücretsiz SSL sertifikası gelecekteki bir yoldur ve site alanını kullanıyorsanız mevcuttur. (Bu arada, Site Alanı kullanmıyor ve istemiyorsanız, geçen haftanın makalesinde Siteground Sözleşmesi Teklifimize bakın!) Sitenizi tonoza taşıyın, böylece SSL’ye ne tür bir transfer?
Güvenliğe getirdiğiniz her şey güvenliği geçti ve kullanıcınız sizi ziyaret etmek için kasaya geldiğinde güvenliği de siliyorlar. Fallout video oyunu serisinin hayranıysanız, SSL’yi kasa gibi düşünebilirsiniz. Evde kalırdı – uzun ve ferah, ama çok güvenli değil. Şimdi elit bir güvenlik güçleri – SSL sertifika sağlayıcınız tarafından korunan bodrum katında yaşayacaksınız. Güvenliğe getirdiğiniz her şey güvenlikten geçti ve kullanıcılar sizi ziyaret etmek için kasaya geldiğinde güvenliği de siliyorlar. Onlarla hiçbir şeye izin verilmez, bu olağanüstü, çünkü istediğiniz gibi kişisel bir konuşma yapabilirsiniz. Bu makalenin bir sonraki kısmı, ev yaşamından kubbe yaşamına geçişi ve bu geçiş sırasında ortaya çıkan iki tür ortak problemi açıklar:
Karışık İçerik Uyarısı
Her bir sorun türü için, yaşadığım belirli örnekleri ve her biri için iyileştirmeleri ekleyeceğim. Zevk almak! 1. URL sorunu: “Hareket ettiğini bilmiyorum” İlk sorun serisi, çeşitli kaynaklar sizi tahtanızda bulmayı bilmediğinde ve hala evinizde önemli bir işle göründüğünde ortaya çıkar. Başka bir deyişle, https://site.com yerine http://site.com adresinde hala sizi arıyorlar.
Bu sorunun bazı özel enkarnasyonları şunlardır: Bazı site sürümleri sitenin iki versiyonunu aynı anda çalıştırmak mümkündür: biri https://domain.com adresinde ve bir tane daha http://domain.com adresinde. Bir SSL sertifikası yüklediğiniz için, sitenizin otomatik olarak kullandığı anlamına gelmez. Sitenin iki sürümünü aynı anda çalıştırmak çok mümkündür: biri https://domain.com adresinden SSL üzerinden erişildi ve birine http://domain.com adresinden güvenli olmayan erişiliyor. Bu iki adresi korumak gibidir: biri kasada, biri eski evinizde. Bunun SEO, güvenlik ve diğer sonuçlar üzerinde olumsuz bir etkisi olabilir, çünkü sitenin güvensiz sürümünüzle ilgili trafiğinizin yarısı – güvensiz kredi kartı verileri içerir, hasarlı içeriği görür, sitenizin analitikliği hakkında aşırı karışıklık yaratabilir ve i Başka ne bilmiyorum. Bunun için tedavi kuralları kullanmaktır. Perşembe günkü makalem bunun nasıl yapılacağını tartıştı ve taşma yığınındaki ilgili çalışma kodlarıyla bağlantılı. Tartışmamız, Disqus yorumlarının varsayılan WordPress yorum sisteminin yerini aldığı ve kesinlikle tavsiye etmemiz. Daha önce bugün fark ettim: Yorum görünmüyor! Disqus hala http://wpshout.com hakkında yorum yapmayı umuyor. İyileştirme için aşağıdaki değişiklikleri yapmalıyım:
2. Karışık İçerik Uyarıları: “Arkadaşlarınızın izni yok” Karışık İçerik Uyarıları Güvensiz bir şey girmeye çalıştığınızda – kasa güvenliğini geçmeyen – kasada. Unutmayın, kasanın kasanın çekirdeği olan katı bir güvenlik prosedürü vardır. İstisna yoktur! Bu nedenle, karışık içerik uyarısı, SSL sitesi güvenli olduğunda, görüntüler, JS dosyaları veya CSS stil sayfaları gibi kaynaklar için güvenli olmayan istekleri oluşturduğunda meydana gelir. Bazı özel sorunlar şunları içerir: Güvensiz görüntülerin eksikliği WordPress ortamındaki karışık içeriğin uyarısının en büyük nedeni, SRC görüntü özniteliği yazılı güvensizdir. Unutmayın: http://site.com/media/image.jpg, siteniz SSL altında olduktan sonra bile var. Sitenizi SSL altına koyar ve sitenizi yeniden yüklerseniz, aşağıdakilere benzeyen yaklaşık bir milyon karışık içerik uyarısı alırsınız:
Büyütmek için tıklayın
SSL sertifikasının artık beklediğiniz gibi yatıştırıcı bir yeşil anahtar olmadığını ve tarayıcı müfettişinizdeki “konsol” sekmesinin artık karışık içerik gösterildiğini unutmayın. Bir sorun, birçok güvensiz görüntü bağlantısı birkaç yerde olabilir ve birbirinizi farklı şekilde idare etmelisiniz: Bu WordPress veritabanında bu, güvensiz referans verilen en yaygın görüntü kaynağıdır, çünkü WordPress eklemek için yazıyoruz. Gönderme İçeriği her zaman HTTP bölümüne ve dahil olmak üzere tüm URL’yi her zaman belirleyin. Bunu geliştirme, veritabanınız aracılığıyla searchReplecedB2 gibi araçlarla bir blok bulma; Bunu Perşembe günü makalede tartıştım. Yukarıdaki örnekteki tema dosyasında, güvenli olmayan referans verilen görüntü, bizim durumumuzda başlığımıza kodlanan wpsout logosudur.Tüm sitelerde bu sabit kodda bazı özel temalar resim bağlantılarınız olabilir;Temanız üzerinde manuel olarak yeniden yazmanız gerekir, çünkü referans güvenli değil, veritabanınızda değil, PHP tema dosyasının kendisinde.Bu eklenti dosyasında en nadir durum ve belki de en zor durumdur.Bazı üçüncü taraf eklentileri doğrudan güvenli olmayan görüntü içeriğine atıfta bulunuyor-bulduğumuz tek örnek, güvenli olmayan Reddit logo sürümünü girmeye çalıştığımız sosyal paylaşım eklentisiydi.
Üçüncü taraflı bir eklentiyi manuel olarak değiştirmek, eklenti güncellemelerini artık kabul edemeyeceğiniz anlamına geldiğinden, bu zor bir sorundur. İlk tavsiye, bir eklenti olmadan yaşayıp yaşayamayacağınızı görmektir. (Bizim durumumuzda yapabiliriz.) Değilse, kaynaklara güvenli bir şekilde erişmek için ilk eklentiyi değiştiren ikinci eklentiyi yazmak isteyebilirsiniz – ki bu orijinal eklenti koduna bağlıdır, belki de öğleden sonra beynini biraz keskinleştirmek. İstenen Google yazı tipleri güvenli değildir Güvensiz referans verilen içerik için çok yaygın bir neden: Google yazı tipi kaynaklarının isteği yazılı güvensizdir. Aşağıdakilere benziyorlar: Burada not edilecek şey href =’ http: //fonts.googleapis.com/ . Bu kod “Lütfen bu yazı tipi dosyasını üçüncü taraf bir siteden güvensiz olarak alın, ardından sonuçları güvenli sitemde metin oluşturmak için kullanın.” Tarayıcınız hiç hoşlanmayacak ve şu şekilde konsol hatalarına neden olacak: Büyütmek için tıklayın
