فعال کردن SSL روی وردپرس

راهنمای کامل فعال‌سازی پروتکل HTTPS در وردپرس

امروزه، باوجود تهدیدات امنیتی زیادی که در فضای آنلاین وجود دارد؛ وب‌سایت‌ها می‌بایست با فعال‌سازی پروتکل امنیتی HTTPS از امنیت بازدیدکنندگان صفحات خود اطمینان داشته باشند.

ضرورت این مسئله ازآن‌جهت است که گزارش بیشتر از نیمی از سازمان‌هایی که در فضای آنلاین فعالیت می‌کنند حاکی از آن است که آن‌ها هم‌اکنون بیشتر از هر زمان دیگری هدف حملات قرار می‌گیرند.

ازآنجایی‌که بخش عمده‌ای از حمله‌هایی که به وب‌سایت‌ها انجام می‌شود؛ به دلیل پسوردهای به سرقت رفته و ارتباطات ناامن است – که هردو توسط پروتکل HTTPS محافظت می‌شوند – درک اینکه چرا توجه به معیارهای امنیتی مهم است مشکل نیست.

 

باوجوداینکه وردپرس یک سیستم مدیریت محتوای فوق‌العاده است؛ سایت‌های وردپرسی از ابتدا توسط پروتکل HTTPS محافظت نمی‌شوند. معمولاً بعضی از سرویس‌دهنده‌های هاست گواهینامه‌های SSL را به‌صورت رایگان ارائه می‌دهند.

این گواهینامه‌های رایگان برای مجهز کردن وردپرس به HTTPS ضروری هستند؛ اما هنوز موارد اضافی دیگری برای فعال‌سازی تمام موارد لازم هستند.

بنابراین قصد داریم در این آموزش، همه‌ی آنچه برای فعال‌سازی پروتکل HTTPS در وب‌سایت خودتان باید بدانید را ارائه دهیم.

تعریف مختصر HTTPS

ایمن سازی

ایمن سازی

HTTPS ترکیبی است از پروتکل انتقال متن HTTP (Hyper Text Transfer Protocol) و اقدامات امنیتی لایه‌ی سوکت های امن SSL (Secure Sockets Layer) .

وجود یک کانکشن HTTP برای هر کاربر برای اتصال به یک وب‌سایت لازم است؛ اما بدون SSL هیچ‌گونه محافظتی از داده‌های کاربر نخواهد شد. یعنی هکرها و یا بدافزارها به‌راحتی می‌توانند اطلاعات خصوصی کاربر، مانند رمز عبور یا اطلاعات بانکی او را به سرقت ببرند.

داشتن یک اتصال HTTPS هم از حریم خصوصی ترافیک داده‌های یک وب‌سایت محافظت می‌کند؛ هم ماهیت امن یک وب‌سایت را برای کاربر بازدیدکننده از آن وب‌سایت اثبات می‌کند. درواقع، وقتی یک کاربر از وب‌سایت‌های محافظت‌شده با پروتکل HTTPS بازدید می‌کند، یک آیکون قفل سبزرنگ در مرورگر او در کنار آدرس سایت خواهد دید. این یک مشخصه برای اثبات استفاده امن از وب‌سایت‌ها است که علاوه بر ایجاد حس اطمینان برای کاربر، یک استاندارد است که همه‌ی کاربران داشتن آن را از وب‌سایت‌ها انتظار دارند.

 

مراحل اضافه کردن پروتکل HTTPS به وب‌سایت وردپرس

گام ۱) گرفتن یک گواهینامه‌ی SSL

وب‌سایت‌هایی که گواهینامه‌ی SSL را از طریق ارائه‌دهنده‌ی هاست خود می‌گیرند؛ می‌توانند به‌راحتی آن را از طریق پنل مدیریت خود فعال کنند. اما وب‌سایت‌هایی که میزبان آن‌ها از گواهینامه SSL پشتیبانی نمی‌کند می‌بایست به‌صورت دستی گواهینامه SSL را به دست آورده و نصب کنند.

برای انجام این کار، شما به یک گواهینامه (که درواقع یک نوع فایل است) از یک موسسه‌ی رسمی معتبر نیاز دارید. پیشنهاد ما به شما استفاده از گواهینامه‌های LetsEncrypt ]پیشنهاد تغییر مثال[ به دلیل داشتن گواهینامه‌های رایگان و دستورالعمل‌های ساده و کاربرپسند آن است.

گام ۲) نصب یک گواهینامه‌ی SSL در وردپرس

امنیت وب وردپرسبدون در نظر گرفتن اینکه قصد استفاده از چه گواهینامه‌ای دارید؛ مراحل بعدی به اینکه وب‌سایت شما توسط پوسته امن SSH (Secure Shell) به هاست خود دسترسی داشته باشید بستگی دارد. با داشتن دسترسی SSH ، مدیران وب‌سایت می‌توانند به کمک کلاینتی مثل CerBot گواهینامه SSL را نصب کنند. بااین‌وجود، ساختار اکثر ارائه‌دهندگان هاست به وب‌سایت‌های وردپرسی به‌ صورتی است که به مدیران وب‌سایت این دسترسی را نمی‌دهند.

در این شرایط بهترین انتخاب برای مدیران وب‌سایت‌ها، مراجعه مستقیم به ارائه‌دهندگان هاست آن‌ها برای کمک به انجام تغییرات در وب‌سایت است. خوشبختانه خیلی از ارائه‌دهندگان سرویس‌های هاست این نیاز کاربران را پیش‌بینی کرده‌اند و گزینه‌هایی برای پشتیبانی از گواهینامه‌های SSL را قرار داده‌اند.

 

 توجه: قبل از ایجاد هرگونه تغییر عمده در پس‌زمینه‌ی سایتتان، تهیه نسخه‌ی پشتیبان از کل سایت را فراموش نکنید. در این صورت اگر اشتباهی رخ داد می‌توانید بدون نگرانی وب‌سایت خود را به‌صورت امن به حالت قبل برگردانید.

 

همان‌طور که گفته شد بعضی از ارائه‌دهندگان هاست می‌توانند به شما نصب گواهینامه‌های SSL خریداری‌شده را پیشنهاد بدهند. اگر این امکان فراهم نباشد، امکان نصب دستی گواهینامه SSL وجود دارد. اما این کار به تجربه و دانش بیشتری نیاز دارد و به افراد بی‌تجربه توصیه نمی‌شود.

خوشبختانه افزونه‌های وردپرسی زیادی هم در دسترس‌اند که می‌توانند گواهینامه‌ی SSL شما را فعال کنند. استفاده از افزونه‌های وردپرس برای نصب SSL یکی از متداول‌ترین روش‌های این کار است.

 

گام ۳) دو روش برای ایجاد ارتباط HTTPS برای وردپرس

به‌محض اینکه گواهینامه‌ی SSL روی دامنه شما نصب شد؛ در مرحله‌ی بعد شما باید وردپرس را طوری تنظیم کنید که از آن برای HTTPS استفاده کند. این کار هم می‌تواند با کمک افزونه‌ها انجام شود (که برای افراد مبتدی این روش توصیه می‌شود) و هم به‌صورت ایجاد تغییرات  به‌صورت دستی در فایل‌های وب‌سایت وردپرسی شما صورت بگیرد.

علاوه بر این، اگر می‌خواهید نصب SSL به‌صورت دستی انجام شود، اما به توانایی خود در ایجاد تغییرات در کدهای سایت اعتماد ندارید؛ می‌توانید یک توسعه‌دهنده‌ی وردپرس استخدام کنید تا این تغییرات فنی را برای شما انجام دهد.

روش آسان – استفاده از HTTPS در وردپرس با استفاده از افزونه

بدون شک، ساده‌ترین روش برای استفاده از HTTPS در وردپرس استفاده از افزونه است.

تعداد زیادی از افزونه‌هایی از برنامه نویسان مختلف وجود دارند که تمام مراحل را برای شما انجام می‌دهند. این مراحل شامل بررسی گواهینامه‌ی SSL، استفاده وردپرس از HTTPS در URL سایت، ارتباط خودکار منابع قدیمی HTTP به HTTPS و بررسی تمام محتوای سایت برای یافتن ایرادات امنیتی هستند.

یکی از بهترین افزونه‌ها، افزونه‌ی WordPress Really Simple SSL Pro است.

این افزونه برای تأمین امنیت پایگاه داده‌ی وب‌سایت، کلیه مراحل نصب گفته‌شده در بالا را انجام می‌دهد. به‌عنوان‌مثال، در این افزونه، وضعیت سنج SSL نقطه‌به‌نقطه و یک اسکنر داخلی که خطاهای محتوایی را پیدا می‌کند، پشتیبانی می‌شود.

این محصول به زودی در مارکت شرق وب به فروش می رسد

همه موارد از طریق داشبورد مدیریت جامع افزونه کنترل می‌شود و به مدیر سایت اجازه می‌دهد تا انتخاب کند چه صفحاتی HTTPS را اجرا کنند، درحالی‌که هم‌زمان برای بازدیدکننده از سایت دسترسی آسان و امنی را مهیا می‌کند.

این افزونه روی وب‌سایت‌های مختلف به‌خوبی کار می‌کند و مهم نیست که چه تعداد از آن‌ها را مدیریت می‌کنید.

روش سخت – آموزش مرحله‌به‌مرحله نصب HTTPS روی وردپرس

وارد تنظیمات وب‌سایت خودتان شوید. از صفحه General در زیر قسمت General Settings آدرس جدیدی که از طریق گواهینامه SSL به دست آورده‌اید را با آدرس قبلی جابجا کنید.

سپس روی Save Changes کلیک کنید تا تغییرات ذخیره شود. وردپرس به‌صورت خودکار شما را از صفحه خارج می‌کند و اگر شما دوباره بخواهید Log In انجام دهید با خطا مواجه خواهید شد که باهم در ادامه این مشکل را حل می‌کنیم.

این مرحله با توجه به اینکه شما از چه نوع سروری استفاده می‌کنید متفاوت است.

برای همه‌ی وب‌سایت‌هایی که از سرورهای nginx استفاده نمی‌کنند، خطوط کد زیر باید در فایل .htaccess آن‌ها اضافه شوند.

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

</IfModule>

 

اما برای وب‌سایت‌هایی که از سرورهای nginx استفاده می‌کنند (که معمولاً زیاد هم نیستند) خطوط کد زیر باید اضافه شود.

server {

listen 80;

server_name example.com www.example.com;

return 301 https://example.com$request_uri;

}

 

در هر دو مثال شما باید به‌جای “example.com” دامنه‌ی اصلی سایت خودتان را قرار بدهید.

پس‌ازاین کار وردپرس شروع به بارگذاری کامل وب‌سایت با استفاده از HTTPS می‌کند که این کار، مشکل ایجادشده در قسمت اول را برطرف می‌کند.

حالا باید خطاهای مرتبط با محتوا برطرف شوند.

متأسفانه وب‌سایت شما به دلیل اینکه هنوز بعضی از منابع از حالت HTTP استفاده می‌کنند ب خطاهایی مواجه خواهد شد. یعنی شما باید با استفاده از ابزار Inspect به‌دقت بررسی کنید که کدام محتواها از اتصالات ناامن استفاده می‌کنند.

سه بخش مهم برای بررسی، پایگاه داده وردپرس، قالب ورد پرس و پلاگین های وردپرس هستند. برای رفع خطاها باید هر جا آدرس قدیمی وب‌سایت شما در پایگاه داده وجود داشت؛ با آدرس جدید HTTPS جایگزین شود.

درنهایت، برای بهبود سئوی سایت می‌بایست گوگل را از اینکه وب‌سایت شما از HTTP به HTTPS تغییر کرده؛ مطلع کنید.

برای این کار وارد اکانت Google Search Console شوید، و روی Add a Property کلیک کنید. سپس آدرس جدید را در قسمت موردنظر وارد کنید و یک روش را برای اثبات اینکه مالک سایت هستید انتخاب کنید.

پس از پایان این کار شما با موفقیت وب‌سایت وردپرسی خودتان را در قالب HTTPS درآورده‌اید.

 

جایگزین‌های افزونه‌ی Really Simple SSL Pro

اگر مایل به استفاده از برنامه‌های دیگری هستید در اینجا سه افزونه دیگر و روش استفاده از آن‌ها را معرفی می‌کنیم.

افزونه‌ی Really Simple SSL

این نسخه ی رایگان این افزونه است و هدف این افزونه ساده کردن SSL با داشتن آپشن های مختصر و قابلیت فعال‌سازی SSL با یک کلیک است. به‌محض فعال شدن؛ این پلاگین کل وب‌سایت شما را به SSL مجهز می‌کند. همه‌ی درخواست‌های ورودی به HTTPS هدایت خواهند شد.

نسخه‌ی حرفه‌ای این افزونه شامل پشتیبانی از خطاهای محتوایی، امکان فعال‌سازی امنیت دقیق HTTP و سایز جزئیات دیگر است.

افزونه‌ی WP Force SSL

این افزونه یک افزونه ساده برای هدایت کردن صفحات HTTP وب‌سایت‌های وردپرسی به صفحات HTTPS است. این افزونه امکانات پیشرفته سایر افزونه‌ها را ندارد.

نکته: با این افزونه، کاربرها باید عبارت https را از تنظیمات General Settings به آدرس سایت اضافه کنند.

افزونه‌ی Easy HTTPS Redirection Plugin

این افزونه به‌صورت رایگان، موتورهای جستجو را به ایندکس کردن نسخه‌ی HTTPS وب‌سایت  شما وادار می‌کند. همچنین، به‌صورت خودکار یک مسیر هدایت به نسخه HTTPS راه‌اندازی می‌کند که وقتی کاربرانی که تلاش می‌کنند به صفحات ناامن وارد شوند را به صفحات امن هدایت می‌کند.

یک قابلیت این افزونه این است که می‌تواند به‌صورت خودکار تمام دامنه سایت را به صفحات امن هدایت کند و یا فقط صفحات خاص موردنظر مدیر سایت را هدایت کند. همچنین مدیر سایت می‌تواند بارگذاری فایل‌های ثابت مانند تصاویر را از طریق ارتباط امن انجام دهد.

به‌علاوه این افزونه از ترجمه به زبان‌های مختلف پشتیبانی می‌کند. همچنین مستندات مفید این افزونه در دسترس است و این افزونه‌ی بسیار معتبر از پشتیبانی ۲۴ ساعته برخوردار است.

 

اشتراك گذاری نوشته

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *