Napjainkban egyre többször hallhatunk olyan esetekről, ahol kisebb-nagyobb cégek komplett adatbázisai kerülnek illetéktelenek kezébe vagy akár az internetre, publikusan elérhető tartalomként, felhasználók ezreinek személyes adatait felfedve.
Az ilyen esetek hallatán joggal merülhet fel bennünk a kérdés, vajon a mi oldalunk biztonságos-e?
Az első és legszembetűnőbb választ erre akkor kapjuk, amikor megnyitjuk az oldalunkat egy böngészőben, hiszen a legtöbb böngésző már automatikusan jelzi számunkra, hogy egy oldalon titkosított kommunikáció zajlik-e vagy sem.
Https:// jelentőssége
Ha az oldalunk címe előtt nem szerepel a https:// előtag, valamint a domain cím melletti kis ikonra kattintva a “Connection Is Not Secure” vagy “Nem biztonságos kapcsolat” feliratot látjuk, akkor az oldalunkon történő kommunikáció nincs titkosítva. Ez annyit jelent, hogy a felhasználóink által beírt adatokba illetéktelenek is “bele tudnak hallgatni”.
A weblap és a felhasználó közötti kapcsolat titkosítása azokon az oldalakon kritikus kérdés, ahol bejelentkezési, személyes, illetve bankkártya adatok is megadásra kerülnek.
Mivel a Google az elmúlt évek során bejelentette, hogy a https:// protokollon keresztül elérhető oldalakat előnyben részesíti, ezért cégünk is igyekszik minden felhasználója számára elérhetővé tenni az SSL tanúsítvány használatának lehetőségét.
A Rackhostnál bárki telepíthet egyéni (fizetős) SSL tanúsítványt, valamint a nálunk regisztrált domainek esetében, a rackhostos tárhelyhez ingyenesen igénybe vehető a Let’s Encrypt SSL tanúsítvány is. Aktiválásáról készült útmutatónkat itt találja.
Fontos, hogy a módosítások előtt mindig készítsük biztonsági mentést az oldalunkról, valamint a használt adatbázisról is!
Ha már telepítettük és/vagy aktiváltuk az SSL tanúsítványt az oldalunkon, navigáljunk a WordPress admin felületén az Általános beállítások menüpontra, majd módosítsuk a WordPress cím (URL) és Honlap cím (URL) mezőknél található linkeket http://-ről https://-re.
Ha a beállítás elvégzését követően a böngészőnkben egy lakatot látunk az oldalunk címe mellett “Secure Connection” vagy “Biztonságos kapcsolat” felirattal, akkor nincs más teendőnk, az oldalunk megfelelően elérhető https:// protokollon keresztül.
A tanúsítvány telepítése azonban a legtöbbször nem csak egy pár kattintásból álló feladat, hiszen ilyenkor ellenőriznünk kell a már meglévő tartalmak linkjeit is, amit a rendszer nem tud automatikusan javítani.
A javítandó linkek kiderítéséhez használjuk a következő oldalt, ami egy gyors ellenőrzést követően kilistázza nekünk a „Mixed Content” résznél, hogy mely linkeket kell javítanunk ahhoz, hogy megfelelően be legyen állítva a tanúsítványunk:
A hibás linkek manuális javítása általános informatikai ismeretekkel rendelkező egyének számára is nehéz és időigényes folyamatnak tűnhet.
A WordPress használata esetén azonban több beépülő modul (plugin) is a segítségünkre lehet a linkek automatikus cseréjéhez.
Az alábbiakban három ingyenesen elérhető beépülő modult mutatunk be, melyekkel könnyedén elvégezhető az oldalunk konfigurálása.
Mivel mindhárom plugin működése azonos, valamint hasonló funkciókat biztosítanak a felhasználók számára, ezért bemutatásukat összevontan foglaljuk össze.
Really Simple SSL / SSL Insecure Content Fixer / One Click SSL
Miután telepítettük és engedélyeztük a plugint, nincs más dolgunk, mint egyetlen kattintással elindítani az eszköz működését az oldalunkon, így az kijavítja a problémás linkeket.
A beépülő modulok általában a .htaccess fájl módosítása nélkül kényszerítik a WordPress rendszerünket a https:// protokoll használatára, automatikusan átírja helyettünk a WordPress cím (URL) és Honlap cím (URL) értékét (ha eddig még nem tettük meg), továbbá javítja az oldalunkon és a médiatárban található http:// linkeket.
Nem szabad megfeledkeznünk arról, hogy az SSL tanúsítvány mindössze az oldalunkon zajló kommunikáció titkosításában nyújt segítséget, azonban a biztonsági réseken keresztüli támadások ellen nem véd. Utóbbiak kiküszöböléséhez biztonsági óvintézkedések megtételére van szükségünk.