Защита сайта:безопасное соединение с Wordrpress по https

Рассказано о соединении с админ. панелью WordPress по протоколу https, обеспечивающим защиту передаваемых данных с помощью шифрования. Плагин Verve SSL

Возможно, Вы замечали, что на солидных сайтах, когда переходите на страницу аутентификации (т.е. туда, где вводится логин и пароль), происходит переключение на защищенный протокол. Это видно по появлению https вместо http в адресе страницы. Почему так происходит? Дело в том, что передача данных, в том числе и паролей, по протоколу http происходит в открытом виде. Т.е. Ваши пароли на пути от компьютера до сервера легко могут перехватить и прочитать. Протокол же https защищает передаваемые данные, шифруя их. Большинство же из блоггеров соединяются с админ. панелью по незащищенному протоколу http, рискуя потерять пароль а затем и сайт. Предвижу от кое кого из своих комментаторов сакраментальный вопрос:» А не проще ли…?» Нет не проще. Здесь как раз тот случай, когда простота в сто крат хлеще воровства. Причем воровства у себя же любимого.

В рунете я не нашел ничего толкового, что можно сделать в этом плане для WordPress, кроме голимого упоминания названия плагина, который уже пару лет не поддерживается. Проблема решается установкой плагина Verve SSL, например. Плагин простой, не требует настройки. Но не все так просто, как кажется.

После установки и активации плагина в браузере Google Chrome такая картина:

Продолжаем

Начинает проясняться, что все это значит

Для окончательного прояснения смотрим Информацию сертификата:

Т.е. https перечеркнут красным в силу того,что предъявленный сертификат выдан на *timeweb.ru а не на мой сайт. Но мне известно, что мой сайт проживает на одном из серверов timeweb.ru и их сертификат меня вполне устраивает. Выдача сертификата на мой сайт будет стоить  определенных денег. Но мне этот сертификат ни к чему, т.к по протоколу https со своим сайтом собираюсь соединяться только я сам. Мне достаточно отслеживать только наличие сертификата *timeweb.ru. На одной из приведенных выше картинок видно, что шифрование все таки происходит.

С другими браузерами получилось не лучше. Opera вообще отказался признать наличие шифрования. Лис сообщил о том, что шифрование происходит частично. Хотя причиной всему этому уже упомянутое несоответствие предъявленного сертификата адресу моего сайта.

На сегодня вывод таков: чтобы браузер отображал правильное соединение  вместо  необходимо иметь как минимум сертификат. Но и без наличия сертификата происходит шифрование передаваемых данных. Наличие сертификата необходимо лишь для того, чтобы пользователь был уверен, что он соединился с нужным сервером.

Вот такой первый опыт. Не знаю почему, но в рунете больше никто не делится опытом по установке соединения с WordPress сайтом по протоколу https. Хотя за рубежом подобные  плагины пользуются большим спросом, но даже на английском я не нашел толкового мануала. Буду очень рад, если кто поделится своими наработками по использованию подобных плагинов.

P.S. Выяснилось, что SSL сертификат можно получить бесплатно. Как это сделать, очень детально описано в статье Получаем бесплатный SSL сертификат Так,что при желании установить полноценное подключение по https можете попробовать 🙂

Защита сайта:безопасное соединение с Wordrpress по https: 74 комментария

  1. Возможно вы и правы, береженого – бог бережет. Найдете и с нами поделитесь информацией.

  2. Искандер! Любопытная информация! Такие зеленые htpps есть и в твиттере, и на почте гугл. Теперь понятно, что это такое!

  3. Да, Ирина, такое соединение и со своим сайтом полезно установить!

  4. Привет дорогой! Вот ты говоришь больше никто не делится опытом, а ты думаешь все такие, как ты? Открою один секрет: Я уже более 10-ти лет за компом, и честное слово, именно после того, как познакомился со старт тапом понял, что оказывается есть на свете не жадные люди! А ты среди них, вообще исключение!!! Что нибудь, когда нибудь, у кого нибудь когда спрашивал, ответ был таков: или ты это сам не сможешь, илиж вообще под каким то предлогом уходили от вопроса. Так что родной мой, ты и не жди этого, что кто-то поделится, лучше сам ищи! По своему опыту говорю!

  5. Я бы рассказала, но ничего из этого не знаю, я когда покупаю билет знаю что нужно смотреть на такой закрытый зелёный замочек, а вот в яндексе такого нет зелёного замочка.

  6. Приветствую, Искандер! Вы затронули безусловно важную тему и я считаю , что чрезмерной защиты не бывает. Постараюсь поэкспериментировать с этим плагином на отдельном сайте, свой подвергать подобным экспериментам не хочу. Спасибо за очень полезную информацию, раньше так глубоко не задумывался о протоколе HTTPS.
    Подскажите пожалуйста, при заполнении паролей с помощью RoboForm, шифрование происходит только на этапе ввода, или при отправке на сервер тоже ? Заранее благодарен!

  7. Не думаю, что так уж нужна такая степень защиты.

  8. К вам на сайт прихожу за интересной и полезной информацией, кроме того, что видела на некоторых сайтах https, увы, ничего не знаю. Успехов в поиске!

  9. Спасибо, я об этом не задумывалась.
    У меня тоже есть тренировочный сайт, на котором я отрабатываю уроки. Попробую поэкспериментировать.

  10. А про пароли от сайта, которые идут от компа до сайта в открытом виде и их легко могут украсть, Вы тоже не думаете?

  11. Наверное, такая защита нужна, но я пока на эту тему не задумывалась.

  12. Искадер! А это будет как-то видно для посещающих мой сайт? Или только хозяин сайта может видеть https:// зеленого цвета?

  13. Интересный вопрос вы подняли. Хотелось бы тоже по защищенному соединению входить в админ панель. Надо будет у администрации хостинга поинтересоваться.

  14. Чем больше узнаешь, тем страшнее становится. Хорошо, что ест такие сайты, как Ваш. Спасибо за предупреждения и практические советы!

  15. Это будет видно только при соединении с админ. панелью Т.е. если кто то помимо Вас зайдет на страницу входа в админ панель, то тоже с этим столкнется

  16. спасибо за информацию Искандер, эт если я правильно понял, плагин login lock down не дает нужной защиты т.к. он только ограничивает число попыток ввода пароля и если пароль украдут из-за открытого соединения, то легко смогут войти на сайт, я правильно понимаю?

  17. …а я уверен, что даже после прочтения Вашей статьи, буду как и был прежде… такие вещи мне как-то не сразу даются… может стоит прочитать статью еще раз?!

  18. Понятно, а я то думал…нда, индюк тоже думал, и в суп попал 😉
    В общем еще раз спасибо за такую ценную информацию, буду учиться действовать грамотно )))

  19. Интересная тема поднята, если кто-то подскажет что-то толковое, то такой юзер, как я, тоже с удовольствием воспользуется, ведь никому не хочется, я думаю, потерять контроль над собственным сайтом.

  20. Здравствуйте, Эдуард!Подробного описания разработчики не дают.Все, что удалось понять, это то что пароли шифруются для хранения на компьютере пользователя. На этапе ввода в окне браузера они в принципе должны быть уже расшифрованными.Будут ли они шифроваться на этапе передачи от локального компьютера до сервера будет зависеть от того поддерживается сервером защищенное соединение или нет. Кроме того, на самом сайте должны быть соответствующие скрипты. Т.е. если на Вашем сайте не установлен плагин типа описанного выше, то пароли будут передаваться в открытом виде и робоформ здесь вряд ли поможет.

  21. Спасибо! Действительно актуальная тема! Согласна, что защиты много не бывает!

  22. При авторизации в яндекс почте тоже есть

  23. Спасибо ,Искандер за ответ, признаться я не на шутку обеспокоен… Пользуюсь хостингом от Sprinthost и про сертификат для организации соединения https информации не имею. Но что же, как говорится будем искать… по ходу действия буду делиться результатами.

  24. Искандер, спасибо и за эту статью и за ответ мне! Я вот не понял, если у меня сайт не на timeweb, а на sprinthost, я не смогу пользоваться таким соединением? Для меня это очень актуально.

  25. Здравствуйте, Искандер.
    Ещё одно качество приобретают Ваши посетители. Вы формируете совершенных блогеров! Огромное Вам спасибо.

  26. Это соединение можно организовать, если на Вашем хостинге поддерживается SSL. На большинстве крупных хостингов поддерживается.

  27. Искандер, спасибо. Действительно, информация интересная и полезная. Но меня сейчас волнует такой вопрос, ставить на Ubuntu антивирус или нет? Информации полно и вся противоречивая. Одни советуют ставить, другие нет. Лично я никогда антивирус не использал и проблем не было. Но говорят, других можно заразить.

  28. Да,очень интересная информация, спасибо,надо будет попробовать применить.

  29. Я с этим не сталкивалась, но никто ни от чего не застрахован. Так что спасибо за советы.

  30. Спасибо вам, у вас всегда нахожу новое и поучительное. Благодаря вам в курсе интернет изменений

  31. Вот всегда у вас масса интересного на сайте — спасибо!

  32. Искандер, я вообще об этом первый раз слышу. Хотя значки такие видеть приходилось и, не скрою, они вызывали моё удивление и ощущение, что я куда-то не туда попала. Копайте дальше, потом поделитесь с нами. Вы у нас в этом деле вперёдсмотрящий!

  33. Как раз кстати, что — то мне подсказывает,что информация мне пригодится!

  34. Как у Вас понятно все описано! Обычно заходишь на сайт посвященный каким либо компьютерным фишкам и ничего не понимаешь. Спасибо Вам за Ваши создание — сайт «Безопасность ПК» это так сейчас актуально, у нас вот в фирме без такой безопасности 900 000 р со счета украли. Факт.

  35. Михаил, известный факт, что Linux ОС могут быть пассивными носителями вирусов, работающих под Windows.Кроме того имеются кроссплатформенные представители вредоносного ПО. Могут возникнуть проблемы при использовании Wine или в Windows под виртуальной машиной или при переносе файлов через USB носители.Да, что объяснять профессионалу, Вы и так прекрасно все знаете.Поэтому из сострадания к ближним антивирус установить стоит. Подозреваю, что Вы сами, хотя бы иногда, используете Windows 🙂

  36. Беспокоиться не стоит, Эдуард. Оказалось,что сертификат можно бесплатно получить

  37. На некоторых хостингах нет поддержки SSL

  38. Полезная статья. О безопасности своего сайта нужно думать всегда и использовать такие методы защиты.

  39. Обычно о безопасности мы задумываемся в последнюю очередь, думаем авось пронесет, а это надо делать в первую очередь, меня тоже волнует вопрос безопасности моего сайта. Впервые на вашем сайте, очень полезный сайт! твитнула

  40. К сожалению люди часто начинают принимать меры по безопасности только после того, как сами обожгутся

  41. Да, конечно, у меня стоят две системы. А куда же без Windows. Спасибо, за ответ. Думаю, придется поставить защиту и на Linux.

  42. Ну там не зелёный замок, а жёлтый треугольничек.

  43. Это по причине отсутствия сертификата. Татьяна, пока отложите этот плагин. Здесь требуется некоторая квалификация

  44. полезная статья о безопасном соединении и ссылки тоже пригодились, спасибо.

  45. со мной такое случается на одном из компьютеров. как с этим быть — разбираюсь…

  46. Очень ценная и полезная информация! Лучше подстраховаться.

  47. Пока нас оберегает от «плохих парней» то, что нас много. Спасибо, Искандер, просветили.

  48. Лишняя защита никогда не бывает лишней:)

  49. Впервые слышу о такой фишке. Но применить не решусь.

  50. На Спринтхосте для возможности пользования SSL надо специальный IP, как я понял; буду дальше разбираться…

  51. Защиты много не бывает.Спасибо за полезную информацию.

  52. На timeweb мне тоже предложили дополнительные услуги с выделенным IP и предоставлением SSL сертификата

  53. Нужнейшая информация, действительно, в сети того, что есть у вас нет, спасибо.

  54. Даже и не знал об таком соединении, просветили немного. У Вас в предпоследнем абзаце повторение слова подобные.

  55. Спасибо за советы, такое просто не может не пригодится новичкам которые работают с этой платформой. Лично я много получила знаний от ваших советов.

  56. Прочитала и теперь поинтересуюсь. как обстоят у меня дела с хостингом. Что поддерживается, а что нет. Значит, плагин Login Lock down практически ничего не дает. печально. Я подумала, что хоть немножечко защитила сайт.

  57. Login Lock down хорошо защищает от подбора паролей, но на этом защита не кончается

  58. Нужно изучить поподробнее. Первый раз слышу об этом плагине.

  59. Добрый вечер. Встречал такое соединение, только очень редко, и то на сайтах, которые связанные с денежными средствами и их хранением в сети интернет.

  60. В компании, в которой я работала раньше, пароль был довольно простой, да еще и сохранен. Так что, взломать его вообще не составляло труда. Сейчас читаю ваши статьи,Искандер, и просто удивляюсь, как легкомысленно все это было. К счастью,ничего страшного с сайтом не случилось ( пока).

  61. Арина, ко мне постоянно приходят люди, пострадавшие от своего легкомыслия. Подстраховаться заранее всегда дешевле.

  62. Про такие соединения знала, но они действительно для нас недоступны. Их имеют солидные сайты, с мощной защитой. Конечное, это мое мнение.

  63. Наверное, плагин хороший. Но я уже поняла, что сильно много их ставить не стоит. Но ради этого стоит потратить свое время. Очень он нужный и полезный.

  64. Для установки этого плагина стоит перейти на специальный тарифный план на хостинге

  65. Интересное решение по соединению с админ. панелью WordPress по протоколу https при помощи плагина Verve SSL.Спасибо за информацию.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *