homefinance blog
La semana pasada, hice la transición WPShout (y todas las demás propiedades web) en SSL, un paso de seguridad importante que tiene muchos otros beneficios.Este artículo documenta algunos “problemas” importantes que recurren en la transición de los sitios de WordPress en SSL.SSL: En la caja fuerte aquí, ofreceremos una breve presentación del SSL.Por razones de simplicidad, ignoramos las diferencias entre SSL, TLS y HTTPS.Esto nos permite usar la siguiente abreviatura: su sitio está “asegurado” cuando accede a él a través de https: //, que el sitio necesita un certificado SSL para activarlo.Por qué cambiar a SSL SSL es absolutamente crucial si manipula información confidencial del usuario, pero no hay una situación en la que no sea una buena idea.
Ponga su sitio en el cifrado SSL, hace que sea completamente imposible robar, la comunicación entre el sitio y los usuarios. Suena mejor que la alternativa, ¿verdad? Está. SSL no es esencial sin excepciones si administra la información confidencial del usuario, como datos de tarjetas de crédito o archivos médicos, pero prácticamente no hay situación en la que no sea una buena idea. Por la confianza de los usuarios, un certificado SSL puede afectar los valores que no están “relacionados con la seguridad”. Debido a que es una buena idea, los usuarios han llegado a asociar SSL con un nivel general de confianza. Todos los sitios grandes-amazon, Google, YouTube, y así sucesivamente, son solo SSL, y la aparición de un certificado SSL (un bloqueo verde brillante en la barra de URL) es, para muchos usuarios, un indicador general de que estoy bien interactuar libremente con un sitio. Entonces, para su sitio, un certificado SSL puede incluso tener un impacto en los valores que no están “relacionados con la seguridad”, como la participación de los usuarios y las tasas de conversión. Otra buena razón para trasladar su sitio a SSL es que ahora finalmente está libre. Otra buena razón para trasladar su sitio a SSL es que ahora finalmente es gratis. Como escribí la semana pasada, Let’s Encrypt Now ofrece certificados SSL gratuitos, y nuestro sitio de anfitrión favorito ha hecho un esfuerzo adicional para hacer el uso de estos certificados muy simples. Los certificados SSL gratuitos son la ruta del futuro y presentes si está en el SiteGround. (Por cierto, si no está en SiteGround y desea estar, ¡consulte nuestra oferta de SiteGround en el artículo de la semana pasada!)
Mover su sitio a la caja fuerte, entonces, ¿cómo es el cambio a SSL?
Todo lo que ha traído a la caja fuerte ha validado la seguridad, y cuando sus usuarios llegan a la caja fuerte para visitarlo, también eliminan la seguridad. Si eres fanático de la serie de videojuegos de Fallout, puedes pensar en SSL como una caja fuerte. Solías vivir en una casa: cómodo y aireado, pero no particularmente seguro. Ahora vivirá en una caja fuerte subterránea, protegida por un proveedor de certificado SSL de la Fuerza de Seguridad Elite. Todo lo que trajo a la caja fuerte ha sido eliminado por la seguridad, y cuando los usuarios llegan a la caja fuerte para visitarlo, también eliminan la seguridad. No se permite a nadie con ellos, lo cual es maravilloso porque puede tener una conversación tan privada como desee. El resto de este artículo describe la transición del hogar a la vida de los tipos de problemas seguros y dos generales que ocurren durante esta transición:
Problemas con URL
Advertencias de contenido mixto
Para cada tipo de problema, enumeraré los casos específicos que he encontrado y la solución para cada uno. ¡Disfrutar! 1. Problemas con la URL: “No sabía que se ha movido” el primer conjunto de problemas aparece cuando varios recursos no saben cómo encontrarlo en la caja fuerte y aún así aparecer con negocios importantes en el hogar. En otras palabras, todavía te buscan en http://site.com en lugar de https://site.com.
Algunas encarnaciones específicas de este problema incluyen: es muy probable que varias versiones del sitio tengan dos versiones del sitio que se ejecutan al mismo tiempo: una en https://domain.com y otra en http://domain.com. El hecho de que haya instalado un certificado SSL no significa que su sitio lo use automáticamente. Es muy posible que haya dos versiones del sitio que se ejecuten al mismo tiempo: una accedida por SSL en https://domain.com y una insegura en http://domain.com. Es como si mantuviera dos direcciones: una en la caja fuerte, una en su antigua casa. Esto podría tener consecuencias realmente horribles para el SEO, la seguridad y otras consecuencias, porque la mitad de su tráfico alcanza la versión no garantizada de su sitio, ingresando los datos de la tarjeta de crédito inciertos, visualizando el contenido dañado, creando una confusión extrema en torno al análisis de su sitio y quién Sabe qué más. El atractivo de esto es usar las reglas .htaccess para redirigir permanentemente todo el tráfico http: // a https: // Desde su dominio mi artículo el jueves describió cómo se hace esto y estaba relacionado con el código de trabajo relevante En el desbordamiento de la pila. Disqus usamos y recomendamos cálidamente los comentarios de Disqus en lugar del sistema de comentarios de WordPress predeterminado. Hoy temprano, noté: ¡no han aparecido comentarios! Disqus todavía esperaba enviar comentarios a http://wshout.com. Tuve que hacer el siguiente cambio para un remedio:
2. Advertencias de contenido mixto: “Tu amigo no tiene autorización” Las advertencias de contenido mixto aparecen cuando intentas traer algo incierto, que no ha excedido la seguridad de la seguridad. Recuerde, la caja fuerte tiene procedimientos de seguridad estrictos, que es el objetivo de la caja fuerte. ¡Sin excepciones! Por lo tanto, las advertencias de contenido mixto ocurren cuando un sitio SSL seguro todavía hace una solicitud incierta de un recurso, como una imagen, un archivo JS o una hoja de estilo CSS. Algunos problemas específicos incluyen: los enlaces de imágenes inciertas la mayor causa de las advertencias de contenido mixto en un entorno de WordPress son atributos de imagen escritos inseguros. Recuerde: http://site.com/media/image.jpg todavía existe incluso después de que su sitio esté bajo SSL. Entonces, si coloca su sitio bajo el SSL y recarga el sitio, obtendrá aproximadamente un millón de advertencias de contenido mixto que se ven así:
Haga clic para aumentar
Tenga en cuenta que el certificado SSL ya no es el bloqueo verde reconfortante que esperaría, y la pestaña “Consola” de su inspector de navegador ahora indica contenido mixto. Un solo problema, varias ubicaciones en los enlaces de imágenes inciertas pueden vivir en algunos lugares y debe acercarse a ellos de manera diferente: en la base de datos de WordPress, esta es la fuente más común de imágenes con referencias inseguras, porque las etiquetas que escribimos para insertar imágenes en El contenido de la publicación de WordPress siempre especifica toda la URL, hasta el lado HTTP. Remediar esto implica un bloque de reemplazo de búsqueda a través de la base de datos con una herramienta como SearchRePlacedB2; Traté esto en el artículo el jueves.
En los archivos temáticos en el ejemplo anterior, la imagen mencionada de manera incierta es el logotipo de WPShout, que en nuestro caso está codificado debajo del encabezado.php.Es posible que tenga más de estos enlaces de imágenes específicos para el sitio codificado en el sitio;Tendrá que reescribirlos manualmente en su tema, porque las referencias inseguras no existen en la base de datos, sino en archivos con el tema PHP mismos.En los archivos de complemento, este es el caso más raro y probablemente el más complicado.Algunos complementos de terceros se refieren directamente al contenido de imágenes inciertas, el único ejemplo que hemos encontrado es un complemento para compartir social que utilizamos, tratando de introducir una versión incierta del registro de Reddit.
Debido a que el cambio manual de los complementos de terceros significa que ya no puede aceptar actualizaciones de complementos, es un problema persistente. Una primera sugerencia es ver si puede vivir sin un complemento. (En nuestro caso, podríamos. tarde. Google Fonts solicitó incertidumbre a un culpable muy común para el contenido mencionado de manera incierta es: Google Font Resources escritos. Se parece a esto: Work a observar aquí es href =’ http: //fonts.googleapis.com/. Este código se traduce en “Tome este archivo con fuentes inciertas de un sitio de terceros, luego use los resultados para reproducir el texto en mi sitio seguro”. A su navegador no le gustará nada, causando errores de consola como: haga clic para aumentar
En la lista de verificación HTTP-LA-HTTPS
Tags En la lista de verificación HTTP: HTTP
