A Internet não é um lugar muito seguro para conversas confidenciais. Existem milhares de olhares indiscretos esperando para sugar suas informações pessoais – seu endereço, seu número de telefone e suas informações de cartão de crédito. É por isso que a maioria das empresas usa o protocolo Secure HTTP (HTTPS) ao processar tarefas confidenciais. Hoje vamos falar sobre HTTPS e debater se realmente precisamos dele em nossos sites.
Um chá técnico
HTTP é um protocolo usado por servidores e clientes da Web (navegadores) para comunicar e transferir páginas e arquivos da Web. Existem muitos outros protocolos como FTP, SSH e BitTorrent.
HTTPS é uma versão segura do protocolo HTTP que usa criptografia SSL (Secured Socket Layer). Como o SSL funciona em segundo plano requer um diploma de bacharel em Ciência da Computação e uma sólida compreensão de criptografia. Graças ao conceito de abstração, não precisamos nos preocupar com isso. Apenas lembra-te:
HTTP + SSL = HTTPS
Em poucas palavras, o HTTPS usa um “mecanismo de handshake” de correspondência de chave pública e privada antes de transferir dados. Uma vez que o handshake é feito, a conexão é estabelecida e a sessão segura começa. Quando você visita um site HTTPS, tudo isso acontece quase instantaneamente antes de você ver o indicador verde na barra de endereços do seu navegador.
Quatro razões pelas quais o HTTPS é ótimo
1. Segurança de alto nível: Com SSL, sua conexão é criptografada. Um túnel virtual é criado através do qual apenas o servidor e o navegador podem se comunicar . Ninguém mais pode interpretar esse canal. Mesmo que o invasor acesse esse canal, ele não conseguirá entender os dados criptografados. Ele precisaria da chave privada que só é conhecida pelo navegador.
2. Escrutínio: HTTPS requer um certificado SSL e adquirir este último para um negócio é um processo sério. Exige a apresentação de documentos oficiais que são verificados pelo Autorizador de Certificação (CA). Somente quando os documentos passam nos testes de validação, o certificado SSL é emitido.
3. Legitimiza as empresas: Ao visitar um site protegido por SSL, você pode ter certeza da credibilidade do site. Você sempre pode obter os detalhes de contato necessários do proprietário do certificado SSL do site.
4. Integridade dos dados: A integridade dos dados refere-se à consistência dos dados solicitados e os dados reais recebidos. Considere este exemplo: Alguém visita seu site para uma postagem específica nas instruções de configuração do servidor XYZ. No final do post, você deixa um link de afiliado. Em um site não seguro, um invasor pode facilmente acessar a conexão e enviar ao visitante os dados comprometidos . Com toda a probabilidade, ele substituirá seu link de afiliado por um link de phishing. Assim, há uma diferença monumental entre os dados solicitados e os dados realmente recebidos – a integridade dos dados é destruída. Com SSL, nada disso é possível!
Aqui está a captura:
Estabelecer uma conexão segura requer poder computacional substancial tanto do servidor quanto do cliente. Isso resulta em uma taxa de transferência mais lenta quando comparada ao HTTP. É por isso que a maioria dos sites não usa HTTPS o tempo todo. Eles esperam até o momento em que você tenta fazer login ou fazer uma compra. Sites de comércio eletrônico como Amazon e Newegg seguem essa regra. Desta forma, a navegação é extremamente rápida e as compras são seguras.
Eu realmente preciso de HTTPS no meu site WordPress?
Boa pergunta, mas não é uma simples resposta sim ou não. Então vamos discutir isso longamente.
Os mecanismos de pesquisa preferem sites HTTPS (sim)
Aqui está uma citação de uma postagem recente no blog da Central do webmaster do Google.
…nos últimos meses, realizamos testes levando em consideração se os sites usam conexões seguras e criptografadas como um sinal em nossos algoritmos de classificação de pesquisa.
Isso não significa que, se você não tiver HTTPS em seu site, sua classificação SERP cairá. Por enquanto. Pessoas vigilantes tomarão isso como um indicador antecipado do que o futuro reserva. Muita gente está reclamando e questionando a decisão do Google. Por que diabos você usaria HTTPS em seu blog estático? Para evitar que hackers leiam os comentários de seus visitantes? Heck, mesmo o blog do webmaster do Google não está usando SSL!
Cenários em que os sites devem usar HTTPS
Existem muitas situações em que o HTTPS deve ser usado como uma camada adicional de segurança. Aqui estão alguns exemplos onde deve ser aplicado:
1. Lojas de comércio eletrônico
Se você estiver executando uma loja WordPress usando WooCommerce ou iThemes Exchange, seria mais sensato usar HTTPS nas páginas de transação do site. Como você já sabe, o HTTPS é mais lento que o HTTP e, portanto, tem um impacto na experiência de navegação do usuário. No entanto, quando se trata de informações confidenciais de alguém, como endereço residencial, número de telefone ou detalhes do cartão de crédito, sacrificar a velocidade em detrimento da segurança é uma necessidade. Você deve sempre usar HTTPS nos seguintes cenários:
- Um novo usuário se registra ou faz login
- Um usuário está prestes a fazer um pagamento
2. Páginas de doação
Alguns sites exibem um pequeno botão de doação na barra lateral e quase todos não usam HTTPS. Aqui está o que pode dar errado. Como o site não é seguro, o invasor pode manipular facilmente os dados do site para mostrar informações fraudulentas – como substituir o botão de doação do PayPal por algum site de phishing. Quando um visitante (em vez de doador) clica nesse link fraudulento, sua conta corre o risco de ser comprometida. Portanto, se você estiver usando um botão de doação em seu site, tente incorporar SSL.
3. Sites de associação
Muitos empreendedores da Internet administram fóruns privados e sites de associação usando o WordPress. Esses sites carregam dados privados – dados que você não quer que o público veja. Se o SSL for usado nesses casos, ele eliminará as ameaças à integridade dos dados e criará um ambiente seguro para seus membros interagirem. É como acertar dois coelhos com uma cajadada só:
- Melhor segurança
- Aumente a confiança e a confiança do cliente
4. Sites invadidos no passado
Se o seu site for vítima de um ataque direcionado ou foi invadido recentemente, considere seriamente mudar para um site criptografado por SSL. A recuperação de um site invadido pode ser feita usando experiência pessoal e/ou com a ajuda de especialistas em segurança do WordPress (como Sucuri ).
Para se proteger de ataques futuros e adicionar uma camada extra de segurança, force o uso de HTTPS em todo o site. No entanto, como o SSL consome muitos recursos do servidor, seu site pode ficar bastante lento dependendo da configuração do servidor. Você não quer isso. Assim, você também pode usar SSL seletivamente apenas durante as páginas de login e enquanto trabalha no painel do administrador do WordPress.
Configurando SSL no WordPress
Configurar o SSL é um processo complicado e tedioso. Requer conhecimento técnico, tempo substancial e há muito espaço para erros. Eu recomendo fortemente conversar com seu gerente de hospedagem para ajudá-lo a configurar o SSL (confira o GoDaddy, com nosso link você pode economizar 25% em um certificado SSL). Se você está determinado a mudar para um site HTTPS, é uma aposta segura assumir que seu orçamento pode incorporar o custo de uma empresa de hospedagem WordPress gerenciada.
Nós do WPExplorer usamos o WPEngine e nosso site está protegido contra hackers, malware e ataques DDoS. Além disso, é muito rápido. Empresas como a WPEngine oferecem a opção de comprar um certificado SSL integrado. O custo varia de 49 a 199 USD por ano. Você também pode usar SSL de terceiros e eles ajudarão você a configurar e configurar HTTPS em seu site.
Conclusão
Para você – quais são seus pensamentos sobre este tópico em particular? Sim ou não em HTTPS? Você já usou SSL em seu site antes? Compartilhe seus pensamentos conosco!
