חיפוש ]

מה זה SSL והאם יש צורך בתעודה זו באתרי וורדפרס?

עם נתח שוק של 30% צפונה, וורדפרס היא מערכת פופולרית היושבת מאחורי המון אתרים עסקיים. כמובן שפופולריות זו הופכת אותה למטרה אף יותר מעניינית וקוסמת להאקרים ולהתקפות זדוניות ואלו יכולות בקלות לפגוע באמון קהל הלקוחות שלכם ולהשאיר אתכם תקועים עם טראפיק נמוך ונפילה במכירות.

כאשר אנשים מדברים על אבטחה, הם בדרך כלל מזכירים מונח מסויים, שניתן לומר כי לו ולאבטחת אתר וורדפרס יש מעט מאד במשותף ואני מדבר על תעודת SSL. המיסקונספציה מתבססת על רעיון שגוי של כיצד אותן תעודות SSL עובדות וקשורות לאבטחה.

אבטחה בכלל ואבטחת אתר וורדפרס בפרט אינה צריכה להלקח כמובן מאליו ולא משנה עד כמה גדול או מפורסם האתר שלכם. האמת שישנם לא מעט דרכים שאתם יכולים לבצע בכדי לחזק את אבטחת האתר שלכם.

במאמר זה, נסביר מספר פרטים חשובים בהקשר של תעודות SSL ונשאיר בצד את הצדדים הטכנים והשפה הפחות ברורה שבדרך כלל מתלווה לנושא זה.

תעודות SSL ואבטחה – האם מונחים אלו קשורים?

תעודת SSL או בשמה המלא Secure Socket Layer היא דרך פשוטה ואינה יקרה להגן על מידע רגיש המשותף בין אתרים מפני התקפות של האקרים. אני אומר כבר בתחילה כי תעודת SSL אינה מגנה על האתר שלכם מפני תקיפות. כל הסיפור מאחורי תעודת SSL היא לשמור על המידע של הגולשים מאובטח בתהליך העברת המידע בין הדפדפן לשרת.

במילים אחרות, עצם העובדה שיש לכם תעודת SSL אינה מספיקה (בלשון המעטה) בכדי לשפר את אבטחת האתר שלכם. לכך, ישנן טקטיקות, כלים ופעולות אבטחה לבצע שהולכות יד ביד עם התקנת תעודת SSL והמעבר ל HTTPS.

מה זה בעצם תעודת SSL?

תעודת SSL היא מסמך דיגיטלי ציבורי. כאשר משתמש מסויים כותב את כתובת ה URL של האתר שלכם בשורת הכתובות בדפדפן, תעוודת ה SSL מציינת להם כי האתר שייך לחברה לגיטימית.

תעודת SSL היא דרך יעילה ומהירה לוודא כי האתר שמוגש בפניכם הוא האתר שאתם באמת מנסים לגלוש בו.

האקרים יכולים ״לחטוף״ לכם את הדומיין (כתובת האתר) ולהפנות משם תנועה לאתרים זדוניים או מזוייפים שגונבים את הכסף של הלקוחות שלכם, את הזהות שלהם ומידע נוסף. תעודת SSL מאפשרת לגולשים לאמת את הזהות ולדעת שאתר הוורדפרס שלכם, בו הם גולשים, כמו גם המידע הפרטי שלהם בטוח.

כיצד תעודת SSL מחזקת את בטחון הגולשים?

תעודת SSL משפרת את רמת האבטחה של וורדפרס ושל המבקרים באתר בשני אופנים. מצד אחד, מכיוון ותעודת SSL מונעת חיבור או הפניה לאתרים מזוייפים, הגולשים באתר שלכם יהיו בטוחים ששום דבר חשוד לא מתבצע. מצד שני, תעודת SSL תשמור על אותו מידע רגיש באמצעות הצפנה, ובצורה זו, אותו קידוד מוודא כי המידע שעובר בין הדפדפן של המשתמש לשרת עליו יושב האתר שלכם מובן אך ורק לשני הצדדים.

אם נהייה ספציפים יותר, תעודת SSL מאבטחת את המידע כאשר הוא עובר בין הדפדפן לשרת בשלושה צעדים:

  • משתמש מכניס את כתובת ה URL בדפדפן. הדפדפן מבקש מהשרת המדובר לזהות את עצמו לפני שמאושר החיבור.
  • השרת המבוקש שולח את תעודת ה SSL לדפדפן.
  • הדפדפן מוודא כי  התעודה אותנטית ושתוקפה ולידי ואינו פג. החיבור מאושר…

לדוגמה: כאשר אתם קונים משהו באמאזון, המידע של כרטיס האשראי שלכם נשלח באמצעות חיבור מאובטח ומוצפן לשרתים של אמאזון. אם במקרה האקר כלשהו הצליח ליירט את המידע, הוא יוכל לקרוא (להבין אותו) ללא הצורך במפתח ייחודי המשמש לקידוד אותו מידע רגיש.

יצא לכם להתקל אי פעם בהודעה הבאה?

תעודת SSL - שגיאה

הודעות מסוג זה מתרחשות כאשר הדפדפן נתקל בתעודת SSL חשודה או כזו שפגה תוקפה. במצב זה, הגולשים יקבלו אזהרה לא להכניס מידע פרטי באתרים אלו שאינם אותנטיים (או לפחות לא ניתן לוודא כי הם כך) בכדי להקטין את הסיכון של גניבת זהות או מידע.

האם אני צריך תעודת SSL?

אם נתייחס לשנת 2018, , ניתן לומר שתעודות SSL באתרים מאומצות ביותר ויותר אתרים מכיוון והן מביאות איתן מספר יתרונות בעלות תג מחיר יחסית נמוך, אחת מהן היא הצגת מחויבת לביטחון הלקוחות.

הנה שלושה יתרונות מרכזיים שתעודת SSL מספקת לכם:

  • תעודת SSL היא דרך פשוטה להגן על הלקוחות שלכם.
  • גוגל מתייחסת לתעודות SSL בדירוג האתר.
  • תעודת SSL ולידית מראה למשמשים שלכם שהם יכולים לסמוך עליכם ועל האתר שלכם.

רק בכדי לדרבן אתכם, תנו מבט בגרף של גוגל אנליטיקס לכמות הכניסות לאתר של בלוג זה. בין אם מקרי או לא, בנקודה מסויימת זו (לקראת סוף ספטמבר) ביצעתי מעבר ל HTTPS והוספתי תעודת SSL. רואים את הקפיצה?

מעבר ל HTTPS סאבי בלוג

ואם זה לא מספיק, רכישת תעודת SSL ומעבר ל HTTPS מאפשרת לכם להשתמש בפרוטוקול HTTP/2 ולזה ישנן גם לא מעט יתרונות מבחינת מהירות וזמן הטעינה של אתר הוורדפרס שלכם.

כיצד להשיג תעודת SSL?

ישנן מספר דרכים להשיג תעודת SSL, אך עבור רבים מהאתרים, אני ממליץ להשתמש ב LetsEncrypt. זהו ספק תעודות SSL שמשחרר תעודות בחינם. מרבית חברות האחסון אגב תומכות ב LetsEncrypt כחלק מהשירותים שהן מציעות כך שאתם בהחלט יכולים לבקש עזרה לגבי הנושא מהתמיכה של חברת האחסון שלכם. זוהי תעודה בעלת רמת אבטחה המספקת את מרבית האתרים.

אך אם חברת האחסון שלכם אינה מציעה תמיכה או שברשותכם אתר מורכב כגון אתר Membership, חנות eCommerce או WooCommerce, שיקלו לשכור את שירותיו של איש מקצוע שיקנה תעודת SSL בעל רמת אבטחה אף גבוהה יותר ויתקין אותה עבורכם.

מעבר להתקנה של תעודת SSL ישנו תהליך המעבר ל HTTPS שצריך לבצע. תעודת SSL ללא ביצוע תהליך זה אינה שווה מאום. אתם מוזמנים לתת מבט במדריך שכתבתי על העברת אתר וורדפרס ל HTTPS אם אתם מעוניינים לעשות זאת בעצמכם. אם לא, שיכרו איש מקצוע שיבצע מעבר זה עבורכם.

לסיכום

רכישת תעודת SSL ומעבר ל HTTPS זו דרך יעילה לחזק את אמון הלקוחות שלכם ואלו צריכות להיות חלק מאסטרטגיית אבטחת האתר שלכם. תעודות אלו מונעות מהאקרים להפנות טראפיק לאתרים מזוייפים ומבטיחים כי המידע של לקוחותיכם אינו מגיע לידיים הלא נכונות.

בנוסף, גוגל כרום ודפדפנים נוספים החלו לסמן אתרים ללא תעודת SSL כאתרים לא מאובטחים, על ידי סימונין והודעות כאלו או אחרות בדפדפן. מעבר לכל זה, ההשקעה שנדרשת בכדי להשיג תעודת SSL ולעבור ל HTTPS היא מינימלית ולפעמים אף חינמית…

רועי יוסף
רועי יוסף

מפתח אתרים ותבניות וורדפרס. מספק אתרים עם ביצועים גבוהים, מותאמים למנועי חיפוש ובעלי קוד ולידי, סמנטי ונקי. צריכים עזרה? צרו איתי קשר.

  • חתול 29 אפריל 2018, 14:47

    בדרך כלל אין שום סיבה שלא להשתמש ב Lets Encrypt. לקנות אישור SSL זה יותר מסובך וסתם חבל על הכסף.

    • רועי יוסף 29 אפריל 2018, 15:08

      לגמרי מסכים, אך כפי שציינתי ישנם מצבים שנדרשת תעודה ״חזקה״ יותר…

      • חתול 29 אפריל 2018, 18:07

        אין הבדל בין התעודות (חוץ מ־Extended Validation). יכול להיות מצבים שהגדרות השרת לא מאפשרות Lets Encrypt.

        • רועי יוסף 29 אפריל 2018, 19:08

          בדיוק, ישנן שלוש סוגי תעודות אגב… לכן במקרים מסויימים LetsEncrypt אינו מספק (לדוגמה אתר של בנק וכדומה….)

      • רוני 19 נובמבר 2020, 12:16

        מה החיסרון של LetsEncrypt?

        • רועי יוסף 19 נובמבר 2020, 17:21

          אין חסרון מיוחד לאתר הממוצע.. ישנם אתרים הדורשים אבטחה והצפנה מיוחדת עפ״י חוק (כמו בנקים וכדומה..) ולאלו נדרשת תעודה מסויימת, תעודת SSL ״חזקה״ יותר.

תגובה חדשה

הוסיפו קוד באמצעות הכפתורים מטה. למשל, בכדי להוסיף PHP לחצו על הכפתור PHP והוסיפו את הקוד בתוך השורטקוד. מצאתם שגיאה בפוסט? עדכנו אותנו...