Internet n'est pas un endroit très sûr pour des conversations confidentielles. Il y a des milliers de regards indiscrets qui attendent de recueillir vos informations personnelles – votre adresse postale, votre numéro de téléphone et les informations de votre carte de crédit. C'est pourquoi la plupart des entreprises utilisent le protocole Secure HTTP (HTTPS) lors du traitement de tâches confidentielles. Aujourd'hui, nous allons parler de HTTPS et débattre de la question de savoir si nous en avons réellement besoin sur nos sites.

Du thé technique

HTTP est un protocole utilisé par les serveurs Web et les clients (navigateurs) pour communiquer et transférer des pages Web et des fichiers. Il existe de nombreux autres protocoles comme FTP, SSH et BitTorrent.

HTTPS est une version sécurisée du protocole HTTP qui utilise le cryptage SSL (Secured Socket Layer). Le fonctionnement de SSL en arrière-plan nécessite un baccalauréat en informatique et une solide compréhension de la cryptographie. Grâce au concept d'abstraction, nous n'avons pas à nous en soucier. Rappelez-vous juste:

HTTP + SSL = HTTPS

En un mot, HTTPS utilise un « mécanisme de prise de contact » de correspondance de clé publique et privée avant de transférer des données. Une fois la poignée de main effectuée, la connexion est établie et la session sécurisée commence. Lorsque vous visitez un site HTTPS, tout cela se produit presque instantanément avant que vous ne voyiez l'indicateur vert dans la barre d'adresse de votre navigateur.

Quatre raisons pour lesquelles HTTPS est génial

wordpress 4 0 upcoming release - Sabma Digital

1. Sécurité de premier ordre : Avec SSL, votre connexion est cryptée. Un tunnel virtuel est créé à travers lequel seul le serveur et le navigateur peuvent communiquer. Personne d'autre ne peut interpréter ce canal. Même si l'attaquant accède à ce canal, il ne serait pas en mesure de donner un sens aux données cryptées. Il aurait besoin de la clé privée qui n'est connue que du navigateur.

2. Examen : HTTPS nécessite un certificat SSL et l'acquisition de ce dernier pour une entreprise est un processus sérieux. Il nécessite la soumission de documents officiels qui sont vérifiés par l'autorité de certification (CA). Ce n'est que lorsque les documents passent les tests de validation que le certificat SSL est délivré.

3. Légitime les entreprises : Lorsque vous visitez un site sécurisé SSL, vous pouvez être certain de la crédibilité du site. Vous pouvez toujours obtenir les coordonnées nécessaires du propriétaire à partir du certificat SSL du site.

4. Intégrité des données : L'intégrité des données fait référence à la cohérence des données demandées et des données réellement reçues. Considérez cet exemple : quelqu'un visite votre site pour un message particulier sur Instructions de configuration du serveur XYZ. À la fin de la publication, vous laissez un lien d'affiliation. Sur un site non sécurisé, un attaquant pourrait facilement accéder à la connexion et envoyer à votre visiteur le compromis Les données. Selon toute probabilité, il remplacera votre lien d'affiliation par un lien de phishing. Il y a donc une différence monumentale entre les données demandées et les données effectivement reçues – l'intégrité des données est détruite. Avec SSL, rien de tout cela n'est possible !

Voici le piège :

L'établissement d'une connexion sécurisée nécessite puissance de calcul conséquente à la fois par le serveur et le client. Ce résultat est un taux de transfert plus lent par rapport à HTTP. C'est pourquoi la plupart des sites n'utilisent pas HTTPS tout le temps. Ils attendent le moment où vous essayez de vous connecter ou de faire un achat. Les sites de commerce électronique comme Amazon et Newegg suivent cette règle. De cette façon, la navigation est ultra rapide et les achats sont sécurisés.

Ai-je vraiment besoin de HTTPS sur mon site WordPress ?

Bonne question, mais ce n'est pas un simple oui ou non. Alors discutons-en longuement.

Les moteurs de recherche préfèrent les sites HTTPS (oui)

page d'accueil de shutterstock 1

Voici une citation d'un post récent sur le blog Google Webmaster Central.

… Au cours des derniers mois, nous avons effectué des tests en tenant compte du fait que les sites utilisent des connexions sécurisées et cryptées comme signal dans nos algorithmes de classement de recherche.

Cela ne signifie pas que si vous n'avez pas de HTTPS sur votre site, votre classement SERP chutera. Pour le moment. Les personnes vigilantes prendront cela comme un indicateur précoce de ce que l'avenir leur réserve. Beaucoup de gens se plaignent et remettent en question la décision de Google. Pourquoi diable utiliseriez-vous HTTPS sur votre blog statique ? Pour empêcher les pirates de lire les commentaires de vos visiteurs ? Heck, même le Google Webmaster Blog n'utilise pas SSL !

Scénarios où les sites doivent utiliser HTTPS

Il existe de nombreuses situations où HTTPS doit être utilisé comme couche de sécurité supplémentaire. Voici quelques exemples où il devrait être appliqué :

1. Magasins de commerce électronique

Carte de crédit

Si vous exploitez une boutique WordPress utilisant WooCommerce ou iThemes Exchange, il serait plus sage d'utiliser HTTPS dans les pages de transaction du site. Comme vous le savez déjà, HTTPS est plus lent que HTTP et a donc un impact sur l'expérience de navigation de l'utilisateur. Cependant, lorsqu'il s'agit d'informations confidentielles telles que l'adresse du domicile, le numéro de téléphone ou les détails de la carte de crédit, sacrifier la vitesse à la sécurité est une nécessité. Vous devez toujours utiliser HTTPS dans les scénarios suivants :

  • Un nouvel utilisateur s'inscrit ou se connecte
  • Un utilisateur est sur le point d'effectuer un paiement

2. Pages de dons

obturateurstock_156197999

Certains sites affichent un petit bouton de don dans leur barre latérale et presque tous n'utilisent pas HTTPS. Voici ce qui peut mal tourner. Étant donné que le site n'est pas sécurisé, l'attaquant peut facilement manipuler les données du site pour afficher des informations frauduleuses, comme remplacer le bouton de don PayPal par un site de phishing. Lorsqu'un visiteur (plutôt un donateur) clique sur ce lien frauduleux, son compte risque d'être compromis. Donc, si vous utilisez un bouton de don sur votre site, essayez d'incorporer SSL.

3. Sites d'adhésion

obturateurstock_133642784

De nombreux entrepreneurs Internet gèrent des forums privés et des sites d'adhésion à l'aide de WordPress. De tels sites portent privé données – données que vous ne voulez pas que le public voie. Si SSL est utilisé dans de tels cas, cela éliminerait les menaces à l'intégrité des données et créerait un environnement sécurisé pour que vos membres puissent interagir. C'est comme faire d'une pierre deux coups :

  1. Meilleure sécurité
  2. Renforcer la confiance et la confiance des clients

4. Sites piratés dans le passé

obturateurstock_15195401097495

Si votre site est victime d'une attaque ciblée ou a été récemment piraté, vous devriez sérieusement envisager de passer à un site crypté SSL. La récupération d'un site piraté peut être effectuée en utilisant une expertise personnelle et/ou avec l'aide d'experts en sécurité WordPress (tels que Sucuri).

Pour vous protéger des attaques futures et ajouter une couche de sécurité supplémentaire, forcez l'utilisation de HTTPS sur l'ensemble de votre site. Cependant, étant donné que SSL consomme beaucoup de ressources serveur, votre site peut devenir assez lent en fonction de la configuration de votre serveur. Vous ne voulez pas ça. Ainsi, vous pouvez également utiliser SSL de manière sélective uniquement pendant les pages de connexion et lorsque vous travaillez dans le tableau de bord de l'administrateur WordPress.

Configuration de SSL dans WordPress

La configuration de SSL est un processus compliqué et fastidieux. Cela nécessite une expertise technique, un temps considérable et il y a beaucoup de place à l'erreur. Je vous recommande fortement de parler à votre gestionnaire d'hébergement pour vous aider à configurer SSL (consultez GoDaddy, avec notre lien, vous pouvez économiser 25 % sur un certificat SSL). Si vous êtes déterminé à passer à un site HTTPS, il est fort probable que votre budget puisse intégrer le coût d'une société d'hébergement WordPress gérée.

Chez WPExplorer, nous utilisons WPEngine et notre site est protégé contre les pirates, les logiciels malveillants et les attaques DDoS. En plus c'est vraiment rapide. Des entreprises comme WPEngine vous offrent la possibilité d'acheter un certificat SSL intégré. Le coût varie de 49 à 199 USD par an. Vous pouvez également utiliser un SSL tiers et ils vous aideront à installer et à configurer HTTPS sur votre site.

Conclusion

À vous de jouer – que pensez-vous de ce sujet particulier ? Oui ou non sur HTTPS ? Avez-vous déjà utilisé SSL sur votre site ? Partagez vos pensées avec nous!

Laisser un commentaire