BẢO MẬT WEBLÀM WEBWORDPRESS

Tạo SSL free cho WordPress với Let’s Encrypt 2021

Internet là một mạng lưới rộng lớn của số lượng lớn các mạng đan xen với nhau. Máy chủ web cung cấp các trang web khác nhau để chúng có thể truy cập được thông qua trình duyệt web. Thật không may các trang web và các mạng khác dễ bị tấn công bởi tin tặc. Trong thời đại hiện tại của thương mại điện tử, thanh toán trực tuyến cho hàng hóa và dịch vụ, bảo mật là rất quan trọng. Một yêu cầu đặt ra là phải bảo mật dữ liệu người dùng sử dụng website. Bài này tôi sẽ giới thiệu cách tạo SSL miễn phí cho WordPress với Let’s Encrypt.

Tạo SSL free cho WordPress với Let’s Encrypt

Trước khi hướng dẫn về cách bạn có thể bảo mật trang web của bạn khỏi bị tấn công hoặc bị nhiễm bởi bất kỳ sự xâm nhập bên ngoài nào, hãy xem một số chủ đề quan trọng mà chúng tôi sẽ đề cập trong bài đăng này.

Nội dung bài viết

Bảo mật trang web của bạn

Trang web an toàn 100% là trang web không tồn tại. Tất cả các trang web đều dễ bị tấn công bởi tin tặc. Nhưng với tư cách là quản trị viên web, công việc của bạn là giảm thiểu khả năng tấn công. Bạn phải thực hiện các biện pháp cần thiết để giữ an toàn cho trang web của mình.

Có ba bước chính mà mỗi chủ sở hữu trang web nên thực hiện để ngăn chặn thiệt hại do tấn công nếu xảy ra.

Tạo SSL free cho WordPress với Let’s Encrypt

1 Tên đăng nhập và mật khẩu

Không sử dụng tên người dùng và mật khẩu dễ đoán. Nên chọn mật khẩu bao gồm ký tự chữ và số. Đảm bảo rằng bạn không sử dụng cùng một mật khẩu ở mọi nơi. Tên người dùng và mật khẩu của bạn rất quan trọng để bảo mật trang web của bạn. Đảm bảo rằng không ai biết tên người dùng và mật khẩu của trang web của bạn trừ khi được ủy quyền.

2 Cập nhật các tập tin hệ thống

Điều quan trọng là người dùng WordPress phải cập nhật phiên bản WordPress, Theme và Plugin của họ mới nhất. Không sử dụng bất kỳ Plugin hoặc Theme nào không được hỗ trợ tích cực.

Đọc thêm:  18 tool SEO hữu ích mà các chuyên gia SEO hay sử dụng

3 BackUps thông thường

Bạn phải sao lưu trang web của bạn thường xuyên. Trong trường hợp trang web bạn bị tấn công và hư hại, bạn phải có khả năng khôi phục một cách nhanh chóng.
Nếu bạn thực hiện ba biện pháp trên thì bạn tăng cường đáng kể mức độ bảo mật của trang web nhưng trang web của bạn vẫn dễ bị tấn công bởi tin tặc.

Bảo mật trên WordPress

Các nhà phát triển WordPress nỗ lực tối đa để đảm bảo rằng nền tảng này vẫn an toàn nhưng nó đòi hỏi nỗ lực từ phía bạn để đảm bảo rằng trang web của bạn vẫn an toàn. Internet liên tục phát triển và tin tặc tiếp tục phát minh ra các cách mới để hack các trang web. Các nhà phát triển tiếp tục phát triển các bản sửa lỗi mới và đó là lý do tại sao bạn luôn cần cập nhật các tệp hệ thống của mình.

Bên cạnh việc thực hiện các biện pháp chính được liệt kê ở trên, bạn phải bật giao tiếp được mã hóa giữa trang web và trình duyệt của mình. Bất cứ khi nào người dùng truy cập trang web, máy chủ và trình duyệt của bạn trao đổi thông tin cần thiết với nhau.

Bạn không muốn bất kỳ người ngoài nào có quyền truy cập vào liên lạc đó, nhưng nó sẽ vẫn được mã hóa và chỉ được sử dụng bởi trình duyệt web và máy chủ. Vì mục đích đó bạn nên bảo mật trang web của mình bằng SSL.

Chứng chỉ SSL là gì?

ssl-techxanh

SSL là viết tắt của Secure Socket Layer. SSL tạo lớp truyền dữ liệu được mã hóa giữa hai hệ thống. Cho dù đó là máy chủ để truyền thông máy chủ hoặc máy chủ để giao tiếp trình duyệt, SSL cho phép truyền dữ liệu mã hóa và ngăn chặn truy cập của nó cho một người ngoài. Để tạo kết nối SSL, máy chủ cần chứng chỉ SSL.

SSL làm cho trang web của bạn an toàn như thế nào?

Việc mã hóa dữ liệu được truyền đảm bảo rằng tất cả thông tin vẫn là riêng tư. Tin tặc không thể phân tích và ăn cắp thông tin cá nhân như số thẻ tín dụng, v.v được truyền dưới lớp bảo mật. Nếu trang web được bảo mật SSL, biểu tượng khóa móc sẽ xuất hiện trong thanh địa chỉ trước địa chỉ web.

Nếu dữ liệu được truyền mà không được mã hóa, tin tặc có thể lấy cắp thông tin cá nhân như ID đăng nhập, số thẻ tín dụng, địa chỉ email , địa chỉ gửi thư, mật khẩu, v.v.

Nếu một trang web không được mã hóa SSL nhưng cố giả mạo nó, người dùng sẽ thấy cảnh báo rằng ‘trang web có thể không an toàn để truy cập’.

SSL Encryptions: Chúng hoạt động như thế nào?

  • Một trình duyệt cố gắng tạo kết nối an toàn với một trang web được bảo mật SSL sau khi lấy địa chỉ IP của nó từ một máy chủ DNS. Địa chỉ web của trang web bảo mật SSL bắt đầu bằng ‘HTTPS’ thay vì ‘HTTP’.
  • Trình duyệt khởi tạo một yêu cầu cho bản sao chứng chỉ SSL của máy chủ.
  • Sau khi nhận được bản sao của chứng chỉ SSL, nó đảm bảo rằng chứng chỉ không hết hạn, khớp với tên miền, xác nhận các tiêu chuẩn bảo mật, chẳng hạn như độ dài khóa, vv, đảm bảo rằng nó được ký bởi CA đáng tin cậy (Certificate Authority).
  • Khi chứng chỉ SSL có vẻ đáng tin cậy trình duyệt sẽ tạo khóa phiên đối xứng.
  • Nó mã hóa khóa phiên với khóa công khai của chứng chỉ SSL của trang web.
  • Máy chủ giải mã khóa phiên đối xứng được trình duyệt gửi.
  • Máy chủ thừa nhận mã hóa.
  • Tất cả thông tin liên lạc giữa máy chủ web và trình duyệt có liên quan hiện đã được mã hóa.

Netscape đã phát triển Giao thức SSL vào những năm 1990. Có nhiều sai sót trong Protocol. Để giải quyết các vấn đề đó, TLS Protocol đã được phát triển.

TLS là gì?

TLS đã phát triển từ SSL và nó tương thích ngược với nó. Chúng thường được gọi là SSL / TSL.

Đọc thêm:  Cloudflare là gì thế? Vì sao dùng Cloudflare lại tốt cho website?

SSL / TSL là giao thức bảo mật được sử dụng rộng rãi nhất hiện nay. Nó bao gồm hai lớp: TLS Record Protocol và TLS Handshake Protocol.

Giao thức bắt tay TLS đặt ra các quy tắc cho việc đàm phán các hệ thống mật mã để liên lạc. Nó quyết định cách một máy chủ và một trình duyệt sẽ thiết lập một kết nối. Nó cũng quản lý việc trao đổi khóa công khai và phiên để truyền dữ liệu được mã hóa.

Giao thức bản ghi TLS đặt các quy tắc trao đổi dữ liệu thông qua SSL. Nó định nghĩa các quy tắc mã hóa và giải mã dữ liệu được truyền đi.

Toàn bộ quá trình xác minh chứng chỉ bảo mật vẫn ẩn đối với người dùng và hoàn thành rất nhanh. Sau khi máy chủ được xác thực, biểu tượng khóa móc xuất hiện trong thanh địa chỉ và URL thay đổi từ HTTP sang HTTPS.

HTTP là gì

HTTP là tên viết tắt của HyperText Transfer Protocol (giao thức truyền tải siêu văn bản), là một giao thức cơ bản dùng cho World Wide Web (www) để truyền tải dữ liệu dưới dạng văn bản, hình ảnh, video, âm thanh và các tập tin khác từ Web server đến các trình duyệt web và ngược lại. – Xem thêm Wiki

 

HTTPS là gì

HTTPS là viết tắt của từ HyperText Transfer Protocol Secure và chính là giao thức HTTP có sử dụng thêm các chứng chỉ SSL (secure Sockets Layer) giúp mã hóa dữ liệu truyền tải nhằm gia tăng bảo mật giữa Web sever đến các trình duyệt web – Tham khảo thêm Wiki

Sự khác biệt giữa HTTP và HTTPS

Về tên gọi

HTTP là viết tắt của ‘Hyper Text Transfer Protocol’ và HTTPS là viết tắt của ‘Hyper Text Transfer Protocol Secure’. HyperText là một văn bản có chứa các liên kết, định dạng và các yếu tố khác. Việc chuyển HyperText qua các kênh khác nhau trên mạng cần một bộ quy tắc hoặc giao thức cụ thể.

Port sử dụng

HTTP sử dụng cộng mặc định là 80 còn HTTPS sử dụng cổng 443.

Cơ chế hoạt động

HTTP định nghĩa các quy tắc chuyển dữ liệu giữa trình duyệt và máy chủ. Khi một giao thức bảo mật được thực hiện với HTTP, nó sẽ trở thành HTTPS. Nói cách khác HTTPS là phiên bản nâng cao của HTTP an toàn hơn và bảo mật hơn. Với HTTP thì khi đi qua 1 nốt mạng thì nó có thể đọc hết thông tin chảy qua như số điện thoại, tên account, mật khẩu, mã số thẻ, tài khoản ngân hàng… còn với HTTPS thì nó mã hoá chỉ có đầu cuối mới có chìa khoá giải mã để đọc các thông tin đó, do vậy nó sẽ an toàn cho các giao dịch cần bảo mật như đăng nhập và thông tin ngân hàng, tài khoản…

Ví von cho dễ hình dung

Bạn có thể tưởng tượng HTTP ví như 1 người không mặc đồ ra ngoài đường, mọi sứt sẹo trên người đó đều dễ dàng thấy hết, còn HTTPS như 1 người trùm kín đồ ra ngoài đường, ko hở hang, hớ hênh gì, ai cậy nửa lời cũng ko nói.

Ứng dụng HTTPS

Ngân hàng trực tuyến, trang web thương mại điện tử , Cổng thanh toán và nhiều trang web khác cần xử lý thông tin nhạy cảm sử dụng HTTPS để mã hóa. HTTPS là cần thiết để bảo vệ quyền lợi của khách hàng và doanh nghiệp.

Cấp chứng chỉ HTTPS

Để có tên miền HTTPS, bạn cần chứng chỉ SSL từ CA (Tổ chức phát hành chứng chỉ). Bạn có thể sử dụng Let’s Encrypt để nhận chứng chỉ SSL và bảo mật trang web của bạn miễn phí.

Let’s Encrypt

Let’s Encrypt là một CA (Certificate Authority) cung cấp các chứng chỉ miễn phí cho mã hóa TLS thông qua một thủ tục tự động. Nhiều công ty như Google, Automattic, Mozilla đã cùng nhau hỗ trợ Let’s Encrypt để tăng mức độ bảo mật tổng thể trên Internet. ISRG (Nhóm nghiên cứu bảo mật Internet) duy trì nó. Môi trường quản lý chứng chỉ tự động (ACME) cho phép bạn cài đặt chứng chỉ chỉ với một vài lệnh.

Tạo SSL free cho WordPress với Let’s Encrypt

Let’s Encrypt trên WordPress

Bạn có thể nhận được chứng chỉ SSL từ Let’s Encrypt cho trang web WordPress của mình theo nhiều cách khác nhau. Và việc thực hiện nó hoàn toàn miễn phí. Bên cạnh việc cải thiện an ninh trang web của bạn, nó cũng giúp xây dựng niềm tin giữa độc giả và khách hàng của bạn. Nó cũng có thể có tác động tích cực đến thứ hạng công cụ tìm kiếm của bạn.

Đọc thêm:  Robin Image Optimizer - Plugin nén ảnh miễn phí số 1 không thể bỏ qua cho WP 2021

Tích hợp dễ dàng với Dịch vụ Hosting

Các dịch vụ lưu trữ như Bluehost, Dreamhost, Godaddy, Siteground , WPengine và nhiều dịch vụ khác cho phép khách hàng của họ tạo chứng chỉ SSL với Let’s Encrypt trên CPanel của họ.

Tạo chứng chỉ SSL miễn phí với Let’s Encrypt trên CPanel

Bước 1. Đăng nhập vào cPanel của trang web của bạn.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 2. Đi đến tùy chọn bảo mật

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 3. Tìm tùy chọn Let’s Encrypt hoặc Secure Hosting và nhấn vào nó.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 4. Chọn tên miền của bạn và điền vào các tùy chọn khác như địa chỉ email nếu được yêu cầu.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 5. Nhấn Install hoặc Add Now.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 6. Lưu chứng chỉ sau khi nó được tạo ra. Chúng ta sẽ cần nó sau này để tải nó.

Nếu máy chủ web của bạn không cung cấp tùy chọn Let’s Encrypt trên cPanel, bạn có thể liên hệ với họ và họ sẽ hướng dẫn bạn qua quy trình. Nó phức tạp hơn các bước trên và có thể khác nhau rất nhiều giữa các dịch vụ lưu trữ khác nhau.

Cấu hình host Plesk tự động lấy SSL của Lets Enscrypt

 

letsenscrypt plesk1

 

letsenscrypt plesk2

ZeroSSL

Tạo SSL free cho WordPress với Let’s Encrypt

Nếu máy chủ web của bạn không cung cấp tùy chọn dễ dàng để tạo chứng chỉ SSL hoặc bạn chỉ muốn một phương pháp thay thế khác để tạo chứng chỉ SSL miễn phí, bạn có thể sử dụng dịch vụ trực tuyến miễn phí có tên ZeroSSL. Dịch vụ này không được khuyến nghị vì bạn sẽ phải tạo lại chứng chỉ của mình sau 60 ngày.

Plugin WordPress

Có một vài WordPress Plugins , chẳng hạn như WP Encrypt cho phép bạn tạo một chứng chỉ SSL với Let’s Encrypt. Tuy nhiên các Plugin này không được update liên tục nên nó thể xảy ra lỗi tiềm ẩn sau này.

Cấu hình trang web để chứng chỉ SSL hoạt động

Sau khi tạo chứng chỉ SSL cho miền của bạn, bạn cần phải định cấu hình trang web của mình và tải chứng chỉ để làm cho chứng chỉ hoạt động.

Bước 1. Mở cPanel của trang web của bạn.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 2. Mở File Manager hoặc FTP.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 3. Sao chép và dán các tập tin chứng chỉ trong thư mục public_html của trang web của bạn.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 4. Đóng FTP và quay lại Trang tổng quan cPanel.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 5. Tìm kiếm SSL.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 6. Nhấp vào ‘Cài đặt và Quản lý SSL cho trang web của bạn (HTTPS)’.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 7. Sao chép mã từ cert.pem, private.pem và chain.pem.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 8. Dán mã vào các lục tương ứng.

Sau khi lưu, chứng chỉ mã hóa của bạn sẽ hoạt động trên trang web của bạn.
Toàn bộ quá trình này sẽ mất mười đến mười lăm phút.

Cập nhật URL WordPress thành HTTPS

Sau khi bảo mật trang web của bạn bằng chứng chỉ SSL, bạn cần phải thay đổi URL của mình từ một HTTP thành URL HTTPS. Không thay đổi URL, chứng chỉ SSL sẽ không hoạt động và trang web của bạn sẽ không được hưởng thêm bất kỳ sự bảo mật nào.

Bước 1. Truy cập Trang tổng quan của trang web của bạn.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 2. Di chuột đến ‘Cài đặt’ và nhấp vào ‘Chung’.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 3. Thay đổi địa chỉ WordPress và địa chỉ trang web và sử dụng ‘HTTPS’ thay vì ‘HTTP’ ngay từ đầu.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 4. Nhấp vào ‘Lưu’.

Tạo SSL free cho WordPress với Let’s Encrypt

Sau khi hoàn tất các bước trên, trang web của bạn đã trở thành trang web HTTPS có chứng chỉ SSL được cài đặt trên đó.
Nếu bạn có một trang web mới thì mọi việc đã hoàn tất. Nhưng nếu bạn đã sở hữu một trang web có nhiều trang được lập chỉ mục trên Google thì nó sẽ tạo ra một số vấn đề.

Một số trang trên trang web của bạn sẽ tải bằng giao thức HTTP và các trang khác sẽ tải bằng HTTPS.
Nó có thể làm phản tác dụng đối với bảng xếp hạng công cụ tìm kiếm của bạn. Ngoài ra, nhiều liên kết ngược sử dụng ‘HTTP’ trước địa chỉ trang của bạn, sẽ không hoạt động nữa.

May mắn thay, có một vài plugin như ‘ SSL Insecure Content Fixer ‘ và ‘ Really Simple SSL ‘ sẽ giải quyết vấn đề này. Các plugin này phát hiện trạng thái SSL của trang web của bạn và định cấu hình nó chạy qua HTTPS. Tất cả các tham chiếu HTTP sẽ được chuyển thành các tài liệu HTTPS và bạn sẽ không mất bất kỳ lưu lượng truy cập nào.Điều quan trọng là bạn nên sao lưu trang web của mình trước khi sử dụng các plugin này hoặc bất kỳ plugin nào nói chung.

Khi bạn cập nhật URL trang web của mình thành HTTPS, bạn cũng cần phải cập nhật cài đặt của mình trên Google Analytics nếu bạn sử dụng nó để phân tích lưu lượng truy cập trang web của mình.

Cách cập nhật cài đặt Analytics cho HTTPS?

Bước 1. Đăng nhập vào Tài khoản Analytics của bạn.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 2. Đi đến Admin.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 3. Mở cài đặt trang web của bạn bằng cách nhấp vào cài đặt thuộc tính bên dưới tên miền của bạn.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 4. Nhấn vào Default URL. Chọn mục HTTPS.

Tạo SSL free cho WordPress với Let’s Encrypt

Bước 5. Nhấn Save.

Tạo SSL free cho WordPress với Let’s Encrypt

Bây giờ bạn sẽ nhận được các báo cáo chính xác về trang web HTTPS được bảo mật SSL của bạn trên Google Analytics.

Kết luận

Việc cài đặt chứng chỉ SSL có thể hơi khó khăn khi bắt đầu nhưng không khó để đảm bảo an toàn cho trang web của bạn bằng chứng chỉ SSL. Bạn phải tăng cường bảo mật trang web của bạn với SSL. Đặc biệt là bạn có thể cài miễn phí với Let’s Encrypt. Nó có thể giúp bạn tiết kiệm từ một số lượng lớn các cuộc tấn công hacking và giữ thông tin nhạy cảm được bảo vệ. Ngoài tăng cường bảo mật, SSL cũng xây dựng niềm tin cho website tmđt và cải thiện vị trí google.

Bên cạnh mã hóa SSL đừng quên giữ cho trang web của bạn được cập nhật đầy đủ, bảo vệ id đăng nhập và mật khẩu của bạn và thực hiện sao lưu thường xuyên. Cài đặt SSL cho WordPress dễ dàng với các máy chủ hỗ trợ Let’s Encrypt . Bạn chỉ cần vài cú click và bảo mật trang web của bạn đã được tăng cường.

Trên đây, techxanh đã giới thiệu bạn về cách tạo SSL free cho website WordPress bằng Let’s Encrypt. Chúc các bạn thành công.

4.8/5 - (10 bình chọn)

A Tùng

IT guy, thích đam mê công nghệ, Server, Linux, Wordpress, SEO và uống trà

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Back to top button