Internet là một mạng lưới rộng lớn của số lượng lớn các mạng đan xen với nhau. Máy chủ web cung cấp các trang web khác nhau để chúng có thể truy cập được thông qua trình duyệt web. Thật không may các trang web và các mạng khác dễ bị tấn công bởi tin tặc. Trong thời đại hiện tại của thương mại điện tử, thanh toán trực tuyến cho hàng hóa và dịch vụ, bảo mật là rất quan trọng. Một yêu cầu đặt ra là phải bảo mật dữ liệu người dùng sử dụng website. Bài này tôi sẽ giới thiệu cách tạo SSL miễn phí cho WordPress với Let’s Encrypt.
Trước khi hướng dẫn về cách bạn có thể bảo mật trang web của bạn khỏi bị tấn công hoặc bị nhiễm bởi bất kỳ sự xâm nhập bên ngoài nào, hãy xem một số chủ đề quan trọng mà chúng tôi sẽ đề cập trong bài đăng này.
Nội dung bài viết
Bảo mật trang web của bạn
Trang web an toàn 100% là trang web không tồn tại. Tất cả các trang web đều dễ bị tấn công bởi tin tặc. Nhưng với tư cách là quản trị viên web, công việc của bạn là giảm thiểu khả năng tấn công. Bạn phải thực hiện các biện pháp cần thiết để giữ an toàn cho trang web của mình.
Có ba bước chính mà mỗi chủ sở hữu trang web nên thực hiện để ngăn chặn thiệt hại do tấn công nếu xảy ra.
1 Tên đăng nhập và mật khẩu
Không sử dụng tên người dùng và mật khẩu dễ đoán. Nên chọn mật khẩu bao gồm ký tự chữ và số. Đảm bảo rằng bạn không sử dụng cùng một mật khẩu ở mọi nơi. Tên người dùng và mật khẩu của bạn rất quan trọng để bảo mật trang web của bạn. Đảm bảo rằng không ai biết tên người dùng và mật khẩu của trang web của bạn trừ khi được ủy quyền.
2 Cập nhật các tập tin hệ thống
Điều quan trọng là người dùng WordPress phải cập nhật phiên bản WordPress, Theme và Plugin của họ mới nhất. Không sử dụng bất kỳ Plugin hoặc Theme nào không được hỗ trợ tích cực.
3 BackUps thông thường
Bạn phải sao lưu trang web của bạn thường xuyên. Trong trường hợp trang web bạn bị tấn công và hư hại, bạn phải có khả năng khôi phục một cách nhanh chóng.
Nếu bạn thực hiện ba biện pháp trên thì bạn tăng cường đáng kể mức độ bảo mật của trang web nhưng trang web của bạn vẫn dễ bị tấn công bởi tin tặc.
Bảo mật trên WordPress
Các nhà phát triển WordPress nỗ lực tối đa để đảm bảo rằng nền tảng này vẫn an toàn nhưng nó đòi hỏi nỗ lực từ phía bạn để đảm bảo rằng trang web của bạn vẫn an toàn. Internet liên tục phát triển và tin tặc tiếp tục phát minh ra các cách mới để hack các trang web. Các nhà phát triển tiếp tục phát triển các bản sửa lỗi mới và đó là lý do tại sao bạn luôn cần cập nhật các tệp hệ thống của mình.
Bên cạnh việc thực hiện các biện pháp chính được liệt kê ở trên, bạn phải bật giao tiếp được mã hóa giữa trang web và trình duyệt của mình. Bất cứ khi nào người dùng truy cập trang web, máy chủ và trình duyệt của bạn trao đổi thông tin cần thiết với nhau.
Bạn không muốn bất kỳ người ngoài nào có quyền truy cập vào liên lạc đó, nhưng nó sẽ vẫn được mã hóa và chỉ được sử dụng bởi trình duyệt web và máy chủ. Vì mục đích đó bạn nên bảo mật trang web của mình bằng SSL.
Chứng chỉ SSL là gì?
SSL là viết tắt của Secure Socket Layer. SSL tạo lớp truyền dữ liệu được mã hóa giữa hai hệ thống. Cho dù đó là máy chủ để truyền thông máy chủ hoặc máy chủ để giao tiếp trình duyệt, SSL cho phép truyền dữ liệu mã hóa và ngăn chặn truy cập của nó cho một người ngoài. Để tạo kết nối SSL, máy chủ cần chứng chỉ SSL.
SSL làm cho trang web của bạn an toàn như thế nào?
Việc mã hóa dữ liệu được truyền đảm bảo rằng tất cả thông tin vẫn là riêng tư. Tin tặc không thể phân tích và ăn cắp thông tin cá nhân như số thẻ tín dụng, v.v được truyền dưới lớp bảo mật. Nếu trang web được bảo mật SSL, biểu tượng khóa móc sẽ xuất hiện trong thanh địa chỉ trước địa chỉ web.
Nếu dữ liệu được truyền mà không được mã hóa, tin tặc có thể lấy cắp thông tin cá nhân như ID đăng nhập, số thẻ tín dụng, địa chỉ email , địa chỉ gửi thư, mật khẩu, v.v.
Nếu một trang web không được mã hóa SSL nhưng cố giả mạo nó, người dùng sẽ thấy cảnh báo rằng ‘trang web có thể không an toàn để truy cập’.
SSL Encryptions: Chúng hoạt động như thế nào?
- Một trình duyệt cố gắng tạo kết nối an toàn với một trang web được bảo mật SSL sau khi lấy địa chỉ IP của nó từ một máy chủ DNS. Địa chỉ web của trang web bảo mật SSL bắt đầu bằng ‘HTTPS’ thay vì ‘HTTP’.
- Trình duyệt khởi tạo một yêu cầu cho bản sao chứng chỉ SSL của máy chủ.
- Sau khi nhận được bản sao của chứng chỉ SSL, nó đảm bảo rằng chứng chỉ không hết hạn, khớp với tên miền, xác nhận các tiêu chuẩn bảo mật, chẳng hạn như độ dài khóa, vv, đảm bảo rằng nó được ký bởi CA đáng tin cậy (Certificate Authority).
- Khi chứng chỉ SSL có vẻ đáng tin cậy trình duyệt sẽ tạo khóa phiên đối xứng.
- Nó mã hóa khóa phiên với khóa công khai của chứng chỉ SSL của trang web.
- Máy chủ giải mã khóa phiên đối xứng được trình duyệt gửi.
- Máy chủ thừa nhận mã hóa.
- Tất cả thông tin liên lạc giữa máy chủ web và trình duyệt có liên quan hiện đã được mã hóa.
Netscape đã phát triển Giao thức SSL vào những năm 1990. Có nhiều sai sót trong Protocol. Để giải quyết các vấn đề đó, TLS Protocol đã được phát triển.
TLS là gì?
TLS đã phát triển từ SSL và nó tương thích ngược với nó. Chúng thường được gọi là SSL / TSL.
SSL / TSL là giao thức bảo mật được sử dụng rộng rãi nhất hiện nay. Nó bao gồm hai lớp: TLS Record Protocol và TLS Handshake Protocol.
Giao thức bắt tay TLS đặt ra các quy tắc cho việc đàm phán các hệ thống mật mã để liên lạc. Nó quyết định cách một máy chủ và một trình duyệt sẽ thiết lập một kết nối. Nó cũng quản lý việc trao đổi khóa công khai và phiên để truyền dữ liệu được mã hóa.
Giao thức bản ghi TLS đặt các quy tắc trao đổi dữ liệu thông qua SSL. Nó định nghĩa các quy tắc mã hóa và giải mã dữ liệu được truyền đi.
Toàn bộ quá trình xác minh chứng chỉ bảo mật vẫn ẩn đối với người dùng và hoàn thành rất nhanh. Sau khi máy chủ được xác thực, biểu tượng khóa móc xuất hiện trong thanh địa chỉ và URL thay đổi từ HTTP sang HTTPS.
HTTP là gì
HTTPS là gì
Sự khác biệt giữa HTTP và HTTPS
Về tên gọi
HTTP là viết tắt của ‘Hyper Text Transfer Protocol’ và HTTPS là viết tắt của ‘Hyper Text Transfer Protocol Secure’. HyperText là một văn bản có chứa các liên kết, định dạng và các yếu tố khác. Việc chuyển HyperText qua các kênh khác nhau trên mạng cần một bộ quy tắc hoặc giao thức cụ thể.
Port sử dụng
HTTP sử dụng cộng mặc định là 80 còn HTTPS sử dụng cổng 443.
Cơ chế hoạt động
HTTP định nghĩa các quy tắc chuyển dữ liệu giữa trình duyệt và máy chủ. Khi một giao thức bảo mật được thực hiện với HTTP, nó sẽ trở thành HTTPS. Nói cách khác HTTPS là phiên bản nâng cao của HTTP an toàn hơn và bảo mật hơn. Với HTTP thì khi đi qua 1 nốt mạng thì nó có thể đọc hết thông tin chảy qua như số điện thoại, tên account, mật khẩu, mã số thẻ, tài khoản ngân hàng… còn với HTTPS thì nó mã hoá chỉ có đầu cuối mới có chìa khoá giải mã để đọc các thông tin đó, do vậy nó sẽ an toàn cho các giao dịch cần bảo mật như đăng nhập và thông tin ngân hàng, tài khoản…
Ví von cho dễ hình dung
Bạn có thể tưởng tượng HTTP ví như 1 người không mặc đồ ra ngoài đường, mọi sứt sẹo trên người đó đều dễ dàng thấy hết, còn HTTPS như 1 người trùm kín đồ ra ngoài đường, ko hở hang, hớ hênh gì, ai cậy nửa lời cũng ko nói.
Ứng dụng HTTPS
Ngân hàng trực tuyến, trang web thương mại điện tử , Cổng thanh toán và nhiều trang web khác cần xử lý thông tin nhạy cảm sử dụng HTTPS để mã hóa. HTTPS là cần thiết để bảo vệ quyền lợi của khách hàng và doanh nghiệp.
Cấp chứng chỉ HTTPS
Để có tên miền HTTPS, bạn cần chứng chỉ SSL từ CA (Tổ chức phát hành chứng chỉ). Bạn có thể sử dụng Let’s Encrypt để nhận chứng chỉ SSL và bảo mật trang web của bạn miễn phí.
Let’s Encrypt
Let’s Encrypt là một CA (Certificate Authority) cung cấp các chứng chỉ miễn phí cho mã hóa TLS thông qua một thủ tục tự động. Nhiều công ty như Google, Automattic, Mozilla đã cùng nhau hỗ trợ Let’s Encrypt để tăng mức độ bảo mật tổng thể trên Internet. ISRG (Nhóm nghiên cứu bảo mật Internet) duy trì nó. Môi trường quản lý chứng chỉ tự động (ACME) cho phép bạn cài đặt chứng chỉ chỉ với một vài lệnh.
Let’s Encrypt trên WordPress
Bạn có thể nhận được chứng chỉ SSL từ Let’s Encrypt cho trang web WordPress của mình theo nhiều cách khác nhau. Và việc thực hiện nó hoàn toàn miễn phí. Bên cạnh việc cải thiện an ninh trang web của bạn, nó cũng giúp xây dựng niềm tin giữa độc giả và khách hàng của bạn. Nó cũng có thể có tác động tích cực đến thứ hạng công cụ tìm kiếm của bạn.
Tích hợp dễ dàng với Dịch vụ Hosting
Các dịch vụ lưu trữ như Bluehost, Dreamhost, Godaddy, Siteground , WPengine và nhiều dịch vụ khác cho phép khách hàng của họ tạo chứng chỉ SSL với Let’s Encrypt trên CPanel của họ.
Tạo chứng chỉ SSL miễn phí với Let’s Encrypt trên CPanel
Bước 1. Đăng nhập vào cPanel của trang web của bạn.
Bước 2. Đi đến tùy chọn bảo mật
Bước 3. Tìm tùy chọn Let’s Encrypt hoặc Secure Hosting và nhấn vào nó.
Bước 4. Chọn tên miền của bạn và điền vào các tùy chọn khác như địa chỉ email nếu được yêu cầu.
Bước 5. Nhấn Install hoặc Add Now.
Bước 6. Lưu chứng chỉ sau khi nó được tạo ra. Chúng ta sẽ cần nó sau này để tải nó.
Nếu máy chủ web của bạn không cung cấp tùy chọn Let’s Encrypt trên cPanel, bạn có thể liên hệ với họ và họ sẽ hướng dẫn bạn qua quy trình. Nó phức tạp hơn các bước trên và có thể khác nhau rất nhiều giữa các dịch vụ lưu trữ khác nhau.
Cấu hình host Plesk tự động lấy SSL của Lets Enscrypt
ZeroSSL
Nếu máy chủ web của bạn không cung cấp tùy chọn dễ dàng để tạo chứng chỉ SSL hoặc bạn chỉ muốn một phương pháp thay thế khác để tạo chứng chỉ SSL miễn phí, bạn có thể sử dụng dịch vụ trực tuyến miễn phí có tên ZeroSSL. Dịch vụ này không được khuyến nghị vì bạn sẽ phải tạo lại chứng chỉ của mình sau 60 ngày.
Plugin WordPress
Có một vài WordPress Plugins , chẳng hạn như WP Encrypt cho phép bạn tạo một chứng chỉ SSL với Let’s Encrypt. Tuy nhiên các Plugin này không được update liên tục nên nó thể xảy ra lỗi tiềm ẩn sau này.
Cấu hình trang web để chứng chỉ SSL hoạt động
Sau khi tạo chứng chỉ SSL cho miền của bạn, bạn cần phải định cấu hình trang web của mình và tải chứng chỉ để làm cho chứng chỉ hoạt động.
Bước 1. Mở cPanel của trang web của bạn.
Bước 2. Mở File Manager hoặc FTP.
Bước 3. Sao chép và dán các tập tin chứng chỉ trong thư mục public_html của trang web của bạn.
Bước 4. Đóng FTP và quay lại Trang tổng quan cPanel.
Bước 5. Tìm kiếm SSL.
Bước 6. Nhấp vào ‘Cài đặt và Quản lý SSL cho trang web của bạn (HTTPS)’.
Bước 7. Sao chép mã từ cert.pem, private.pem và chain.pem.
Bước 8. Dán mã vào các lục tương ứng.
Sau khi lưu, chứng chỉ mã hóa của bạn sẽ hoạt động trên trang web của bạn.
Toàn bộ quá trình này sẽ mất mười đến mười lăm phút.
Cập nhật URL WordPress thành HTTPS
Sau khi bảo mật trang web của bạn bằng chứng chỉ SSL, bạn cần phải thay đổi URL của mình từ một HTTP thành URL HTTPS. Không thay đổi URL, chứng chỉ SSL sẽ không hoạt động và trang web của bạn sẽ không được hưởng thêm bất kỳ sự bảo mật nào.
Bước 1. Truy cập Trang tổng quan của trang web của bạn.
Bước 2. Di chuột đến ‘Cài đặt’ và nhấp vào ‘Chung’.
Bước 3. Thay đổi địa chỉ WordPress và địa chỉ trang web và sử dụng ‘HTTPS’ thay vì ‘HTTP’ ngay từ đầu.
Bước 4. Nhấp vào ‘Lưu’.
Sau khi hoàn tất các bước trên, trang web của bạn đã trở thành trang web HTTPS có chứng chỉ SSL được cài đặt trên đó.
Nếu bạn có một trang web mới thì mọi việc đã hoàn tất. Nhưng nếu bạn đã sở hữu một trang web có nhiều trang được lập chỉ mục trên Google thì nó sẽ tạo ra một số vấn đề.
Một số trang trên trang web của bạn sẽ tải bằng giao thức HTTP và các trang khác sẽ tải bằng HTTPS.
Nó có thể làm phản tác dụng đối với bảng xếp hạng công cụ tìm kiếm của bạn. Ngoài ra, nhiều liên kết ngược sử dụng ‘HTTP’ trước địa chỉ trang của bạn, sẽ không hoạt động nữa.
May mắn thay, có một vài plugin như ‘ SSL Insecure Content Fixer ‘ và ‘ Really Simple SSL ‘ sẽ giải quyết vấn đề này. Các plugin này phát hiện trạng thái SSL của trang web của bạn và định cấu hình nó chạy qua HTTPS. Tất cả các tham chiếu HTTP sẽ được chuyển thành các tài liệu HTTPS và bạn sẽ không mất bất kỳ lưu lượng truy cập nào.Điều quan trọng là bạn nên sao lưu trang web của mình trước khi sử dụng các plugin này hoặc bất kỳ plugin nào nói chung.
Khi bạn cập nhật URL trang web của mình thành HTTPS, bạn cũng cần phải cập nhật cài đặt của mình trên Google Analytics nếu bạn sử dụng nó để phân tích lưu lượng truy cập trang web của mình.
Cách cập nhật cài đặt Analytics cho HTTPS?
Bước 1. Đăng nhập vào Tài khoản Analytics của bạn.
Bước 2. Đi đến Admin.
Bước 3. Mở cài đặt trang web của bạn bằng cách nhấp vào cài đặt thuộc tính bên dưới tên miền của bạn.
Bước 4. Nhấn vào Default URL. Chọn mục HTTPS.
Bước 5. Nhấn Save.
Bây giờ bạn sẽ nhận được các báo cáo chính xác về trang web HTTPS được bảo mật SSL của bạn trên Google Analytics.
Kết luận
Việc cài đặt chứng chỉ SSL có thể hơi khó khăn khi bắt đầu nhưng không khó để đảm bảo an toàn cho trang web của bạn bằng chứng chỉ SSL. Bạn phải tăng cường bảo mật trang web của bạn với SSL. Đặc biệt là bạn có thể cài miễn phí với Let’s Encrypt. Nó có thể giúp bạn tiết kiệm từ một số lượng lớn các cuộc tấn công hacking và giữ thông tin nhạy cảm được bảo vệ. Ngoài tăng cường bảo mật, SSL cũng xây dựng niềm tin cho website tmđt và cải thiện vị trí google.
Bên cạnh mã hóa SSL đừng quên giữ cho trang web của bạn được cập nhật đầy đủ, bảo vệ id đăng nhập và mật khẩu của bạn và thực hiện sao lưu thường xuyên. Cài đặt SSL cho WordPress dễ dàng với các máy chủ hỗ trợ Let’s Encrypt . Bạn chỉ cần vài cú click và bảo mật trang web của bạn đã được tăng cường.
Trên đây, techxanh đã giới thiệu bạn về cách tạo SSL free cho website WordPress bằng Let’s Encrypt. Chúc các bạn thành công.
