Uwierzytelnianie poczty e-mail - Nie pozwól, aby Twoje e-maile trafiły do spamu
Ach, folder spam jest przerażający! Z reguły w wielu klientach poczty e-mail jest on ukryty, czasami pod menu rozwijalnym (jak w przypadku Gmail), lub nie jest wcale synchronizowany... bo to w końcu spam. Jako nadawca wiadomości e-mail, chcesz uniknąć sytuacji, w której Twoje wiadomości lądują w folderze spam. Mamy rację? Dzisiaj przeprowadzimy Cię przez proces uwierzytelniania domeny. Dzięki temu Twoje wiadomości wrócą do skrzynek odbiorczych klientów, a nie do ich folderu spam.
Co to jest uwierzytelnianie e-mail?
Nikt nie lubi spamu, dlatego też na Serwer.io nieustannie pracujemy nad jego zmniejszeniem. Tworzymy skomplikowane filtry, aby mniej spamu trafiało do Twojej skrzynki odbiorczej.
Czym zatem jest uwierzytelnianie wiadomości e-mail, zwane również uwierzytelnianiem lub weryfikacją domeny. W skrócie, jest to proces identyfikacji źródła lub domeny wysyłającej, aby lepiej kierować pocztę e-mail. Technika ta pomaga zapobiegać fałszowaniu i wyłudzaniu informacji, gdy wiadomość email wydaje się pochodzić z jednej domeny, ale faktycznie została dostarczona z innej.
3 podstawowe metody uwierzytelniania wiadomości e-mail
Na początek, zapozjamy się z podstawowymi metodami uwierzytelniania.
1. DKIM / DomainKeys
DKIM oznacza DomainKey Identified Mail. Według strony internetowej DKM: DKIM dołącza nowy identyfikator nazwy domeny do wiadomości i wykorzystuje techniki kryptograficzne w celu potwierdzenia autoryzacji jego obecności.
Poniżej znajduje się przykład rekordu DKIM, którego MailChimp używa do uwierzytelnienia.
CNAME record: k1._domainkey.yourdomain.com
Value (resolves to): dkim.mcsv.netA oto przykład rekordu DKIM z MailerLite przy użyciu rekordu TXT.
TXT Name: ml._domainkey.yourdomain.com
TXT Value: k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdgIGns7EFVltvAkNNdbXD9KYSzAUNQky8POXwH62. SPF
SPF oznacza Sender Policy Framework. SPF uwierzytelnia tożsamość koperty HELO i MAIL OD, porównując adres IP wysyłającego serwera pocztowego z listą autoryzowanych wysyłających adresów IP opublikowanych przez właściciela domeny nadawcy w rekordzie DNS „v = spf1″. Obecnie, mają one postać rekordu TXT.
Innymi słowy, po otrzymaniu wiadomości e-mail dostawca usług internetowych używa rekordu SPF do sprawdzania adresu IP nadawcy. Jeśli jest prawidłowy, to to wiadomość zostanie dostarczona. Poniżej znajduje się przykład rekordu SPF TXT, którego Google używa do uwierzytelnienia.
v=spf1 include:_spf.google.com ~all3. DMARC
DMARC to polityka, która pozwala nadawcy ogłosić, że jego e-maile są chronione przez SPF i / lub DKIM. Nie jest to wymagane, ale może pomóc chronić klientów przed atakami typu phishing i spoofing. DKIM i SPF są wymagane przed użyciem DMARC.
Poniżej znajduje się przykład rekordu DMARC wykorzystującego rekord TXT.
v=DMARC1;p=reject;pct=100;rua=mailto:twojadomena.pl
Przeczytaj więcej jak stworzyć własny rekord DMARC.
Jak skonfigurować pocztę G Suite oraz uwierzytelnianie e-mail
Dzisiaj przeprowadzimy Cię przez proces konfigurowania uwierzytelniania poczty e-mail od Google ( G Suite ). To najbardziej znana i powszechnie używana usługa poczty e-mail. Na Serwer.io korzystamy z GSuite w codziennej komunikacji z użytkownikami. Poniższy proces nie powinien być skomplikowany.
Krok 1
Upewnij się, że Twoja domena jest zweryfikowana w Google. Weryfikacja domeny w Google jest opisana tu.
Krok 2
Zaloguj się do swojego konta na hostingu. Jeśli nie wiesz jak zalogować się do panelu administracyjnego na Serwer.io, skontaktuj się z naszym działem wsparcia technicznego.
Krok 3
W panelu kontrolnym kliknij Domains (Domeny). Następnie wybierze nazwę domeny, w której chcesz skonfigurować rekordy MX G Suite. Kliknij DNS Settings (Ustawienia DNS).
Krok 4
Usuń rekordy
- _dmarc.twoja-domena.com (rekord TXT)
- mail.twoja-domena.com (rekord A)
- twoja-domena.com (rekord MX 10)
- webmail.twoja-domena.com (rekord A)
Krok 5
Dodaj rekordy MX G Suite.
| Adres serwera MX | Priorytet |
|---|---|
| ASPMX.L.GOOGLE.COM. | 0 |
| ALT1.ASPMX.L.GOOGLE.COM. | 5 |
| ALT2.ASPMX.L.GOOGLE.COM. | 5 |
| ALT3.ASPMX.L.GOOGLE.COM. | 10 |
| ALT4.ASPMX.L.GOOGLE.COM. | 10 |
Następnie zapisz zmiany i wróć do kreatora Google G Suite aby zweryfikować rekordy. Może to potrwać od kilku minut do kilku godzin.
Krok 6
Wspomniany rekord SPF, czyli zapobieganie podszywaniu się pod inne osoby w e-mailach.
Ponownie wróć do DNS Settings i dodaj nowy rekord TXT. Rekord SPF musi uwzględniać domenę google oraz domenę Twojego serwera. Jeżeli nie znasz domeny serwera, skontaktuj się z działem technicznym hostingu.
v=spf1 include:domenaserwera.com include:_spf.google.com ~allKrok 7
Wygeneruj rekord DKIM dla swojej domeny oraz dodaj go w DNS Settings.
I to w zasadzie koniec konfiguracji i uwierzytelniania poczty e-mail z G Suite. Od teraz Twoja poczta powinna trafiać do skrzynki odbiorczej, a nie do spam.
Jeżeli nie używasz poczty e-mail od G Suite i jesteś użytkownikiem Serwer.io to rekordy SPF, DKIM oraz DMARC są wpisane automatycznie do DNS na serwerze.
Krok 8
Ostatecznie polecamy sprawdzić poziom spamu poczty za pomocą Mail Tester. W prosty sposób dowiesz się, czy Twoja poczta trafia do odbiorców, czy jest uznawana za spam.
Podsumowanie
Mamy nadzieję, że w prosty sposób przybliżyliśmy Tobie temat uwierzytelniania poczty e-mail oraz sposobu konfiguracji G Suite. Pozwoli Ci to uniknąć sytuacji, w której Twoje maile trafiają do spamu, dzięki temu będziesz mieć większą szansę na trafienie do skrzynek odbiorczych klientów.
Jakie są Twoje doświadczenia z uwierzytelnianiem e-mail? Czy Twoje maile lądują w spamie? Daj nam znać poniżej w komentarzach.
14 Sposobów jak naprawić błąd "Your Connection is Not Private"
Możemy zaryzykować stwierdzenie, że widzieliśmy prawie wszystko zarządzając setkami, stron WordPress. Od błędów konfiguracji baz danych po kompletnie zepsute strony WordPress włącznie z problemami SSL. Dla użytkownika WordPressa, te problemy mogą być czasami frustrujące, a czasem nawet przerażające. W zależności od rodzaju błędu może to również oznaczać, że strona www kompletnie nie działa, co oznacza, że prawdopodobnie tracisz pieniądze i klientów.
Dziś zagłębimy się w błąd "Your Connection is Not Private" i pomożemy Ci znaleźć sposoby na przywrócenie działania. Przeczytaj poniżej, co powoduje ten błąd i co możesz zrobić, aby temu zapobiec w przyszłości.
Co to oznacza komunikat "Your Connection is Not Private"?
Błąd "Your Connection is Not Private" dotyczy tylko stron działających na HTTPS. Podczas odwiedzania strony www przeglądarka wysyła żądanie do serwera, na którym znajduje się witryna. Przeglądarka musi następnie zweryfikować certyfikat zainstalowany na stronie, aby upewnić się, że spełnia on aktualne standardy prywatności. Inne rzeczy, które również mają miejsce, to uzgadnianie TLS, sprawdzanie certyfikatu w urzędzie certyfikacji oraz deszyfrowanie certyfikatu.
Jeśli przeglądarka stwierdzi, że certyfikat jest nieprawidłowy, automatycznie spróbuje uniemożliwić Ci dostęp do witryny za pomocą wbudowanej funkcji, która ma na celu ochronę użytkownika. Jeśli certyfikat nie jest poprawnie skonfigurowany, oznacza to, że dane nie mogą być poprawnie zaszyfrowane i dlatego odwiedzanie witryny jest niebezpieczne (szczególnie te z logowaniem, formularzem kontaktowym lub przetwarzające informacje o płatności). Zamiast ładować witrynę, wyświetli komunikat o błędzie, czyli wspomniany "Your Connection is Not Private".
"Your Connection is Not Private" inne nazwy błędu
Istnieje kilka różnych odmian tego błędu, w zależności od używanej przeglądarki internetowej, systemu operacyjnego, a nawet konfiguracji certyfikatu na serwerach. I chociaż niektóre z tych błędów czasami oznaczają nieco inne rzeczy, często kroki rozwiązywania problemów są takie same.
"Your Connection is Not Private" w Google Chrome
W Google Chrome, jeśli występuje problem z weryfikacją certyfikatu, błąd będzie wyświetlany jako "Your Connection is Not Private".
Attackers might be trying to steal your information from ... (for example, passwords, messages, or credit cards).
Towarzyszy temu również komunikat o błędzie, który pomaga ustalić dokładny problem. Poniżej znajduje się tylko kilka najczęstszych kodów błędów, które możesz zobaczyć w Google Chrome:
- ERR_CERT_SYMANTEC_LEGACY
- NET::ERR_CERT_AUTHORITY_INVALID
- NET::ERR_CERT_COMMON_NAME_INVALID
- NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM
- NTE::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED
- NET::ERR_CERT_DATE_INVALID
- SSL certificate error
- ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Mozilla Firefox (Developer Edition)
W przeglądarce Mozilla Firefox komunikat o błędzie różni się się od tego, który jest na Chrome.
Firefox detected a potential security threat and did not continue to ... because this website requires a secure connection.
Podobnie jak w Chrome, towarzyszy mu komunikat o błędzie, który pomaga zlokalizować problem. Poniżej znajduje się tylko kilka najczęstszych kodów błędów, które możesz zobaczyć w Mozilla Firefox klikając przycisk Advanced... :
- MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED
- SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE
- SEC_ERROR_EXPIRED_CERTIFICATE
- SEC_ERROR_UNKNOWN_ISSUER
- MOZILLA_PKIX_ERROR_MITM_DETECTED
- ERROR_SELF_SIGNED_CERT
- SSL_ERROR_BAD_CERT_DOMAIN
Microsoft Edge
W Microsoft Edge zobaczysz błąd tak jak w Chrome. Tu również komunikat o błędzie ma różne kody:
- NET::ERR_CERT_COMMON_NAME_INVALID
- Error Code: 0
- DLG_FLAGS_INVALID_CA
- DLG_FLAGS_SEC_CERT_CN_INVALID
Safari
W Safari zobaczysz błąd jako „This Connection is Not Private”.
This website may be impersonating “...” to steal your personal or financial information. You should go back to the previous page.
Jak naprawić błąd Your Connection is Not Private?
Czasami możesz nawet nie wiedzieć, od czego zacząć, jeśli widzisz błąd "Your Connection is Not Private". Z naszego doświadczenia wynika, że błędy te zwykle wynikają z dwóch rzeczy: pierwsza to problem po stronie klienta (przeglądarka, komputer, system operacyjny), a drugi to faktyczny problem z certyfikatem na stronie www (wygasła, niewłaściwa domena, niezaufany certyfikat itd). Zajmiemy się trochę jednym i drugim.
Oto kilka zaleceń i rzeczy, które należy sprawdzić, aby naprawić błąd (posortowane według najczęściej spotykanych powodów):
1. Spróbuj ponownie załadować stronę
Może się to wydawać nieco oczywiste, ale jedną z najprostszych i pierwszych rzeczy, które powinieneś spróbować, gdy napotkasz błąd "Your Connection is Not Private", jest po prostu zamknięcie i ponowne otwarcie przeglądarki i ponowne załadowanie strony. Możliwe, że właściciel witryny ponownie wystawia certyfikat SSL lub coś nie działa w twojej przeglądarce.
2. Postępuj ręcznie (niebezpieczne)
Drugą opcją jest po prostu ręczne przejście dalej. Jednak nigdy nie zalecamy tego, chyba że w pełni rozumiesz, że nic nie będzie szyfrowane, jeśli będziesz kontynuować. Jeśli zamierzasz podać dane logowania lub dane płatności, zdecydowanie pomiń tę opcję!
Napisaliśmy o tej opcji tylko po to, abyśmy mogli wyjaśnić pełne konsekwencje takiego działania. Gdy zobaczysz ten błąd może to oznaczać, że ktoś próbuje Cię oszukać lub ukraść informacje, które wysyłasz na serwer. Możliwe jest również, że witryna została zhakowana i nastąpiło złośliwe przekierowanie. Jeśli jesteś w miejscu publicznym, koniecznie opuść tę stronę www.
3. Czy jesteś na lotnisku lub w kawiarni?
Może to zabrzmieć dziwnie, ale kawiarnie i sieci Wi-Fi na lotniskach są zwykle jednym z najpopularniejszych miejsc, w których użytkownicy widzą błąd "Your Connection is Not Private". Dlaczego? Ponieważ wiele z tych sieci nie ładuje wszystkiego za pośrednictwem protokołu HTTPS lub jeśli tak, nie jest ten protokół poprawnie skonfigurowany. Zwykle dotyczy to ekranu powitalnego, na którym musisz zaakceptować warunki i umowę, aby się zalogować. Jeśli próbujesz połączyć się z bezpieczną witryną HTTPS przed zaakceptowaniem warunków portalu, ten błąd może się pojawić. Oto kilka prostych kroków, aby się z tym obejść.
- Połącz się z kawiarnią lub Wi-Fi na lotnisku;
- Przejdź do strony innej niż HTTPS;
- Następnie strona logowania powinna się otworzyć. Możesz zaakceptować warunki, a następnie zalogować się. Ponieważ warunki zazwyczaj składają się z pola wyboru, nie powinieneś się przejmować, jeśli nie działa on przez HTTPS. Po nawiązaniu połączenia możesz następnie przeglądać strony za pośrednictwem HTTPS.
Pamiętaj, że za każdym razem, gdy korzystasz z publicznej sieci Wi-Fi, VPN może jeszcze bardziej Cię chronić, ukrywając ruch.
4. Sprawdź zegar Twojego komputera
Innym bardzo częstym powodem błędu "Your Connection is Not Private" jest błąd zegara komputera. Przeglądarki polegają na ich prawidłowej synchronizacji w celu weryfikacji certyfikatu SSL. Więc zalecamy sprawdzić datę i godzinę na komputerze, czy jest ona prawidłowa.
5. Spróbuj w trybie incognito
Naszym następnym zaleceniem byłoby zazwyczaj wyczyszczenie pamięci podręcznej przeglądarki. Jednak dla wielu z nas łatwiej to powiedzieć niż zrobić ?. Jeśli chcesz sprawdzić, czy może to być pamięć podręczna przeglądarki, bez czyszczenia pamięci podręcznej, zawsze możesz otworzyć przeglądarkę w trybie incognito lub skorzystaj z innej przeglądarki i sprawdź, czy nadal występuje błąd "Your Connection is Not Private".
6. Wyczyść pamięć podręczną przeglądarki i usuń pliki cookie
Jeśli uważasz, że może to być Twoja przeglądarka, wyczyszczenie pamięci podręcznej przeglądarki jest zawsze dobrym krokiem do rozwiązania problemu, zanim przejdziesz do bardziej szczegółowego rozwiązywania problemów.
7. Zmień serwery DNS
Następną rzeczą, którą możesz wypróbować, jest zmiana serwerów DNS. Jeżeli korzystasz z publicznego Google DNS (8.8.8.8 i 8.8.4.4) lub Cloudflare DNS (1.1.1.1 i 1.0.0.1), usunięcie ich i przywrócenie ustawień domyślnych do serwerów DNS Twojego dostawcy internetu może rozwiązać problem.
8. Certyfikat wygasł
Certyfikaty SSL wygasające bez wiedzy właściciela strony zdarzają się cały czas. W rzeczywistości o wiele więcej, niż mogłoby się wydawać.
Zazwyczaj dzieje się tak z następujących powodów:
- Właściciel witryny nie ma włączonego automatycznego odnawiania z rejestratorem domen lub dostawcą certyfikatu SSL.
- Automatyczne odnawianie jest włączone, ale płatność nie przeszła, ponieważ użytkownik zapomniał zaktualizować metodę płatności lub nie miał środków na karcie.
- Właściciel witryny korzysta z bezpłatnego certyfikatu Let's Encrypt, który wygasa co 90 dni i nie ma skryptu, aby go odnowić, lub zapomniał o tym. Na Serwer.io zautomatyzowaliśmy ten proces dla Twojej wygody, więc nigdy nie musisz się martwić o wygaśnięcie certyfikatów SSL.
9. Sprawdź alternatywną domenę
Każdy certyfikat ma tak zwaną alternatywną nazwę domeny. Obejmuje to wszystkie warianty nazw domen, dla których certyfikat został wydany i jest ważny. Należy pamiętać, że https://domena.com i https://www.domena.com są traktowane jako dwie oddzielne domeny (podobnie jak subdomena).
10. Czy certyfikat jest wystawiony przez Symantec?
W styczniu 2017 r. Opinia publiczna została poinformowana o złych praktykach ze strony firmy Symantec, jeśli chodzi o sposób wydawania certyfikatów. Zasadniczo nie były one zgodne ze standardowymi wymaganiami branżowymi CA / przeglądarkami. Okazało się również, że zdawali sobie z tego sprawę od pewnego czasu. Z tego powodu przeglądarki zdecydowały się nie obsługiwać certyfikatów wydanych przez firmę Symantec. Jeśli witryna nadal korzysta z wydanego przez siebie certyfikatu, może pojawić się błąd “Your Connection is Not Private”.
Użycie certyfikatu Symantec może spowodować pojawienie się kodu błędu:
NET::ERR_CERT_SYMANTEC_LEGACY.
11. Zrób test serwera SSL
Jeśli nie masz pewności, czy wszystko jest poprawnie skonfigurowane na Twojej stronie www lub innej osoby, zawsze możesz uruchomić test SSL. Certyfikaty SSL / TLS wymagają również zainstalowania nie tylko głównego certyfikatu, ale także tak zwanych certyfikatów pośrednich (łańcucha). Jeśli nie skonfigurujesz ich poprawnie, użytkownicy mogą otrzymać ostrzeżenie w swoich przeglądarkach, co z kolei może ich odstraszyć.
Zalecamy korzystanie z bezpłatnego narzędzia do sprawdzania SSL. Jest niezawodny i używamy go dla wszystkich klientów Serwer.io podczas weryfikacji certyfikatów. Po prostu przejdź do narzędzia do sprawdzania SSL, wprowadź swoją domenę i kliknij "Submit". Skanowanie może potrwać minutę lub dwie, ale pokaże wszystkie szczegóły dotyczące konfiguracji SSL / TLS witryny.
12. Zaktualizuj system operacyjny
Starsze systemy operacyjne są nie obsługują nowszych technologii, takich jak TLS 1.3 i najnowszego szyfrowania. Zawsze zalecamy aktualizację do najnowszych wersji systemów operacyjnych takich jak Windows 10 lub najnowsza wersja Mac OS X.
13. Uruchom ponownie komputer
Jeśli żadna z powyższych opcji nie działa, spróbuj ponownie uruchomić komputer, a nawet router. Brzmi banalnie, ale ponowne uruchomienie urządzeń faktycznie usuwa wiele tymczasowych plików, buforów i przeszkód.
14. Sięgnij po pomoc
Nadal widzisz błąd “Your Connection is Not Private”? Czas poprosić o pomoc, ponieważ może to być bardziej skomplikowany problem. Jeśli widzisz ten komunikat błędu na własnej stronie WordPress, śmiało napisz do nas na Grupie Wsparcia na Facebook. Pomożemy Ci ustalić, dlaczego tak się dzieje i czy rzeczywiście jest to problem w samej witrynie.
Podsumowanie
Gdy pojawiają się błędy przeglądarki to nigdy nie jest nikomu do śmiechu. Czasami te błędy są wyjątkowo trudne do rozwiązania. Mamy nadzieję, że jedna z powyższych wskazówek pomoże jak najszybciej rozwiązać błąd „“Your Connection is Not Private”. Pamiętaj, że zwykle są one spowodowane przez coś źle skonfigurowanego na twoim komputerze lub z certyfikatem na samej stronie.
Czy coś nam umknęło? Jeśli pomogliśmy Tobie lub może masz inną wskazówkę dotyczącą rozwiązywania problemu z błędem połączenia, to daj nam znać poniżej w komentarzach.
Czy WordPress jest bezpieczny?
WordPress jest zdecydowanie najpopularniejszym sposobem na stworzenie strony internetowej. Ta ogromna popularność ma niestety efekt uboczny. WordPress jest poligonem do "zabawy" dla hakerów na całym świecie. Teraz zastanawiasz się, czy WordPress jest wystarczająco bezpieczny, aby poradzić sobie z tymi atakami...
Po pierwsze - zła wiadomość: co roku hakowane są setki tysięcy stron na WordPress. Brzmi fatalnie, prawda? Cóż... nie bardzo, ponieważ są też dobre strony.
Hakerzy włamują się dzięki lukom bezpieczeństwa w przestarzałych wersjach WordPress. Większość stron WordPress zostaje zhakowana z powodu problemów takich jak brak aktualizacji, stare wersje wtyczek, szablonów lub używanie prostych i łatwych haseł.
W związku z tym odpowiedź na pytanie „czy WordPress jest bezpieczny?” wymaga pewnego doprecyzowania. Aby to zrobić, omówimy kilka różnych kwestii:
Jak strony WordPress są hakowane?
Wiesz już, że wiele stron WordPress jest zhakowanych każdego roku. Ale… jak to się dzieje? Czy to globalny problem z WordPress? Czy może wynika to z innych działań? Oto dlaczego większość witryn WordPress zostaje zhakowanych, zgodnie z danymi, które mamy od Sucuri.
1. Nieaktualny WordPress
Oto zaskakujące dane z raportu Hacked Website Trend Report z 2018 roku. Ze wszystkich zhakowanych stron WordPress, na które spojrzała Sucuri, 36,7% używało przestarzałego WordPress'a w momencie zdarzenia.
Od razu widać dość bliski związek między atakiem hakera a używaniem przestarzałego oprogramowania.
Cytując WPScan Vulnerability Database, ~74% znanych luk w zabezpieczeniach znajduje się w rdzeniu WordPress. Starszy WordPress oznacza problemy.
Niestety tylko 45% stron na WordPress korzysta z najnowszej wersji. Stąd całe mnóstwo stron, które są nadal niepotrzebnie zagrożone shakowaniem.
Wniosek: Zespół ds. Bezpieczeństwa WordPress wykonuje świetną robotę, szybko rozwiązując problemy w oprogramowaniu WordPress. Jeśli niezwłocznie zastosujesz wszystkie aktualizacje zabezpieczeń, jest bardzo mało prawdopodobne, że Twoja strona napotka jakiekolwiek problemy z powodu luk w zabezpieczeniach. Ale jeśli tego nie zrobisz, ryzykujesz, gdy exploit zostanie znaleziony.
2. Nieaktualne Wtyczki i Szablony
Jedną z rzeczy, którą użytkownicy kochają w WordPress, jest oszałamiająca liczba dostępnych wtyczek i motywów. Pisząc to, w repozytorium WordPress znajduje się ponad 54 000, a tysiące dodatkowych płatnych wtyczek jest rozrzucona po Internecie.
Chociaż wszystkie te opcje świetnie nadają się do ulepszenia funkcjonalności naszej strony, to każde rozszerzenie stanowi nową potencjalną lukę w bezpieczeństwie dla złośliwego hakera. I chociaż większość programistów WordPress wykonuje dobrą robotę, przestrzegając standardów kodu i łatając wszelkie luki, gdy tylko zostaną poznane, wciąż istnieje kilka potencjalnych problemów:
- Gdy wtyczka lub motyw ma lukę, może ona zostać niezauważona, ponieważ twórca wtyczki lub motywu nie ma takich zasobów jak ekipa z WordPress
- Deweloper przestał pracować nad rozszerzeniem, ale ludzie nadal go używają.
- Deweloper szybko usuwa problem, ale ludzie po prostu nie aktualizują.
Zatem, jak duża jest skala tych problemów?
Cóż, w ankiecie przeprowadzonej przez Wordfence wśród właścicieli shakowanych stron, ponad 60% z nich, którzy wiedzieli, w jaki sposób włamał się haker, przypisało to usterce wtyczki lub motywu.
Wniosek: motywy i wtyczki dla WordPress mogą być okazją dla złośliwych hakerów. Postępując zgodnie z dobrymi praktykami, można te ryzyko w dużym stopniu ograniczyć. Aktualizuj rozszerzenia oraz szablony niezwłocznie. Instaluj wyłącznie rozszerzenia oraz szablony z renomowanych źródeł.
3. Zagrożone dane logowania do WordPress, FTP lub Hosting
Ok, prawdę mówiąc, nie jesto to wina WordPress'a. Ale spory procent włamań pochodzi od hakerów, którzy zdobywają dane logowania do WordPress lub dane logowania do hostingu lub kont FTP.
W tej samej ankiecie Wordfence ataki typu „brute force” stanowiły około 16% zhakowanych witryn, a kradzieże haseł do kont hostingu i FTP miały niewielką, ale istotną pozycję w statystykach.
Najzwyczajniej na świecie, jeżeli haker dostanie w przenośni "klucz do drzwi", to nie ma znaczenia już, w jaki sposób zabezpieczasz stronę WordPress.
WordPress w rzeczywistości wykonuje świetną robotę, automatycznie generując bezpieczne hasła, ale to do użytkowników nadal należy bezpieczeństwo tych haseł, a także używanie silnych haseł do hostingu i FTP.
Wniosek: Podjęcie podstawowych kroków w celu zabezpieczenia danych do logowania na konta może zapobiec tragedii. Używaj silne hasła dla wszystkich kont WordPress i ogranicz liczbę prób logowania, aby zapobiec atakom "brute force" (Serwer.io w standardzie wymusza silne hasła i zabezpiecza Twoje strony przed atakami ?).
4. Stara technologia i słaby hosting
Istotne jest nie tylko to, co dzieje się na Twojej stronie WordPress, ale także środowisko hostingowe i używane technologie. Na przykład, mimo że PHP 7 oferuje wiele ulepszeń bezpieczeństwa w stosunku do PHP 5, tylko ~ 61% stron WordPress używa PHP 7 lub nowszego. Na czas pisania artykułu, najnowszą wersją jest PHP 7.3 (tą wersję powinien Twój hosting mieć w standardzie), jak widzisz tylko 10.5% stron WordPress z niej korzysta.
Wsparcie bezpieczeństwa PHP 5.6 oficjalnie wygasło pod koniec 2018 roku. A wcześniejsze wersje PHP 5 nie miały wsparcia bezpieczeństwa od lat. Co więcej, wsparcie dla PHP 7.1 wygasa pod koniec 2019 roku, a po statystykach widać, że mnóstwo stron WordPress nie zaczęło jeszcze nawet używać tej wersji.
Oznacza to, że korzystanie ze hostingu korzystającego z PHP 7.1 lub niższego wkrótce stanie się dla Ciebie potencjalnym zagrożeniem na luki w zabezpieczeniach PHP.
Oprócz zapewnienia dostępu do najnowszych technologii, korzystanie z bezpiecznego hostingu WordPress może również pomóc w automatycznym złagodzeniu wielu innych potencjalnych luk w zabezpieczeniach dzięki:
- Zaporze sieciowych aplikacji (firewall)
- Automatycznym zarządzaniu bezpieczeństwa WordPress
- Silnych hasłach i dodatkowemu uwierzytelnianiu
- Automatycznych kopiach bezpieczeństwa
Wniosek: Korzystanie z bezpiecznego hostingu i najnowszych technologii, takich jak PHP 7.3, pomaga dodatkowo zapewnić bezpieczeństwo witryny WordPress.
Kto jest odpowiedzialny za zapewnienie bezpieczeństwa WordPress?
Teraz możesz się zastanawiać, kto jest odpowiedzialny za zwalczanie wszystkich powyższych problemów?
Oficjalnie odpowiedzialność ta spoczywa na Zespole ds. Bezpieczeństwa WordPress (aczkolwiek indywidualni współpracownicy i programiści z całego świata również odgrywają ogromną rolę w zapewnieniu bezpieczeństwa WordPress).
Zespół bezpieczeństwa WordPress to „50 ekspertów, w tym wiodący programiści i badacze bezpieczeństwa”. Około połowa z tych ekspertów pracuje w Automattic. Inni pracują nad bezpieczeństwem sieci. Zespół konsultuje się również z badaczami bezpieczeństwa i firmami hostingowymi.
Czy WordPress jest bezpieczny, jeśli przestrzegasz najlepszych praktyk?
Jeżeli spojrzysz na wszystkie powyższe dane i fakty, zobaczysz ogólny trend.
Chociaż żaden system zarządzania treścią nie jest w 100% bezpieczny, WordPress ma wysokiej jakości poziom bezpieczeństwa, a większość włamań jest bezpośrednim efektem właścicieli stron, którzy nie przestrzegają podstawowych najlepszych praktyk bezpieczeństwa.
Jeśli robisz rzeczy takie jak …
- Aktualizujesz swojego WordPress'a, wtyczki i motywy.
- Mądrze wybierasz wtyczki i motywy (od renomowanych programistów)
- Jeśli masz wybór między FTP a SFTP, zawsze używasz SFTP.
- Używasz silnych haseł do WordPress, a także do swojego konta hostingowego i SFTP (i uwierzytelniania dwu-poziomowe, jeśli jest dostępne).
- Nie używasz „admin” dla swojej nazwy użytkownika.
- Chronisz swój komputer przed wirusami.
- Używasz certyfikatu TLS (HTTPS), aby cała komunikacja z witryną WordPress (np. Logowanie do pulpitu nawigacyjnego) była szyfrowana. Serwer.io zapewnia bezpłatne certyfikaty HTTPS!
- Używasz kluczy SSH. Zapewnia to bezpieczniejszy sposób logowania do serwera i eliminuje potrzebę hasła.
- Masz hosting z bezpiecznym środowiskiem i korzystasz z najnowszych technologii, takich jak PHP 7+.
… to WordPress jest bezpieczny, a Twoja strona powinna pozostać wolna od hacków zarówno teraz, jak i w przyszłości. Jeśli jesteś klientem Serwer.io, nie musisz się również martwić.
Darmowy certyfikat SSL od Let's Encrypt
Serwer.io ma integrację Let's Encrypt, co oznacza darmowy certyfikat SSL dla wszystkich twoich stron WordPress. Proces odnawiania certyfikatu jest całkowicie zautomatyzowany, co z kolei pozwala zaoszczędzić pieniądze i czas. Możesz dosłownie dokonać zmiany za jednym kliknięciem przycisku. Jest to dostępne z poziomu pulpitu nawigacyjnego. Jeśli nadal zastanawiasz się nad przejściem na HTTPS, to właśnie nadszedł ten czas. Sprawdź poniżej jak włączyć bezpłatny certyfikat SSL na swojej stronie WordPress oraz trochę informacji o projekcie Let's Encrypt.
Co to jest Let's Encrypt
Let's Encrypt to bezpłatny, zautomatyzowany i otwarty urząd certyfikacji, który oficjalnie został uruchomiony w kwietniu 2016 r. Pierwotnie został uruchomiony w 2012 r. Przez dwóch pracowników Mozilli. Ich cel? To naprawdę bardzo proste; aby zaszyfrować całą sieć i uczynić ją miejscem bardziej szanującym prywatność. Może to zabrzmieć trochę szalone, ale jak wiecie, Google mocno naciska na HTTPS wszędzie w ciągu ostatnich kilku lat. A Let's Encrypt naprawdę zaczął robić ogromne wrażenie w branży, zwłaszcza, że dotyczy bezpłatnego certyfikatu SSL. Dziwi nas, że cała masa hostingów w Polsce nadal próbuje zarobić wciskając płatne certyfikaty SSL dla prostych stron WordPress...
Instytucje, które wydają certyfikaty SSL / TLS, są odpowiedzialne za szyfrowanie danych i transakcji e-commerce. Ot tak nie można nagle stać się urzędem certyfikacji, ponieważ wymaga to zaufania u wielu różnych platform. Przeglądarki i urządzenia ufają urzędowi certyfikacji, akceptując certyfikat główny w swoim magazynie głównym, który jest w zasadzie bazą danych zatwierdzonych urzędów certyfikacji, które są wstępnie zainstalowane w przeglądarce lub urządzeniu.
Microsoft, Mozilla, czy też Apple mają własne sklepy root. Aby zostać urzędem certyfikacji, musisz mieć zaufanie do największych firm w branży. Kiedy uruchomiono Let's Encrypt, otrzymał podpisy krzyżowe od IdenTrust, co dało im zaufanie wszystkich głównych przeglądarek. Przeczytaj więcej o tym, jak działa Let's Encrypt. W przypadku dostawców usług hostingowych, takich jak Serwer.io, Let's Encrypt umożliwił nam przyznawanie certyfikatów SSL jednym kliknięciem! Dobra wiadomość jest taka, że wszystko jest natychmiastowe i zautomatyzowane.
Nie uwierzysz, ale każdego dnia Let's Encrypt wydaje średnio 1 - 1.3 milionów certyfikatów SSL dziennie.
Kompatybilność Let's Encrypt
Istnieją dwa główne czynniki, które potwierdzają ważność certyfikatów Let's Encrypt. Po pierwsze, platforma musi obsługiwać certyfikat DST Root X3 IdenTrust w swoim magazynie zaufania. Po drugie, platforma musi obsługiwać nowoczesne certyfikaty SHA-2. Certyfikaty są obsługiwane w następujących przeglądarkach:
- Microsoft Edge
- Android OS v2.3.6 lub wyżej
- Safari v4 w górę na MacOS
- Safari na iOS v3.1 i następne
- Debian Linux v6 w górę
- Ubuntu Linux v12.04 w górę
Możesz zatem spać spokojnie wiedząc, że bezpłatne certyfikaty SSL na naszym serwerze od Let's Encrypt będą działać na praktycznie wszystkich urządzeniach.
Co oznacza dla Ciebie darmowy certyfikat SSL na hostingu?
Mając dostęp do Let's Encrypt, oznacza to, że nie musisz już męczyć się z procesem uzyskiwania kluczy certyfikatów, kluczy prywatnych, debugowania certyfikatu pośredniego lub generowania CSR. Proces uzyskiwania certyfikatu SSL w Twojej witrynie i migracji do HTTPS jest o wiele łatwiejszy! Zasadniczo jest to teraz integracja jednym kliknięciem. Let's Encrypt jest również całkowicie bezpieczny. Jest wspierany między innymi przez korporacje takie jak Automattic, Mozilla, Cisco, Google Chrome, Facebook, Sucuri.
Oczywiście nic nie pobije darmowego rozwiązania. Certyfikaty SSL z Let's Encrypt wygasają co 90 dni. Jednak Serwer.io automatycznie odnawia je dla ciebie więc to najlepsze rozwiązanie. Jeśli więc skorzystasz z naszej integracji Let's Encrypt, możesz anulować swoje zakupione certyfikaty SSL i zaoszczędzić trochę pieniędzy w przyszłym roku na przedłużeniach tych certyfikatów.
Należy jednak pamiętać, że Let's Encrypt obsługuje tylko certyfikaty zatwierdzone przez domenę. Oznacza to, że otrzymasz kłódkę w pasku adresu na swojej stronie WordPress, jak pokazano poniżej.
Dlaczego warto mieć HTTPS?
Jest sporo zalet prowadzenia strony WordPress z HTTPS. Korzystając z naszej integracji certyfikatów SSL od Let's Encrypt, możesz uzyskać następujące korzyści:
- Twoje dane będą szyfrowane i bezpieczne. Nigdy nie jest przekazywany zwykły tekst. Jest to ważne przy transakcjach e-commerce, ale także przy logowaniu się na stronie WordPress.
- Google oficjalnie powiedziało, że HTTPS jest czynnikiem rankingowym, zatem bezpieczne strony z SSL są "lepiej" pozycjonowane.
- Widoczna kłódka bezpieczeństwa w przeglądarce przy Twoim adresie www pomaga budować zaufanie i wiarygodność dla odwiedzających.
- Unikniesz ostrzeżenia w Chrome, które pojawia się na stronach bez SSL, które zbierają dane takie jak hasła, karty kredytowe itd, jako strona niebezpieczna.
- Lepsze i dokładniejsze dane referencyjne HTTPS w Google Analytics (HTTP są blokowane).
- Korzystając z Let Encrypt i włączając HTTPS, możesz korzystać z HTTP/3 oraz HTTP/2 w swojej witrynie, co znacznie, bardzo znacznie! poprawi wydajność.
Jak skonfigurować Let's Encrypt dla twojej strony WordPress
Konfigurowanie protokołu SSL jest bardzo proste. Wykonaj poniższe kroki, aby zainstalować bezpłatny certyfikat Let's Encrypt w witrynie WordPress hostowanej przez Serwer.io.
Krok 1
Zaloguj się do panelu Serwer.io i wybierz interesującą Cię domenę.
Krok 2
Z dostępnych opcji i aplikacji dla Twojej domeny, kliknij "Let's Encrypt"
Krok 3
Wszystkie niezbędne pola będą automatycznie zaznaczone i wypełnione. Aby wygenerować nowy certyfikat SSL potrzebny będzie Twój email oraz zaznaczenie dwóch pierwszych opcji. Dzięki temu certyfikat SSL będzie w pełni zainstalowany dla Twojej strony oraz do obsługi poczty email.
Jak widzisz, jest to bardzo proste i dodanie certyfikatu na Serwer.io nie trwa dłużej niż minuta.
Weryfikacja Twojego certyfikatu SSL
Jest kilka sposobów weryfikacji certyfikatu po zainstalowaniu go na stronie WordPress. Możesz zrobić to z poziomu przeglądarki Chrome za pomocą kombinacji klawiszy
- Mac:
Cmd + Opt + I - Windows:
F12lubCtrl + Shift + I
Zdecydowanie najlepszą metodą weryfikacji Twojego certyfikatu SSL jest darmowy test SSL od Qualsys SSL Labs. Wpisz swoją domenę i kliknij submit. Jeżeli wszystko dobrze jest skonfigurowane to otrzymasz najwyższą ocenę "A" dla certyfikatu SSL
Podsumowanie
Jeżeli nadal zastanawiasz się czy warto przejść na HTTPS, to podpowiadamy: TAK, to najwyższy czas!. Darmowy certyfikat SSL na hostingu Serwer.io możesz zainstalować kilkoma kliknięciami myszki. W kwestii SEO są jeszcze dodatkowe kroki, które należy wykonać po instalacji SSL. Opiszemy je dla Ciebie wkrótce.
Bardzo chcielibyśmy usłyszeć, co myślisz o funkcji darmowych certyfikatów SSL na kliknięcie. I jak zawsze, jeśli masz problemy lub wątpliwości, możesz napisać do nas na Grupie Wsparcia na Facebook.