Internet n’est pas un endroit très sûr pour des conversations confidentielles. Il y a des milliers de regards indiscrets qui attendent pour s’emparer de vos informations personnelles – votre adresse postale, votre numéro de téléphone et les informations de votre carte de crédit. C’est pourquoi la plupart des entreprises utilisent le protocole Secure HTTP (HTTPS) lors du traitement de tâches confidentielles. Aujourd’hui, nous allons parler de HTTPS et débattre pour savoir si nous en avons réellement besoin sur nos sites.
Du Thé Technique
HTTP est un protocole utilisé par les serveurs Web et les clients (navigateurs) pour communiquer et transférer des pages Web et des fichiers. Il existe de nombreux autres protocoles comme FTP, SSH et BitTorrent.
HTTPS est une version sécurisée du protocole HTTP qui utilise le cryptage SSL (Secured Socket Layer). Le fonctionnement de SSL en arrière-plan nécessite un baccalauréat en informatique et une solide compréhension de la cryptographie. Grâce au concept d’abstraction, nous n’avons pas à nous en préoccuper. Rappelez-vous juste:
HTTP + SSL = HTTPS
En un mot, HTTPS utilise une clé publique et une clé privée correspondant à un « mécanisme de prise de contact » avant de transférer les données. Une fois la poignée de main terminée, la connexion est établie et la session sécurisée commence. Lorsque vous visitez un site HTTPS, tout cela se produit presque instantanément avant que vous ne voyiez l’indicateur vert dans la barre d’adresse de votre navigateur.
Quatre raisons pour lesquelles HTTPS est génial
1. Sécurité de premier ordre : Avec SSL, votre connexion est cryptée. Un tunnel virtuel est créé à travers lequel seul le serveur et le navigateur peuvent communiquer. Personne d’autre ne peut interpréter ce canal. Même si l’attaquant exploite ce canal, il ne serait pas en mesure de donner un sens aux données cryptées. Il aurait besoin de la clé privée qui n’est connue que du navigateur.
2. Examen : HTTPS nécessite un certificat SSL et l’acquisition de ce dernier pour une entreprise est un processus sérieux. Il exige la présentation de documents officiels qui sont vérifiés par l’autorité de certification (AC). Ce n’est que lorsque les documents passent les tests de validation que le certificat SSL est délivré.
3. Légitimise les entreprises : Lorsque vous visitez un site sécurisé SSL, vous pouvez être certain de la crédibilité du site. Vous pouvez toujours obtenir les coordonnées nécessaires du propriétaire à partir du certificat SSL du site.
4. Intégrité des données : L’intégrité des données fait référence à la cohérence des données demandées et des données réelles reçues. Considérez cet exemple : quelqu’un visite votre site pour un message particulier sur Instructions de configuration du serveur XYZ. A la fin du post, vous laissez un lien d’affiliation. Sur un site non sécurisé, un attaquant pourrait facilement puiser dans la connexion et envoyer à votre visiteur le compromis Les données. Selon toute probabilité, il remplacera votre lien d’affiliation par un lien de phishing. Il y a donc une différence monumentale entre les données demandées et les données réellement reçues – l’intégrité des données est détruite. Avec SSL, rien de tout cela n’est possible !
Voici la capture :
L’établissement d’une connexion sécurisée nécessite puissance de calcul importante à la fois par le serveur et le client. Ce résultat est un taux de transfert plus lent par rapport à HTTP. C’est pourquoi la plupart des sites n’utilisent pas HTTPS tout le temps. Ils attendent jusqu’au moment où vous essayez de vous connecter ou de faire un achat. Les sites de commerce électronique comme Amazon et Newegg suivent cette règle. De cette façon, la navigation est ultra rapide et les achats sont sécurisés.
Ai-je vraiment besoin de HTTPS sur mon site WordPress ?
Bonne question, mais ce n’est pas un simple oui ou non. Discutons-en donc longuement.
Les moteurs de recherche préfèrent les sites HTTPS (oui)
Voici une citation d’un post récent sur le blog Google Webmaster Central.
… au cours des derniers mois, nous avons effectué des tests pour déterminer si les sites utilisent des connexions sécurisées et cryptées comme signal dans nos algorithmes de classement de recherche.
Cela ne signifie pas que si vous n’avez pas de HTTPS sur votre site, votre classement SERP baissera. Pour l’instant. Les personnes vigilantes considéreront cela comme un indicateur précoce de ce que l’avenir leur réserve. Beaucoup de gens se plaignent et remettent en question la décision de Google. Pourquoi diable utiliseriez-vous HTTPS sur votre blog statique ? Pour empêcher les pirates de lire les commentaires de vos visiteurs ? Zut, même le blog Google Webmaster n’utilise pas SSL !
Scénarios où les sites doivent utiliser HTTPS
Il existe de nombreuses situations où HTTPS doit être utilisé comme couche de sécurité supplémentaire. Voici quelques exemples où il doit être appliqué :
1. Boutiques de commerce électronique
Si vous exploitez une boutique WordPress utilisant WooCommerce ou iThemes Exchange, il serait plus sage d’utiliser HTTPS dans les pages de transaction du site. Comme vous le savez déjà, HTTPS est plus lent que HTTP et a donc un impact sur l’expérience de navigation de l’utilisateur. Cependant, lorsqu’il s’agit d’informations confidentielles telles que l’adresse personnelle, le numéro de téléphone ou les détails de la carte de crédit, sacrifier la vitesse à la sécurité est une nécessité. Vous devez toujours utiliser HTTPS dans les scénarios suivants :
- Un nouvel utilisateur s’enregistre ou se connecte
- Un utilisateur est sur le point d’effectuer un paiement
2. Pages de dons
Certains sites affichent un petit bouton de don dans leur barre latérale et presque tous n’utilisent pas HTTPS. Voici ce qui peut mal tourner. Étant donné que le site n’est pas sécurisé, l’attaquant peut facilement manipuler les données du site pour afficher des informations frauduleuses, telles que le remplacement du bouton de don PayPal par un site de phishing. Lorsqu’un visiteur (plutôt un donateur) clique sur ce lien frauduleux, son compte risque d’être compromis. Donc, si vous utilisez un bouton de don sur votre site, essayez d’intégrer SSL.
3. Sites d’adhésion
De nombreux entrepreneurs Internet gèrent des forums privés et des sites d’adhésion à l’aide de WordPress. De tels sites portent privé données – données que vous ne voulez pas que le public voie. Si SSL est utilisé dans de tels cas, il éliminerait les menaces d’intégrité des données et créerait un environnement sécurisé pour que vos membres puissent interagir. C’est comme faire d’une pierre deux coups :
- Meilleure sécurité
- Augmenter la confiance et la confiance des clients
4. Sites piratés dans le passé
Si votre site est victime d’une attaque ciblée ou a été récemment piraté, vous devriez sérieusement envisager de passer à un site crypté SSL. La récupération à partir d’un site piraté peut être effectuée en utilisant une expertise personnelle et/ou avec l’aide d’experts en sécurité WordPress (comme Sucuri).
Pour vous protéger des futures attaques et ajouter une couche de sécurité supplémentaire, forcez l’utilisation du HTTPS sur l’ensemble de votre site. Cependant, étant donné que SSL consomme beaucoup de ressources serveur, votre site peut devenir assez lent en fonction de la configuration de votre serveur. Vous ne voulez pas ça. Ainsi, vous pouvez également utiliser SSL de manière sélective uniquement pendant les pages de connexion et lorsque vous travaillez dans le tableau de bord de l’administrateur WordPress.
Configurer SSL dans WordPress
La configuration de SSL est un processus compliqué et fastidieux. Cela nécessite une expertise technique, un temps considérable et il y a beaucoup de place pour l’erreur. Je vous recommande fortement de parler à votre gestionnaire d’hébergement pour vous aider à vous installer avec SSL (consultez GoDaddy, avec notre lien, vous pouvez économiser 25 % sur un certificat SSL). Si vous êtes déterminé à passer à un site HTTPS, il y a fort à parier que votre budget peut intégrer le coût d’une société d’hébergement WordPress gérée.
Chez Themelocal, nous utilisons WPEngine et notre site est protégé contre les pirates, les logiciels malveillants et les attaques DDoS. En plus c’est très rapide. Des entreprises comme WPEngine vous offrent la possibilité d’acheter un certificat SSL intégré. Le coût varie de 49 à 199 USD par an. Vous pouvez également utiliser un SSL tiers et ils vous aideront à installer et configurer HTTPS sur votre site.
Conclusion
À vous de jouer – que pensez-vous de ce sujet particulier ? Oui ou non sur HTTPS ? Avez-vous déjà utilisé SSL sur votre site ? Partagez vos idées avec nous !