web-dev-qa-db-de.com

Zulassen, dass Nicht-SSL-Seiten https verwenden oder Nicht-SSL-Seiten auf http erzwingen?

Ich habe eine grundlegende Frage, die ich bisher hier nicht gestellt habe. Ich denke, es gehört hierher, weil es sich um den Versuch handelt, WordPress zu sichern.

Was ist bei allen Anfragen sicherer?

Um nicht ssl-geschützte Seiten über https zuzulassen, oder sollten diese Anforderungen zurück zu http erzwungen werden?

Was ist der Effekt oder der Vorteil, wenn eine Nicht-SSL-Seite über https erzwungen wird? Angenommen, eine Homepage, auf der der Benutzer nicht angemeldet ist, sendet eine https-Anfrage. Wie hoch ist in diesem Beispiel der Sicherheitsgewinn? Ist es besser, stattdessen auf die http-Version der Seite umzuleiten?

Wenn es besser ist, https zuzulassen, gibt es (potenzielle) Fallstricke im WordPress-Kern, die Weiterleitungsprobleme verursachen, wenn https für Nicht-SSL-Seiten entweder direkt auf der Seite oder über Ajax/Admin-Ajax zugelassen wird?

1
Shawn

Die kurze Antwort lautet, dass Sie auch auf den grundlegendsten Websites immer https verwenden sollten, unabhängig davon, ob Sie WordPress verwenden. Hier sind einige der Gründe mit einer kurzen Erklärung.

  1. Sicherheit - Auch auf Seiten, die nicht unbedingt sicher sein müssen , ist die Verwendung von https nützlich weil Sie so viele Situationen wie möglich abdecken möchten. Bedenken Sie, dass Sie möglicherweise ein Kontaktformular auf Ihrer Website haben, in dem Sie die persönlichen (wenn nicht unbedingt geheimen) Daten der Benutzer sammeln. Wenn dieses Formular in einem Coffeeshop ohne https ausgefüllt ist, hat jetzt jeder in diesem Coffeeshop, der gesucht hat, die Informationen dieses Benutzers. Dies ist ein einfaches Beispiel, aber Sie können sehen, dass die Möglichkeiten hier vielfältig sind (denken Sie an Cookies et al.).
  2. Spoofing - Dies könnte leicht eine Unterkategorie der Sicherheit sein. Wenn Sie https verwenden, wird es für Ihre Site sehr viel schwieriger, über man in der Mitte gefälscht zu werden.
  3. Referenzdaten - Wenn Sie von einer https-Seite zu einer http-Seite wechseln, gehen alle Referenzdaten verloren. Dies kann ein Problem für Sie sein oder auch nicht, aber es ist immer noch etwas zu beachten. Wenn Sie innerhalb einer Site zwischen http und https wechseln, müssen Sie berücksichtigen, dass Sie alle Referrerdaten verlieren (was für SEO und besonders schlecht sein kann, wenn Ihre Site Werbung enthält).
  4. SEO - Google und andere Suchmaschinen verleihen Websites, für die https aktiviert ist, ein höheres Ranking. Es gibt verschiedene Argumente, ob dies eine gute Politik ist oder nicht, aber es ist eine Politik, unabhängig davon.
  5. Warum nicht? - Wenn Sie eine Site hosten und ein SSL-Zertifikat haben, warum nicht auf allen Seiten verwenden? Es gibt keinen wirklichen Nachteil, und ich persönlich habe festgestellt, dass es viel einfacher ist, es mit der Apache- (oder IIS-) Konfiguration für eine ganze Site zu aktivieren und zu vergessen, anstatt ständig zu verwalten, welche Seiten und welche sind sind nicht sicher.

Dies sind nur einige der großen Gründe, es gibt andere, die genauso gültig sind.

0
TheGentleman