Bezpieczeństwo sklepu WooCommerce – certyfikat SSL

W tym artykule pochylę się nad bardzo aktualnym tematem we współczesnej sieci – SSL. Omówię jego jego znaczenie dla relacji klient – sprzedawca, a także omówię praktyczne elementy jego stosowania. Zapraszam do lektury.

Zaufanie jest odwieczną podstawą handlu. Już za czasów najstarszych cywilizacji, starożytni mieszkańcy Egiptu i Mezopotamii sprzedawali swoje towary ludom z dalekich terenów. Takie transakcje nie byłyby  możliwe do przeprowadzenia, jeśli obie strony nie darzyłyby się zaufaniem.

Bezpieczeństwo transakcji

W branży e-commerce funkcjonują te same zasady, co w przypadku klasycznego handlu. Kiedy klient wyczuwa, że jest skłonny obdarzyć sprzedawcę zaufaniem, chętniej od niego kupuje, bo wie że za swoje pieniądze otrzyma dokładnie to, czego oczekuje. Jeśli budujesz swój sklep internetowy w oparciu o WooCommerce, na pewno wiesz, że należy zadbać o tak podstawowe sprawy jak spójny regulamin zakupów i czytelna polityka zwrotów. Te elementy decydują o tym, czy twój klient postanowi zawrzeć z tobą transakcję.

Ale nie tylko! Jest jeden aspekt handlu e-commerce, o którym wielu sprzedawców zapomina lub nie ma świadomości jego znaczenia. Mam na myśli certyfikat SSL.

Certyfikat SSL

Czym jest SSL? Najprościej mówiąc, jest to technologia pozwalająca na bezpieczne przesyłanie danych między użytkownikami internetu, a serwerami z którymi się łączą. Dane są przesyłane w formie zaszyfrowanej, a gwarantem ich bezpieczeństwa jest certyfikat SSL. Sprawia to, że nikt inny, tylko użytkownik i serwer mają wgląd w przesyłane dane.

Gdyby zdarzyła się sytuacja, w której haker postanowiłby przechwycić transmisję danych pomiędzy sklepem a jego użytkownikiem, a byłaby ona zabezpieczona, nic by nie uzyskał – skradzione dane będą w formie zaszyfrowanej, czyli kompletnie nieużytecznej dla hakera. Wspaniale, prawda?

Jak to działa?

W jaki sposób zachodzi tzw. „uścisk ręki SSL”, czyli procedura nawiązania bezpiecznego połączenia?

Krok 1.
Przeglądarka internetowa klienta sklepu WooCommerce próbuje połączyć się z witryną i żąda od niej, aby ta podała dane pozwalające na jej identyfikację.

Krok 2.
Serwer przesyła do klienta certyfikat SSL w celu weryfikacji. Jeśli przeglądarka rozpozna certyfikat jako zaufany, przesyła potwierdzenie do serwera.

Krok 3.
Serwer odsyła przeglądarce cyfrowo podpisane potwierdzenie o rozpoczęciu szyfrowanej transmisji. Od tego momentu dane przesyłane między przeglądarką a sklepem są w pełni szyfrowane.

Pamiętaj, że obecnie w internecie szyfrowanie SSL to już standard, a w branży e-commerce bezwzględna konieczność. Kiedy klient widzi, że połączenie ze sklepem jest zabezpieczone, ma pewność, że jego dane są bezpieczne. Nikt nie dowie się jaki towar zamawia, ile na niego wydaje, ani nikt też nie pozna jego osobistych informacji, takich jak adres czy numer telefonu.

Wszyscy cenimy sobie prywatność, dlatego warto zapewnić swoim klientom maksymalne poczucie bezpieczeństwa. Z pewnością przyczyni się to do zwiększenia poziomu zaufania, a co naturalnie za tym idzie, do większego entuzjazmu przy dokonywaniu kolejnych zakupów.

Realia w dzisiejszym internecie

Ogólny nurt w kierunku SSL widać też na przykładzie rozwoju przeglądarek internetowych. Google Chrome od wersji 56 oznacza strony niezabezpieczone certyfikatem SSL jako niebezpieczne. Po wejściu na stronę, z którą odbywa się połączenie przez klasyczny protokół HTTP, na pasku adresu pojawia się eufemistyczny komunikat Niezabezpieczona, który po kliknięciu, ujawnia brutalną prawdę: Twoje połączenie z witryną nie jest bezpieczne.

Poniżej tego komunikatu przeglądarka prezentuje przestrogę, która skutecznie zniechęca do robienia zakupów on-line na danej witrynie. Jeżeli klient zobaczy taką treść w momencie płatności za zakupy w sklepie, może być zaniepokojony. Skutkować to może porzuceniem zakupów i odpływem użytkowników, a co za tym idzie mniejszymi przychodami z prowadzonej działalności.

Za to jeśli właściciel sklepu zdecyduje się zadbać o bezpieczeństwo witryny, a jego klient odwiedzi stronę sklepu WooCommerce, zabezpieczoną za pomocą SSL, jego oczom ukaże się piękny, zielony komunikat z dumnym sloganem Bezpieczna oraz symbolem bezpieczeństwa – zawsze widoczną, piękną zieloną kłódką:

Wpisuje się to w ogólną politykę przeglądarek internetowych. Do batalii o bezpieczny internet przyłączyła się także fundacja Mozilla i w Firefoksie również zobaczymy takie komunikaty. Ale to nie wszystko – Google tak mocno zaangażowało się w walkę, że bierze certyfikaty SSL pod uwagę przy prezentowaniu wyników wyszukiwania. Oznacza to, że witryna zabezpieczona certyfikatem może być wyżej w wynikach wyszukiwania niż strona niezabezpieczona. Warto zadbać o szyfrowanie choćby dlatego, by twoi przyszli klienci mogli cię znaleźć w internecie!

Czy certyfikat SSL może być zupełnie darmowy?

Jeśli korzystasz z popularnych rozwiązań hostingowych, z pewnością usługodawca posiada dedykowaną ofertę certyfikatów dla swoich klientów. Koszt takiego certyfikatu to kilkadziesiąt złotych rocznie. Wiele firm hostingowych oferuje również darmowe certyfikaty SSL.

Wiąże się to z inicjatywą Let’s Encrypt, która oferuje darmowe certyfikaty dla każdego. Wielu operatorów hostingowych zintegrowało swoje usługi z Let’s Encrypt, dzięki czemu certyfikat SSL często można wygenerować z poziomu panelu zarządzania serwerem – szybko i wygodnie (a do tego często całkowicie za darmo!).

Certyfikaty Let’s Encrypt to świetne rozwiązanie. Sami z nich korzystamy. Ale pamiętaj, że mają one również swoje ograniczenia. Przeczytaj więcej o ograniczeniach Let’s Encrypt na stronie The Camels, hostingu, z którym współpracujemy.

Jak dodać certyfikat SSL do sklepu opartego o WooCommerce?

Aby dodać certyfikat do swojej strony, najpierw upewnij się że twój hostingowy usługodawca pozwala na proste zarządzanie certyfikatami w panelu serwera. Zaloguj się do panelu zarządzania usługą, znajdź menu SSL lub certyfikaty SSL, a następnie wygeneruj certyfikat dla swojej strony. To takie proste!

Jeśli twój dostawca nie zawarł w panelu opcji zarządzania certyfikatami, spróbuj nawiązać kontakt z administracją serwera. Dobrą praktyką wśród usługodawców jest bezpłatne wdrażanie certyfikatów SSL na prośbę klienta.

Jeżeli twoja strona posiada już wygenerowany certyfikat, należy wymusić by działała cały czas pod szyfrowanym protokołem.

Przejdźmy do ustawień głównych WordPressa:

Aby mieć pewność, że każdy kto trafi na stronę sklepu będzie korzystał z wersji witryny szyfrowanej za pomocą protokółu https, uzupełnij pola Adres WordPressa (URL) i Adres witryny (URL) o przedrostek https://

Następnie przejdź do ustawień WooCommerce:

Przejdź do sekcji Zamówienie i zaznacz wymuszanie bezpiecznych połączeń przy zamówieniach:

Aby mieć pewność, że twoi klienci zawsze będą łączyć się ze sklepem za pomocą bezpiecznego połączenia, należy wymusić przekierowanie na poziomie serwera. W tym celu należy dodać do pliku .htaccess następujące linijki:

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://example.org/$1 [R,L]

Jeśli wolałbyś nie edytować plików bezpośrednio i wolisz posłużyć się wtyczką, która ustawi takie przekierowanie, skorzystaj np. z Remove HTTP.

Badania pokazują, że SSL może mieć też pozytywny wpływ na szybkość ładowania strony. A prawda jest taka, że nic nie zwiększa satysfakcji z zakupów jak sprawna, szybka i bezpieczna witryna sklepu.

To tyle z mojej strony. Gorąco zachęcam was do stosowania certyfikatów SSL.
Jeśli macie jakieś pytania – zapraszam do zadawania pytań w komentarzach. Odpowiem na wszystkie kwestie na które będę znał odpowiedź.