Press This: действительно простой SSL с Роджером Ланкхорстом

Добро пожаловать в Press This, подкаст сообщества WordPress от WMR. В каждом выпуске участвуют гости со всего сообщества и обсуждаются самые большие проблемы, стоящие перед разработчиками WordPress. Ниже приводится транскрипция оригинальной записи.

Работает на RedCircle

Doc Pop : вы слушаете Press This, подкаст сообщества WordPress на WMR. Каждую неделю мы освещаем участников сообщества WordPress. Я ваш хозяин, Док Поп. Я поддерживаю сообщество WordPress через свою роль в WP Engine и мой вклад в TorqueMag.Io, где я делаю подкасты, рисую мультфильмы и обучающие видео. Проверь это.

Вы можете подписаться на Press This в Red Circle, iTunes, Spotify, вашем любимом приложении для подкастов или загружать выпуски прямо на wmr.fm.

Сегодня мы погружаемся в критический мир безопасности веб-сайтов, уделяя особое внимание SSL-сертификатам. SSL-сертификат похож на виртуальный щит, который шифрует данные и защищает данные вашего пользователя. Теперь, если этого недостаточно, чтобы заставить вас слушать, представьте, что вы вкладываете свое сердце и душу в создание красивого веб-сайта только для того, чтобы Google повесил на ваш сайт большой ярлык «Незащищенный», когда посетители пытаются получить доступ к нему через Chrome, просто потому, что вы не t с использованием HTTPS или SSL.

Сегодня со мной поговорит Роджер Ланкхорст, ведущий разработчик Really Simple Plugins, создателей чрезвычайно популярного плагина WordPress Really Simple SSL. Большое спасибо, Роджер, за то, что присоединились к нам сегодня.

Я хотел бы услышать о вашей истории происхождения и о том, как вы попали в WordPress.

Роджер Ланкхорст: Что ж, спасибо, что пригласили меня в шоу. Первоначально, я думаю, в 2016 году, клиент попросил меня как можно быстрее перевести его веб-сайт на SSL. Поэтому я установил популярный в то время плагин, и весь сайт упал. Поэтому в тот момент я подумал, что могу сделать это более легким и простым, установив его всего одним щелчком мыши.

И я опубликовал его на WordPress, и после этого это действительно были американские горки.

Док Поп: Абсолютно. И это был не первый ваш плагин для WordPress, верно? Это был первый плагин, который действительно получил такое массовое распространение, но до этого у вас было несколько других действительно простых плагинов.

Роджер Ланкхорст: Некоторые действительно небольшие эксперименты, вещи, о которых я думал в то время и публиковал их, и они не были действительно успешными, как вы сказали. Итак, Really Simple SSL стал первым, можно сказать, большим хитом.

Док Поп: Мне всегда нравится эта аналогия с покупкой большого количества лотерейных билетов. Например, вы провели много экспериментов, и один из них прижился, и вы смогли построить на этом бизнес. И поскольку мы говорим о SSL, не могли бы вы рассказать слушателям, что такое сертификат SSL? И почему это важно для сайта WordPress?

Роджер Ланкхорст: С SSL-сертификатами веб-сайт шифрует все данные до того, как они будут отправлены посетителю веб-сайта, и наоборот. Таким образом, это помогает защитить Интернет, и не только для интернет-магазинов, но и для любого веб-сайта, который в противном случае мог бы быть выдан злоумышленниками. И это также отлично подходит для ранжирования в Google.

И это выглядит намного лучше в вашем браузере, если на вашем сайте есть блокировка. SSL бесплатен, так почему бы не установить его?

Док Поп: В начале этого шоу я упомянул, что впервые подумал о SSL, когда я использовал Chrome и наткнулся на незащищенный сайт, и этот сайт был моим. Поэтому я испугался собственного сайта. И мне пришлось узнать об установке SSL-сертификатов, чтобы, надеюсь, получить лучший опыт, когда пользователи зайдут на мой сайт и увидят его. Как только вы установите SSL и у вас будет адрес HTTPS, Google больше не будет показывать это предупреждение при посещениях Chrome, но влияет ли это также на SEO?

Роджер Ланкхорст: Да, конечно. У Google есть много мощных инструментов, позволяющих пользователям делать то, что они хотят. И самый мощный инструмент, который у них есть, — это ранжирование. Поэтому, если они хотят, чтобы владельцы веб-сайтов что-то сделали, они просто помещают это в механизм ранжирования, и веб-сайт будет следовать за ними.

Док Поп: И вы упомянули, что сегодня SSL-сертификаты бесплатны. Я считаю, что когда я впервые подписался на них, это только начало происходить, казалось, что это был болезненный процесс и, возможно, стоил немного денег, а затем появились такие сервисы, как Let's Encrypt, и действительно упростили его. Вдобавок ко всему, многие веб-хостинги, в том числе и мой, начали предлагать бесплатный Let’s Encrypt, они начали встраивать его в процесс, чтобы максимально упростить его, что действительно полезно.

Итак, с этими альтернативами для возможности установки сейчас, возможно, с моего хоста, есть ли причина, по которой кто-то все еще будет использовать Really Simple SSL вместо того, если их хост предлагает его?

Роджер Ланкхорст: Ну, Really Simple SSL изначально не создавался для создания SSL-сертификатов. Это просто то, что мы добавили два года назад, потому что я подумал, что если мы Really Simple SSL, мы также должны быть в состоянии генерировать сертификат, но это не основная причина, по которой люди устанавливают Really Simple SSL.

Когда у пользователей есть SSL, они часто не знают, что с ним делать. А в WordPress вам нужно сделать несколько вещей; добавить перенаправления, исправить смешанный контент и тому подобное, добавить заголовки безопасности, чтобы действительно получить все от безопасного SSL, которое вы можете получить от него. Так что я думаю, что это по-прежнему основная причина, люди устанавливают Really Simple SSL только для самого быстрого способа настроить SSL на вашем веб-сайте.

Док Поп: Да, и есть некоторые дополнительные функции безопасности, которые не являются, я не думаю, что они обязательно связаны с SSL, которые являются частью Really Simple SSL. Можете ли вы рассказать нам о некоторых других дополнительных функциях, которые включает Really Simple SSL?

Роджер Ланкхорст: Мы заметили, что многие люди уже думали о нас как о плагине безопасности. Вот тогда я и подумал, что мы должны оправдать эти ожидания. Мы начали с добавления некоторых функций защиты, таких как блокировка регистрации пользователей. Многие владельцы веб-сайтов не знают, что открыта регистрация пользователей и такие вещи, как расположение журнала отладки, который может содержать важную информацию, такую ​​как адреса электронной почты пользователей, лицензионные ключи и тому подобное. Редактирование файлов, обратная связь на экране входа.

Если вы входите в систему, а WordPress говорит, что имя пользователя неверно, злоумышленник знает, я могу попробовать еще раз. Так что все эти вещи действительно являются началом для нас, чтобы в конечном итоге расшириться до полноценного плагина безопасности. И последней функцией, которую мы добавили, было обнаружение уязвимостей, которое действительно является отличным инструментом для действительной защиты вашего веб-сайта, поскольку большинство проблем с безопасностью веб-сайтов WordPress вызваны плагинами с уязвимостью, которые не обновляются. Поэтому, если пользователи будут больше знать об этом, я думаю, WordPress станет намного более безопасным.

Док Поп: Все, что вы упомянули, я думаю, является небольшим раздражением, которое люди испытывают по поводу безопасности WordPress. И действительно интересно, что Really Simple SSL как бы превратился в простой способ установки SSL-сертификата, но такие вещи также должны быть исправлены. Вот действительно простой способ исправить это.

Мне любопытно, беспокоит ли вас раздувание, когда у вас есть плагин под названием Really Simple SSL. Вы иногда беспокоитесь, что, добавляя эти дополнительные функции, вы можете немного усложнить задачу. Кроме того, я думаю, вы также думаете об изменении названия плагина по мере добавления дополнительных функций?

Роджер Ланкхорст: Да, ну, в конце концов, это и есть цель, чтобы она стала Really Simple Security. Думаю, это будет начало следующего года. Но если говорить о вздутии живота, это сложная вещь. Вы хотите, чтобы все было как можно проще. Поэтому мы усердно работали над тем, чтобы сделать активацию SSL по-прежнему возможной.

И все остальные вещи являются модульными и не загружаются, когда вы их не используете, но в то же время я думаю, что мы действительно хорошо умеем делать сложные вещи действительно простыми.

Я думаю, что наша сила заключается в том, что мы действительно можем сделать для людей, чтобы сделать его действительно простым для нетехнических пользователей. А более продвинутые пользователи могут углубиться в настройки.

Док Поп: Это замечательно. Я думаю, это хорошее место для нас, чтобы сделать небольшой перерыв. И когда мы вернемся, мы продолжим разговор с Роджером о стремлении Google использовать SSL. И я думаю, мы еще немного поговорим о том, что значит иметь один из самых популярных плагинов в репозитории WordPress.

Так что следите за обновлениями.

Doc Pop: Добро пожаловать в Press This, подкаст сообщества WordPress. Я ваш ведущий Док Поп. Сегодня я разговариваю с Роджером Ланкхорстом, ведущим разработчиком Really Simple Plugins. И мы говорим о SSL, потому что Really Simple plugins делает чрезвычайно популярный плагин под названием Really Simple SSL. Роджер, перед этим перерывом я упомянул, что основная причина, по которой мы говорим о SSL-сертификатах в наши дни, в значительной степени заключается в том, что Google сделал толчок в Интернете, чтобы это произошло.

Я также вижу, что Google настаивает на сокращении срока. Таким образом, некоторые SSL-сертификаты рассчитаны примерно на два года, и Google говорит о продвижении 90-дневных SSL-сертификатов. Были ли у вас какие-либо мысли о том, как Google поощрял людей получать SSL?

Как вы думаете, это сработало хорошо для всех?

Роджер Ланкхорст: Ну, я думаю, это хорошо. В то время, когда Google начал с этого, многие пользователи все еще думали, что SSL не важен для меня, потому что у меня всего лишь небольшой блог. У меня нет никаких пользовательских данных на моем сайте, но есть много других способов, которыми злоумышленники могут использовать такое соединение между веб-сайтами и, возможно, показывать неверную информацию пользователям, притворяясь, что они находятся на другом веб-сайте.

Поэтому я считаю очень важным, чтобы в конечном итоге все веб-сайты имели SSL-соединение. Поэтому я думаю, что у Google всегда есть свои причины для таких вещей. В этом случае. Это хорошо.

Doc Pop: Что касается 90-дневного лимита, вы думали об этом?

Роджер Ланкхорст: Ну, я не очень хорошо знаком с причинами этого, должен признать, но я немного знаю об этом и о том, что безопаснее иметь сертификаты с более коротким сроком жизни. И я думаю, что это не будет иметь большого значения, потому что наиболее часто используемые SSL-сертификаты от Let's Encrypt уже действуют в течение 90 дней, так что это в любом случае не окажет большого влияния.

Док Поп: Итак, давайте вернемся к разговору о Really Simple SSL. Есть версия в репозитории WordPress, репозиторий плагинов, бесплатная версия с 5 миллионами. Я знаю, что постоянно говорю это, но это такая шокирующая цифра, 5 миллионов активных пользователей или больше.

В чем разница между бесплатной версией Really Simple SSL и профессиональной версией, которую вы все предлагаете?

Роджер Ланкхорст: Профессиональная версия в основном содержит много заголовков безопасности, и я думаю, что большинство пользователей на самом деле не знакомы с заголовками безопасности. Но это некоторые очень важные заголовки, которые пользователи могут установить на своих веб-сайтах, что также повысит безопасность. И не только для собственного сайта, но и для посетителей сайта, о которых я думаю часто забывают в безопасности.

Мы упростили настройку заголовков безопасности, и в настоящее время мы, например, работаем над обнаружением уязвимостей. У нас есть функция, которая автоматически обрабатывает обновления или текущее время, если обнаружена уязвимость. У нас также есть несколько интересных новых функций, которые предотвратят создание пользователей-администраторов любыми другими способами, кроме обновления или создания профиля пользователя WordPress.

Итак, если вы посмотрите на недавние уязвимости, вы увидите большую проблему, когда создаются пользователи-администраторы. Поэтому, если вы заблокируете это, вы предотвратите множество уязвимостей.

Doc Pop: Мы говорили о ранжировании этого плагина и репозитория WordPress. Я сейчас нахожусь на популярной странице на wordpress.org/plugins, и я не знаю, ранжированы ли они по порядку, но это все плагины с 5 миллионами активных установок или выше. Я вижу, что только в этом списке Really Simple SSL занимает девятое место. Я думаю, что на самом деле это может означать, что на данный момент это девятый по популярности плагин с точки зрения активных установок.

Роджер Ланкхорст: Абсолютно. Ага.

Док Поп: Вау. Это невероятно. Неудивительно увидеть здесь Yoast, WooCommerce и Akismet. Я не могу общаться с людьми, которые создали такие популярные плагины.

У меня нет возможности часто с ними разговаривать. Мне просто любопытно, пока ты здесь, на что это похоже? Я имею в виду, я думаю, вот мой первый вопрос: когда у вас есть такой безумно популярный бесплатный плагин, я полагаю, что это действительно усложняет вам работу, вы, вероятно, получаете много запросов, много комментариев, много вопросов и просьб о помощи.

Как вы справляетесь с этим для бесплатного плагина?

Роджер Ланкхорст: Я думаю, что запросов на поддержку не так много, как часто думают. Во время разработки плагина и последние лет семь, восемь я всегда старался либо создать статью на сайте, когда возникал вопрос, либо создать решение в самом плагине, либо сделать его более понятным в плагине. .

Таким образом, этот подход действительно снизил поддержку. И теперь у нас есть компания из 10 человек и всего два представителя службы поддержки. У нас также есть два других плагина, которые, я думаю, в общей сложности установили более шести с половиной миллионов раз. Поэтому я думаю, что нагрузка на поддержку не так велика, как многие думают, глядя на количество установок.

Doc Pop: Можете ли вы рассказать о бизнес-модели такого бесплатного плагина? Как такая компания, как ваша, обеспечивает 5 миллионов активных установок Really Simple SSL и при этом остается компанией?

Роджер Ланкхорст: Ну, конечно, на каждые 100 бесплатных пользователей приходится кто-то, кто покупает платный плагин. Вот где мы можем построить компанию из обновлений. Иногда бесплатные пользователи жалуются на обновления. И мы хотим рассказать пользователям, что мы предлагаем.

И они всегда говорят, ну, я думаю, что это отличная сделка, потому что премиум-плагин позволяет нам разрабатывать бесплатно для 5 миллионов пользователей.

Док Поп: Что касается баланса между бесплатными и профессиональными версиями, есть ли у вас мысли о том, как вы иногда определяете, как вещи оплачиваются или как вещи остаются бесплатными, чтобы способствовать продвижению более крупного продукта. Сложно ли решить, когда будут добавляться новые функции, будут ли они только профессиональными или бесплатными?

Роджер Ланкхорст: Да. Всегда сложно подумать о том, что должно быть в бесплатной версии, а что в платной. И мы обычно много раздаем, я думаю. Наш основной подход такой же, как и с уязвимостями, обнаружение бесплатное, и каждый может увидеть, есть ли у него уязвимый плагин, но автоматические решения для этого платные.

Так вот как это разделено. И с последним из предстоящих обновлений, я думаю, мы добавим больше в премиальный плагин, например, защиту входа в систему, двухфакторную аутентификацию и ограничение попыток входа в систему и тому подобное. Это также потому, что мы думаем, что в бесплатном плагине уже так много всего, что мы хотим сохранить правильный баланс. Мы хотим начать вкладывать больше в премию прямо сейчас.

Док Поп: И я думаю, что это хорошее место для нас, чтобы перевести наш бесплатный эпизод подкаста на рекламную паузу, что поможет сохранить его бесплатным. Это хороший переход.

Оставайтесь с нами, потому что после этого короткого перерыва мы собираемся вернуться и завершить наш разговор с Рогиром из Really Simple Plugins о некоторых других плагинах, которые Really Simple предлагает прямо сейчас.

Так что следите за обновлениями.

Doc Pop: Добро пожаловать в Press This, подкаст сообщества WordPress. Я ваш ведущий Док Поп. Сегодня я разговариваю с Роджером Ланкхорстом, ведущим разработчиком плагинов Really Simple. Мы говорили о SSL-сертификатах и ​​Really Simple SSL. Мы также говорили о том, что, Роджер, у вас есть несколько других плагинов.

На каких других плагинах вы сейчас сосредоточены в Really Simple plugins?

Роджер Ланкхорст: У нас есть Complianz, решение для обеспечения конфиденциальности. И это самый быстрорастущий плагин, не считая Really Simple SSL. И он предлагает баннер cookie, а также блокирует службы, требующие согласия, в соответствии с местными законами о конфиденциальности, такими как GDPR в Европе. Канада также создает опцион в законе о конфиденциальности. Так что многое меняется в законодательстве о конфиденциальности. Таким образом, плагин предлагает способ справиться с этим автоматически.

И у нас также есть довольно новый плагин статистики. Недавно его установили 100 000 раз, и цель состоит в том, чтобы предоставить решение для сбора статистики, обеспечивающее конфиденциальность, поэтому вам не нужно использовать Google Analytics, который требует согласия в большинстве стран, поэтому вы теряете там данные.

Doc Pop: Очень интересно, что вы говорите об этом, потому что в последнее время я много думал о Google и об отношениях Интернета с Google. И я думаю, что мне больше не нужна аналитика Google на моем сайте. Мне не нужно, чтобы люди отказывались от файлов cookie, если на самом деле есть только Google Analytics.

Так что вы говорите о пакетной статистике и говорите о том, что это альтернатива этому. Я весь во внимании. Я определенно заинтересован в этом.

Роджер Ланкхорст: Да. Это довольно круто, потому что я думаю, что большинство пользователей знают только Google Analytics и не знают, что есть другие решения. И большинство пользователей также не знают о проблемах конфиденциальности, которые поднимает Google Analytics, особенно в более строгих законах о конфиденциальности.

Doc Pop: Большое спасибо за то, что пришли сегодня на шоу и рассказали о работе, которую вы делаете, и о SSL в целом. Было очень интересно с тобой поболтать. Если люди хотят узнать больше о том, над чем вы работаете, как лучше всего отслеживать плагины Really Simple и, возможно, над чем вы работаете.

Роджер Ланкхорст: Подпишитесь на меня в Твиттере. Или подпишитесь на нашу рассылку на ReallySimpleSSL.com, мы будем рассылать новости о наших последних новостях каждые несколько недель.

Док Поп: Ну, это здорово. Я очень ценю то, что ты на шоу. О, спасибо всем за прослушивание Press This, подкаста сообщества WordPress от WMR. В последнее время у нас было много отличных эпизодов, и скоро мы поедем на WordCamp US, куда, надеюсь, мы вернемся оттуда с еще большим количеством интересных историй и интервью с людьми.

Doc Pop: Спасибо, что слушаете Press This, подкаст сообщества WordPress на WMR. Еще раз, меня зовут Док, и вы можете следить за моими приключениями с журналом Torque в Твиттере @thetorquemag или вы можете зайти на Torquemag.io, где мы публикуем учебные пособия, видео и интервью, подобные этому, каждый день. Так что заходите на Tortormag.io или следите за нами в Твиттере. Вы можете подписаться на Press This в Red Circle, iTunes, Spotify или загружать его непосредственно на wmr.fm каждую неделю. Я ваш ведущий Doctor Popular. Я поддерживаю сообщество WordPress благодаря своей роли в WP Engine. И я люблю освещать членов сообщества каждую неделю в Press This.