web-dev-qa-db-fra.com

Autoriser les pages non SSL à utiliser https ou forcer les pages non SSL à http?

J'ai une question fondamentale que je n'avais pas vue précédemment posée ici. Je pense que cela appartient ici à cause du fait qu’il s’agit de tenter de sécuriser wordpress.

Qu'est-ce qui est le plus sécurisé entre les demandes?

Pour autoriser les pages sécurisées non-ssl sur https ou ces demandes doivent-elles être forcées à revenir à http?

Quel est l’effet ou l’avantage d’avoir une page non ssl forcée sur https? Dites qu'une page d'accueil où l'utilisateur n'est pas connecté est en train de faire une demande https. Dans cet exemple, quel est le gain de sécurité? Est-il préférable de rediriger vers la version http de la page?

Si autoriser https est préférable, y a-t-il des pièges (potentiels) dans le noyau wordpress qui poseraient des problèmes de redirection si autoriser https pour les pages non ssl soit directement sur la page ou via ajax/admin-ajax?

1
Shawn

La réponse courte est que vous devez toujours utiliser https autant que possible, même sur les sites Web les plus simples, que vous utilisiez ou non wordpress. Voici certaines des raisons avec une courte explication.

  1. Sécurité - Même sur les pages qui ne nécessitent pas nécessairement , il est utile d'utiliser https car vous souhaitez couvrir autant de situations que possible. Considérez que vous pouvez avoir un formulaire de contact sur votre site où vous collectez les données personnelles (si pas nécessairement secrètes) des utilisateurs. Si ce formulaire est rempli sans https dans un café, à présent, toute personne de ce café qui cherchait a les informations de cet utilisateur. Ceci est un exemple simple mais vous pouvez voir que les possibilités ici sont nombreuses et variées (pensez aux cookies et autres.).
  2. Spoofing - Cela pourrait facilement être une sous-catégorie de sécurité. Lorsque vous utilisez https, il est beaucoup plus difficile pour votre site d’être spoofé via un homme situé au milieu.
  3. Données de référent - Lorsque vous passez d'une page https à une page http, toutes les données de référent sont perdues. Ceci peut ou peut ne pas être un problème pour vous mais c'est toujours quelque chose à considérer. Lorsque vous sautez entre http et https au sein d'un site, vous devez considérer que vous perdrez toutes les données de parrainage (ce qui peut être mauvais pour le référencement, et particulièrement si votre site contient de la publicité).
  4. SEO - Google et les autres moteurs de recherche donnent un classement plus élevé aux sites https. Différents arguments peuvent être avancés pour déterminer s’il s’agit ou non d’une bonne politique mais c’est quand même une politique.
  5. Pourquoi pas - Si vous hébergez un site et que vous avez un certificat SSL, pourquoi ne pas l'utiliser sur toutes les pages. Il n’ya pas de réel inconvénient et, personnellement, j’ai trouvé qu’il est beaucoup plus facile de l’activer pour un site entier à l’aide de la configuration Apache (ou IIS) et de l’oublier plutôt que d’essayer de gérer en permanence les pages et ne sont pas sécurisés.

Ce ne sont que quelques-unes des grandes raisons, il y en a d'autres qui sont tout aussi valables.

0
TheGentleman