03.09.17
aktualizacja 21.10.20
Jan Hornung
0 komentarzy
WordPress HTTPS: Prosty certyfikat może znacznie przyspieszyć działanie Twojej witryny

WordPress pod HTTPS: Jak prosty certyfikat przyspiesza działanie stron za jednym zamachem

Istnieje uporczywe błędne przekonanie, że HTTPS spowalnia WordPress. W rzeczywistości jest dokładnie odwrotnie: dzięki HTTP/2 strony szyfrowane SSL są czasami niezwykle szybkie. A dzięki darmowym certyfikatom SSL i zintegrowanym instalacjom przełączenie WordPressa na HTTPS nigdy nie było łatwiejsze. I to dobrze, ponieważ strony HTTP wkrótce będą musiały pogodzić się z pewnymi niedogodnościami. Pokażemy Ci korzyści płynące z przełączenia i jak możesz sprawdzić, czy Twój host używa protokołu HTTP/2 na pierwszy rzut oka.

Obecnie każdy klient i użytkownik końcowy zna różnicę między witrynami szyfrowanymi i nieszyfrowanymi. Przynajmniej na poziomie subiektywnym: zielona kłódka daje po prostu dobre wrażenie. Jednak równie dobrze znany, jak pozytywny wpływ na zaufanie odwiedzających witrynę, jest błędne przekonanie, że SSL lub TLS (protokół wyjaśnij różnicę np. przez naszych kolegów z CHIP.de) sprawia, że WordPress jest powolny.

I tak, w teorii jest to prawda: jeśli strona jest dostarczana za pośrednictwem HTTPS (tj. bezpiecznej wersji HTTP), połączenie między serwerem WWW a przeglądarką trwa nieco dłużej ze względu na uzgadnianie SSL. Mówimy tu jednak tylko o kilku milisekundach.

W dzisiejszych czasach można bezpiecznie nazwać plotką, że HTTPS spowalnia WordPress. W rzeczywistości certyfikat SSL przynosi korzyści tylko Twojej witrynie. A ponieważ Google wkrótce zacznie oznaczać niezaszyfrowane witryny jako "niezabezpieczone", najwyższy czas przełączyć swoją witrynę na HTTPS już teraz.

Pokażę ci to dzisiaj:

  • Dlaczego teraz jest najlepszy czas, aby przełączyć WordPress na HTTPS?
  • Jak możesz przełączyć WordPress na HTTPS
  • Dlaczego HTTP/2 przyspiesza działanie Twoich witryn WordPress
  • Jakiego wzrostu wydajności możesz oczekiwać dla witryny WordPress pod HTTPS?
  • Prosta sztuczka, dzięki której możesz rozpoznać, czy twój host korzysta już z protokołu HTTP/2 (a powinien!).

Wszystko kręci się wokół HTTPS, niezależnie od tego, czy jest to WordPress, czy nie

Trzy lata temu, na konferencji dla deweloperów Google I/O Google ogłosiło motto "HTTPS wszędzie". Krótko mówiąc, ówcześni programiści Google, Pierre Far i Ilja Grigorik, opowiedzieli się za używaniem TLS (następcy protokołu SSL) i pokazali w swojej sesji sesji sposoby jego implementacji, między innymi.

Zaledwie kilka tygodni później, w sierpniu 2014 r., HTTPS został HTTPS został następnie włączony jako oficjalny sygnał rankingowy w rankingach wyszukiwania Google. Google od lat próbuje przekonać operatorów stron internetowych do przejścia na HTTPS, używając argumentów i tworząc fakty.

Fakt, że Google Chrome wkrótce będzie karać strony HTTP powiadomieniem "niezabezpieczone", może być z pewnością postrzegany jako kolejny duży krok w ofensywie Google "HTTPS wszędzie". W rzeczywistości to powiadomienie było już jest wyświetlane dla stron od wersji 56 Chromektóre na przykład pobierają informacje o karcie kredytowej. Wraz z nową wersją 62 przeglądarki Google reguła ta zostanie jednak zastosowana do wszystkich stron, które umożliwiają wprowadzanie danych przez klientów, takich jak formularze kontaktowe lub pola wyszukiwania.

Hasła i karty kredytowe to nie jedyne rodzaje danych, które powinny być prywatne. Wszelkie dane wpisywane przez użytkowników na stronach internetowych nie powinny być dostępne dla innych osób w sieci, dlatego począwszy od wersji 62 Chrome wyświetla ostrzeżenie "Niezabezpieczone", gdy użytkownicy wpisują dane na stronach HTTP.

- Emily Schechter, zespół ds. bezpieczeństwa Chrome

Darmowy SSL: Sytuacja nigdy nie była tak korzystna dla przejścia WordPress na HTTPS

Trzy lata temu, kiedy dwaj programiści Google opowiedzieli się za TLS, nadal musiałeś kupować certyfikaty SSL i instalować je samodzielnie. Teraz zmieniło się to diametralnie i to na lepsze.

W 2016 roku inicjatywa Let's Encrypt rozpoczęła wydawanie bezpłatnych certyfikatów SSL. Dzięki sponsorom takich jak - co nie jest zaskoczeniem - Chrome, ale także Facebook i firmy z uniwersum WordPress, Kalifornijczycy mogą obecnie zapewnić prawie 40 milionów aktywnych bezpłatnych certyfikatów SSL.

Dane dotyczące wzrostu WordPress HTTPS Let's Encrypt. Od października 2016 r. liczba aktywnych certyfikatów wzrosła prawie ośmiokrotnie.
Jak widać, rozwój Let's Encrypt mocno przyspieszył od października 2016 roku. Od tego czasu liczba aktywnych certyfikatów wzrosła prawie ośmiokrotnie.

Rozwój ten miał ogromny wpływ na krajobraz hostingu: bezpłatne certyfikaty SSL są teraz standardem, a dzięki integracji instalacji jednym kliknięciem konfiguracja jest teraz możliwa dla każdego użytkownika.

HTTPS był kiedyś prawdziwym utrapieniem dla WordPressa

Przed masową dystrybucją darmowych certyfikatów SSL dobre dwa lata temu, przełączenie WordPressa na HTTPS było prawdziwym bólem. Zwłaszcza dla właścicieli małych witryn, którzy potrzebowali tylko certyfikatów z walidacją domeny.

Info: Dostępne są następujące rodzaje certyfikatów SSL

  • Certyfikaty DV: DV to skrót od Domain Validated. Certyfikat DV jest zatem używany do sprawdzenia, czy domena i przestrzeń internetowa "należą do siebie". Jeśli wszystko jest w porządku, możesz mieć pewność, że uzyskując dostęp do domeny, faktycznie trafisz do odpowiedniej przestrzeni internetowej, a nie na stronę phishingową. Proces konfiguracji jest tutaj nadal dość prosty: administrator domeny potwierdza, że ma odpowiednie prawa do domeny, a następnie może odpowiednio zaszyfrować swoją witrynę.
  • Certyfikaty OV: OV to skrót od Organisation Validated. Oprócz walidacji domeny, ten typ certyfikatu gwarantuje, że strona, którą odwiedzasz, naprawdę należy do firmy, do której witryny próbujesz uzyskać dostęp.
  • Certyfikaty EV: Tak zwane certyfikaty Extended Validated idą o krok dalej: tutaj jednostka certyfikująca intensywnie sprawdza dokumenty firmy. W certyfikacie uwzględniana jest między innymi forma prawna spółki.

Nawet skonfigurowanie prostego certyfikatu DV było kiedyś prawdziwym bólem dla witryn WordPress i mogło być niewykonalne nawet dla nietechników. Wynika to z faktu, że proces ten składał się z co najmniej czterech kroków:

  1. kupić certyfikat: Tutaj musiałeś zapoznać się z krajobrazem dostawców i aktywnie porównywać ceny i warunki nawet w przypadku prostych certyfikatów DV. Doprowadziło to również do tego, że niektórzy dostawcy wymyślili bardzo kreatywne funkcje, takie jak ubezpieczenie, aby wyróżnić swoje produkty. W przypadku certyfikatów rozszerzonych istnieje również etap walidacji, tj. udowodnienie, że właściciel domeny jest również właścicielem firmy. W zależności od certyfikatu, proces ten może trwać kilka dni lub tygodni.
  2. Skonfiguruj certyfikat: Następnym krokiem było zapisanie informacji o certyfikacie na serwerze WWW. W zależności od dostawcy było to mniej lub bardziej czasochłonne. W międzyczasie jednak wszyscy dostawcy usług hostingowych stworzyli mniej lub bardziej dobry przepływ pracy, który prowadzi Cię jako użytkownika przez proces konfiguracji.
  3. Przygotowanie WordPressa do HTTPS: Po skonfigurowaniu samego certyfikatu, witryna musiała zostać przygotowana do przejścia z HTTP na HTTPS. W tym celu każdy wpis w bazie danych i każdy zasób w witrynie musiał zostać przekonwertowany na HTTPS, a następnie sprawdzony pod kątem błędów mieszanej zawartości.
  4. Skonfiguruj Google: Po przekonwertowaniu witryny konieczne było dostosowanie podmiotów w Google Analytics i Google Search Console (dawniej Google Webmaster Tools).

Rozwój zainicjowany przez Let's Encrypt w kierunku darmowych certyfikatów DV znacznie uprościł ten proces. Wielu hosterów oferuje teraz również uproszczoną instalację, w której w najlepszym przypadku certyfikat jest aktywowany i konfigurowany za pomocą jednego kliknięcia, a witryna jest automatycznie przełączana na HTTPS. Niezależnie od tego, czy jest to projekt WordPress, czy nie.

WSKAZÓWKA: Chcesz skonfigurować SSL bez instalacji jednym kliknięciem?

Jeśli masz pecha, twój host nie oferuje jeszcze uproszczonej instalacji. Wtedy będziesz musiał samodzielnie wprowadzić ustawienia WordPress dla HTTPS:

  • Nasz kolega Jonas Tietgen, aka WP Ninjas, wyjaśnia, jak to działa.
  • Podobne instrukcje od René Dasbecka, aka netzgänger
  • Nasz kolega Finn Hillebrandt z blogmojo również poruszył ten temat

Nie ma HTTP/2 bez Google

Już o tym wspominałem: w ramach kampanii "HTTPS wszędzie" Google zawsze był zainteresowany zapewnieniem, że jak najwięcej witryn działa z certyfikatem SSL. Nawiasem mówiąc, jest to prawdopodobnie również powód, dla którego Chrome jest oficjalnym sponsorem Let's Encrypt. Jednak wyszukiwarkowy gigant był również znacząco zaangażowany w rozwój protokołu HTTP/2.

Ponieważ poprzedni protokół, SPDYzostał początkowo opracowany przez Google jako eksperyment mający na celu zbadanie możliwości technicznych, dzięki którym można by ulepszyć niemal antyczny HTTP/1. Było to w 2009 r. W 2015 r. wnioski z eksperymentalnego projektu SPDY zostały następnie włączone do znormalizowanego protokołu HTTP/2.

Dlaczego HTTP/2 przyspiesza działanie Twoich witryn WordPress

Protokół HTTP/2 został wyposażony w wiele nowych funkcji, które umożliwiają znacznie szybszą transmisję danych:

  • Multipleksowanie: Dzięki tej funkcji można załadować kilka różnych strumieni danych za pośrednictwem połączenia między serwerem internetowym a klientem (tj. przeglądarką osób odwiedzających Twoją witrynę). W przypadku HTTP/1 dla każdego strumienia danych musi zostać otwarte osobne połączenie. A otwarcie tych połączeń wymaga czasu.
  • Kompresja nagłówków: Każde żądanie HTTP kierowane przez klienta do serwera WWW zawiera metainformacje umożliwiające prawidłowe utworzenie strony. Na przestrzeni lat metainformacje te stawały się coraz większe. HTTP/2 kompresuje te informacje, a tym samym oszczędza objętość danych.
  • Server Push: Czasami nazywany również cache push. Zasada działania tej funkcji jest bardzo prosta: zdecydowana większość żądań do strony jest bardzo podobna. Jeśli twój serwer WWW rozpoznaje typowy wzorzec wywołania, na przykład dla twojej strony głównej, wówczas serwer wysyła wszystkie informacje potrzebne przeglądarce do zbudowania strony bez pytania. Oznacza to, że przeglądarka musi wykonać znacznie mniej żądań HTTP do serwera. Dzięki temu strona ładuje się szybciej.

W teorii brzmi to całkiem nieźle. Ale co to oznacza w praktyce? Strona testowa HTTPS vs. HTTP pokazuje imponująco, jak duża jest różnica między dwiema generacjami protokołów.

W porównaniu HTTPS i HTTP, HTTPS może być znacznie szybszy w niektórych przypadkach.
W jednym z naszych testów, test HTTP/1 vs HTTP/2 wykazał różnice w czasie ładowania, które były jak noc i dzień. Wersja HTTP testu była o 914 procent wolniejsza niż wersja HTTP/2. Są to dobre znaki, aby przełączyć swoje witryny WordPress na HTTPS.

Oczywiście szczególnie interesujące jest sprawdzenie, jak te nowe funkcje wpływają na czas ładowania twoich stron w świecie rzeczywistym. Możesz łatwo sprawdzić, czy Twoja witryna działa na serwerze obsługującym HTTP/2, pytając swojego hosta (lub korzystając z tej prostej sztuczki). Oczywiście pod warunkiem, że WordPress działa pod HTTPS.

Test kwasowości: HTTPS przyspiesza WordPress o 45 procent w teście

Przejdźmy jednak do konkretów: Jakiego wzrostu wydajności możesz realistycznie oczekiwać po przełączeniu witryny WordPress na HTTPS? Ponieważ właśnie zmierzone 914 procent nie pojawi się na gotowej stronie. Dlatego też przetestowaliśmy całość na naszej stronie głównej. Innymi słowy, przetestowaliśmy raidboxes.de raz z HTTPS, a raz bez niego.

WordPress HTTPS bez SSL potrzebuje na załadowanie Raidboxes więcej niż 5 sekund.
WordPress HTTPS z SSL potrzebuje na załadowanie strony Raidboxes mniej niż 3 sekundy.
Rzeczywisty test przeprowadziliśmy za pomocą Webpagetest. Czas ładowania klonu strony raidboxes.de został zmierzony za pośrednictwem niemieckich serwerów testowych. Łącznie przeprowadzono siedem kolejnych testów zarówno dla wersji HTTPS, jak i HTTP, a wyniki zostały uśrednione. Należy zauważyć, że strona ma bardzo słaby wynik wydajności. Wynika to z faktu, że niektóre zasoby działają tylko w prawidłowej domenie witryny. Dlatego tylko czas ładowania jest decydujący dla porównania.

Test pokazuje, że kopia naszej strony głównej jest o 45 procent szybsza w jednym przejściu z HTTPS. Nasz szczegółowy test z siedmioma kolejnymi testami niemieckich serwerów pokazuje podobne wyniki.

Life hack dla webmasterów: Jak rozpoznać na pierwszy rzut oka, czy Twój host korzysta z protokołu HTTP/2?

A ponieważ HTTPS zapewnia Twoim projektom WordPress ten wygodny wzrost wydajności, jeszcze ważniejsze jest, abyś wiedział, czy Twój host korzysta z protokołu HTTP/2. Oczywiście możesz po prostu zapytać pomoc techniczną, ale istnieje również metoda, która pozwala na pierwszy rzut oka rozpoznać, czy Twoja witryna lub jakakolwiek inna witryna, którą testujesz, korzysta z protokołu HTTP/2.

Potrzebujesz tylko jednej rzeczy: wykresu wodospadowego swojej witryny. Możesz go utworzyć, mierząc czas ładowania za pomocą narzędzi Webpagetest, Pingdom lub GTmetrix. Po prostu wprowadź adres URL do przetestowania i uruchom test. W przypadku tej sztuczki nie ma znaczenia, skąd i przy użyciu jakich specyfikacji przeprowadzany jest test.

Na gotowym diagramie kaskadowym musisz teraz zwrócić uwagę tylko na to, czy poszczególne żądania są ładowane jednocześnie, czy tylko chronologicznie. Jeśli są ładowane jednocześnie, twoja strona korzysta z protokołu HTTP/2.

WordPress HTTPS vs WordPress HTTP
Jak widzisz, poszczególne żądania w lewej wersji (HTTP) są ładowane chronologicznie, tj. jedno po drugim. W prawej wersji (WordPress z HTTPS) wszystkie żądania są ładowane jednocześnie.

Jeśli aktywowałeś HTTPS w swoich projektach WordPress, a żądania nie są ładowane równolegle, powinieneś pilnie skontaktować się ze swoim hostem 😉

Podsumowanie: HTTPS jako szansa dla Twoich projektów WordPress

Google rozpoczął niedawno wysyłanie pierwszych e-maili ostrzegawczych do operatorów stron HTTP. Począwszy od wersji 62, przeglądarka Chrome będzie oznaczać strony umożliwiające wprowadzanie danych przez użytkownika jako "niezabezpieczone".

Przykład WordPress HTTPS dla strony HTTP w nowej wersji Chrome 62
Na przykład, tak wyglądałby pasek adresu naszych kolegów z t3n, gdyby Chrome wyświetlał komunikat "Niezabezpieczone" na wszystkich stronach HTTP.

Zasadniczo oznacza to, że każda strona HTTP z formularzem kontaktowym lub funkcją komentowania jest oznaczona przez Google. Na szczęście przełączenie witryny WordPress na HTTPS nigdy nie było łatwiejsze: Certyfikaty SSL są w większości darmowe, a instalacja jednym kliknięciem oszczędza mnóstwo pracy podczas ich konfigurowania, umożliwiając nawet mniej doświadczonym technicznie webmasterom dokonanie zmiany. A nasz test pokazuje: nawet przy mniej zoptymalizowanej witrynie WordPress może znacznie skorzystać z HTTPS i po prostu ładuje się znacznie szybciej.

W idealnym przypadku powinno to zająć tylko jedno kliknięcie. Jeśli więc nadal korzystasz z witryn pod HTTP, możemy tylko zdecydowanie zalecić zmianę.

Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Jan Hornung

Od początku jest częścią Raidboxes i kieruje działem wsparcia. Na BarCampach i WordCampach uwielbia rozmawiać o szybkości i wydajności stron internetowych. Najlepszym sposobem na przekupienie go jest espresso — lub bawarskie precle.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.