WordPress pod HTTPS: Jak prosty certyfikat przyspiesza działanie stron za jednym zamachem

Jan Hornung Ostatnia aktualizacja 21.10.2020
.
. 9 Min.
WordPress  HTTPS: prosty certyfikat może znacznie przyspieszyć działanie Twojej strony

Istnieje uporczywe błędne przekonanie, że HTTPS czyni WordPress powolnym. W rzeczywistości jest wręcz przeciwnie: dzięki HTTP/2 strony szyfrowane SSL są czasami bardzo przyspieszane. A dzięki darmowym certyfikatom SSL i zintegrowanym instalacjom, przejście WordPress na HTTPS jeszcze nigdy nie było tak proste. I bardzo dobrze, bo strony HTTP będą musiały wkrótce znieść pewne niedogodności. Pokazujemy, co przynosi zmiana i jak jednym rzutem oka można sprawdzić, czy hoster korzysta z HTTP/2.

Dziś każdy klient i użytkownik końcowy wie, jaka jest różnica między stronami szyfrowanymi i nieszyfrowanymi. Przynajmniej na poziomie subiektywnym: zielony zamek daje po prostu dobre odczucia. Jednak równie znane, jak pozytywny wpływ na zaufanie odwiedzających stronę, jest błędne przekonanie, że SSL lub TLS (wyjaśnij różnicę) jest szyfrowany. różnica np. koledzy z CHIP.de) sprawiają, że WordPress jest powolny.

I tak, teoretycznie jest to prawda: Jeśli strona jest dostarczana za pomocą HTTPS (bezpieczna odmiana HTTP), połączenie między serwerem a przeglądarką trwa nieco dłużej ze względu na tak zwany SSL handshake. Ale mówimy tu tylko o kilku milisekundach.

Obecnie można śmiało nazwać plotką, że HTTPS spowalnia WordPress . W zasadzie certyfikat SSL przynosi Twojej witrynie same korzyści. A ponieważ Google wkrótce zacznie oznaczać niezaszyfrowane strony dopiskiem "not secure", najwyższy czas przekonwertować własną stronę na HTTPS już teraz.

Pokażę ci dzisiaj:

  • Dlaczego teraz jest najlepszy czas, aby przełączyć WordPress na HTTPS
  • Jak przełączyć WordPress na HTTPS
  • Dlaczego HTTP/2 sprawia, że twoje WordPress strony są szybsze
  • Jakiego wzrostu wydajności można się spodziewać w przypadku WordPress strony z HTTPS?
  • Prosta sztuczka, aby sprawdzić, czy Twój hoster już używa HTTP/2 (co powinno być!)

Wszystko jest o HTTPS, bez względu na to, czy WordPress czy nie.

Już trzy lata temu Google na swojej konferencji dla deweloperów nazwał Google I/O Google ogłosiło hasło "HTTPS everywhere". W skrócie, ówcześni programiści Google, Pierre Far i Ilja Grigorik, przejęli pałeczkę za stosowaniem TLS (następcy protokołu SSL) i zademonstrowali w swojej książce pt. sesja między innymi sposoby jego realizacji.

Zaledwie kilka tygodni później, w sierpniu 2014 r. HTTPS został wtedy włączony jako oficjalny sygnał rankingowy w rankingach wyszukiwania Google. Tak więc Google od lat próbuje nakłonić operatorów witryn do przełączenia ich stron na HTTPS, używając argumentów i tworząc fakty.

Fakt, że Google Chrome będzie wkrótce karać strony HTTP z "nie bezpieczne" powiadomienie może być z pewnością postrzegane jako kolejny duży krok w ofensywie Google "HTTPS wszędzie". W rzeczywistości zawiadomienie to zostało już jest wyświetlana od wersji 56 Chrome dla stronktóre pobierają informacje o kartach kredytowych, na przykład. W nowej wersji 62 przeglądarki Google zasada ta jest jednak stosowana na wszystkich stronach, które umożliwiają wprowadzanie danych przez klienta, takich jak formularze kontaktowe czy pola wyszukiwania.

Hasła i karty kredytowe nie są jedynymi rodzajami danych, które powinny być prywatne. Wszelkie dane wpisywane przez użytkowników na stronach internetowych nie powinny być dostępne dla innych użytkowników sieci, dlatego od wersji 62 Chrome będzie wyświetlać ostrzeżenie "Not secure", gdy użytkownicy będą wpisywać dane na stronach HTTP.

- Emily Schechter, Zespół ds. bezpieczeństwa Chrome

Darmowy SSL: Nigdy wcześniej sytuacja nie była tak korzystna, aby przejść WordPress na HTTPS

Trzy lata temu, kiedy dwaj programiści Google apelowali o TLS, nadal trzeba było kupować certyfikaty SSL i instalować je samodzielnie. Od tego czasu zmieniło się to diametralnie, i to na lepsze.

W 2016 roku inicjatywa Let's Encrypt uruchomiła wydawanie darmowych certyfikatów SSL. Dzięki sponsorzy takich jak Chrome, ale także Facebook i firmy z uniwersum WordPress , Kalifornijczycy mogą obecnie udostępnić prawie 40 milionów aktywnych, darmowych certyfikatów SSL.

WordPress  Dane dotyczące wzrostu HTTPS Let's Encrypt. Od października 2016 r. liczba aktywnych certyfikatów wzrosła prawie ośmiokrotnie.
Jak widać, wzrost Let's Encrypt mocno przyśpieszył od października 2016 roku. Od tego czasu liczba aktywnych certyfikatów wzrosła prawie ośmiokrotnie.

Rozwój ten miał ogromny wpływ na krajobraz hostingowy: darmowe certyfikaty SSL są teraz standardem, a nawet konfiguracja jest teraz możliwa dla każdego użytkownika dzięki integracji instalacji za pomocą jednego kliknięcia.

W przeszłości, HTTPS był prawdziwą bolączką dla WordPress .

Przed masową dystrybucją darmowych certyfikatów SSL dobre dwa lata temu, przejście z WordPress na HTTPS było prawdziwym bólem. Szczególnie dla właścicieli małych witryn, którzy potrzebują tylko certyfikatów potwierdzających poprawność domeny.

Info: Dostępne są następujące rodzaje certyfikatów SSL

  • Certyfikaty DV: DV to skrótod Domain Validated. Certyfikat DV jest używany do sprawdzenia, czy domena i miejsce na stronie internetowej "należą do siebie". Jeśli wszystko jest w porządku, można założyć, że po wejściu na domenę, rzeczywiście wylądujesz na powiązanej przestrzeni internetowej, a nie na stronie phishingowej. Proces konfiguracji jest tutaj nadal dość prosty: Administrator domeny potwierdza, że ma odpowiednie prawa do domeny i może następnie odpowiednio zaszyfrować swoją stronę.
  • Certyfikaty OV: OV to skrót od Organization Validated. Oprócz walidacji domeny, taki certyfikat gwarantuje, że strona, na którą wchodzisz, rzeczywiście należy do firmy, której ofertę chciałeś wywołać.
  • EV Certificates: Tak zwane rozszerzone certyfikaty walidowane idą o krok dalej: tutaj jednostka certyfikująca intensywnie sprawdza dokumenty przedsiębiorstwa. W zaświadczeniu zawarta jest między innymi forma prawna spółki.

Nawet założenie prostego certyfikatu DV było kiedyś prawdziwym bólem dla WordPress stron i może być niewykonalne dla osób nie będących technikami. Wynika to z faktu, że proces ten składał się z co najmniej czterech kroków:

  1. Kup certyfikat: Tutaj trzeba było przyjrzeć się krajobrazowi dostawców i aktywnie porównywać ceny i warunki nawet dla prostych certyfikatów DV. Doprowadziło to również do tego, że niektórzy usługodawcy wymyślili bardzo kreatywne elementy, takie jak ubezpieczenie, aby wyróżnić swoje produkty. W przypadku certyfikatów rozszerzonych dochodzi do etapu walidacji - udowodnienia, że Ty, właściciel domeny, jesteś również właścicielem firmy. W zależności od certyfikatu, proces ten może trwać od kilku dni do kilku tygodni.
  2. Ustawienie certyfikatu: Kolejnym krokiem było zapisanie informacji o certyfikacie na serwerze WWW. W zależności od dostawcy było to mniej lub bardziej czasochłonne. W międzyczasie, jednak wszyscy dostawcy usług hostingowych rzeczywiście stworzył mniej lub bardziej dobry przepływ pracy, który prowadzi Cię jako użytkownika przez proces konfiguracji.
  3. Przygotuj stronęWordPress do pracy w trybie HTTPS: Po skonfigurowaniu samego certyfikatu, należało przygotować witrynę do przejścia z protokołu HTTP na HTTPS. Aby to zrobić, każdy wpis w bazie danych i każdy zasób na stronie musiał zostać przekonwertowany na HTTPS, a następnie wynik sprawdzony pod kątem błędów mieszanych treści.
  4. Skonfiguruj Google: Po konwersji strony, jednostki w Google Analytics i w Google Search Console (dawniej Google Webmaster Tools) nadal musiały być dostosowane.

Dzięki rozwojowi zapoczątkowanemu przez Let's Encrypt w zakresie darmowych certyfikatów DV, proces ten został znacznie uproszczony. Wielu hostingodawców oferuje obecnie również uproszczoną instalację, w której w najlepszym przypadku certyfikat jest aktywowany i skonfigurowany jednym kliknięciem, a strona jest automatycznie przełączana na HTTPS. I jest to niezależne od tego, czy jest to projekt WordPress czy nie.

WSKAZÓWKA: Potrzebujesz skonfigurować SSL bez instalacji za pomocą jednego kliknięcia?

Jeśli masz pecha, Twój hoster nie oferuje jeszcze uproszczonej instalacji. Następnie trzeba zrobić WordPress -sided ustawienia dla HTTPS samodzielnie:

Nie ma HTTP/2 bez Google

Już o tym wspominałem: Google zawsze było zainteresowane prowadzeniem jak największej liczby stron z certyfikatami SSL w ramach swojej ofensywy "HTTPS wszędzie". Jest to prawdopodobnie również powód, dla którego Chrome jest oficjalnym sponsorem Let's Encrypt. Wyszukiwarkowy gigant był również znacząco zaangażowany w rozwój protokołu HTTP/2.

Ponieważ protokół poprzednika, SPDYzostał początkowo opracowany przez Google jako eksperyment mający na celu zbadanie możliwości technicznych, dzięki którym można by ulepszyć niemal antyczny HTTP/1. To było w 2009 r. W 2015 r. wnioski z eksperymentalnego projektu SPDY zostały włączone do standaryzowany protokół HTTP/2.

To dlatego HTTP/2 przyspiesza działanie Twoich WordPress stron.

HTTP/2 został wyposażony w wiele nowych funkcji, które umożliwiają wielokrotnie szybsze przesyłanie danych:

  • Multipleksowanie: Dzięki tej funkcji, wiele różnych strumieni danych może być ładowanych przez jedno połączenie pomiędzy serwerem WWW a klientem (tj. przeglądarką odwiedzających Twoją stronę). W przypadku HTTP/1, dla każdego strumienia danych musi zostać otwarte osobne połączenie. A otwarcie tych połączeń wymaga czasu.
  • Kompresja nagłówka: Każde żądanie HTTP, które klient kieruje do serwera WWW, zawiera meta informacje, dzięki którym strona może zostać poprawnie zbudowana. Ta meta-informacja z biegiem lat stawała się coraz większa. HTTP/2 kompresuje te informacje i w ten sposób oszczędza objętość danych.
  • Server Push: Czasami nazywane cache push. Zasada działania tej funkcji jest bardzo prosta: zdecydowana większość żądań do strony jest bardzo podobna. Jeśli Twój serwer rozpoznaje typowy wzorzec żądania, na przykład dla Twojej strony startowej, wtedy serwer wysyła wszystkie informacje, które są potrzebne do zbudowania strony do przeglądarki bez pytania. W ten sposób przeglądarka musi wykonać znacznie mniej żądań HTTP do serwera. Dzięki temu strona ładuje się szybciej.

Wszystko to brzmi całkiem nieźle w teorii. Ale co to oznacza w praktyce? Strona testowa HTTPS vs. HTTP pokazuje imponująco jak duża jest różnica pomiędzy dwoma generacjami protokołów.

W porównaniu pomiędzy HTTPS i HTTP, HTTPS może być znacznie szybszy.
W jednym z naszych testów stwierdzono różnice w czasie obciążenia HTTP/1 vs HTTP/2, takie jak dzień i noc. Wariant HTTP testu był o 914% wolniejszy od wariantu HTTP/2. Są to dobre omeny na przełączanie WordPress stron na HTTPS.

Oczywiście najciekawsze jest to, jak te nowe funkcje wpłyną na czas ładowania strony w świecie rzeczywistym. Aby dowiedzieć się, czy Twoja witryna działa na serwerze obsługującym HTTP/2, możesz po prostu zapytać swojego hostingodawcę (lub sprawdzić to samemu za pomocą tej prostej sztuczki). Oczywiście pod warunkiem, że WordPress działa pod HTTPS.

Kwaśny test: HTTPS sprawia, że WordPress jest o 45% szybsza w teście

Ale teraz przejdźmy do sedna sprawy: Jaki wzrost wydajności można realistycznie oczekiwać od konwersji witryny WordPress do HTTPS? Ponieważ na gotowej stronie nie będzie widać właśnie zmierzonych 914 procent. Dlatego przetestowaliśmy całość na naszej stronie głównej. Tzn. przetestowaliśmy raidboxes.de raz z i raz bez HTTPS.

WordPress  HTTPS bez SSL potrzebuje RAIDBOXES więcej niż 5 sekund na załadowanie.
StronaWordPress  HTTPS z SSL potrzebuje na załadowanie RAIDBOXES tylko 3 sekund.
Test przeprowadziliśmy za pomocą Webpagetest. Czas ładowania klonu raidboxes.de został zmierzony za pomocą serwera testowego polscy . Łącznie przeprowadzono siedem kolejnych testów dla wariantów HTTPS i HTTP, a wyniki uśredniono. Należy zauważyć, że strona wykazuje bardzo słaby wynik wydajności. Dzieje się tak dlatego, że niektóre zasoby działają tylko pod właściwą domeną strony. Dlatego też decydujące znaczenie dla porównania ma tylko czas ładowania.

Test pokazuje: kopia naszej strony głównej staje się 45 procent szybciej z HTTPS w jednym zamachem. Nasz szczegółowy test z siedmioma kolejnymi testami z niemieckich serwerów pokazuje podobne wyniki.

Life hack dla webmasterów: Jak sprawdzić na pierwszy rzut oka, czy Twój hoster używa HTTP/2

A ponieważ HTTPS daje twoim WordPress -WordPress projektom wygodny wzrost wydajności, jeszcze ważniejsze jest, abyś wiedział, czy twój host używa HTTP/2. Oczywiście, możesz po prostu zapytać support, ale jest też sposób, aby na pierwszy rzut oka stwierdzić, czy Twoja strona, lub jakakolwiek inna strona, którą testujesz, korzysta z HTTP/2.

Do tego potrzebujesz tylko jednej rzeczy: diagramu wodospadowego Twojej strony. Można to osiągnąć poprzez pomiar czasu ładowania za pomocą narzędzi Webpagetest, Pingdom lub GTmetrix. Po prostu wprowadź adres URL, który ma być testowany i pozwól na uruchomienie testu. Dla tej sztuczki, nawiasem mówiąc, nie ma znaczenia, skąd i z jakimi specyfikacjami test jest wykonywany.

W gotowym diagramie wodospadowym należy teraz zwrócić uwagę tylko na to, czy poszczególne żądania są ładowane jednocześnie, czy wyłącznie chronologicznie. Jeśli są one ładowane jednocześnie, Twoja strona używa HTTP/2.

WordPress  HTTPS vs WordPress  HTTP
Jak widać, poszczególne żądania w lewej wersji (HTTP) ładowane są chronologicznie, czyli jedno po drugim. W poprawnej wersji (WordPress z HTTPS) wszystkie żądania są ładowane jednocześnie.

Jeśli masz włączony HTTPS na swoich WordPress -WordPress -projektach, a żądania nie są ładowane równolegle, powinieneś pilnie skontaktować się ze swoim hostingodawcą 😉

Wniosek: HTTPS jako szansa dla twoich WordPress projektów

Niedawno Google zaczęło wysyłać pierwsze e-maile ostrzegawcze do operatorów stron HTTP. Od wersji 62 przeglądarka Chrome będzie udostępniać strony, które pozwalają na wprowadzanie danych przez użytkownika, z komunikatem "niezabezpieczone".

WordPress  HTTPS Przykład strony HTTP w nowej wersji Chrome 62
Na przykład tak wyglądałby pasek adresu naszych kolegów z t3n, gdyby Chrome wyświetlał informację "Not secure" dla wszystkich stron HTTP.

Oznacza to w zasadzie, że każda strona HTTP z formularzem kontaktowym lub funkcją komentowania jest brandowana przez Google. Na szczęście, nigdy nie było łatwiej niż dziś, aby przekonwertować własne strony WordPress do HTTPS: Certyfikaty SSL są w większości darmowe, a instalacje one-click oszczędzają mnóstwo pracy podczas konfiguracji i pozwalają nawet mniej obeznanym z techniką webmasterom na dokonanie zmiany. I nasz test pokazuje: nawet przy mniej zoptymalizowanej stronie WordPress może bardzo skorzystać z HTTPS i po prostu ładuje się znacznie szybciej.

W najlepszym przypadku wystarczy jedno kliknięcie. Jeśli więc nadal korzystasz z witryn pod HTTP, możemy jedynie doradzić zmianę.

RAIDBOXER od początku istnienia firmy i szef działu wsparcia. Na Bar- i WordCampach uwielbia rozmawiać o PageSpeed i wydajności stron internetowych. Najlepszym sposobem na przekupienie go jest espresso - lub bawarski precel.

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.