אבטחת אתר לרמת HTTPS עם תעודת SSL
בואו נתחיל עם קצת רקע ואז נסביר למה זה חשוב היום.
אבטחת אתר באופן כללי זה נושא מאוד רחב שמדבר בדרך כלל על אבטחת האתר נגד פריצות של האקרים, על גיבויים מסודרים ועוד. במאמר זה, אדבר ספציפית על תופעה חדשה יחסית שבה גוגל התחילה להתערב לנו בחיים (ובאתרים) בפעם המי יודע כמה, הפעם באופן די בוטה וברוב המקרים ללא כל הצדקה.
בעבר הדי רחוק במושגים של עולם האינטרנט, בשנות התשעים ובתחילת שנות האלפיים, אתרי חנויות בישראל שמכרו מוצרים אונליין ורצו לבצע סליקה באתר נדרשו על ידי חברות האשראי לעמוד בדרישות האבטחה. המטרה די פשוטה והגיונית. אף אחד לא רוצה שפריט כרטיס האשראי שלו ידלפו לאנשים לא רצויים. לכן חברות האשראי דרשו שהעברת הפרטים שהגולש מזין לאתר יהיו מאובטחים. לכן היה צורך בהתקנת תעודת SSL באתר ובביצוע תהליך אבטחת האתר עם כל המשמעויות.
בערך בשנת 2009-2010, חברות האשראי שינו את החוקים ודי הקלו על החיים של בעלי האתרים. עדיין היה צורך (ויש גם היום) בביורוקרטיה דוגמת תקנון האתר אבל כבר אין שום צורך באבטחת האתר. מה היה הפתרון והדרישה שלהם? מעכשיו, הסליקה מתבצעת בלשונית חדשה על ידי חברת הסליקה המאושרת על ידי חברת האשראי וכל התהליך של אבטחת הנתונים קשור אליה ולא אלינו, בעלי האתרים. כלומר, תהליך הרכישה באתר מתבצע באופן הבא: הגולש נכנס לאתר, רואה מוצר מסוים, מחליט לרכוש אותו, מוסיף אותו לסל, נרשם לאתר כלקוח – כל הפעולות הללו מתבצעות באתר שלנו עדיין, כשהוא לוחץ על כפתור התשלום – נפתחת לשונית חדשה השייכת כבר לאתר של חברת הסליקה, אליה האתר מחובר והתשלום מבוצע שם, בלשונית החדשה. בסיום התשלום, חלון זה נסגר והגולש חוזר חזרה לאתר שלנו, בדרך כלל לדף תודה, ששם אנו מטמיעים קודים של מעקב המרות, רימרקטינג וכו".
אם כך, אתרי חנויות היו חייבים בעבר לאבטח את הנתונים, בעיקר את נתוני כרטיסי האשראי של הלקוחות שלהם, על מנת שתיהיה להם את האפשרות לסלוק באתר שלהם והיום אין בזה שום צורך. אתרים רגילים, דוגמת האתר הזה של עבדכם הנאמן, שבו יש רק מאמרים, לא זקוקים כלל לאבטחת הנתונים, כיוון שאתרים אלו לא אוספים שום נתונים מהגולשים שמחייבים אבטחה כזאת. הדבר הכי גרוע שיכול לקרות באתר לא מאובטח דוגמת זה שאתם נמצאים בו כעט (אגב הוא מאובטח אז אל דאגה) זה שמישהו מכם ישאיר לי בטופס צור הקשר את השם, המייל והטלפון שלכם עם בקשה לחזור אליכם וזה ידלוף לאנשים לא רצויים. תסכימו איתי שזה לא כמו ששמות המשתמש והסיסמאות ופרטי האשראי שלכם ידלפו לגורמים לא רצויים.
אבל כפי שכתבתי בתחילת המאמר, גוגל החליטו הפעם להתערב לנו באתרים באופן בוטה וללא שום הצדקה. הם החליטו שהם רוצים לשמור על הגולשים "שלהם" ועל פרטיותם ומעכשיו הם דורשים שכל האתרים בעולם יהיו מאובטחים ברמת HTTPS, עם תעודת SSL בתוקף. איך הם עושים את זה? מאוד פשוט! זה החל מכך שתוכנת הגלישה הפופולארית ביותר בעולם של גוגל, הגוגל כרום, החלה להציג לגולשים באתרים ללא HTTPS הודעות מפחידות על כך שהאתר שבו הגולש גולש כרגע לא מאובטח ואסור לגולשים להשאיר בהם שום פרטים כיוון ש"תוקפים עלולים לקבל אליו (לאתר) גישה". הודעה מפחידה שדי מרתיעה את הגולשים להיכנס ו\או להישאר באתר. בעקבות גוגל כרום, דפדפנים נוספים החלו להציג הודעות דומות. בהמשך גוגל הבטיחה גם להתחיל להציג הודעות מסוג זה כבר בתוצאות החיפוש של גוגל, מה שימנע מהגולשים מלכתחילה להיכנס לאתר שלכם!
הנה כמה דוגמאות להודעות המאיימות:
ובלחיצה על הדבר המלחיץ הזה, מקבלים הודעה עוד יותר מלחיצה:
אז למה חובה לאבטח כל אתר לרמת HTTPS עם תעודת SSL?
יש לכך 2 סיבות עיקריות:
1. הודעות מסוג זה יכולות להפחיד ממש את הגולשים, להציג להם מצב של אתר לא בטוח שלא כדאי להיכנס אליו. לגולשים כידוע אין סבלנות, הם לא חושבים פעמיים, מי שרואה הודעה כזאת יכול מייד לצאת מהאתר מבלי לחשוב יותר מדי על כך. כמה פעמים קיבלתם הודעות מאיימות של גוגל, הרבה פעמים גם בתוצאות החיפוש של גוגל, שהאתר נפרץ ולכן לא מומלץ לגלוש אליו? האם נכנסתם לאתר כזה? אני בטוח שרובכם לא נכנסו. אז אם הודעות אלו יכולות להבריח את הגולשים שלי מהאתר שלי, את הלקוחות הפוטנציאליים שלי מהעסק שלי – אני לא לוקח סיכונים ומאבטח את האתר שלי.
2. עיניין הSEO וגם כאן יש 2 סעיפים:
א. הודעות מהסוג כפי שצילמתי למעלה בלי ספק מורידות את הCTR, או בעברית – אחוזי הקלקה. אחוזי הקלקה זה היחס בין כמות הפעמים שהמודעה שלכם הוצגה בגוגל לגולשים לבין כמות הפעמים שהגולשים לחצו עליה. בדרך כלל זה עניין של ניסוח המודעה, או בשפה המקצועית – קריאטיב. כלומר, אם המודעה שלכם מושכת את הגולש ומגרה אותו ללחוץ עליה ולגלוש לאתר שלכם – הCTR עולה, גוגל רואה שיש עניין סביב האתר שלכם, כי יש עליו הרבה הקלקות, והיא מעלה את המיקום האורגני שלכם בתוצאות החיפוש. אגב, זה עובד באופן זהה גם במודעות הממומנות בגוגל אדוורדס. ניתן לקרוא על כל סוגי הקמפיינים הקיימים בגוגל כאן. אם כך, נושא הCTR הוא אחד הדברים הקריטיים שיש בקידום האורגני. עשינו על זה אין ספור ניסויים. שינינו את נוסח המודעה, כמות ההקלקות עלתה וכתוצאה מכך גוגל העלה את המיקום בתוצאות החיפוש האורגניות. כאמור אם כתוצאה של הודעה מאיימת שתתחיל להופיע בקרוב גם בתוצאות החיפוש של גוגל ותתחיל להזהיר את הגולשים מלהיכנס לאתר שלכם הCTR לאתר שלכם ירד, גם המיקום בתוצאות החיפוש שלכם ירד בכל הביטויים, כי סביר להניח שכל האתר שלכם לא יהיה מאובטח וכך כל הקידום האורגני יפגע.
ב. אין ספק שכיום אבטחת האתר ברמת HTTP עם תעודת SSL היא פרמטר בקידום האורגני. אחד מיני רבים אומנם אבל זה עדיין פרמטר. בניגוד למה שרבים חושבים, נכון להיום (יוני 2018) זה לא פרמטר שיקבע האם תיהיו מעל מתחרה כזה או אחר. כלומר, לא זה מה שיביא את השינוי הגדול. ועשיתי על זה ניסוי של מעל 100 אתרים עד היום. המיקומים לא עלו כשהעברתי את האתרים לHTTPS, להפך, חלקם אפילו ירדו. אני מניח שזה בגלל שהקישורים הנכנסים אל אותם האתרים היו בתצורה הרגילה, בלי HTTPS וכידוע כוחו של קישור נכנס יורד בהפניית 301. יחד עם זאת, אם זה עוד פרמטר בקידום האורגני, ואני ידוע בתעשייה כמחמיר בכל הפרמטרים, גם בקטנים ביותר, אני ממליץ להשתמש בכל פרמטר אפשרי שיעזור לקדם את האתר בתוצאות האורגניות בגוגל
לחצו כאן למדריך אבטחת אתר וורדפרס לרמת https מפורט שלב אחרי שלב
בנתיים, אם יש לכם אתר וורדפרס ואתם רוצים לאבטח אותו ואתם לא אנשים טכניים ולא יודעים איך עושים זאת – אשמח לטפל בזה עבורכם.
ליצירת קשר לחצו כאן
או חייגו בשעות העבודה:
03-9763333