WordPress용 HTTPS 소개

서버를 설치하기 위해서 HTTPS, SLL 인증서가 필요합니다.

“Let’s Encrypt”는 2020년 2월 현재 10억 개 이상의 인증서를 발급한 모든 사람에게 무료 SSL 인증서를 제공하는 비영리 조직입니다. 인증서를 얻는 가장 쉬운 방법은 EFF certbot 도구를 사용하는 것입니다. 해당 사이트에는 여러 다른 웹 서버 및 운영 체제에 대한 인증서 설치 및 업데이트에 대한 완전한 지침이 있습니다.

로컬 개발의 경우 OpenSSL을 사용하여 자체 서명 된 인증서를 만들 수 있지만 생성된 인증서는 다른 사람이 신뢰할 수 없으므로 사설 서버에만 사용하도록 제한됩니다.

HTTPS용 웹 서버 수준에서 WordPress에 특별히 필요한 추가 또는 특수 설정은 없습니다. 기본적으로 WordPress는 웹 서버가 제대로 구성된 경우 HTTPS URL을 사용할 준비가 되어 있습니다.

HTTP URS의 기본 포트는 포트 80이고 HTTPS의 기본 포트는 포트 443입니다. 이러한 포트는 네트워크 방화벽을 통해 열리지 않습니다. Apache에는 활성화하고 적절하게 구성해야 하는 mod_ssl 모듈이 포함되어 있습니다. cerbert을 사용하는 경우 필요한 VirtualHost 설정을 자동으로 구성하고 생성할 수 있습니다.

WordPress용 HTTPS 구현

WordPress에서 HTTPS 지원을 구현하려면 https://를 아용하도록 WordPess 및 사이트 주소 URL만 설정하면 됩니다. 시작하기 위해 HTTP 또는 HTTPS를 사용하여 WordPress를 설치할 수 있으며 둘 다 작동하여 나중에 전환할 수 있습니다.

“설정” > “일반”으로 이동하여 WordPress 주소(URL) 및 사이트 주소 (URL)가 https인지 확인합니다. 그렇지 않으면 http 뒤에 ‘S’를 추가하여 https를 만들고 저장합니다.

사이트 상태 도구(도구 > 사이트 건강)는 웹사이트에서 HTTPS를 사용하지 않음을 알려줍니다.

버전 5.7부터 WordPress는 SSL 인증서가 이미 서버에 설정된 겨우 HTTPS로 자동 전환할 수 있습니다.

WordPress용 HTTPS를 위한 모범 사례

모든 프로덕션 WordPress 사이트에서 HTTPS를 사용하는 것이 좋습니다.

평판이 좋은 웹 사이트로 삭제하고 대부분 HTTPS 서비스를 표준으로 제공합니다.

  • 평판이 좋은 웹 호스트를 사용하고 대부분 HTTPS 서비스를 표준으로 제공합니다.
  • Let’s Encrypt의 SSL 인증서를 사용하면 무료이며 사용하기 쉽습니다.
  • SSL 지원 CDN에서 정적 콘텐츠 제공

HTTP 트래픽을 HTTPS 사이트로 리디렉션해야 할 수도 있습니다. Apache의 경우 다음과 같이 두 개의 VirtualHost 항목을 만들어 이를 수행할 수 있습니다.



<VirtualHost *:80> 
          ServerName mkaz.blog
          Redirect / https://mkaz.blog/
</VirtualHost>

<VirtualHost *:443>
          ServerName mkaz.blog
          DocumentRoot /home/mkaz/sites/mkaz.blog
           <Directory /home/mkaz/sites/mkaz.blog>
                    Options Indexes FollowSymLinks
                    AllowOverride All
                    Require all granted 
          </Directory>

          SSLEngine on
          SSLCertificateFile           /etc/letsencrypt/live/mkaz.blog/cert.pem
          SSLCertificateKeyFile      /etc/letsencrypt/live/mkaz.blog/privkey.pem
          SSLCertificateChainFile     /etc/letsencrypt/live/mkaz.blog/fullchain.pem
          IncludeOptional /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>

WordPress용 HTTPS의 좋지 않은 사례

  • HTTPS 및 HTTP URL 모두에서 사이트를 제공하고 HTTPS 및 리디렉션을 사용
  • 혼합 콘텐츠 사용, 즉 HTTPS 페이지의 HTTP에서 제공되는 CSS, JS 또는 이미지

레퍼런스와 유용한 링크

  1. HTTPS를 사용해야 하는 이유
  2. Let’s Encrypt 및 Certbot
  3. Apache 모듈 mod_ssl – 공식 Apache 모듈 문서
  4. 웹 암호화(EFF.org)
  5. 순위 신호로서의 HTTPS(Google)
  6. 사이트 보안 모범 사례(Google)

변경 로그

  • 업데이트 날짜 및 설명

참고: https://wordpress.org/support/article/https-for-wordpress/

코멘트 제출