[CloudFlare] Cài đặt SSL miễn phí cho WordPress

Có nhiều loạigiấy chứng nhận SSL khác nhau. Giá mỗi loại cũng khác nhau và một trong số đó là miễn phí. Giấy chứng nhận SSL miễn phí thường là một chứng chỉ tự ký (self-signed), trình duyệt sẽ nhắc nhở khách với một cảnh báo bảo mật (do đó trên thực tế có thể còn tồi tệ hơn không có một giấy chứng nhận SSL ở tất cả).

Vậy làm thế nào về nhận được một giấy chứng nhận SSL miễn phí ? Hoàn toàn có thể! Với điều kiện là bạn hiểu và chấp nhận những khuyến cáo sau đây:

• Các flexible CloudFlare SSL chỉ mã hóa giữa người truy cập và website (không giữa máy chủ lưu trữ web của bạn và CloudFlare)
• Người truy cập của bạn sẽ thấy rằng các website được đánh dấu là ‘an toàn’ và giải quyết theo giao thức HTTPS, nhưng nó sẽ không bảo mật hình thức mà yêu cầu thông tin nhạy cảm (như thông tin thẻ tín dụng)
• Nếu bạn đang chạy một blog hoặc một website giới thiệu đây là một giải pháp tuyệt vời. Nếu không, nó là rất cao nên để có được một giấy chứng nhận SSL đầy đủ do cơ quan chứng nhận

Nếu bạn hiểu tất cả những điều trên, sau đây là danh sách 5 điều bạn cần làm để thiết lập CloudFlare SSL free trên website của bạn:

1. Yêu cầu và thiết lập Flexible SSL trên CloudFlare
2. Cài đặt plugin cần thiết trên website WordPress của bạn
3. Thay đổi WordPress URL của website
4. Thực thi HTTPS qua CloudFlare
5. xử lý các vấn đề mixed-content

1. Yêu cầu và thiết lập flexible SSL miễn phí trên CloudFlare

Đăng ký CloudFlare

      

Truy cập vào trang đăng ký CloudFlare. Nhập thông tin của bạn và xác minh địa chỉ email của bạn.

Thêm website của bạn

Tất cả bạn cần làm trong bước này là nhập tên miền của trang web của bạn.

Chọn phương án free

Lựa chọn gói miễn phí ở bên trái.

Thay đổi name servers của bạn

QUAN TRỌNG *** : bạn sẽ phải trỏ name server của domain về CloudFlare. Bạn sẽ cần phải thiết lập cấu hình này tại tên miền của bạn đăng ký. Sau nhấp vào ‘Tiếp tục’ và bạn sẽ được chuyển hướng đến các thiết lập cho tên miền này.

Lấy Flexible SSL Certificate

Lưu ý: Nếu bạn không trông thấy một trang giống như trên, click vào ‘Trang chủ’ và sau đó bấm vào tên miền mà bạn đã thêm.

Bạn sẽ thấy một hàng biểu tượng. Nhấp vào ‘Crypto’ và chọn Flexible từ menu đổ xuống bên dưới cài đặt SSL.

Nếu bạn đã trỏ name server mà CloudFlare có yêu cầu, với hướng dẫn trong bước trước, SSL sẽ hoạt động trong vòng 15 phút. Điều này có thể tùy thuộc vào nhiều yếu tố như thời gian lan truyền DNS, CloudFlare vv

2. Cài đặt plugin WordPress

CloudFlare Flexible SSL Plugin

Tới phần ‘Plugins’ trong bảng điều khiển WordPress và bấm vào ‘Add new’. Tìm kiếm cho ‘Cloudflare Flexible SSL’ và cài đặt nó. Plugin này cho phép cloudflare flexible SSL hoạt động đúng và ngăn chặn vòng lặp chuyển hướng vô hạn mà có thể xảy ra.

HTTPS redirection Plugin

Các plugin chuyển hướng được yêu cầu cài đặt để tránh cái gọi là “redirect loops“ . CloudFlare sẽ buộc tất cả lưu lượng truy cập vào website của bạn thông qua HTTPS. Các máy chủ sẽ phải đáp ứng tốt giao thức HTTPS. Vì vậy, bạn sẽ cần một trong 2 plugin này. Tùy vào website, máy chủ và các thiết lập khác của hosting, nếu 1 plugin không hoạt động, bạn có thể thử một plugin khác.

WordPress HTTPS (SSL)

Tới phần ‘Plugins’ trong bảng điều khiển WP và bấm vào ‘Add New’. Tìm kiếm ‘WordPress HTTPS (SSL)’. Sau khi kích hoạt plugin, mở trang cấu hình và chọn ‘Yes’ cho Proxy.

Really Simple SSL

Plugin này khá phổ biến, được nhiều người dùng. Trong hầu hết các trường hợp, bạn sẽ không cần phải thay đổi bất kỳ cài đặt nào sau khi kích hoạt plugin. Tất cả bạn phải làm là kích hoạt các plugin và nhấp vào ‘Go ahead, activate SSL!’

3. Thay đổi WordPress URL

Có 2 URL bạn cần đổi: WordPress address và Site address.

WordPress address là URL quản trị admin, nội dung và thư mục cần thiết khác và các tập tin.

Site address là URL mà khách truy cập vào website.

Hai địa chỉ đều giống nhau ở một cài đặt WordPress mặc định. Tại sao đôi khi là khác nhau? Có hai lý do chính:

Quá trình cài đặt WordPress không nằm trong thư mục gốc trên máy chủ lưu trữ web. Một số người dùng đặt các website WordPress trong thư mục con với mục đích bảo mật WordPress .

Một số phần của website không phải là WordPress. Ví dụ có một website mà có một blog chạy WordPress , trong khi các phần khác của website là tĩnh hoặc sử dụng một CMS khác.

Trong trường hợp flexible CloudFlare SSL, chúng ta cần Site address trỏ đến URL HTTPS của website (bởi CloudFlare). WordPress address nên giữ nguyên vì nó được trỏ đến máy chủ lưu trữ web của chúng ta mà không có giấy chứng nhận SSL.

Đăng nhập vào quản trị wp-admin, chọn ‘Settings -> General’ và đổi từ ‘http://’ sang ‘https://’. Xem hình bên dưới.

4. Thực thi HTTPS qua CloudFlare

Sau khi bạn đã thực hiện tất cả các thay đổi trên, có một số điều chỉnh cuối cùng mà bạn sẽ phải thực hiện trên CloudFlare. Thực hiện theo các bước sau:

• Trở lại trang CloudFlare
• Chọn tên miền của bạn
• Chọn biểu tượng ‘Crypto’
• Bật tùy chọn ‘Always Sử dụng HTTPS’
    
• Kích hoạt tùy chọn ‘Opportunistic encryption’ và ‘Automatic HTTPS rewrites’.

Bạn cũng có thể tạo Rule riêng. Nó thực hiện chính xác những điều tương tự như ‘Always Use HTTPS’ tùy chọn này trong tab ‘Crypto’.

Để tạo một quy tắc:

• Tới tab ‘Page Rule’ trên CloudFlare
• Nhấp vào ‘Create a Page Rule’
    
• Nhập tên miền của bạn ở giữa để dấu hoa thị
• Dưới mục ‘Pick a setting’ chọn ‘Always use HTTPS’
    

5. Giải quyết các vấn đề hỗn hợp nội dung (mixed-content)

Chuyển hướng một trang web WordPress sang https có thể dẫn đến các vấn đề hỗn hợp nội dung. Điều này có nghĩa rằng một số tài nguyên (bao gồm cả các liên kết, hình ảnh, script, vv.) được nạp không an toàn bởi giao thức ‘HTTP’ trong khi trang web được tải với ‘https’. Tùy thuộc vào trình duyệt, các ổ khóa SSL có thể bị mất từ ​​thanh địa chỉ hoặc trang web của bạn sẽ không được hiển thị khóa mầu xanh đầy đủ.

hardcoded URL không an toàn

Các URL mà được mã hóa cứng có thể được tìm thấy trong giao diện hoặc các file plugin. Điều này xảy ra bởi vì các nhà phát triển sử dụng URL tuyệt đối thay vì đường dẫn tương đối (ví dụ: http://mywebsite.com/wp-content/image.png (tuyệt đối) vs /wp-content/image.png (tương đối)).

Trong trường hợp này, bạn sẽ phải chỉnh sửa các tập tin bằng tay. Vì nó là không thực tế để chỉ tìm kiếm các file theme  / plugin cho các liên kết mã hóa cứng, điều tốt nhất để làm là sử dụng plugin String Locator. Nó sẽ giúp bạn xác định vị trí các tập tin và chính xác dòng mã nào chứa các URL không an toàn.

Kiểm tra SSL của website

Nếu bạn đang sử dụng một plugin bộ nhớ đệm, làm trống bộ nhớ cache. Nó cũng là một ý tưởng tốt để xóa bộ nhớ cache từ trình duyệt của bạn trước khi kiểm tra xem SSL đã hoạt động chính xác.

Hy vọng rằng, bây giờ website của bạn đang chạy một SSL có khóa màu xanh lục. Tuy nhiên, nếu bạn vẫn không thể thiết lập SSL trên WordPress hãy liên hệ với chúng tôi .

Nếu bạn có bất kỳ câu hỏi nào, hãy để lại ý kiến của mình ở cuối bài viết này nhé. Xin cảm ơn!

Để nhận được bài viết mới vui lòng đăng ký kênh kiến thức WordPress từ A-Z ở Form bên dưới. Bạn cũng có thể nhận được sự trợ giúp trên Twitter và Facebook