Um Kreditkarten auf Ihrer Website zu akzeptieren und möglichst wenig PCI-konform müssen Sie über ein SSL-Zertifikat verfügen und HTTPS auf allen Seiten verwenden, die Kreditkartendaten erfassen. HTTPS bietet eine Authentifizierung für Ihre Website und den zugehörigen Webserver, die vor Man-in-the-Middle-Angriffen schützt.
Darüber hinaus bietet es eine bidirektionale Verschlüsselung der Kommunikation zwischen dem Browser eines Kunden und Ihrem Server, die vor Abhören und Manipulation und/oder Fälschung des Inhalts der Kommunikation schützt.
In diesem Artikel gehen wir auf die Schritte ein, die Sie durchführen müssen, um die Sicherheit Ihrer Website zu gewährleisten. Dieser Artikel könnte ebenfalls hilfreich sein: http://www.wpbeginner.com/wp-tutorials/how-to-add-ssl-and-https-in-wordpress/.
Kaufen und installieren Sie ein SSL-Zertifikat
Es gibt eine Reihe von Unternehmen, bei denen Sie SSL-Zertifikate erwerben können, darunter GoDaddy, VeriSign und GeoTrust um nur einige zu nennen. Sobald Sie ein SSL-Zertifikat erworben haben, müssen Sie mit Ihrem Hosting-Anbieter zusammenarbeiten, um es auf Ihrem Server einzurichten.
Prüfen Sie, ob Ihr SSL-Zertifikat korrekt installiert ist
Sobald Sie mit Ihrem Hosting-Provider zusammengearbeitet haben, um das SSL-Zertifikat zu installieren, können Sie überprüfen, ob alles korrekt eingerichtet ist, indem Sie Folgendes verwenden SSL-Prüfer.
WordPress SSL-Einstellungen prüfen
Wenn Sie das unten empfohlene HTTPS-Plugin verwenden möchten, müssen Sie sicherstellen, dass WordPress kein SSL erzwingt. Gehen Sie dazu in die Datei wp-config.php und überprüfen Sie, ob "FORCE_SSL_ADMIN" dort definiert ist, und wenn ja, stellen Sie sicher, dass es auf "false" gesetzt ist. Hier sind Detaillierte Anweisungen für die Arbeit mit der Force-SSL-Einstellung.
Sichere Seiten auf Ihrer Website
Sobald Ihr SSL-Zertifikat erfolgreich installiert wurde, müssen Sie sicherstellen, dass HTTPS auf allen Seiten Ihrer Website verwendet wird, die sensible Daten erfassen. Dies lässt sich leicht mit der WordPress HTTPS Plugin.
HINWEIS: Wenn Sie diesem Link folgen, werden Sie sehen, dass das Plugin seit über zwei Jahren nicht mehr aktualisiert wurde. Das ist in Ordnung. Das Plugin macht etwas sehr Spezielles und hat einen engen Fokus, so dass Aktualisierungen nicht so oft erforderlich sind, wie es bei komplexeren Plugins der Fall wäre. Außerdem ist WordPress HTTPS eine Empfehlung, keine Voraussetzung. Es gibt andere WordPress-HTTPS-Plugins (https://wordpress.org/plugins/search.php?q=https). Sie können jedes Plugin verwenden, das die Verwendung von HTTPS auf Ihrer Website erzwingen kann.
WICHTIG! Nachdem Sie das WordPress HTTPS-Plugin aktiviert haben, gehen Sie zu den Einstellungen und im Bereich Allgemeine Einstellungen Abschnitt stellen Sie sicher, dass die Ausschließlich SSL erzwingen ist nicht aktiviert. Wenn diese Option aktiviert ist, ändert das WordPress-HTTPS-Plugin versehentlich die URL auf den MemberMouse-Kassenformularen so, dass sie unsicher ist. Dies führt dazu, dass Kunden in einigen Browsern eine Warnmeldung angezeigt wird, wenn sie versuchen, das Kassenformular abzuschicken. Um dies zu vermeiden, stellen Sie einfach sicher, dass die Ausschließlich SSL erzwingen nicht markiert ist, wie unten dargestellt:
Sie sollten auch URL-Filter für das php-Prozess-Skript hinzufügen, das MemberMouse für Transaktionen verwendet. Diese können ebenfalls im Abschnitt URL-Filter hinzugefügt werden. Sie müssen die folgenden URLs hinzufügen:
/wp-content/plugins/membermouse/api/processOrder.php
/wp-content/plugins/membermouse/scheduler/handler.php
Und wenn Sie Social Login verwenden: /wp-content/plugins/membermouse/endpoints/auth.php
Gehen Sie dann zu jeder Seite, die gesichert werden muss, und kreuzen Sie an Sicherer Posten im HTTPS Modul. Dies gilt für die Hauptseiten "MemberMouse-Kasse" und "Mein Konto" sowie für alle Seiten, auf denen Sie ein MemberMouse-Kassenformular integriert haben.
Stellen Sie sicher, dass Ihre Seiten vollständig gesichert sind
Sobald Sie ein Plugin für HTTPS installiert und konfiguriert haben, welche Seiten HTTPS verwenden sollen, sollten Sie sicherstellen, dass keine unsicheren Elemente auf Ihren sicheren Seiten geladen werden, da dies in der Regel dazu führt, dass der Browser dem Benutzer eine Warnung anzeigt, die ihn darüber informiert, dass die Seite nicht sicher ist.
In einigen Browsern wie Chrome sind sie strenger und brechen das Rendern der Seite ab, wenn ein unsicheres Element gefunden wird. Sie können Verwenden Sie dieses Tool, um sicherzustellen, dass Ihre Seiten vollständig sicher sind.. Wenn der Bericht Ihnen mitteilt, dass Sie unsichere Elemente auf Ihrer Seite haben, verwenden Sie diese Ressource, um die unsicheren Elemente zu reparieren.