我在一个网站上工作,在这个网站上,用户注册并能够创建各种自定义帖子类型(为了简单起见,我们称之为锦标赛,尽管它比一个CPT稍微复杂一些),其他网站访问者可以查看。用户拥有相当于一些前端仪表板页面的内容来管理他们的各种比赛。他们没有访问WP后端的权限。除此之外,用户还有帐户和个人资料页面,以及您通常在会员风格网站上看到的所有其他页面。
我目前还没有实现SSL,但希望实现。前几天,我在一个测试站点上玩它,遇到了一些我想不出最好的方法来处理的事情。我曾计划让所有登录/管理/帐户/仪表板页面通过HTTPS提供服务,并保留“锦标赛”前端页面以及博客文章等通过HTTP提供服务。然而,当我这样做,我登录(通过HTTPS),并进入其中一个锦标赛页面。。。它会让我注销,或者至少显示我在该页面上已注销。考虑到我已经登录到HTTPS端,这是有道理的,但我真的不知道该如何处理这个问题。我对登录和不登录有不同的菜单,我显然不希望它仅仅因为用户进入我没有强制SSL的页面就随机注销用户。绝大多数网站访问者都没有账户,我现在不需要保护上述账户页面之外的所有页面。
我看到的选项:
毫无例外地在整个站点上强制使用SSL。如果这是目前公认的做法,我认为我对此没有特别的问题。不过,在缓存或CDN实现方面,听起来可能会有一些困难谢谢
最合适的回答,由SO网友:Mark Kaplun 整理而成
您要么使用站点范围的HTTPS,要么一开始就不应该使用它。它是针对所有访问还是仅针对登录用户,取决于您的流量配置文件。如果大多数流量来自注册用户,那么只需使用无条件的HTTPS,因为只针对登录用户有条件地使用HTTPS显然会引入更多测试,并且可能无法很好地处理这种情况的插件。
旁注:你应该问问自己为什么要这么做。使用HTTPS可以提高针对特定用户的针对性攻击的总体安全性,但不会大大提高网站的总体安全性。更可能的情况是,用户的帐户会被暴力破解,然后被“监听”其流量的人破解。
