„Jest HTTPS, jest zielona kłódka w przeglądarce. Google pokazuje, że strona jest bezpieczna, więc temat zamknięty.”
Tak. Kłódka jest. Bezpieczeństwo — niekoniecznie.
Prawda
Zielona kłódka oznacza tylko jedno: połączenie między przeglądarką użytkownika a serwerem jest szyfrowane.
I dokładnie na tym kończy się jej rola.
Certyfikat SSL/HTTPS nie sprawdza, czy:
- strona jest wolna od malware,
- WordPress jest aktualny,
- wtyczki nie mają podatności,
- ktoś nie wstrzyknął złośliwego kodu,
- formularze nie wysyłają danych do trzeciej strony,
- serwer nie jest dziurawy jak sito.
HTTPS chroni dane w trakcie przesyłania, a nie samą stronę.
Co naprawdę oznacza zielona kłódka:
- dane logowania nie lecą otwartym tekstem,
- formularz kontaktowy nie wysyła treści „na podsłuch”,
- nikt po drodze nie podepnie się pod ruch użytkownika.
I to wszystko.
Czego zielona kłódka NIE robi:
- nie blokuje ataków na WordPressa,
- nie chroni przed lukami w wtyczkach,
- nie wykrywa złośliwego JavaScriptu,
- nie zapobiega phishingowi,
- nie sprawdza, kto faktycznie zarządza stroną,
- nie zabezpiecza panelu /wp-admin,
- nie robi backupów,
- nie aktualizuje systemu.
Tak, strony phishingowe też mają zieloną kłódkę.
Tak, zainfekowane strony też mają zieloną kłódkę.
Wniosek
HTTPS to warunek konieczny, ale skrajnie niewystarczający.
Bezpieczeństwo strony to ekosystem:
- aktualny WordPress,
- aktualne wtyczki i motyw,
- bezpieczne PHP i serwer,
- ograniczone dostępy,
- monitoring,
- backupy,
- reagowanie na incydenty.
Zielona kłódka mówi tylko: „Dane są szyfrowane w drodze”.
Nie mówi: „Strona jest bezpieczna”.