Поддержка SSL в WordPress


Оглавление (нажмите, чтобы открыть):

SSL и HTTPS для WordPress

Одним из главнейших моментов в полноценном обеспечении безопасности интернет-сайта на WordPress считается установка SSL-сертификата. При его помощи пользователи могут обмениваться различной информацией с вашим интернет-сайтом через защищенное и безопасное соединение по протоколу. Но необходимо будет проделать определенную, хоть и нетрудную работу для того, чтоб определить, какую информацию надо защитить, убедиться, что она покидает ресурс в таком виде.

SSL — что это?

Протокол SSL – стандарт для обмена надежными данными между браузером и сайтом. Он устанавливает доверительные отношения между веб-браузером и сервером. Когда «доверие» установлено, сервер шифрует информацию таким образом, что лишь конечный получатель их сможет расшифровать.

Подобные меры безопасности принимаются в связи с вероятностью, что любые данные, которые передаются через интернет с одной точки в другую, могут в любой момент быть перехвачены хакерами или иными участниками интернета.

Передача защищенных данных дает уверенность, что лишь конкретный получатель их сможет прочесть. Если их откроет кто-то другой, то увидит лишь искаженное изображение, набор символов. Это гораздо лучше, нежели видимые данные кредитной карты, письма, личные записи.

Применение SSL требует от интернет-сайта установки особого сертификата. Приобретение данного сертификата передает браузеру важные данные о безопасности вашего ресурса. В большинстве браузеров, когда вы заходите на безопасный сайт, то увидите специальную иконку в адресной строке в виде зеленого замочка. Это означает наличие SSL-сертификата.

Наличие SSL обязательно для любого сайта, который занимается электронной коммерцией, и рекомендуется всем тем, кто имеет дело с обменом важными данными.

После установки сертификата все посетители вашего сайта смогут иметь доступ к его страницам через HTTPS или HTTP соединение. Не зря здесь употреблено слово «сможет», а вовсе не «будет», поскольку добавления сертификата еще недостаточно. Вам необходимо настроить WordPress так, чтоб заставить посетителей применять HTTPS.

Использование HTTPS

Можно настроить сайт на WordPress так, чтобы посетители применяли HTTPS при входе на интернет-сайт, при использовании админки, на каждой или же на конкретных страницах вашего ресурса. Есть два подхода к определению потребности его использования. Первый – по потребности. То есть, лишь наиболее чувствительные файлы. Второй способ – полностью для всего сайта.

Недавно Google заявил, что защищенные сайты при помощи HTTPS имеют в поисковой выдаче гораздо более высокие показатели. Это значит, что применение HTTPS не только обеспечит защиту интернет-сайта, но также поспособствует SEO.

Недостаток применения SSL для всего сайта в том, что протокол HTTPS работает несколько медленнее, чем HTTP. А это уже дополнительная нагрузка на сервер, отправляющий информацию и браузер, получающий их. Таким образом, данный процесс требует большего времени.

Так как скорость загрузки интернет-страницы для пользователя и SEO очень важна, нужно определить, является ли важной защита обычного нечувствительного контента. Это, разумеется, зависит от множества факторов и определяется после тестирования вашего ресурса.

Как правило, к самым чувствительным данным относят информацию личного характера, касающуюся компании. Это финансовая информация, номер кредитной карты, пароли. И, как уже ранее говорилось, установка HTTPS — обязательное условие для всех ресурсов электронной коммерции. А также при передаче любой чувствительной информации. К ним относят, например, информацию медицинских карт.

Настраиваем SSL вручную

Есть константа, которую вы сможете использовать в wp-config.php и обеспечить таким образом безопасное соединение в админке. Константа — FORCE_SSL_ADMIN – требует обязательного наличия SSL-сертификата и так же HTTPS для доступа в любое место вашей админки WordPress.

По умолчанию, изначально данная функция выключена. Для того, что бы ее задействовать, нужно добавить в ваш файл wp-config.php такой код:

Советую изучить статью в WordPress Codex о том, как настроить HTTPS на всем сайте и зашифровать страницы фронтенда.

Но если у вас не получается сделать все это с помощью двух данных констант, то существует еще один способ – это использование привычного плагина. О нем речь ниже.

Применение плагина для HTTPS

Есть хороший бесплатный плагин WordPress HTTPS (SSL), при помощи которого можно легко сделать все настройки. Но плагин давно не обновлялся и тестировался лишь для версии WordPress 3.5.2. Тем не менее, он нормально работает с версиями 3.9 и 4.0.

Данный плагин выполняет две функции. Он позволяет задать SSL-настройки для вашего интернет-сайта или сайтов.

В случае если вы не хотите применять SSL для всего сайта, то тогда плагин позволяет выбрать определенные записи и страницы для этого.

Настройка плагина проста. Панель управления дает возможность настраивать функции для всего сайта.

Плагин также предоставляет дополнения в форме метабоксов к каждому редактору постов, это позволяет вам индивидуально настроить страницу или запись. Это крайне удобно, если необходимо обезопасить доступ сразу к нескольким страницам.

Для безопасности интернет-сайта SSL недостаточно!Установка и настройка SSL является, разумеется, важным шагом на пути к обеспечению полной безопасности ресурса на WordPress и пользовательской информации, но и этого, увы, недостаточно. Пароль вашего интернет-сайта все равно можно угадать или узнать. И в таком случае SSL не защитит сайт от использования ваших данных теми, кто ее получил при помощи взлома доступа к ресурсу.

Как же можно перестраховаться? Выбирать лишь очень сильные пароли, обновлять своевременно плагины и темы на WordPress, регулярно сканировать на наличие различных вредоносных скриптов.

Наличие на вашем интернет-сайте SSL-сертификата его не обезопасит. Нужно использовать еще и специальные плагины безопасности, например, iThemes Security, WordFence или же сервис Sucuri. Однако установка SSL сертификата, а также конфигурация WordPress для применения HTTPS – первый и важный шаг к обеспечению хорошей безопасности сайта. И, к тому же, очень простой.

SSL в WordPress. Установка сертификата от Let’s Encrypt и настройка https:// на сайте

Первоначально этот пост был опубликован, ещё когда не было бесплатных сертификатов Let’s Encrypt, теперь же, с их появлением, произошли некоторые изменения, как минимум, на каждом сайте с SSL теперь написано «Надёжный»:

Если же у вас есть например форма авторизации на странице и нет https://, то гугл хром соответственно будет указывать «Нанадёжный», а если вы платежи по картам принимаете и нет SSL, то хром вообще с ума сойдет �� также все говорят о влиянии SSL на SEO, а потому с начала этого года (2020) все просто активизировались и загорелись установкой SSL-сертификата себе на сайт.

Если вы используете какой-либо хостинг, то на мой взгляд, первый шаг, связанный с заказом, продлением и установкой сертификата Let’s Encrypt должен решаться через панель хостера нажатием одной кнопки, мне нравится как это реализовано у beget, также помню, что у меня абсолютно не возникло никаких проблем с сертификатами на sprinthost.

Вообще, на мой взгляд есть два варианта настройки защищенного соединения на сайте WordPress:

  • админка через https, а сайт через http (опять-таки, в 2015 году это ещё было актуально, но теперь прикольно делать весь сайт на https://, поэтому скипайте первую часть поста и переходите сразу ко второй),
  • полностью весь сайт через https.

SSL в админке и для страницы wp-login.php

Если вам нужно, чтобы админка сайта WordPress и страница авторизации wp-login.php были доступны только по защищенному соединению, вставьте эту строку в файл wp-config.php (конфигурационный файл, находится в корне сайта):

Как сделать, чтобы остальной сайт всегда был без https

Это нужно для того, чтобы страницы вашего сайта не были доступны по двум адресам одновременно (с https и без). Используем 301-й редирект. Код — в functions.php .

Полностью весь сайт на SSL

    Для начала переходим в Настройки > Общие и меняем там http на https:

Процесс перехода на https:// очень похож на процесс по смене домена. Сейчас ваша задача, чтобы везде, где на сайте был указан протокол http://, сейчас было заменено на https://. Если у вас пара тысяч страниц контента, это может стать проблемой, поэтому рекомендую воспользоваться этим инструментом, просто в поле для старого домена указываете свой сайт с http://, а там где новый домен — с https://. Отправляетесь в phpMyAdmin (через панель хостинга) и запускаете сгенерированные запросы на вкладке SQL.

  • Проверьте свою тему — нет ли там таких мест, в которых подключаются стили или скрипты, или что бы там ни было через http:// , если да, меняем в коде на https:// либо на относительный протокол // . Успешным выполнением первых двух пунктов будет считаться надпись «Надёжный» в браузере гугл хром на всех страницах сайта. Если она появилась не везде, открываем консоль браузера и смотрим, что упустили.
  • Затем нам нужно настроить редирект страниц сайта с незащищенного соединения на защищенное, ведь мы не хотим, чтобы сайт был одновременно доступен по двум урлам, для этого вставляем в основной .htaccess :

    Однако у некоторых хостингов с этим кодом могут возникнуть проблемы, в таком случае не трогайте .htaccess , а вставьте например в самое начало functions.php :

    Впервые познакомился с WordPress в 2009 году. С 2014 года меня можно встретить на WordCamp по всему миру — официальной конфе по WordPress, иногда там выступаю, но с 2020 выступаю только на тех, которые сам организовываю. Также периодически школа Epic Skills и LoftSchool приглашают меня вести у них уроки/вебинары.

    Если вам нужна помощь с вашим сайтом или может даже разработка с нуля — пишите мне.

    Как подключить SSL и HTTPS на WordPress?


    Не так давно Гугл заявил, что будет давать сайтам, использующим SSL, более высокие позиции. Пока этот «бонус» дает порядка 1% прироста в трафике, но в будущем картина сильно изменится. В данной статье мы рассмотрим, что такое SSL и как его использовать на WordPress.

    Безопасность обмена информацией в сети обеспечивается за счет применения SSL и HTTPS. Эта технология позволяет защитить свои личные данные от доступа к ним посторонних лиц. Если предполагается, что посетители вашего сайта будут заходить в свою учетную запись или оставлять на сайте свои личные данные (имя, адрес, платежные реквизиты) — вам тоже следует использовать SSL. Без него пользовательские данные не будут защищены.

    Оглавление:

    Что такое SSL?

    Аббревиатура SSL расшифровывается, как Secure Socet Layer – уровень защищенных сокетов. Эту технологию в 1994 году начал внедрять Netscape – как способ обеспечить безопасность обмена данными между сайтом и конечным пользователем. Позже SSL развился до версии 3.0, но все еще содержал ряд уязвимостей.

    Официальное признание пришло, когда на эту технологию в 1999 году обратил внимание Инженерный совет Интернета. С тех пор SSL начал активно совершенствоваться.

    Как работает SSL?

    Эта технология базируется на шифровании информации, которой сервер обменивается с браузером пользователя. Если перехватить эту информацию, она не будет выглядеть, как осмысленный текст, скорее — как бессвязный, случайный код.

    Чтобы обеспечить соединение через SSL, владелец сайта должен получить соответствующий сертификат. Выдачей SSL сертификатов занимаются специальные компании — Центры сертификации, а каждый выданный ими сертификат ассоциируется с конкретной фирмой, у которой есть название, адрес, номер телефона и т.д.

    При этом фирма получает два ключа — приватный и публичный. Приватный ключ, как пароль, никому не показывается. В отличие от него, публичный ключ находится в открытом доступе.

    Оба ключа представляют собой строчки из цифр и букв, которые неким математическим образом соответствуют друг другу. Это чем-то похоже на ключ от двери и дверной замок.

    После проверки публичного ключа и указанных вами данных, сертификат подписывается, а ваш сайт получает возможность использовать защищенное SSL-соединение.

    Когда пользователь заходит на такой сайт, его публичный сертификат сверяется с приватным ключом. Если все нормально — между сайтом и браузером пользователя создается защищенное соединение.

    Как выглядят сайты с поддержкой SSL?

    Первое, что отличает такие сайты от других — буквы HTTPS в адресе (вместо HTTP). В адресной строке браузера такие адреса помечаются иконкой с зеленым замком.

    Адреса сайтов, которые прошли для получения сертификата через процедуру расширенной проверки, в браузере выделяются еще и цветом и могут содержать название компании.

    Расширенная проверка подразумевает, что компания предоставила доказательства достоверности своего физического адреса и прочих данных.

    Когда сертификат перестает работать?

    Если сертификат SSL оказывается просроченным или не может правильно работать по каким-то другим причинам (например, он — пользовательский, то есть подписан самостоятельно), значок замка рядом с адресом сайта становится красным, а перед пользователем появляется предупреждающее окно.

    Просроченные сертификаты достаточно просто продлеваются. Но лучше продлевать их заблаговременно, когда срок действия еще не вышел.

    Если вы используете сертификат, подписанный самостоятельно, Центр сертификации не может подтвердить подлинность ваших ключей шифрования. Большинство современных браузеров доверяет только сертификатам, выпущенным официальными Центрами сертификации. Иногда даже сертификаты, выданные не очень надежными Центрами рассматриваются браузерами, как подписанные самостоятельно.

    Сертификат может перестать работать и по другим причинам. Например, из-за устаревшего способа хеширования. Хеширование — это преобразование символов сообщения произвольной длины в более короткое хеш-значение. Оно применяется во многих криптографических протоколах.

    Сначала для работы SSL применялось хеширование по технологии SHA0. Потом технология устарела и была заменена на SHA1. Теперь действующим стандартом является SHA2. Когда-нибудь его заменит SHA3.

    Сертификат также перестает работать, если он выдан для конкретного домена, но используется на сайте с другим адресом.

    Если рядом с адресом сайта появляется замок с желтым треугольником — скорее всего, дело в том, что на его страницах используются ссылки без префикса HTTPS (например, в адресах картинок или ссылках меню вместо HTTPS стоит HTTP).

    Чтобы быстро найти причину некорректной работы сертификата, вы можете воспользоваться бесплатным сервисом Why No Padlock. В частности, он помогает находить проблемы, связанные с неправильными адресами картинок и скриптов.

    Использование HTTPS в связке с WordPress

    Когда вы получите сертификат, то сможете использовать его на своем сайте, работающем на WordPress. Не забудьте сделать бэкап перед тем, как настраивать сайт под SSL.

    Первое, что нужно сделать — отредактировать файл wp-config.php и добавить в него строчку кода, которая будет принудительно использовать SSL для доступа в админку:

    Мастер Йода рекомендует:  Первоапрельский IT-юмор подборка шуток известных компаний

    Она должна находиться выше строки с комментарием:

    После этого вам понадобится настроить 301-й редирект, чтобы все посетители автоматически перенаправлялись на HTTPS-версию.

    Отредактируйте файл .htaccess или создайте его, если он по каким-то причинам еще не создан. В приведенном ниже примере замените mysite.com на имя своего домена. Цифра 80 обозначает порт, через который работает ваш сервер. Если используется другой порт, цифру нужно будет поменять.

    Теперь зайдите на сайт и проверьте, все ли работает так, как надо. Если в браузере адрес сайта начинается с HTTPS, а рядом с ним появился зеленый замок — все в порядке.

    Заключение

    Применение технологии SSL – хороший способ защитить сайт и его посетителей, но не единственный. Существует ряд плагинов, облегчающих установку SSL, но некоторые из них устарели или могут быть несовместимы с актуальной версией WordPress – так что будьте осторожны. Иногда устаревшие плагины работают хорошо, но безопасность — это не та область, в которой можно надеяться на случай.

    Ошибка протокола https в wordpress

    Автор: Эдуард Бунаков · Опубликовано 25 января 2020 · Обновлено 6 августа 2020

    Ошибка протокола https в блоговом движке wordpress одна из самых распространенных на сегодняшний день. Изменение поисковых алгоритмов и инструкций некоторых поисковых систем, заставляют владельцев сайтов переходить именно на защищенное соединение по протоколу https, получив для этих целей ssl-сертификат. В противном случае, сайты со старыми протоколами, будут понижаться в рейтингах.

    Краткая справка: HTTPS не является отдельным протоколом. Это обычный HTTP, работающий через шифрованные транспортные механизмы SSL и TLS. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения — от снифферских атак и атак типа man-in-the-middle, при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют.

    Сам механизм получения бесплатных сертификатов и подключения сайта можно узнать у хостинг-провайдера. В результате перехода с одного протокола на другой, соответственно меняется и адрес поста, картинки, меню и прочих ссылок имеющихся на сайте. Отсюда появляются ошибки протокола https о которых наглядно покажет браузер Mozilla Firefox.

    Конечно доверия к таким сайтам больше, не только у поисковых систем, но и у простых пользователей. Но есть определенные трудности и ошибки связанные с этим переходом, особенно на сайтах с большим объемом информации. Новый и небольшой сайт перевести на https проще и соответственно ошибок меньше, в результате время на исправления будет затрачено не много.

    В данном видео я покажу как на практике исправить ошибки протокола https в wordpress. Для работы я использовал три инструмента: плагин Search Regex, программу Screaming Frog SEO Spider и приложение браузера Mozilla Firefox.

    Исправляем ошибка протокола https

    После получения ssl-сертификата и подключения wordpress-сайта к протоколу https, необходимо зайти в настройки самого движка и изменить адрес блога.

    Самое главное действие которое необходимо сделать перед тем как устранить ошибки протокола https — это сделать резервную копию wordpress.

    Затем установить плагин и активировать его. Первоначально мы можем быстро найти и исправить все ссылки на блоге имеющие адрес http://… на https://…

    В большинстве случаев, после этой процедуры, останется совсем немного ошибок. Чтобы их найти, устанавливаем на компьютер программу Screaming Frog SEO Spider и ищем все остальное. В главное поле подставляем адрес сайта и нажимаем кнопку «start».

    Программа найдет не только все ссылки, но и все что угодно. Чтобы быстро найти несуществующие страницы, в окно поиска добавляем 404 и таким образом у нас появятся данные о страницах, которых нет или которые были когда-то перенесены либо удалены.


    Устраняем ошибки с помощью плагина. В верхнее поле подставляем несуществующий адрес, а в нижнее-реальный и жмем кнопку «Replace & Save».

    Большинство ошибок бывает связано с изображениями когда вроде бы все сделано, но браузер Firefox показывает что не все проблемы устранены. И здесь можно воспользоваться приложением самого браузера нажав на изображение замка в адресной строке и ссылку «подробнее».

    На вкладке мультимедиа можно просмотреть все картинки и их адреса. Вот здесь иногда скрываются ссылки совсем не те, которые бывают нужны. Процедура избавления от этих ссылок точно такая же как описывалось выше.

    В результате всех этих действий можно очень быстро найти и исправить ошибки протокола https в wordpress практически в автоматическом режиме.

    WordPress защищенное соединение SSL

    Если Вы получили сертификат, то сайт будет работать по протоколу HTTPS. И самое главное, здесь подходит больше слово «может». Необходимо ещё поработать над самим сайтом WordPress, что все посетители работали с сертификацией SSL.
    Как же воспользоваться HTTPS? WordPress подключение к сайту защищено не полностью, можно исправить.

    В настройках WordPress имеются опции, настройки могут быть сконфигурированы для применения протокола HTTPS только на отдельных страницах пользователем сайта. К примеру, когда он попадает в панель администратора или занимается серфингом новостей. Существует 2 способа использования протокола:

    1) Страницы и файлы;
    2) Для всего проекта на WordPress.

    3,0,1,0,0

    Единственным минусом HTTPS считается более медленная работа по сравнению с HTTP-протоколом. Если Вы заметили медленную работу сайта, не пугайтесь. Причина до банальности проста — требуется время на шифровку и дешифровку передаваемых данных. На это требуется определенное количество времени.

    Следует сразу же определить для себя необходимость и важность защищаемого контента. Здесь влияют различные особенности ресурса и производится предварительный анализ публикуемого контента. В числе наиболее значимого контента выделают коды банковских карт, пароли и другую важную информацию. HTTPS-протокол является обязательным для коммерческих интернет-проектов.

    Как настроить на блоге SSL?

    Если Вы хотите использовать протокол HTTPS в административной части Вордпресс, отредактируйте wp-config.php. Называется команда FORCE_SSL_ADMIN. Для её использования обязательно необходимо наличие HTTPS-протокола и сертификации SSL.

    Первоначально пользователь получает сайт WordPress с выключенной данной опцией. Открываем через блокнот wp-config.php и добавляем:

    7,1,0,0,0

    define( ‘FORCE_SSL_ADMIN’, true );

    WordPress система без установки каких-либо плагинов получит поддержку SSL-сертификации и включит протокол HTTPS.

    Плагин WordPress HTTPS (SSL)

    Если нужно решить проблему подключения SSL-сертификата, поможет готовый плагин Вордпресс HTTPS/SSL. Всё настраивается быстро и просто. Последнее обновление плагина было довольно таки давно. Тестировали плагин только с версией WP 3.5.2. Также, проверена работа с более ранними ядрами.

    10,0,0,1,0

    Плагин включает в себя 2 основные опции. С его помощью можно задать настройки HTTPS-протокола для отдельного сайта или пакетно.

    Если Вы хотите, можно ограничить использование плагина отдельными страницами и записями. Тогда можно ускорить немного прогрузку остальных страниц.

    Настраивается всё элементарно. С помощью встроенного окна настроек можно внести изменения куда угодно. Никаких трудностей не вызывает мультисайтовость.

    14,0,0,0,1

    В редакторе к каждой записи имеется бокс с индивидуальными настройками. Всё сделано для людей.

    (2 оценок, среднее: 5,00 из 5)

    SSL и WordPress как подружить?

    Наверняка при установки SSL сертификата у вас были проблемы с редиректом, плагинами для Сертификата, куча ошибок в консоли? Сегодня мы это исправим в один (ну может быть 2) клик!

    Немного предыстории, давным давным у нас возникла задача установить сертификат клиенту на WordPress, мы без угрызения совести взялись за установку. При 15 попытки открыть админку через https нашей злости не было предела, т.к. она просто не открывалась по этому протоколу. Или еще один случай, когда стили открывались по http протоколу и мы мучали .htaccess разными редиректами, ничего не помогало пока не начали ставить плагины… О плагинах ниже

    Сертификат поставить «ручками» или через плагин?

    Из всех сайтов, которые мы пробовали поставить сертификат ручками (причем проблема происходит ТОЛЬКО на WP) получилось у нас 5-6 раз. В остальном танцы с бубнами.

    Когда мы искали плагин в репозитории WordPress мы нашли не плохой плагин WordPress HTTPS пользовались им достаточно долго, пока автор не перестал отвечать на наши вопросы и совсем не “забил” на него (плагин не обновлялся около 2 лет)

    Но совсем не давно мы нашли очень классный плагин который все делает сам! Really Simple SSL

    Инструкция по установке SSL с плагин Really Simple SSL

    1. У вас уже готов SSL (Вы установили его в панель ISP Manager, Cpanel и.т.д. В интернете про это информации предостаточно)

    2. Отключаете все редиректы с http на https

    3. Активируете плагин Really Simple SSL

    4. Нажимаете Activate SSL

    5. Готово (открываете консоль и смотрите ошибки)


    Иногда требуется добавить в wp-config такие строчки

    /** SSL шифрование для админки */
    define(‘FORCE_SSL_LOGIN’, true);
    define(‘FORCE_SSL_ADMIN’, true);

    Как добавить бесплатный SSL в WordPress с помощью Let’s Encrypt

    Что такое SSL и Let’s Encrypt? Каждый пользователь Интернета ежедневно делится огромными объемами личной информации. Мы делаем это, когда совершаем покупки онлайн, создаем аккаунты, заходим на различные сайты и так далее. Если это не достаточно зашифровано, то эта информация может быть выслежена и украдена. И здесь на сцену выходит SSL. Он предлагает технологию шифрования, которая делает безопасным соединением между браузером и сервером. Каждый сайт использует уникальный сертификат SSL в целях опознавания. Если сервер притворяется, что использует HTTPS, но его сертификат не соответствует, то большинство современных браузеров предупредят пользователя, чтобы он не соединялся с этим ресурсом.

    Ранее единственным способом защиты SSL был платный SSL-сертификат. Let’s Encrypt это бесплатный открытый сертификат, который предлагает SSL для широкой аудитории. Это проект от Internet Research Group, получающий поддержку от большого количества крупных компаний, включая Google, Facebook, Sucuri, Mozilla, Cisco и других.

    Простой способ – использование хостинга, который предлагает встроенный бесплатный SSL

    C ростом популярности Let’s Encrypt многие хостинги WordPress уже сразу предлагают встроенную настройку SSL. Следовательно, простейшим способом получения SSL будет регистрация на таких хостингах.

    Настройка бесплатного SSL с помощью Let’s Encrypt на SiteGround

    SiteGround является одним из самых надежных и известных хостинг-компаний, предлагающих встроенную поддержку бесплатного SSL. Для того, чтобы включить бесплатный SSL, просто зайдите в cPanel и пролистайте до раздела безопасности, где вам надо будет щелкнуть по иконке Let’s Encrypt.

    Это откроет окно установки Let’s Encrypt. Вам надо будет выбрать доменное имя, которое вы хотите использовать с бесплатным SSL, а также указать верный адрес электронной почты.

    Теперь можете щелкнуть по кнопке установки и вам выдадут уникальный сертификат SSL для вашего сайта. Как только вы закончите, вы увидите сообщение об успехе.

    Можете поздравить себя, вы только что успешно встроили бесплатный SSL Let’s Encrypt себе на сайт. Однако ваш сайт еще не готов использовать его. Первым делом вам понадобиться обновить свои адреса WordPress и исправить проблемы с небезопасным контентом. Не волнуйтесь, мы объясним как это сделать в шаге Обновление адресов.

    Установка бесплатного SSL с помощью Let’s Encrypt на DreamHost

    DreamHost это еще один популярный хостинг WordPress, который предлагает встроенную интеграцию для настройки бесплатного SSL на любом домене. Сперва вам надо зайти в админку Dreamhost и под меню Domains щелкнуть по Secure hosting.

    На этой странице вам надо щелкнуть по кнопке Add Secure Hosting. Dreamhost теперь попросит у вас выбрать домен и внизу у вас будет возможность добавить бесплатный сертификат от Let’s Encrypt. Вам надо убедиться, что эта ячейка отмечена.

    На усмотрение можете выбрать уникальный IP-адрес для своего доменного имени. Это необязательно, однако улучшит совместимость со старыми версиями Internet Explorer на Windows XP. Щелкните по Add Now, чтобы завершить настройку и DreamHost начнет настройку вашего бесплатного сертификата SSL. В итоге вы должны увидеть подобное сообщение:

    Вы успешно добавили бесплатный сертификат SSL с помощью Let’s Encrypt себе на хостинг. Но вам до сих пор надо обновить адреса WordPress, чтобы исправить ошибки с безопасностью контента, поэтому перейдите к этому шагу далее в статье.

    Установка Let’s Encrypt бесплатный SSL на другие хостинги

    Бесплатный SSL от Let’s Encrypt это основанный на домене SSL-сертификат. Это означает, что если у вас есть домен, то вы можете добавить его на любой хостинг. Однако если ваш хостинг не поддерживает простую интеграцию как SiteGround или DreamHost, то вам надо будет пройти через некоторую процедуру, длина которой разнится от хостинга к хостингу. Большинство компаний имеют документацию, объясняющую как можно это сделать. Вы также можете связаться с командой техподдержки за более подробными инструкциями. Bluehost, являющийся одним из официальных WordPress-хостингов, предлагает SSL третьей стороны для ваших доменов, которые вы размещаете у них на хостинге.

    Обновление адресов WordPress после настройки SSL

    После настройки бесплатного сертификата SSL с помощью Let’s Encrypt следующим шагом будет переезд адреса с HTTP на HTTPS. Обычный сайт без сертификата использует протокол HTTP с соответствующим префиксом в адресной строке:

    Защищенные сайты с сертификатами SSL используют протокол HTTPS. Это означает, что их адреса будут выглядеть подобным образом:

    Вы не сможете использовать SSL, не изменив адреса у себя на сайте. Как это сделать?

    Для чистого сайта

    Если вы работаете с совершенно новым сайтом, то вам надо просто зайти в админпанель WordPress и щелкнуть по настройкам. Там вам необходимо обновить поля с адресом WordPress и Site URL, чтобы использовать https.

    Для уже работающих сайтов

    Если ваш сайт уже какое-то время находится в Интернете, то велики шансы, что он уже был проиндексирован поисковыми системами. Пользователи могли сохранить его в виде HTTP, поэтому вам надо удостовериться, что весь трафик перенаправляется на адрес с https. Первым делом вам надо установить и активировать плагин Really Simple SSL. Плагин автоматически обнаружит ваш SSL-сертификат и настроит сайт на его использование. В большинстве случаев вам больше не придетс яничего менять, так как плагин также починит проблемы с небезопасным контентом.

    Обновление настроек Google Analytics

    Если вы установили на свой сайт Google Analytics, то вам надо обновить его настройки и добавить свой новый адрес на https. Зайдите в свою панель Google Analytics и щелкните по Admin в верхнем меню. Затем щелкните по Property settings под вашим сайтом. Там вы увидите опцию дефолтного URL. Щелкните по http и выберите https.

    Не забудьте сохранить настройки.

    Наша специальность — разработка и поддержка сайтов на WordPress. Контакты для бесплатной консультации — [email protected] , +371 29394520

    Как настроить SSL и HTTPS на WordPress

    Полная пошаговая инструкция: от приобретения SSL-сертификата до его установки и настройки сайта

    Хотите узнать, где и как получить бесплатный SSL сертификат или сертификаты по самым низким ценам от авторизованных издателей Comodo , Symante c , GeoTrust , Thawte , GoGetSSL , RapidSSL ? А установить его и настроить HTTPS на своем сайте за считанные минуты, избежав многих проблем, которые обычно при этом возникают? Кликните здесь, чтобы скачать бесплатную пошаговую инструкцию.

    SSL и HTTPS на WordPress настроить совсем не сложно. А поскольку наличие SSL-сертификата на сайте теперь влияет на ранжирование в поиске, озаботиться его установкой должен каждый владелец WordPress-сайта.

    Зачем вообще нужны SSL сертификаты?

    Вы согласны, что чем безопаснее Интернет в целом и Ваш сайт для Ваших посетителей, тем живется спокойнее и зарабатывается больше?

    Каждый день мы оставляем на разных сайтах свою персональную информацию

    Email-адреса и имена при подписках в рассылки, домашние адреса и данные кредитных карт при онлайн-покупках, различные другие данные при заполнении анкет и т.д.

    Если Ваш сайт что-то продает, использует регистрацию пользователей, предлагает контактные формы для обратной связи – то же самое на Вашем сайте делают и Ваши посетители.

    Передача личных данных в Интернет сейчас настолько обыденная вещь, что мы обычно долго не думаем, нажимая кнопку “Отправить” в очередной заполненной форме.

    А ведь любые данные, передаваемые на незащищенных SSL сертификатом и безопасным HTTPS-протоколом сайтах, запросто могут быть похищены (и, будьте уверены, похищаются).

    Чтобы этого избежать и повысить доверие к Вам Ваших посетителей и клиентов, необходимо настроить на своем сайте передачу любых данных через https.

    При этом устанавливается проверенный и подтвержденный уполномоченными организациями SSL сертификат.

    Ни в коем случае не самоподписанный – что легко можно сделать из любой панели управления хостингом.

    Если вышеописанные доводы на Вас особого впечатления не произвели, вот и другие аргументы.

    Мастер Йода рекомендует:  Основные принципы программирования конкурентность

    Что об SSL и HTTPS говорит Google

    Google всегда был весьма щепетилен в вопросах информационной безопасности – сначала, в 2010 году, переведя на HTTPS свой почтовый сервис GMail, а затем сделав то же самое и с Google Drive.


    Поисковик Google также работает исключительно по безопасному протоколу и, вполне понятно, что они теперь всерьез озаботились тем, чтобы и сайты, на которые пользователи переходят из поиска, также отвечали требованиям безопасности.

    SSL сертификат на сайте влияет на позицию в поиске Google

    Еще в 2014 году компанией было заявлено, что наличие на сайте подключения по HTTPS с использованием SSL сертификата влияет на позицию в поисковой выдаче Google.

    С 17-го декабря 2015 года Google начал по умолчанию индексировать страницы с протоколом HTTPS, если таковой доступен одновременно с HTTP и не заблокирован каким-либо образом.

    Летом 2020 года представитель Google на одной из встреч с веб-мастерами заявил, что в компании всерьез рассматривают возможность увеличения веса SSL сертификата как фактора ранжирования в поисковой системе.

    И вот еще одна статья из первоисточника, гугловского блога по безопасности, которая так прямо и называется: “HTTPS as a ranking signal” (HTTPS как сигнал к ранжированию).

    Т.е. в том, что сейчас происходит, нет никакой неожиданности – сани готовились давно.

    Почему SSL сертификат нужен Вашему сайту СЕЙЧАС

    Разработчики браузера Google Chrome обещали ранее помечать сайты, использующие простое http-соединение, как небезопасные, и предложили всем другим веб-приложениям поступить также.

    Такая себе “черная метка”.

    Можно было подумать, что в адресной строке будет появляться угрожающего вида блямба, от которой поразбегаются все посетители.

    Но, вот сейчас начало января 2020-го, и мы видим, что для сайтов без HTTPS все выглядит достаточно терпимо – всего лишь невзрачный кружок с буквой “i” (надо полагать, “информация”).

    Правда, если человек на него нажмет, то должное впечатление от этого сообщения наверняка им будет получено.

    И, как альтернатива такой “дискриминации” – совершенно недвусмысленная, поощрительная для понятливых владельцев сайтов и ободряющая для их посетителей, зеленая надпись “Надежный”.

    Если Вы сейчас читаете это из “хрома” – можете наблюдать сие чудо в адресной строке браузера, или на картинке, помещенной мной в начало данного поста.

    И, глядя на это, понимаешь, что в глазах посетителя такой сайт сразу набирает пару дополнительных очков.

    Так что, если Вы себе SSL сертификат еще не установили, как говорится, выводы делайте сами.

    По моему же скромному мнению, это только начало, и совсем скоро сайтам без HTTPS если и будет позволено функционировать (т.е. хотя бы открываться в браузерах), то с такими “метками”, с которыми на людях лучше вообще не показываться ��

    Как работает SSL?

    SSL шифрует информацию, которой обмениваются браузер и сервер, на котором находится веб-сайт.

    У специальной авторизованной компании-издателя мы получаем шифрованные ключи, в замен предоставив сведения о нашем сайте, имени, адресе, номере телефона и, в зависимости от разновидности сертификата, регистрационные данные своей компании.

    Издатель сертификата проверяет предоставленную владельцем сайта информацию, и, если она отвечает действительности, выдает нам подписанный специальным алгоритмом (SHA) сертификат.

    Когда посетитель заходит на сайт, сервер сверяет SSL сертификат с приватным ключом, и, если они совпадают, между сервером, на котором хостится сайт и браузером пользователя создается безопасное шифрованное соединение.

    Ссылка на такой сайт всегда начинается с HTTPS://… и это можно видеть в адресной строке браузера.

    Более заумные технические детали из спецификаций и Википедии здесь цитировать не буду – если Вас это интересует и голова не заболит, погуглите.

    В каких случаях SSL перестает работать?

      Если он, извините, вообще отсутствует; Когда период действия сертификата истекает (обычно они выдаются на срок 1-3 года); Если он самоподписанный – т.е. выдан неавторизованным издателем; Если он неправильно установлен или содержит ошибки.

    При заходе на такой сайт по протоколу https мы увидим следующее:

    И сразу никаких вопросов, правда?

    Очень важно приобретать сертификат именно авторизованного издателя: Comodo, Symantec, GeoTrust, Thawte, GoGetSSL (GGSSL), RapidSSL, т.к. браузеры ДРУГИМ НЕ ДОВЕРЯЮТ!

    И если Ваш сертификат был получен у компании с более низким рейтингом, он будет причислен к разряду самоподписанных (читай самодельных).

    Кроме того, может быть ряд других ошибок и причин, из-за которых соединение с Вашим веб-сайтом будет признано браузером посетителя как небезопасное или частично-небезопасное.

    Также будут сложности, если был выбран не подходящий для Вас тип сертификата (о типах SSL сертификатов читайте далее в этой статье).

    Если у Вас уже имеется SSL сертификат, проверить все нюансы и корректность работы безопасного соединения на своем сайте Вы можете вот здесь.

    Что делать, когда срок действия сертификата истекает?

    То же, что Вы делаете, когда продлеваете свои домены – перевыпустить, что фактически равнозначно получению нового сертификата с теми же параметрами, или получить новый.

    Как выбрать SSL сертификат

    SSL сертификаты, применяемые для веб-сайтов, имеют следующие разновидности:

      С проверкой домена (Domain Val >Мультидоменные (Multi-Domain SSL) С поддержкой субдоменов (Wild Card SSL) С проверкой бизнеса (Business Val >С расширенной проверкой и зеленой строкой (Extended Val >Если у Вас всего один сайт и Вы не используете субдомены, выбирайте Domain Validation SSL.

    При наличии сайтов на субдоменах будет дешевле (и проще) приобрести сертификат с поддержкой субдоменов (Wild Card SSL), чем по отдельному сертификату на каждый сайт.

    Так что Вы хорошенько подумайте, определяясь с выбором типа сертификата – это, к тому же, в некоторых случаях поможет существенно сэкономить.

    Что касается стоимости, она зависит от издателя, продавца, типа сертификата и срока его действия и может быть от нескольких долларов ($3-5) до нескольких тысяч $.

    При этом издатели гарантируют выплату конечному пользователю, пострадавшему на сайте с установленным сертификатом, компенсацию, размер которой может превышать миллион долларов.

    К тому же, существуют и БЕСПЛАТНЫЕ сертификаты от авторизованных издателей – они обладают теми же свойствами, что и платные, но без финансовой гарантии.

    Также и срок действия бесплатного сертификата может быть менее одного года.

    Например, бесплатный сертификат с проверкой домена Comodo Free SSL выпускается на 90 дней. По окончании этого периода его надо просто перевыпустить.


    В чем неудобства использования бесплатного сертификата?

    В необходимости обновлять его каждые 3 месяца, и в том, что он выдается только для одного домена – если у Вас несколько сайтов, процедура перевыпусков и переустановок для каждого из них с такой частотой будет довольно утомительным занятием.

    Возможно, SSL сертификат Вам предоставит и установит Ваш хостер, и возможно даже бесплатно, но я, например, предпочитаю не держать все яйца в одной корзине.

    Хостинг – это хостинг, регистратор доменов – это регистратор доменов, а поставщик сертификатов – это поставщик сертификатов.

    Независимые аккаунты гарантируют права обладания и дают полную свободу действий, например, в случае смены хостинга.

    Если у Вас мультисайт

    Поскольку SSL сертификат устанавливается не на сайт, а на сервер, и служит для проверки домена (как минимум), выбор типа сертификата зависит от того, каким образом у Вас организована структура сайтов внутри Вашего мультисайта.

    Как известно, эти сайты могут располагаться:

    1. в поддиректориях основного домена и обращение к ним происходит по адресам вида http(s)://www.mymultisite.com/site_1 , http(s)://www.mymultisite.com/site_2 …
    2. на субдоменах – http(s)://site_1.mymultisite.com , http(s)://site_2.mymultisite.com …
    3. и на отдельных доменах – http(s)://www.site_1.com , http(s)://www.site_2.com …

    Следовательно, в первом случае достаточно одного SSL-сертификата с проверкой домена (Domain Validation SSL), во втором – потребуется один сертификат с поддержкой субдоменов (Wild Card SSL) или мультидоменный (Multi-Domain SSL), а в третьем – мультидоменный.

    Как установить сертификат на сервер

    Сразу оговорюсь, здесь нет инструкций для владельцев VPS/VDS – выделенных серверов. Ваши администраторы вполне компетентные люди и знают, как это все делается.

    На обычных же хостингах это совсем не сложная задача – практически в любой панели управления, будь то CPanel, ISP или другая, имеется соответствующая функциональность.

    Заходите в нужное меню, там должны быть поля для ввода (или кнопки для загрузки файлов) самого сертификата, приватного ключа и цепочки промежуточных сертификатов.

    Промежуточные сертификаты (Ca Bundle или цепочка сертификатов) необходимы для поддержки сертификата определенными браузерами.

    Загружаете полученные у издателя файлы, нажимаете кнопку “Установить” и готово.

    На обновление информации по домену может потребоваться некоторое заметное время, а может и нет – в любом случае, проверить корректность установки Вы можете на этом ресурсе.

    Как настроить SSL на WordPress

    Первоочередной совет – после установки сертификата на сервер и перед началом настройки сайта для работы через HTTPS обязательно сделать бэкапы файлов и базы данных.

    По большому счету, резервные копии сайта необходимо делать ежедневно, но это тема уже для другого разговора.

    По моему опыту процесс перехода на HTTPS редко проходит гладко и с первого раза – и это нормально. На каждом сайте свои нюансы конфигурации и особенностей хостинга.

    И если даже с работой редиректов (http на https) проблем не возникает (а часто бывают), то не мало головной боли приносит так называемый “смешанный контент”.

    Смешанный контент – это когда на странице, открытой через https, имеются подключения ресурсов по обычному http-протоколу (картинки, стили, скрипты).

    В этом случае браузеры помечают сайт как частично небезопасный.

    В добавок, браузеры блокируют javaскрипты неподготовленных к HTTPS плагинов и тем, что нарушает их функциональность и функциональность сайта в целом.

    Стандартные рекомендации сводятся к следующему (не спешите их применять и дочитайте статью до конца).

    1. Откройте свой файл wp-config.php и добавьте (выше комментария /* Это всё, дальше не редактируем. Успехов! */ ) следующую строку:

    2. Откройте файл .htaccess или создайте новый, если у Вас этого файла нет (?!) и добавьте туда следующие директивы:

    Не забудьте заменить www.mysite.com на домен своего сайта!

    3. Очистите историю браузера, весь кэш и куки, и заходите в админку по адресу https://адрес_вашей_админки.

    После чего можете посвятить всю следующую неделю своей жизни разгребанию “смешанного контента”.

    Как настроить SSL на WordPress проще

    Теперь забудьте пункты 1 и 2 предыдущей инструкции и сделайте доступными для записи свои файлы wp-config.php и .htaccess – для этого установите для них права 777.

    На разных серверах значения могут отличаться, поэтому привожу “гарантированно работоспособное” значение – главное, потом верните все обратно.

    Установите плагин Really Simple SSL и активируйте его. Здесь Вас, скорее всего, выбросит из админки (так и должно быть), поэтому выполните пункт 3 из предыдущего варианта инструкции и заходите обратно.

    Основную массу проблем этот плагин обычно решает сразу, без каких-либо дополнительных телодвижений – остается проверить сайт с помощью вышеприведенного инструмента и устранить выявленные ошибки.

    При обнаружении неготовности каких-то плагинов или темы к работе через https, обращайтесь к разработчикам, или найдите замену.

    Постскриптум

    Только теперь не надо думать, что установка SSL-сертификата решила все Ваши проблемы с безопасностью сайта – это далеко не так и это также другая и серьезная тема, выходящая за рамки данного повествования, но которой нельзя пренебрегать ни в коем случае.

    Перевод сайта WordPress на HTTPS: инструкция технического перехода

    Вводная часть

    Начало года хороший повод, улучшить оптимизацию сайта и первыми шагами я выбрал скорость загрузки и переход на HTTPS. О том, что Google ввел «благосклонность» к сайтам, работающим по протоколу HTTPS, вместо HTTP, написано много статей и известно всем интересующимся оптимизацией своего сайта.

    HTTPS и HTTP

    Что такое HTTPS и чем он (протокол) отличается от HTTP лучше почитать более компетентные ресурсы. Безопасный протокол соединения (HTTPS) напрямую связан с получением сайтом сертификата безопасности, SSL. Покупая, вернее арендуя, домен по своим паспортным данным, вы уже имеете самый слабый сертификат безопасности. Но этот сертификат на дает вам, «зеленый замок» в адресной строке браузера.

    Зачем переходить на HTTPS

    Опять-таки, о мотивациях перехода на HTTPS написано масса статей. Я перечислю те причины перехода на HTTPS, которые мотивировали меня:


    • Сообщение Google, что HTTPS стал фактором ранжирования;
    • Заявление Mozilla, о прекращении поддерживать в своем браузере HTTP соединения (http://www.securitylab.ru/news/472588.php);
    • Вероятность Яндекс последовать общей тенденции и в очередной раз поставить всех «на уши».

    Три мифа о SSL

    Миф 1. Для SSL нужен отдельный IP. Чушь. На моем хостинг плане, только моих сайтов две дюжины, и IP я не покупал и все сайты перевел на SSL причем, бесплатно. Более того, на моем VDS у меня отдельный IP, а стоимость SSL (V) 500 рублей на каждый домен.

    Миф 2. SSL обнуляет ваш тИЦ. Это не так. У вас был тИЦ сайта http, он так и остался. Если вы правильно оптимизировали сайт после перевода на https, и сообщили Яндекс ваше новое зеркало, после первого после перехода апдейт тИЦ восстановит ваш прежний тИЦ.

    Миф 3. Для некоммерческих сайтов SSL не нужен. Посмотрим 31 января 2020 года. Именно тогда выйдет новый, Chrom 5.6 с красными флагами для всех небезопасных сайтов.

    Напористость Google в процессе сертификации сайтов, рано или поздно, перекинется и на Яндекс, а вот он предупреждать не будет и введет новый фильтр для «Небезопасных сайтов».

    Перевод сайта WordPress на HTTPS — Задача

    Итак, задача. Перевести сайт WordPress на отклик по безопасному протоколу https, то есть, сайту нужно получить сертификат безопасности SSL.

    Важно! Задача перехода на HTTPS для сайта WordPress, состоит из трех взаимосвязанных, но практически независимых задач:

    1. Техническое подключение защищенного протокола SSL;
    2. Переадресация сайта http:// на сайт https://
    3. Замена всех внутренних ссылок сайта на безопасные ссылки https:// или на относительные ссылки.
    4. оптимизация переезда на новый протокол, для восстановления (сохранения) поисковых позиций.

    Важно! Перечисленные задачи не нужно растягивать по времени и лучше выполнить последовательно. Ненужно делать сначала переадресацию сайта, а потом получать сертификат, во всем должна быть логика.

    Примечание: На момент выхода статьи, я еще не готов сказать, что дал мне переход на HTTPS (SSL), кроме потраченного времени и «зеленого замка» в адресной строке.

    Техническое подключение защищенного протокола SSL

    На сегодня, есть несколько схем подключения защищенного протокола SSL: платные и бесплатные.

    • Платно, вы можете купить сертификат безопасности в специальных центрах сертификации (CA), от 500 рублей за домен в год, получить два ключа и показать эти ключи на своем хостере. Эта статья не об этом.
    • Некоторые хостинги, предоставляют бесплатную услугу подключения защищенного протокола SSL к любому домену.
    • Использовать облачные сервера в услуги которых, входит получение SSL.
    • Покупать сертификат безопасности, для не коммерческого сайта я бы не стал. Не вижу смысла. Мне повезло, я смог техническое подключение защищенного протокола SSL выбрать по бесплатной схеме, так как мой хостер предоставляет такую услугу бесплатно.

    Примечание: В предоставлении хостинг компанией бесплатных SSL сертификатов нет ничего не обычного. С тех пор как появился центр бесплатной сертификации Let’s Encrypt (о нем ниже), любая хостинг компания может установить и бесплатно предлагать сертификацию SSL своим клиентам. Список западных хоcтинг, компаний работающих с Let’s Encrypt тут. Среди отечественных могу посоветовать:

    Итак, я могу включить протокол SSL на сервере своего хостера.

    Включить протокол SSL на сервере своего хостера

    Шаг 1. Предварительная проверка сайта

    Начнем с проверки, а вдруг ваш домен уже имеет сертификат. Предлагаю следующий инструмент проверки: (https://www.sslshopper.com/).

    Шаг 2. Для домена сайта, в административной панели, включаем поддержку режима SSL.

    Шаг 3. Подключение сертификата на сервере хостинга

    Смотрим в панели DirectAdmin. Вкладка «SSL сертификаты». Повторюсь, мой провайдер предлагает стандартные варианты получить сертификат безопасности и среди них, вариант: Free & automatic certificate from Let’s Encrypt.

    Мой сайт некоммерческий и мне вполне достаточно, получить сертификат на Let’s Encrypt (https://letsencrypt.org/) тип сертификата: Internet Security Research Group (ISRG).

    • Заполняем поля, указывая email из своих регистрационных данных.
    • Размер ключа должен быть не менее 2048-бит. У меня есть выбор 4096 бит.

    Примечание: В рекомендации Google о переходе на HTTPS //support.google.com/webmasters/answer/6073543?hl=ru, говориться о приоритете 2048-бит по отношению к 1024-битному ключу, о ничего нет и большем размере.

    • После заполнения всех полей сохраняемся и видим результат.

    Бесплатный сертификат Internet Security Research Group (ISRG) для некоммерческих сайтов получен от Let’s Encrypt. Чтобы сертификат включился фактически должно пройти время.

    Мастер Йода рекомендует:  Создание анимированного компонента навигации на сайте

    Вернемся к проверке на сайт «SSL Certificate Comparison and Reviews» (https://www.sslshopper.com/). Делаем проверку, видим совсем другую картину.

    Перевод сайта WordPress на HTTPS проверка

    Как видим, сертификат есть. Получение сертификата SSL, это лишь начало. Всё самое «интересное» впереди.

    Что делать на сайте WordPress после подключения SSL сертификата

    Прежде всего, проверяем доступность сайта по двум протоколам: http и https.

    Если вы не включали переадресацию http на https в административной панели хостинга, сайт должен открываться по двум адресам http и https. Если это не так, нужно исправлять.

    Доступность сайта по двум протоколам,- говорят знающие оптимизаторы, является негативным фактором для поисковиков и отрицательно влияет на позиции сайта в выдаче. Верим и делаем переадресацию http на https.

    Переадресация http на https

    Способ 1. Мне опять везет, я делаю это из панели своего хостинг провайдера.

    Способ 2. Если ваш сайт работает в веб-сервисом Apache, то в файл .htaccess, который должен быть в корне сайта. Вписываем две директивы для Apache:

    Если ваш сайт работает на «чистом» Nignx, то файл .htaccess не поможет, пишите в суппорт и спрашиваете, что делать.

    Способ 3. Работает при доступности сайта по двум протоколам: http и https и не отменяет первые два пункта. Идете в панель сайта WordPress, на вкладку Настройки>> Общие>>Адрес сайта и Адрес сайта WordPress. В этих двух формах, вписываем домен сайта сайт с https.

    Если сайт не был доступен по https, вы потеряете доступ в панель. Чтобы восстановить доступ, читаем тут или смотрим видео:

    Первая проверка перевода сайта WordPress на HTTPS

    После правильно выполненной переадресации, ваш сайт должен открываться только по безопасному протоколу https. Чтобы не путаться, обновите закладки в браузере.


    Меняем ссылки сайта WordPress

    Для сайтов WordPress, в отличие от сайтов на Joomla, нужно все существующие ссылки на сайте перевести в протокол https. Было бы хорошо, чтобы все внешние ссылки, тоже были безопасными. Если это не возможно, на этих страницах, вместо зеленого замка в строке браузере, будет предупреждение о наличие на сайте небезопасного контента. Называется эта ошибка, Mixed Content (смешанное содержание).

    Относительный адрес вне зависимости от протокола:

    Абсолютный адрес разрешенный SSL:

    Абсолютный адрес Mixed Content:

    • Чтобы устранить смешанное содержание (Mixed Content) на сайте WordPress, вам нужно. Все внутренние абсолютные ссылки сайта указанные с http, перевести в относительные ссылки типа: //domen.ru/content. В этом случае, браузер сам решает, безопасный протокол или нет.
    • Все внешние ссылки должны быть с ресурсов поддерживающих протокол HTTPS, иначе браузер покажет ошибку «Mixed Content».

    Самый простой способ это сделать, установить специализированный плагин WordPress. Я пробовал два плагина:

    1. «HTTP/HTTPS». Этот плагин без настроек. Замечены преобразования не всех ссылок.
    2. «Easy HTTPS (SSL) Redirection». Этот плагин с легкими настройками. Добивает недостатки первого плагина.

    Перевод сайта WordPress на HTTPS плагины Перевод сайта WordPress на HTTPS плагин HTTP-HTTPS

    Примечательно. В каждом из этих плагинов сказано, что они работают самостоятельно и лучше их ставить в одиночестве. У меня на практике и первый и второй плагины в одиночестве не работают до конца правильно, только в паре.

    Важно! Перед установкой этих или этого плагина, проверьте доступность сайта по двум протоколам http и https. Если видите ошибки, вероятно, не включен режим SSL на сервере. Проверьте его подключение в панели хостинга, если всё включено пишите в тех.поддержку.

    Если после установки плагинов сайт пропал, идите на сайт по FTP и правьте файл .htaccess. Именно в него эти плагины записывают правила переадресаций.

    Нужно ли менять адреса в настройке Общие

    Это важно! Если вы сделали переадресацию http на https в панели хостинга, то НЕ НУЖНО менять адреса в настройке Общие. Этим вы создадите циклическую переадресацию и сайт (вернее админ панель) будет недоступна. Исправить это не сложно (видео выше).

    Что делать со ссылками в скриптах

    Вероятно, у вас есть ссылки в скриптах, например счетчики, а также есть скрипты подключения к библиотекам. Они тоже должны иметь только динамические или безопасные ссылки.

    Вторая проверка сайта

    Если после смены всех ссылок сайта вы все равно видите предупреждение браузера о ненадежности сайта, делаем вторую проверку в браузере Google Chrome.

    • Откройте сайт в браузере. На правой кнопке мыши, открываем «Просмотр кода».
    • Внизу или справа окна браузера появится окно инструментов.
    • На вкладке Security, вы увидите подключенные сертификаты и если есть, сообщение об Mixed Content .
    • На вкладке Console. Вы увидите, перечисленные проблемные ссылки «Mixed Content» с нормально читаемыми пояснениями.

    Ко всему прочему:

    • Вполне возможно, что вы забыли очистить кеш сайта, если используете плагины кеширования.
    • Не забудьте почистить кеш браузера.
    • Некоторые ссылки придется поменять «вручную».

    Выводы

    Перевод сайта WordPress на HTTPS закончен технически. Важно понять следующее: Переход на протокол HTTPS возможно приведет к потере позиций в поисковой выдаче. Ваша следующая задача, минимизировать потери, чтобы это проседание трафика было временным. Об этом в следующей статье.

    WP Magazine

    Про WordPress на русском языке

    Как настроить HTTPS для WordPress

    Если вы серьезно относитесь к безопасности вашего сайта и к данным ваших посетителей, то вам следует перейти на защищенный протокол HTTPS. В данной статье мы подробно рассмотрим процесс создания и подписания SSL сертификата и подключение его к сайту на WordPress.

    Что такое HTTPS

    HTTPS это защищенный протокол для обмена данными между вашим сайтом и его посетителями. Он позволяет шифровать весь трафик между вашим веб-сервером и браузером вашего клиента. Это предотвращает возможность злоумышленникам и интернет-провайдерам подменивать или просматривать такие данные, как пароли, номера кредитных карт, адреса электронной почты.

    Для многих веб-сайтов протокол HTTPS уже давно стал стандартом (включая сайты WordPress.org и WordPress.com), а для интернет-магазинов, платежных систем, систем онлайн-банкинга и других ресурсов связанных с финансами и обработкой личных данных, HTTPS стал неотъемлемой и в некоторых случаях обязательной частью.

    В августе 2014 года поисковый гигант Google объявил, что наличие поддержки протокола HTTPS уже является одним из факторов при ранжировании поисковой выдачи. Но стоит отметить, что подключив HTTPS ваш сайт не «взлетит» в поисковой выдаче, поскольку наличие HTTPS является не единственным и далеко не самым весомым фактором ранжирования, но при одинаковых прочих показателях, Google отдаст предпочтение защищенному сайту.

    Следует также отметить, что HTTPS (поверх SSL/TLS) работает немного медленнее, чем обычный HTTP протокол, поскольку серверу и клиенту приходится тратить некоторое время на установление защищенного соединения и шифрование данных, но в большинстве случаев разница совсем не заметна.

    SSL сертификаты

    Для настройки HTTPS на вашем сайте, вам сперва потребуется приобрести SSL сертификат. Мы рекомендуем рассматривать только крупных и проверенных поставщиков SSL сертификатов, например Comodo, Thawte, VeriSign, GeoTrust и GoDaddy. Чаще всего сертификаты от этих поставщиков можно приобрести у вашего хостинг-провайдера или регистратора доменных имен.

    Типы сертификатов бывают разными, например с возможностью использовать на одном домене или на нескольких, с возможностью использования на поддоменах, с различными типами шифрования данных и прочее. Цены на сертификаты в среднем начинаются от $9 в год (за самые простые сертификаты) и доходят до $400 в год и выше.

    Процесс приобретения зависит от типа сертификата и поставщика. Мы рассмотрим пример с сертификатом PositiveSSL от Comodo, который можно приобрести за $9 в год у регистратора NameCheap. Такой сертификат подтверждает владение доменом и выпускается в течение нескольких часов. Некоторые более дорогие сертификаты требуют наличие юридического лица и оформление соответствующих юридических документов.

    Создание и подписание SSL сертификата

    Перед тем как подписать сертификат у поставщика, вам необходимо его создать. Сделать это можно с помощью утилиты openssl , которая по умолчанию присутствует в OS X и в большинстве Linux дистрибутивах. Если вы используете Windows и у вас нет SSH доступа к любому Linux серверу, то вы можете рассмотреть OpenSSL для Windows или Cygwin.

    Для создания нового SSL сертификата и запрос на его подпись, воспользуйтесь следующей командой:

    » data-medium-file=»https://wpmag.ru/wp-content/uploads/sites/13/2014/10/wordpress-openssl-newkey-300×127.png» data-large-file=»https://wpmag.ru/wp-content/uploads/sites/13/2014/10/wordpress-openssl-newkey-1024×434.png» src=»https://wpmag-22.cdn.pjtsu.com/wp-content/uploads/sites/13/2014/10/wordpress-openssl-newkey.png?w=780″ alt=»Создание нового ключа в OS X» w />

    Создание нового ключа в OS X

    После запуска, OpenSSL вас попросит заполнить некоторые данные о новом сертификате. При запросе Common Name (FDQN) введите ваш домен, без http:// и без www (даже если домен с www является для вас основным). После заполнения всех остальных данных у вас появится два новых файла. Для примеров мы будем использовать «wpmag.ru»:

    • wpmag.ru.key — приватный ключ к вашему новому сертификату
    • wpmag.ru.csr — запрос на подписание нового сертификата


    Приватный ключ необходимо всегда хранить в тайне. Ни в коем случае не выкладывайте его в общий доступ, не пересылайте по электронной почте и не теряйте его. Файл с расширением .csr необходимо отправить на подпись поставщику SSL сертификатов.

    В случае с PositiveSSL приобретенного через NameCheap перейдите в раздел SSL Certificates в панели управления и нажмите «Activate Now» рядом с вашим новым сертификатом. Обращаем ваше внимание, что у NameCheap вы можете подписать сертификат для вашего домена в зоне .ru, не зависимо от того, где вы приобрели сам домен.

    На следующей странице необходимо выбрать тип используемого веб-сервера и вставить содержимое вашего файла .csr в текстовое поле:

    » data-medium-file=»https://wpmag.ru/wp-content/uploads/sites/13/2014/10/namecheap-ssl-certificate-300×97.png» data-large-file=»https://wpmag.ru/wp-content/uploads/sites/13/2014/10/namecheap-ssl-certificate.png» src=»https://wpmag-22.cdn.pjtsu.com/wp-content/uploads/sites/13/2014/10/namecheap-ssl-certificate.png?w=780″ alt=»Запрос на подпись SSL сертификата» w />

    Запрос на подпись SSL сертификата

    После проверки запроса NameCheap предложит пройти процесс верификации вашего домена. Самым простым способом является верификация по электронной почте в рамках вашего домена, например admin@yourdomain.org.

    После верификации домена и заполнения дополнительных данных на NameCheap, ваш сертификат отправится на подпись в Comodo и спустя несколько часов, подписанный сертификат придет вам на указанный электронный адрес. Как правило это zip-архив, содержащий несколько .crt файлов.

    Для работы с веб-серверами nginx или Apache эти файлы необходимо «склеить» в один .crt файл в определенном порядке. Названия файлов в вашем случае могут отличаться, но главное, чтобы ваш сертификат (в наших примерах это wpmag.ru.crt) шел первым, а сертификат с «Root» в названии — последним.

    • wpmag.ru.crt
    • COMODORSADomainValidationSecureServerCA.crt
    • COMODORSAAddTrustCA.crt
    • AddTrustExternalCARoot.crt

    Сделать это можно в любом текстовом редакторе или с помощью утилиты cat на OS X и в Linux-подобных системах:

    Таким образом ваш SSL сертификат (вместе с другими) будет находится в новом файле wpmag.ru-bundle.crt, а ключ к сертификату — wpmag.ru.key, который вы сгенерировали ранее. Эти два файла потребуются для настройки HTTPS на вашем сервере.

    Настройка SSL сертификата на сервере

    Многие хостинг-провайдеры позволяют установить новый SSL сертификат через панель управления аккаунтом. Если эта возможность доступна у вашего провайдера, рекомендуем ею воспользоваться. Если же вы администрируете ваш сервер самостоятельно, то придется вручную подключить новый сертификат к вашему веб-серверу.

    Подключение SSL сертификата в nginx

    В конфигурации веб-сервера nginx для вашего домена необходимо включить поддержку SSL (порт 443) и указать путь к файлам вашего сертификата:

    Убедитесь в том, что у пользователя nginx (или www-data) есть права на чтение файлов сертификата. Напоминаем, что файл .key является секретным ключом, и располагать его в общедоступном месте (например в директории htdocs, www или public_html) не следует.

    После изменения файла конфигурации, перезагрузите сервис nginx.

    Подключение SSL сертификата в Apache

    Для работы с WordPress мы всегда рекомендуем веб-сервер nginx, но если по какой-либо причине вы все еще используете Apache, то подключить SSL сертификат можно следующими директивами внутри раздела VirtualHost или в общем разделе, в зависимости от вашей конфигурации:

    Если вы используете директиву VirtualHost , убедитесь в том, что она распространяется на 443-й порт, а не только на 80-й. После внесения изменений в конфигурацию, перезапустите сервис Apache.

    Настройка HTTPS в WordPress

    После внесения изменений в конфигурацию веб-сервера, ваш сайт на WordPress должен автоматически стать доступным по протоколу HTTPS, но на этом работа не завершена. Все ссылки на сайте и в административной панели продолжат использовать протокол HTTP.

    Изменить основной протокол сайта с HTTP на HTTPS можно в разделе Параметры → Общие в панели администрирования WordPress.

    » data-medium-file=»https://wpmag.ru/wp-content/uploads/sites/13/2014/10/wordpress-https-settings-300×48.png» data-large-file=»https://wpmag.ru/wp-content/uploads/sites/13/2014/10/wordpress-https-settings.png» src=»https://wpmag-22.cdn.pjtsu.com/wp-content/uploads/sites/13/2014/10/wordpress-https-settings.png?w=780″ alt=»Настройки адреса сайта в WordPress» w />

    Настройки адреса сайта в WordPress

    Эти же настройки можно задать в конфигурационном файле wp-config.php с помощью констант WP_HOME и WP_SITEURL . Это может быть полезно, если вы совершили ошибку при написании домена, и сайт вдруг стал недоступным.

    После внесения изменений в адрес сайта, все ссылки будут по умолчанию использовать протокол HTTPS. К сожалению это не касается тех ссылок, которые вы разместили вручную например в статьях или страницах WordPress.

    Замена http на https в статьях и страницах WordPress

    Если у вас небольшое количество статей и страниц на сайте, вы можете вручную отредактировать их и изменить протокол в ссылках. Для существующих сайтов с большим объемом контента, такой метод будет слишком трудозатратным, поэтому предлагаем рассмотреть две альтернативы.

    Если вы используете WP-CLI, то быстро выполнить поиск с заменой можно командой search-replace :

    Второй альтернативой является PHP-скрипт Search Replace DB, который также выполняет поиск с заменой, но предоставляет при этом графический интерфейс.

    Использовать поиск с заменой напрямую в базе данных MySQL (в том числе и на файлах экспорта) мы не рекомендуем, поскольку некоторые данные WordPress хранит в сериализованных массивах, и подобные данные портятся при смене длинны строк (https длиннее чем http).

    В любом случае, перед любыми манипуляциями с базой данных, советуем сделать резервную копию. После поиска с заменой, зайдите на ваш сайт и убедитесь в том, что все старые ссылки начинаются с https:// .

    Редирект с http на https

    Последним шагом в настройке HTTPS является закрытие вашего HTTP сайта и перенаправление всего трафика на новый протокол с шифрованием. Сделать это надежнее всего на уровне веб-сервера.

    В nginx необходимо разбить директиву server на два блока. Первый будет слушать 80-й порт и перенаправлять трафик на HTTPS, а второй (основной) блок будет выполнять запросы по 443 порту (не забудьте убрать 80-й из основного блока).

    В Apache внутри директивы VirtualHost , в общем разделе или в подключаемом файле .htaccess можно добавить следующее условие для редиректа на HTTPS:

    После внесения изменений в конфигурацию, не забудьте перезагрузить веб-сервер.

    Проверка правильности настройки HTTPS

    Самой частой проблемой при настройки HTTPS в WordPress являются ссылки и ресурсы, загружаемые по протоколу HTTP. Например, если вы вставили изображение или JavaScript файл по протоколу HTTP, то по умолчанию он не будет исполняться. В таком случае надежнее всего загрузить данный файл на собственный сайт, и встроить его используя протокол HTTPS или с помощью протоколо-независимого формата //example.org/path/to/file.js .

    В адресной строке браузеров Google Chrome и Firefox появятся специальные значки, если целостность HTTPS соединения нарушается какой-либо ссылкой на HTTP файл, так что при работе с вашим сайтом обращайте внимание на зеленый замок слева от адреса сайта. Этот замок должен всегда оставаться зеленым.

    » data-medium-file=»https://wpmag.ru/wp-content/uploads/sites/13/2014/10/wpmag-https-wordpress-300×25.png» data-large-file=»https://wpmag.ru/wp-content/uploads/sites/13/2014/10/wpmag-https-wordpress-1024×85.png» src=»https://wpmag-22.cdn.pjtsu.com/wp-content/uploads/sites/13/2014/10/wpmag-https-wordpress.png?w=780″ alt=»Иконка защищенного соединения в браузере Chrome» w />

    Иконка защищенного соединения в браузере Chrome

    Также для проверки правильности настройки протокола HTTPS на вашем сервере, рекомендуем попробовать утилиту SSL Server Test от Qualys. Вбив адрес вашего сайта вы сможете получить подробный отчет о том, как настроен HTTPS на вашем сайте: валидность вашего сертификата, правильность редиректа с http на https, доступные методы шифрования и многое другое.

    Заключение

    Если вы содержите веб-сайт, который позволяет посетителям ввести адрес электронной почты (например оставив комментарий), номер телефона (заполнив форму обратной связи), и особенно если вы работаете с фактическими адресами, номерами кредитных карт и прочей конфиденциальной информацией, мы рекомендуем вам немедленно перейти на защищенный протокол HTTPS.

    Учтите, что форма для входа в WordPress также является открытой для мошенников, если она не защищена протоколом HTTPS, особенно если вы часто посещаете свою «админку» из интернет-кафе, ресторанов и прочих публичных мест. То же самое касается работу с вашим сайтом на WordPress через мобильное приложение.

    Если у вас остались вопросы по настройке HTTPS в WordPress, оставьте комментарий и мы обязательно вам ответим.

  • Добавить комментарий