Браузер Chrome отображает предупреждение для любого сайта, у которого нет префикса «https» в веб-адресе. Установка бесплатного SSL-сертификата устраняет это предупреждение для вашего сайта WordPress.
Хотите узнать, как можно бесплатно повысить рейтинг своего сайта в поисковых системах, защитить своих пользователей и повысить надежность вашего сайта? Это смелое заявление. Но мы гарантируем, что бесплатные SSL-сертификаты могут действительно дать вам много преимуществ.
Как подключить в 1 клик бесплатный SSL сертификат от Let’s Encrypt на WordPress хостинге Hostenko
Одним из ключевых моментов в обеспечении безопасности сайта на WordPress является установка специального SSL-сертификата. С его помощью пользователи смогут обмениваться информацией с вашим сайтом через безопасное и защищенное соединение по протоколу. Но нужно будет проделать некоторую, хоть и несложную работу, чтоб определить, какую информацию нужно защитить и убедиться, что она покидает сайт в таком виде.
Что такое HTTPS (и как это работает вместе с SSL)
Когда вам нужна установка SSL сертификата для вашего сайта, вам также необходимо настроить его для передачи данных с использованием протокола HTTPS. Каждый посещаемый вами сайт использует HTTP или HTTPS в качестве префикса к URL-адресу, включая Hostinger:
HTTPS работает так же, как HTTP, но обеспечивает более высокие стандарты безопасности. Если вы загружаете веб-сайт с HTTPS, вы узнаёте, что ваши данные находятся в безопасности во время передачи. Однако для того, чтобы HTTPS работал, сайт, к которому вы пытаетесь получить доступ, нуждается в сертификате SSL.
Если вы попытаетесь получить доступ к сайту без SSL с помощью HTTPS, вы увидите ошибку, подобную этой:
Другими словами, SSL и HTTPS работают рука об руку. Если вы используете только один, пользователи, отправляющие информацию через ваш сайт, не будут защищены.
Таким образом, ваш первый шаг должен состоять в том, чтобы получить сертификат SSL и настроить его для работы с вашим сайтом. После этого вам нужно указать в WordPress, что нужно использовать HTTPS вместо HTTP. Давайте посмотрим, как работает этот процесс.
Май 31, 2022
Когда вы запускаете ваш собственный веб-сайт, ваши пользователи скорее всего должны будут оставлять там личную информацию. Это означает, что вам необходимо обеспечить соблюдение надежных стандартов безопасности, для обеспечения которой важную роль играют как Secure Sockets Layer (SSL или TLS), так и Hypertext Transfer Protocol Secure (HTTPS). К счастью, настройка на платформе WordPress SSL сертификата и установка HTTPS довольно проста и может быть выполнена всего за несколько шагов.
В этой статье мы поговорим о следующем:
- Какой сертификат SSL и когда нужно использовать.
- Что такое HTTPS и как он работает вместе с SSL.
- Как использовать WordPress SSL и настроить HTTPS с помощью двух разных методов.
- Две распространенные ошибки, с которыми вы можете столкнуться при использовании на WordPress SSL, и способы их устранения.
Нам предстоит узнать многое и будет ещё над чем поработать, так что, давайте уже приступим!
Приобретите один из тарифных планов хостинга от Hostinger и получите SSL в подарок!
Что такое SSL и HTTPS и зачем это нужно?
Сертификат SSL (аббревиатура от Secure Sockets Layer, дословно: протокол безопасных соединений) – это общедоступный цифровой документ, выданный центром сертификации, который связывает криптографический ключ с прикрепленным к нему веб-сайтом. Представляет собой шифрование на основе безопасного и надежного обмена информацией между сайтом и его посетителелями.
Все веб-сайты с действующим SSL-сертификатом используют протокол HTTPS и SSL, которые шифруют связь между сервером веб-сайта и браузером конечного пользователя. Вы замечали, что есть сайты, которые начинаются с http, и те, у которых https? SSL-сертификат и служит для получения этой самой —s, что позволяет иметь долгожданный зеленый замок в браузере.
Сайты с SSL имеют весомое защитное обозначение:
Сайты, которые не перешли на HTTPS имеют cкучный серый вид информационного знака: 
Наличие действующего SSL-сертификата подтверждает, что ваш сайт заслуживает доверия пользователей. Они могут вводить конфиденциальные данные и быть при этом надежно защищены. Чего нельзя сказать о сайтах, имеющих «http» в своем URL-адресе. А еще SSL сертификат блокирует хакерские атаки и защищает от несанкционированного доступа.
Раньше SSL использовали только для интернет-магазинов, банков и сайтов, где обрабатывается конфиденцальные данные. Однако сейчас сертификат стал доступен всем.
В июле 2018 Google объявил, что абсолютно все сайты без HTTPS будет помечать как «не защищенные». Совсем скоро всем им будет выдаваться вот такой значок:
SSL — расшифровывается как Secure Sockets Layer (протокол безопасных соединений). Это шифрование на основе технологии безопасного обмена информацией между веб-сайтом и посетителем.
Помимо шифрования данных, которыми обмениваются клиент-сервер, также обеспечивается подлинность веб-сайта для ваших посетителей. Миллионы веб-сайтов используют SSL для безопасности. Это неотъемлемый элемент защиты. Если вы заботитесь об опыте использования сайта и безопасности, вам определенно нужен SSL.
Как подключить в 1 клик бесплатный SSL сертификат от Let’s Encrypt на WordPress хостинге Hostenko
Множество людей вводят на сайты личную конфиденциальную информацию, как например данные кредитных карт. На такие детали стоит особенно обращать внимание, чтобы не дать хакерам возможности узнать подобные сведения во время посещения сайта.
Вот почему владельцам веб-сайтов, а также посетителям необходимо понять важность протокола SSL. Это не рекламный ход хостинговых компаний, чтобы заставить вас потратить деньги, а надежность вашей информации и доверие пользователей.
В этом посте вы узнаете обо всех нюансах SSL для вашего сайта на WordPress.
Что такое SSL сертификат?
Для начала вспомним, что такое SSL.
SSL — расшифровывается как Secure Sockets Layer (протокол безопасных соединений). Это шифрование на основе технологии безопасного обмена информацией между веб-сайтом и посетителем.
Есть более простой способ в этом разобраться. Замечали ли вы раньше, что некоторые сайты начинаются с http, а другие с ? Ну вот, SSL-сертификаты обеспечивают желанную s и отображают зеленый замочек в вашем браузере.
Ранее SSL сертификат был почти исключительной прерогативой для банков, eCommerce и других сайтов обработки конфиденциальных данных. Сейчас они общедоступные.
SSL сертификаты бывают разных уровней. Они варьируются в цене от бесплатных (как в этом посте) до сотен долларов в год. Два основных типа, с которыми вы будете встречаться:
- Domain-validated — сертификат, подтвержденный самим владельцем домена, который показывает, что у владельца ресурса есть контроль над его сайтом и его доменом. Более известен как .
- Extended validation — проверка личности владельца сертификата осуществляется органами выдачи сертификата. По сути, требуется больше действий, чтобы доказать, кто является владельцем сайта/сертификата.
Если у вас просто обычный сайт на WordPress, будет достаточно обычного самоподписанного сертификата.
Что такое SSL (и когда его нужно использовать)
Secure Sockets Layer (SSL) — это технология, которая создаёт безопасное соединение между веб-сайтом и браузером. Сайты, использующие SSL, показывают, что ваша личная информация находится в безопасности во время каждого перехода.
Вы можете увидеть, безопасный сайт или нет, по изображению зелёного замочка, который многие браузеры используют для идентификации:
Например, если вы покупаете что-то в интернете, вы должны делать это только через сайты, использующие SSL. В противном случае злоумышленники могут узнать, использовать или изменить вашу платёжную информацию, поскольку она отправляется через интернет.
Что касается вашего собственного сайта, установка SSL сертификата является обязательной. Для этого есть ряд причин:
- Если вы запустите веб-сайт, на котором вы предлагаете пользователям регистрироваться и делиться конфиденциальной информацией, их данные будут в безопасности.
- Ваш сайт будет более надежным.
- Прикольный зелёный замочек появится рядом с адресом сайта в разных браузерах.
- Вы улучшите поисковую оптимизацию вашего сайта (SEO) (англ).
Уточним последний момент – поисковые системы, такие как Google, поощряют использование всеми сайтами SSL, предоставляя предпочтение безопасным сайтам в своей выдаче. Это означает, что вы можете защитить информацию своих пользователей и, возможно, извлечь выгоду из некоторого количества трафика одновременно.
Кроме того, Google объявил о том, что с момента появления в июле 2018 года Chrome показывает предупреждение «небезопасно». Поэтому самое время обеспечить безопасность вашего сайта с помощью установки SSL сертификата, если вы ещё этого не сделали.
В наши дни установка SSL сертификата на WordPress довольно проста. Существует несколько типов сертификатов SSL, но вам, вероятно, не понадобится ничего особенного, если вы не будете запускать слишком сложный сайт или продавать товары в интернете.
Для всех других типов сайтов бесплатный сертификат обычно выполняет всю работу. Более того, вы можете легко настроить его для работы с Hostinger (англ).
Что такое SSL?
Протокол SSL – это стандарт для обмена надежной информацией между веб-сайтом и браузером. Не вдаваясь в подробности технической части его работы, его можно объяснить так: он устанавливает доверительные отношения между сервером и веб-браузером. Когда «доверие» установлено, сервер шифрует данные таким образом, что только конечный получатель (клиент) сможет их расшифровать.
Такие меры безопасности принимаются из-за вероятности, что любые данные, передаваемые через интернет с одной точки в другую, могут быть в любой момент перехвачены хакерами или другими участниками сети.
Передача же защищенных данных дает уверенность, что только конкретный получатель сможет их прочесть. Если их откроет кто-либо другой, то увидит только искаженное изображение, набор каких-то символов. Это лучше, чем видимые данные кредитной карты, личные записи, письма, прочее.
Использование SSL требует от сайта установки специального сертификата. Приобретение такого сертификата передает браузеру важную информацию о безопасности вашего сайта. В большинстве браузерах, когда вы заходите на безопасный сайт, вы увидите иконку в виде зеленого замочка в адресной строке. Это означает наличие SSL -сертификата:
Наличие SSL является обязательным для любого сайта, занимающегося электронной коммерцией, и рекомендуется тем, кто имеет дело с обменом важной информации. Не будем вдаваться в подробности процесса добавления сертификата в пакет вашего хостинга, так как он зависит от вида хостинг-провайдера. Но хорошая хостинг-компания обязательно предложит вам самый простой способ установки SSL-сертификата.
После установки сертификата каждый посетитель вашего сайта сможет иметь доступ к его страницам через HTTP или HTTPS соединение. Не зря употреблено слово «сможет», а не «будет», так как добавления самого сертификата еще недостаточно. Вам нужно настроить WordPress таким образом, чтоб заставить посетителей использовать HTTPS.
Когда мы говорим «использование SSL», то подразумеваем, что обмен информацией между сервером и браузером осуществляется через протокол HTTPS вместо незащищенного протокола HTTP. Это требует наличия валидного SSL-сертификата, но не только.
Что такое Let’s Encrypt?
Одним из главных аргументов Google в защиту политики безопасности и является проект Let’s Encrypt (одно из решений Linux Foundation). Некоммерческая организация бесплатно выдает SSL-сертификаты. Получить сертификат может каждый желающий как вручную на https://www.sslforfree.com/, так и автоматически: запустив процесс верификации и перевыпуска по открытыму протоколу ACME.
Из множества клиентских реализаций под разные веб-серверы, официально рекомендуемый клиент — CertBot (он и развивает Electronic Frontier Foundation). Есть хорошая новость — с февраля 2018 года они стали выдавать wildcard сертификаты.
Типы сертификатов
Let’s Encrypt предлагает получить самозаверенный сертификат (domain validaed). Он является сертификатом самого низкого уровня и подтверждает, что веб-сайт владеет доменным именем, на которое претендует. Есть еще один тип сертификата — extended validation. Это проверка личности владельца сертификата специалистами выдачи. Если у вас сайт на WordPress, то вам достаточно получить самозаверенный сертификат.
С января 2018 года Let’s Encrypt педлагает получить подстановочный сертификат, который позволяет вам защищать все поддомены веб-сайта с помощью единого сертификата. Например, info.example.com и about.example.com.
Вы также должны получить протокол ACMEv2 и клиентскую поддержку. Для получения дополнительной информации ознакомьтесь с ACME Client Implementations.
Сертификаты Let’s Encrypt действительны в течение 90 дней без исключений. Рекомендуется продливать сертификаты каждые 60 дней, чтобы у вас было в запасе 30 дней для решения любых возникающих проблем. Хотя в зависимости от вашего сервера можно настроить автоматическое обновление.
Самый простой способ получить бесплатный SSL-сертификат от Let’s Encrypt — через ваш веб-хостинг.
Let’s Encrypt сотрудничает со многими хостинг-провайдерами, которые позволяют по умолчанию шифровать и перенаправлять на HTTPS. Если вы не знаете, поддерживает ли ваш хостинг Let’s Encrypt, посмотрите список совместимости хостинг-компаний. Ваш хостинг не знает о Let’s Encrypt? Вы можете связаться с техподдержкой и сообщить, что это хороший вариант сотрудничества.
Если ваш хостинг-провайдер не совместим с Let’s Encrypt, одним из самых простых способов установить бесплатный SSL-сертификат является Certbot. Это официально рекомендуемый сервис Let’s Encrypt, который извлекает и развертывает SSL-сертификат на вашем веб-сервере.
Certbot — официально рекомендуемый клиент Let’s Encrypt
Согласно документации Certbot, «Certbot стремится создать безопасную и защищенную от цензуры сеть». Certbot предоставляет простые в применении инструкции на основе вашего программного обеспечения и операционной системы.
Видео
https://youtube.com/watch?v=Ti5G4xOm-To%3Frel%3D0
Cloudflare One-Click SSL
Плагин Webroot
Использование Webroot имеет место, если у вас есть доступ к редактированию содержимого на сервере. Здесь вы помещаете файл проверки в определенное место на вашем веб-сервере. Этот метод удобен, потому что вам не нужно переключаться на какие-либо порты и беспокоиться о том, что можно случайно снести свой действующий сайт во время установки.
Для использования плагина Webroot вам необходимо убедиться, что ваш сервер настроен и отображает файлы скрытых каталогов и, в частности, папки /.well-known.
Запустите эту команду в своем SSH, чтобы установить Webroot:
certbot certonly --webroot -w /var/www/example -d www.example.com -d example.com
Команда certonly получает сертификат, —webroot сообщает Certbot о методе, который вы используете, и вам нужно указать -w или -webroot-path, а затем путь к файлу, содержащеу самый верхний каталог, в котором есть файлы, веб-сервер, —webroot-path / var / www / html — общий путь к веб-каналу.
Подробности смотрите в документации Certbot.
Шаг 4. Поиск и замена всех ссылок на HTTPS
Если ваш сайт относительно старый, все внутренние ссылки должны быть обновлены. Самое время найти и заменить эти ссылки. Перед выполнением данного действия создайте резервную копию базы данных WordPress. Выполните следующие инструкции:
Установите плагин Better Search Replace:
В поле Search for введите ://вашсайт.com, а в поле Replace with введите //вашсайт.com
Это должно заменить все старые URL-адреса на новые с префиксом https://
Шаг 2. Переключить админку WP-Admin на HTTPS
Добавьте следующий код в ваш файл :
define( ‘FORCE_SSL_ADMIN’, true );
Это переключит вашу консоль WordPress на HTTPS.
Как установить HTTPS
SSL сертификат — это утверждённый документ, что позволяет использовать технологию кодирования SSL. Этот сертификат является обязательным, поскольку без него нельзя использовать адрес, который начинается с HTTPS. Стоимость SSL-сертификатов в диапазоне от $20 до $200, в зависимости от срока действия. Все верно: после окончания срока действия сертификата следует его обновить для продолжения использования.
Шаг 1. Получить сертификат SSL / Использовать Let’s Encrypt
Есть два способа получить сертификат.
- Купить его у надежного SSL поставщика.
- Использовать Let’s Encrypt, который предоставляет бесплатные базовые SSL-сертификаты
Оба варианта надежные. После того как вы получили сертификат, попросите техподдержку вашего хостинга уставить его для вашего сайта.
Различия между HTTP и HTTPS
В общем понимании, применение SSL — это переход с обычного протокола HTTP на HTTPS. HTTP — это протокол передачи данных, на котором базируется все интернет-пространство. Учтите, что мы будем использовать термины HTTPS и SSL как синонимы, поскольку в этом посте они несут одинаковое значение.
Существует несколько различий между HTTP и HTTPS а именно:
- Безопасность веб-сайта: в HTTPS обмен информацией между браузером и пользователем закодирован, что делает данные зашифрованными и несходными с фактической передачей данных.
- Зеленый замочек: веб-сайты, использующие протокол SSL, имеют URL-адреса, что начинаются с HTTPS. Рядом с ними в адресной строке браузера отображается зеленый замочек. Нажав на него, будут показываться различные сведения о сертификате SSL и уровень безопасности.
- Разница в цене: HTTP — это базовый протокол обмена, а потому он не может быть платным, использовать его могут все. HTTPS — платный, годовая плата для обновления соответствующего сертификата составляет $20-200. Но такие сервисы как помогают миру, делая SSL бесплатным.
Таковыми есть основные различия между протоколами, однако это не входит в задачу данного поста. Нужно знать, что HTTPS — надежный, а HTTP — нет. Любые данные, которые вы вводите через HTTP, могут быть перехвачены хакерами.
Бонус! Попробуйте бесплатный SSL от Let’s Encrypt на Hostenko
Если вы пользователь WordPress хостинга от Hostenko, вы можете самостоятельно подключить SSL сертификат от Let’s Encrypt совершенно бесплатно, нажав на 1 кнопку.
Для этого нужно перейти в Личный кабинет хостинга, открыть блок «Управление хостингом» для вашего сайта и в разделе «Безопасность» нажать на кнопку «Добавить SSL сертификат Let’s Encrypt»:
Вся процедура пройдет в автоматическом режиме, и уже через пару секунд к вашему сайту будет подключен бесплатный SSL сертификат от Let’s Encrypt, а адрес сайта изменится на https. Добавить SSL сертификат можно для любого сайта на собственном домене.
Более подробно читайте в заметке на блоге хостинга:
Как подключить в 1 клик бесплатный SSL сертификат от Let’s Encrypt на Hostenko
Источник: elegantthemes.com
Смотрите также:
Изучает сайтостроение с 2008 года. Практикующий вебмастер, специализирующий на создание сайтов на WordPress. Задать вопрос Алексею можно на https://profiles.wordpress.org/wpthemeus/
Как настроить SSL на WordPress
Как только вы получите свой бесплатный сертификат SSL, вы должны сделать еще пару шагов и настроить свой сайт на WordPress для работы с SSL.
Прежде всего, это предполагает:
- Создание 301 редиректа для направления всех запросов с http на https
- Обновление ссылок на сайте
- Обновление всех источников файлов на сайте, чтобы Google не подумал, что у вас есть «незащищенный контент»
Справиться с этим вручную не так трудно. Но еще быстрее это поможет выполнить бесплатный плагин Really Simple SSL.
Все что вам нужно сделать, это активировать плагин, выполнить переход на SSL, и наслаждаться новым защищенным сайтом.
Один совет — при запуске плагина вас может выбросить из WordPress. Не паникуйте, когда это произойдет. Это 100% нормальное следствие переключения URL-адреса вашего сайта с http на https. Просто снова войдите в вашу админку уже через https.
Где и как использовать HTTPS?
Можно настроить сайт на WordPress таким образом, чтобы посетители использовали HTTPS при входе на сайт, при использовании админки, на каждой или же на определенных страницах вашего сайта. Есть два подхода к определению необходимости его использования. Первый – по необходимости. То есть, только самые чувствительные файлы. Второй способ – для всего сайта.
Не так давно о том, что защищенные сайты с помощью HTTPS имеют более высокие показатели в поисковой выдаче. Это значит, что использование HTTPS не только обеспечит защиту сайта, но и поспособствует SEO. Также этот протокол поможет предотвратить или устранить любые человеческие ошибки в отношении конфиденциальности той или иной информации.
Недостаток использования SSL для всего сайта состоит в том, что протокол HTTPS работает медленнее, нежели HTTP. Причина в том, что данные должны зашифровываться перед их отправкой и расшифровываться при их получении. А это дополнительная нагрузка на сервер, отправляющий данные и веб-браузер, получающий их. Соответственно, этот процесс требует дополнительного времени.
Так как скорость загрузки страницы очень важна для конечного пользователя и для SEO, необходимо определить, является ли важной защита нечувствительного контента (как например, контент страниц, доступный всем пользователям). Это, конечно же, зависит от многих факторов и определяется после оценки и тестирования вашего сайта.
В большинстве случаев, к наиболее чувствительным данным относится информация личного характера, касающаяся компании. Это финансовая информация, пароли, номер кредитной карты, прочее. И, как уже говорилось ранее, установка HTTPS является обязательным условием для всех сайтов электронной коммерции. А также в случае передачи любой чувствительной информации. К ним относятся, например, данные медицинских карт.
Имейте ввиду, что если вас когда-либо наймут для создания сайта, с/на который будут отправляться медицинские или финансовые данные, то ваш клиент обязательно проконсультируется с юристом касательно вопроса безопасности. И эти потребности в области безопасности должны быть включены в рамках договора на создание сайта.
Шаг 6. Тестирование
После выполнения всего вышеперечисленного необходимо провести испытание, чтобы убедиться, что все работает правильно. Вот некоторые советы и рекомендации:
- Используйте для выявления «небезопасного» контента на вашем сайте
- Вы также можете выполнить тест , чтобы получить полную картину конфигурации вашего SSL.
- Посетите несколько страниц вашего сайта и проверьте, все ли они будут отображаться значком зеленого замочка.
- Сделайте поиск в Google по запросу “”, чтобы убедиться, что все проиндексированные ссылки правильно перенаправлены и есть протокол https. Понадобится время, чтобы Google обновил настройки; убедитесь, что ваша новая карта сайта отправлена, и вы можете переиндексировать ваш сайт вручную.
- Используйте плагин SSL Insecure Content Fixer для исправления смешанного контента, если такая проблема есть.
FreeSSL от Symantec
FreeSSL — это новый проект от компании Symantec, который предлагает бесплатный SSL-сертификат, вроде Let’s Encrypt.
Выглядит многообещающе, но вот в чем загвоздка:
Хотя мы не уверены, что FreeSSL предоставит что-то лучше, чем Let’s Encrypt, приятно видеть, что рынок бесплатных SSL-сертификатов растет. Хорошо, когда есть больше выбора.
Автономный режим
Если у вас нет серверного программного обеспечения, такого как Apache или Nginx, и вы не заинтересованы в его получении, использование плагина — лучший вариант.
С плмощью плагина необходимо будет привязать веб-сервер к портам 80 (для HTTP) и 443 (для SSL), чтобы проверить домен. Вам может потребоваться освободить эти порты на вашем сервере заранее.
Они оба используются для загрузки вашего сайта, но Certbot может выдавать ошибку доступа. Процесс закрытия и открытия портов зависит от вашего программного обеспечения, поэтому при необходимости обратитесь к инструкциям и документации.
Убедившись, что Certbot установлен и доступен порт 80 или 443, введите эту команду в свой SSH.
Обратите внимание, что в зависимости от того, какой порт вы используете, команда будет немного отличаться.
//For Port 80 certbot certonly --standalone --preferred-challenges http -d example.com //For Port 443 certbot certonly --standalone --preferred-challenges tls-sni -d example.com
Сertonly получает (или в определенных контекстах, обновляет) сертификат, но не устанавливает его, —standalone сообщает Certbot о запуске автономного веб-сервера для аутентификации, —preferred-challenge обозначает сообщение, которое Certbot будет использовать и -d указывает доменное имя, для которого вы запрашиваете SSL-сертификат.
После запуска команды вам будет предложено ввести свой адрес электронной почты и согласиться с условиями. Вы получите сообщение о завершении процесса, а также о месте расположения вашего сертификата.
Шаг 3. Смена адреса WordPress и адреса сайта на HTTPS
Чтобы использовать HTTPS повсюду, проверьте, обновились ли параметры сайта WordPress. Выполните следующие инструкции:
Этот шаг немного рискованный, особенно если вы собираетесь сделать это для старого сайта. Мы рекомендуем использовать плагин Really Simple SSL в WordPress, он автоматически позаботится об этом действии и сообщит о других вещах, которые нужно исправить:
Две распространённые ошибки в WordPress SSL (и как их исправить)
На этом этапе вы уже знаете, как убедиться, что все посетители вашего сайта получают возможность использовать безопасное соединение. Однако в некоторых случаях принудительная загрузка WordPress через HTTPS может привести к нескольким ошибкам. Давайте поговорим о том, какие это ошибки и, на всякий случай, как их исправить.
1. Некоторые файлы не загружаются через HTTPS
После включения HTTPS для вашего сайта вы можете обнаружить, что некоторые его файлы, например изображения, загружаются неправильно. Это потому, что WordPress по-прежнему использует HTTP для них вместо HTTPS.
Если у вас возникла проблема с изображениями вашего сайта, CSS или JavaScript, самый простой способ решить её – сделать несколько дополнений к вашему файлу .htaccess. Однако этот подход применяется только в том случае, если вы использовали ручной метод из предыдущего раздела. Мы поговорим о том, что делать, если вы используете плагин вместо этого чуть позже.
Перейдите на свой веб-сайт через FTP ещё раз и найдите файл .htaccess в каталоге public_html. Откройте его и найдите ранее добавленный код, чтобы установить переадресацию 301. Это должно выглядеть следующим образом:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.yoursite.com/$1 [R,L]
</IfModule>}
Вам нужно будет удалить этот фрагмент и заменить его на более полный. Это не обязательно в большинстве случаев, поскольку не так часто возникают проблемы с некоторыми ресурсами, которые не загружаются должным образом. Однако, если у вас возникла такая проблема, вот код, который вы должны использовать вместо предыдущего:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
Этот код перенаправит весь трафик через HTTPS. Он также включает в себя правила для ваших файлов в WordPress, поэтому такой код позаботится обо всех файлах, которые работали некорректно. После его добавления сохраните изменения в файле .htaccess и загрузите их обратно на сервер.
Если вы настроили свой сайт для использования HTTPS через плагин, вам не нужно вручную настраивать файл .htaccess. Вместо этого большинство плагинов предложит альтернативное решение. Например, Really Simple SSL может находить на вашем сайте файлы, которые не загружаются через HTTPS, и помогать вам их исправить. Чтобы использовать эту функцию, перейдите во вкладку «Настройки»> «SSL», а затем перейдите на страницу настроек плагина:
В верхней части экрана есть параметр Автозамена смешанного содержимого. Убедитесь, что он включён, а затем сохраните изменения в конфигурации плагина. Этот параметр гарантирует, что WordPress загрузит все объекты через HTTPS, а не только ваши посты и страницы.
2. Ваш плагин для кэширования WordPress вызывает проблемы
Если у вас установлен плагин для кеширования WordPress, ваш браузер может попытаться загрузить кешированную версию вашего веб-сайта по HTTP, что может привести к некоторым ошибкам. Самый быстрый способ решить эту проблему – очистить кеш в WordPress.
Как будет происходить процесс кэширования зависит от того, какой плагин вы используете. Тем не менее, это не займет у вас больше нескольких минут. Для получения более подробной информации вы можете ознакомиться с нашим руководством по очистке кеша в WordPress в WP Super Cache (англ), W3 Total Cache (англ) и WP Fastest Cache (англ). Если вы используете другой плагин для кеширования, вам может потребоваться заглянуть в справку для получения инструкций о том, как действовать.
В любом случае, как только вы очистите свой кеш, попробуйте снова загрузить свой сайт, чтобы убедиться, что ваш браузер использует HTTPS без каких-либо ошибок. Теперь установка SSL сертификата успешно завершена!
Let’s Encrypt
Let’s Encrypt — это самый популярный сервис для создания бесплатных сертификатов SSL.
Единственная потенциальная проблема Let’s Encrypt — поддержка хостинга. Если вы на виртуальном хостинге, вам может понадобиться техподдержка вашего хостинга, чтобы установить SSL-сертификат. На данный момент большинство хостингов позволяет легко устанавливать Let’s Encrypt сертификаты через cPanel.
Но не каждый хостинг поддерживает Let’s Encrypt. У некоторых с этим могут возникнуть трудности. Например, проблемы были замечены у:
- Bluehost
- Host Gator
- GoDaddy
Если вы не уверены, поддерживает ли ваш хостинг Let’s Encrypt, можно посмотреть здесь список совместимых хостингов.
Зачем использовать SSL на WordPress?
Ок, во-первых, используя SSL, вы проявляете уважение к вашим читателям. Это позволяет обеспечить зашифрованное соединение между вашим сайтом и браузером посетителя, что помогает передавать данные в безопасности.
Но передавать данные ваших посетителей в безопасности — не единственная причина переходить на SSL. Есть также некоторые корыстные мотивы, чтобы сделать это.
Если вы используете Google Chrome, вы могли заметить, что Google вносит изменения в отображении SSL-сертификатов.
Не так давно, на сайтах с SSL были установлены «зеленые замочки» вместе с зеленым префиксом . Теперь, сайты с SSL имеют весомое защитное обозначение:
Сайты, которые еще не сделали переход, имеют довольно скучный серый вид информационного знака:
Доверия много не внушает, не так ли?
Но Google не собирается останавливаться на достигнутом. Прямо сейчас, они дают преимущество владельцам сайтов, которые делают переход в SSL. Скоро они перейдут к более агрессивным действиям и начнут расправляться с теми, кто не хочет этого делать.
Со временем, Google планирует пометить все страницы без SSL как небезопасные:
Если красный знак в браузерах ваших посетителей — не достаточно весомый аргумент для вас, то Google также пояснил, что они используют SSL как положительный фактор при ранжировании в поисковой выдаче.
Короче говоря, все сайты без SSL будут искусственно понижаться в результатах поиска Google. Такие дела.
Обновление SSL-сертификата
Certbot стремится максимально упростить обновление, проверив все установленные сертификаты на предстоящий срок, а затем их обновить.
Приведенная ниже команда проверяет сертификаты на оставшийся срок действия и обновляет их:
certbot renew
Это обновит любой сертификат, у которого состалось менее 30 дней до истечения срока. Опасностей и рисков раннего обноления нет, поэтому вы можете запускать эту команду в любое время.
Если у вас несколько доменных имен, и вы хотите обновить только один домен, эта команда certonly поможет:
certbot certonly -n -d example.com -d www.example.com
Обратите внимание: Certbot рекомендует включать -n или -noninteractive, чтобы предотвратить блокировку ввода пользователем.
Где хранятся ваши сертификаты?
Все ключи и выданные сертификаты можно найти в / etc / letencrypt / live / $domain, который регулярно обновляется.
Вот список файлов в вашем сертификате:
- Privkey.pem – ваши личные ключи хранятся здесь и должны храниться в секрете, даже от разработчиков Certbot. Но вы можете открыть их для сервера только пользователю root,
- Fullchain.pem – все ваши сертификаты хранятся здесь, и если их несколько, первым отображается сертификат сервера,
- Cert.pem – содержит сертификат отдельного сервера,
- Chain.pem – здесь хранятся все промежуточные сертификаты, а также сертификаты, необходимые для проверки сервера.
Если вы хотите проверить содержимое своего файла в каталоге, используйте команду /etc/letsencrypt/live/example.com в своем SSH, чтобы увидеть весь список.
Шаг 5. Переадресация с HTTP на HTTPS
А что насчет всего поискового листинга по HTTP? Как сказать Google что вы перешли с HTTP на HTTPS?
Очень просто! Выполните 301-редирект на все ссылки. Просто добавьте следующий код в . файл на вашем хостинге:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.your_domain.com/$1 [R,L]
</IfModule>
Замените на ваш сайт. Выполнение этого гарантирует перенаправление всех страниц с http на https с обновленными URL-адресами.
Настраиваем SSL вручную на WordPress
По умолчанию эта функция выключена. Чтобы ее включить, нужно добавить в файл следующий код:
Почитайте замечательную статью в WordPress Codex о том, как настроить HTTPS на всем сайте и зашифровать страницы фронтенда.
Но если вы не сможете сделать все это с помощью двух констант, то есть еще один способ – использование плагина. О чем мы сейчас и поговорим.
Использование плагина для HTTPS
Существует отличный бесплатный плагин WordPress HTTPS (SSL), с помощью которого можно очень легко произвести все настройки. Правда, плагин давно не обновлялся и, как видно из каталога плагинов, тестировался только для версии WordPress 3.5.2. Но он отлично работает также и с версиями 3.9 и 4.0.
Этот плагин осуществляет две функции. Он позволяет задать глобальные SSL-настройки для вашего сайта или сайтов.
Если вы не хотите использовать SSL для всего сайта, то плагин позволяет выбрать конкретные записи и страницы для этого.
Процесс настройки плагина довольно прост. Панель управления дает вам возможность настраивать опции для всего сайта (или нескольким сайтам, если у вас мультисайтовая инсталляция WordPress).
Плагин также предоставляет дополнения в виде метабоксов к каждому редактору постов, что позволяет вам индивидуально настроить запись или страницу. Это очень удобно, если нужно обезопасить доступ к нескольким страницам сразу.
Как настроить на WordPress SSL и HTTPS (2 метода)
На этом этапе мы предположим, что у вас уже есть сертификат SSL, настроенный для вашего сайта. Как только вы это сделали, вам просто нужно указать в WordPress, что нужно использовать HTTPS. Есть два основных способа сделать это.
1. Используйте панель инструментов WordPress и переадресацию 301
После установки WordPress SSL вам необходимо настроить свой сайт для использования HTTPS. Этот процесс прост, если вы запускаете новый веб-сайт. Однако, если вы добавляете SSL сертификат на сайт, который уже использовался какое-то время, это будет немного сложнее.
В любом случае, ваш первый шаг должен состоять в том, чтобы зайти в панель управления и открыть вкладку Настройки> Общие. Внутри вы найдете два поля, которые называются WordPress Address (URL) и Site Address (URL). Адрес вашего сайта должен быть идентичным в обоих полях, и должен использовать HTTP.
Что вам нужно сделать, это заменить префикс HTTP на HTTPS в обоих полях и сохранить изменения в ваших настройках:
Это всё, что нужно, чтобы настроить WordPress на использование HTTPS. Однако, некоторые пользователи могли сохранить старый URL вашего веб-сайта, и он может оставаться в сети. Вы должны убедиться, что эти пользователи используют HTTPS-версию вашего сайта. Для этого вы можете настроить переадресацию URL.
Существует много типов переадресаций, которые вы можете использовать. Тем не менее, как правило, лучше всего использовать редирект 301, который сообщает поисковым системам, что ваш сайт переместился с одного адреса на другой. Чтобы реализовать это перенаправление, вам нужно отредактировать файл с именем .htaccess, который контролирует взаимодействие вашего сервера с WordPress, а также структуру URL-адреса.
Это потребует от вас прямого доступа к файлам вашего сайта, используя инструмент File Transfer Protocol (FTP), такой как FileZilla. Если вы впервые делаете это, вы можете найти все подробности в нашем руководстве по FTP.
Как только вы подключитесь к своему сайту через FTP, перейдите в папку public_html и найдите файл .htaccess внутри:
Выберите этот файл и щёлкните на него правой кнопкой мыши, затем выберите параметр Просмотр / редактирование. Это откроет файл с локальным текстовым редактором, позволяющим внести в него изменения. Не изменяйте какой-либо код внутри .htaccess, если вы не знаете, что делаете. Просто перейдите в нижнюю часть файла и вставьте следующий фрагмент:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.yoursite.com/$1 [R,L]
</IfModule>
Для этого вам нужно будет заменить URL-адрес в этом коде на полный HTTPS-адрес вашего сайта. Это перенаправит любое соединение, которое приходит через port 80, на новый безопасный URL. Как вы знаете, port 80 является стандартным для HTTP-соединений, поэтому он «перехватит» практически всех, кто пытается получить доступ к вашему веб-сайту через старый адрес.
После добавления кода с URL-адресом сохраните изменения в .htaccess и закройте файл. FileZilla спросит, хотите ли вы загрузить эти изменения на свой сервер, на что вы согласитесь. Если вы попробуете посетить свой сайт с использованием URL-адреса HTTP, ваш браузер должен автоматически перенаправить вас на версию HTTPS.
2. Установите плагин для WordPress SSL
Если вы предпочитаете не вводить данные вручную через WordPress, есть более простые способы настроить HTTPS на вашем веб-сайте. Например, вы можете настроить плагин для WordPress SSL, который добавляет тот же код, о котором мы рассказали в предыдущем методе.
Хотя этот подход намного проще, он также имеет некоторый дополнительный риск. Например, если проблемы совместимости возникают с другим инструментом, плагин SSL может перестать работать, и сайт не будет загружать HTTPS до тех пор, пока вы не устраните проблему. Это означает, что вам необходимо тщательно выбирать свой плагин.
Мы рекомендуем Really Simple SSL, так как его очень легко настроить. Всё, что вам нужно — это сертификат для WordPress SSL, готовый к работе:
После установки и включения плагина он сканирует ваш сайт на наличие сертификата WordPress SSL. Если найдёт, он поможет вам включить HTTPS на всём сайте всего за один клик. Для этого просто зайдите во вкладку Настройки> SSL на панели управления и нажмите кнопку Перезагрузить в HTTPS. Да, всё настолько просто!
Если плагин Really Simple SSL не кажется вам настолько простым, есть альтернативные инструменты, которые вы можете использовать для достижения тех же результатов. Есть и другие отличные параметры плагина для WordPress SSL, которые включают WordPress HTTPS (SSL) и Force HTTPS.
Где взять бесплатный SSL сертификат?
Итак, теперь вы знаете, что нужно добавить сертификат SSL для вашего сайта на WordPress. Но как?
Следует ли приобрести один из тех модных Extended Validation сертификатов за сотни долларов в год?
Если вы обычный владелец сайта на WordPress, можно абсолютно спокойно пользоваться бесплатным сертификатом SSL с проверенным доменом. Вот несколько из лучших и доступных в настоящее время вариантов:
Для безопасности сайта SSL недостаточно!
Установка и настройка SSL является, конечно, важным шагом на пути к обеспечению безопасности сайта на WordPress и пользовательских данных, но и этого недостаточно. Пароль вашего сайта все равно можно узнать или угадать. И в этом случае SSL никак не защитит сайт от использования вашей информации теми, кто ее получил путем взлома доступа к сайту.
Как можно перестраховаться? Выбирать только очень сильные пароли, своевременно обновлять плагины и темы на WordPress, периодически сканировать на наличие вредоносных скриптов, прочее.
Само по себе наличие на вашем сайте SSL-сертификата не обезопасит его. Необходимо использовать еще и соответствующие плагины безопасности, как например, , или сервис .
Но установка SSL сертификата и конфигурация WordPress для использования HTTPS – важный и первый шаг к обеспечению безопасности сайта. И, как уже говорилось, довольно простой.
Установка сертификата SSL
В зависимости от ваших настроек и потребностей сайта существует несколько способов установить самозаверенный сертификат. Веб-сайт Certbot проведет вас через весь процесс установки по шагам на основе настроек вашего сервера.
Как уже упоминалось ранее, вы можете установить сертификат автоматически через свой веб-хост. Обратитесь к документации вашего хостинг-провайдера и получите инструкции по настройке, поскольку каждый веб-хост работает по-разному.
Если вы хотите установить подстановочный сертификат, вам придется использовать плагин DNS.
Вы можете ознакомиться с документацией Certbot для получения более подробной информации.
Бонус! Попробуйте бесплатный SSL от Let’s Encrypt на Hostenko нажав на 1 кнопку
Если вы пользователь WordPress хостинга от , вы можете самостоятельно подключить SSL сертификат от Let’s Encrypt совершенно бесплатно, нажав на 1 кнопку.
Для этого нужно перейти в хостинга, открыть блок «Управление хостингом» для вашего сайта и в разделе «Безопасность» нажать на кнопку «Добавить SSL сертификат Let’s Encrypt»:
Вся процедура пройдет в автоматическом режиме, и уже через пару секунд к вашему сайту будет подключен бесплатный SSL сертификат от Let’s Encrypt, а адрес сайта изменится на https. Добавить SSL сертификат можно для любого сайта на собственном домене.
Более подробно читайте в заметке на блоге хостинга:
Смотрите также:
Изучает сайтостроение с 2008 года. Практикующий вебмастер, специализирующий на создание сайтов на WordPress. Задать вопрос Алексею можно на https://profiles.wordpress.org/wpthemeus/
Бесплатный SSL-сертификат и HTTPS для WordPress-сайта
SSL-сертификат защищает ваш сайт путем шифрования соединения между сайтом и конечным пользователем.
Поскольку 59,66% пользователей используют браузер Chrome, важно, чтобы ваш веб-сайт WordPress имел защищенный SSL и HTTPS. Это поможет посетителям доверять вашему сайту.
Получить SSL-сертификат можно быстро и бесплатно. Let’s Encrypt является надежным поставщиком бесплатных сертификатов SSL через официально рекомендованного Certbot.
Сегодня мы расскажем подробнее о SSL, HTTPS, Let’s Encrypt и Certbot. И самое главное как вручную установить, управлять и обновлять бесплатный SSL-сертификат на вашем веб-сервере. Это необходимый элемент защиты вашего WordPress-сайта. Сайты с HTTPS-протоколом не дают ошибки в Chrome. Это позитивно отражается на SEO сайта.
Бонус! Попробуйте бесплатный SSL от Let’s Encrypt на Hostenko
Если вы пользователь WordPress хостинга от Hostenko, вы можете самостоятельно подключить SSL сертификат от Let’s Encrypt совершенно бесплатно, нажав на 1 кнопку.
Для этого нужно перейти в Личный кабинет хостинга, открыть блок «Управление хостингом» для вашего сайта и в разделе «Безопасность» нажать на кнопку «Добавить SSL сертификат Let’s Encrypt»:
Вся процедура пройдет в автоматическом режиме, и уже через пару секунд к вашему сайту будет подключен бесплатный SSL сертификат от Let’s Encrypt, а адрес сайта изменится на https. Добавить SSL сертификат можно для любого сайта на собственном домене.
Более подробно читайте в заметке на блоге хостинга:
Как подключить в 1 клик бесплатный SSL сертификат от Let’s Encrypt на Hostenko
Смотрите также:
Изучает сайтостроение с 2008 года. Практикующий вебмастер, специализирующий на создание сайтов на WordPress. Задать вопрос Алексею можно на https://profiles.wordpress.org/wpthemeus/
Для чего нужен протокол HTTPS
Данная технология может показаться крутой и модной, но есть ли практическое соображение для перехода с HTTP на HTTPS? Безусловно! Позвольте объяснить несколько причин, для чего нужен протокол HTTPS:
- Улучшенное SEO (оптимизация поисковых систем): Суть SEO заключается в передачи дополнительного трафика из поисковых систем. Есть много сигналов ранжирования, что проверяет Google для определения рейтинга веб-страницы. HTTPS – один из официально признанных сигналов ранжирования. , что сайты HTTPS лучше.
- Безопасность: очень важно гарантировать конфиденциальность и безопасность для ваших пользователей. Если через ваш сайт проходят платежи или любая другая конфиденциальная информация, необходимо обеспечить безопасность. Протокол SSL повышает безопасность как для пользователей, так и для владельцев сайта. Владельцы сайтов могут облегчённо вздохнуть, потому что их трафик на 100% зашифрован. Что касается посетителей, то они тоже могут чувствовать себя в безопасности, видя яркий зеленый замочек.
- Надежность сайта: крупные сайты, такие как Google, Mozilla и YouTube используют HTTPS и показывают зеленые замки, что находятся рядом со всеми адресами. Это считается хорошим признаком. Пользователи более склонны доверять сайту, который имеет SSL. Это и хорошо, и плохо одновременно, потому что не все веб-сайты, использующие такой протокол, легальные.
- Для интернет магазинов: при запуске онлайн-магазина немаловажным становится прием кредитных карт и оплата через PayPal. Если вы хотите сделать это согласно с , необходимо использовать SSL.
С HTTPS пользователи будут чувствовать себя уверенно. Они не должны вводить данные своей кредитной карты или любую другую конфиденциальную информацию на сайт без SSL.
Теперь вы знаете важность использования SSL. Но как применить это на сайте? Читайте дальше.
Установка Certbot
Certbot работает с различными ОС и серверами. Лучший способ установить Certbot — перейти на сайт и прочитать инструкции по установке. В большинстве случаев для авторизации CertBot вам необходим доступ root или администратора.
Установка обычно происходит через SSH. Это защищенный криптографический протокол, который позволяет передавать файлы по небезопасным сетям. Популярными клиентами SSH являются терминалы для Mac OS X и PuTTY для Windows.
Вывод
Раньше WordPress SSL сертификаты были зарезервированы только для деловых веб-сайтов, которые сталкивались с большим количеством конфиденциальной информации. В наши дни сертификаты SSL и HTTPS стали обычным явлением. Фактически, сами поисковые системы, такие как Google, рекомендуют их использовать. К счастью, как вы видите, установка SSL сертификата и использование HTTPS для вашего сайта в WordPress – довольно простая задача.
У вас есть вопросы о том, как использовать WordPress SSL и настроить HTTPS? Давайте поговорим о них в разделе комментариев ниже!
Анна долгое время работала в сфере социальных сетей и меседжеров, но сейчас активно увлеклась созданием и сопровождением сайтов. Она любит узнавать что-то новое и постоянно находится в поиске новинок и обновлений, чтобы делиться ими с миром. Ещё Анна увлекается изучением иностранных языков. Сейчас её увлёк язык программирования!
Выводы
Установка SSL-сертификата является важной мерой безопасности для любого WordPress-сайта. Let’s Encrypt и Certbot предоставят быстрые и бесплатные способы защиты вашего сайта с помощью HTTPS и SSL-сертификата.
Для получения подробной информации ознакомьтесь с обширной документацией Certbot и форумом сообщества.
Заключение
Действия, описанные в данном посте, могут нагрузить или напугать вас, но наличие SSL для вашего сайта очень необходимо. Вместе с улучшенным SEO вы также получите надежность и безопасность сайта, чтобы быть на шаг впереди.
Протокол HTTP является устаревшим. HTTPS — это будущее!
Начиная с января 2017 Google Chrome будет помечать сайты HTTP как небезопасные:
Поэтому, сейчас самое подходящее время, чтобы задуматься о переходе на HTTPS.
Итоги
Мы на 100% считаем, что SSL нельзя игнорировать. Даже если выбросить общие преимущества безопасности, обратите внимание на:
- Улучшение рейтинга в поисковых системах
- Уверенность в том, что самый популярный в мире браузер Google Chrome не будет пугать ваших посетителей, что ваш сайт небезопасен.
Так что не ждите. Переходите на SSL уже сейчас!