Вступление
Рано или поздно перед администратором сайта WordPress встанет вопрос безопасной передачи данных между браузерами пользователей и сайтами, которые эти пользователи посещают. Обеспечить такое безопасное соединение может SSL сертификат, который должен приобрести (платно), активировать или установить (бесплатно) администратор или владелец сайта (домена).
В этой статье я покажу, где получить бесплатный SSL сертификат для сайта WordPress.
Более расширенную информацию про SSL сертификат вам лучше поискать на специализированных ресурсах безопасности, здесь кратко.
Во-первых, аббревиатура SSL — это Secure Sockets Layer.
Во-вторых, это интернет протокол. Если SSL сертификат для сайта (для домена или компании) есть, то передача данных между браузером пользователя и сайтом будет осуществляться в зашифрованном виде. Уровень шифрования зависит от типа SSL сертификата.
В-третьих, самый простой, но достаточный для простых (не коммерческих) сайтов, уровень шифрования обеспечивают бесплатные SSL сертификаты типа DV (Domain Validation). Они подтверждают ваш домен сайта.
В-четвертых, более серьезное шифрование обеспечивают платные SSL сертификаты, стоимость которых доходит до нескольких тысяч рублей за один домен в год. Они рекомендованы для коммерческих сайтов, которые принимают или пропускают через себя оплату клиентами покупок и услуг. Их типы: OV (Organization Validation) и EV(Extended Validation).
В-пятых, сертификат обеспечивает безопасное HTTPS соединение между серверами и пользователем.
Какому сайту НЕ нужен сертификат?
В теории SSL сертификат для сайта не является обязательным, так как нет мировых правил обязательной сертификации.
Необходимость сертификации сайтов, хотя бы подтверждения домена, принимается на уровне браузера. Например, браузер Chrome не откроет незащищенный сайт пользователю, а «замучает» его страницами опасности и предупреждений.
Такой же негатив нагоняют ведущие поисковые системы и сайты без SSL нещадно опускают в своей выдаче.
В общем, общественные дискуссии о необходимости SSL сертификации сайтов дано закончены и ssl сертификат для сайта (домена) нужен всем. Не хотите платить — значит вам нужен Бесплатный SSL сертификат для сайта, в частности сайта WordPress.
Где получить бесплатный SSL сертификат для сайта WordPress
Я вижу три пути «навесить» зеленый фонарик слева от вашего домена в адресной строке браузера.
Во-первых, найти хостинг с бесплатной SSL сертификацией. Это самый простой и уже нередкий вариант. Большинство хостингов работают с центром бесплатной сертификации Let’s Encrypt и включить шифрование на уровне домена вы можете в панели хостинга.
Во-вторых, получить SSL ключи непосредственно на Let’s Encrypt для одного домена у вас не получиться. Однако с Let’s Encrypt работают несколько вполне порядочных центров бесплатной SSL сертификации позволяющих получать ключи для отдельных доменов. Рекомендую посмотреть такие центры:
- sslforfree.com
- ssl.com
- freessl.space.
Работа с такими центрами подойдет, если ваш сайт лежит не на хостинге, а на VDS/VPS. Получив бесплатные ключи для домена на сервисе вы легко их установите в панели вашего сервера.
Если вы читаете эту статью, то наверняка знаете, что такое SSL-сертификат и слышали про бесплатный сертификат Let’s Encrypt. Если нет, то в начале статьи я скажу пару слов об этом, а далее расскажу, как бесплатно установить SSL на свой WordPress сайт.
Когда вы читаете различные сайты в Интернете, то между вашим браузером и этими сайтами передается огромное количество информации. И вся эта информация не зашифрована, поэтому ее может перехватить кто угодно.
Чтобы избежать этих рисков, и был придуман протокол SSL, который надежно шифрует всю информацию на лету. Когда веб-сайт устанавливает SSL-сертификат, то тем самым идентифицируется его владелец, а вся информация между таким сайтом и браузером посетителя будет передаваться в зашифрованном виде. А в браузере появится зеленый значок, который означает, что соединение с этим сайтом надежно защищено.
SSL: надежный сайт
Если же на сайт не установлен SSL-сертификат, то в браузере будет появляться серый значок о том, что соединение с этим сайтом ненадежно (i в сером кружке).
SSL: ненадежный сайт
Зачем нужен SSL-сертификат?
Самая главная причина – это то, что наличие сертификата SSL является одним из факторов ранжирования Гугл и Яндекс. Т.е. ваш сайт сможет занять более высокие позиции с этим сертификатом, нежели без него.
Зеленый значок в адресной строке браузера повышает доверие посетителей к вашему сайту. Соответственно, повысится конверсия, вовлеченность и продажи. Наличие SSL-сертификата косвенно влияет на это.
Весь трафик с вашего сайта будет зашифрован, что дополнительно защитит вас от взлома.
Что такое Let’s Encrypt?
Let’s Encrypt – это бесплатный SSL-сертификат, который создан организацией Internet Security Research Group, чтобы обеспечить доступ к SSL для всех. Сертификат Let’s Encrypt спонсируют такие организации, как Mozilla, Akamai, Cisco, а партнёрами проекта являются University of Michigan, Stanford Law School, Linux Foundation. Одним словом, несмотря на то, что это бесплатно, это солидно и надежно.
Как добавить SSL-сертификат Let’s Encrypt на WordPress?
Это совсем несложно. Всего несколько простых шагов:
- необходимо выпустить сертификат у своего хостера и привязать его к домену;
- необходимо обновить все урлы на вашем WordPress сайте;
- обновить урлы в Гугл Аналитикс (в Яндекс Метрике не требуется).
Получение SSL-сертификата Let’s Encrypt у хостинг-провайдера
Вам нужно спросить у вашего хостинг-провайдера, как сделать это. Обычно для этого надо нажать пару кнопок.
Я пользуюсь одним из лучших хостингов в России и пока доволен. Мой блог работает быстро, несмотря на высокую посещаемость (убедитесь сами!), цены там одни из самых дешевых, поддержка отвечает в приемлемые сроки. А что еще нужно? Поэтому я расскажу, как установить SSL-сертификат именно у этого хостера. Если у вас другой хостинг, то обратитесь в поддержку.
Установка SSL-сертификата Let’s Encrypt у хостера TimeWeb
Войдите в личный кабинет, перейдите в раздел “Дополнительные услуги” и нажмите ссылку “SSL-сертификаты“:
Установка SSL-сертификата Let’s Encrypt у хостера TimeWeb
В открывшемся окне выберите сертификат Let’s Encrypt и нужный домен и нажмите кнопку “Заказать”:
Выберите Let’s Encrypt и домен и нажмите “Заказать”
И это все! Вот так все просто. В течение дня вам придет письмо-подтверждение и после этого можно переходить к следующему шагу. Больше ничего делать не нужно.
Настраиваем свой WordPress-сайт на работу с SSL
Теперь надо поменять все УРЛы на вашем сайте с http на https.
Обычный сайт без SSL использует протокол HTTP. А адреса сайтов без SSL пишутся так: ://wilhard.ru.
Сайт с SSL-сертификатом использует протокол HTTPS. А адреса сайтов с SSL пишутся так: ://wilhard.ru.
Если вы не поменяете на своем сайте все УРЛы с HTTP на HTTPS, то вы не будете использовать SSL, а ваш сайт не будет безопасным.
Разберемся, как сделать это.
– Случай первый. У вас совсем новый WordPress-сайт
Настройка SSL на новом WordPress-сайте
– Случай второй. У вас старый WordPress-сайт
Если у вас старый сайт, то тогда его индексировали поисковые системы Яндекс и Гугл и в их индексах http-ссылки на ваш сайт. Кроме того, скорее всего, на ваш сайт ссылаются некоторые другие сайты, указывая в ссылках http. Поэтому необходимо настроить редиректы с http на https, чтобы не потерять такие ссылки.
Тогда лучше воспользоваться бесплатным плагином Really Simple SSL. Это очень популярный плагин с миллионом установок и отличными отзывами.
Плагин Really Simple SSL
Все, что потребуется от вас, – это просто установить и активировать этот плагин. Плагин автоматически распознает ваш SSL-сертификат и настроит сайт на работу с ним.
В большинстве случаев вам больше не потребуется ничего делать.
Обновление настроек Гугл Аналитикс
Если у вас на блоге установлен Гугл Аналитикс, то вам придется обновить его настройки – изменить в адресе сайта http на https.
Для этого войдите в панель администратора, перейдите в “Настройки ресурса” и поменяйте http на https:
То же самое нужно сделать и в настройках всех имеющихся представлений.
На этом все. Вот мы и разобрались, как установить бесплатный SSL-сертификат на WordPress-сайт.
Надежное шифрование очень важно для конфиденциальности и безопасности на сайтах WordPress.com. Для шифрования всех доменов, которые зарегистрированы и подключены к веб-сайту WordPress.com, используется сертификат SSL.
Надежное шифрование имеет такое большое значение для нашей платформы, что его отключение запрещено. Мы также перенаправляем (301 redirect) все незащищённые HTTP-запросы на защищённую версию HTTPS.
Ниже приведены ответы на распространённые вопросы по HTTPS и SSL на WordPress.com.
Как установить сертификат SSL на сайте WordPress. com?
Это не требуется. Сертификаты SSL от Let’s Encrypt устанавливаются на все сайты WordPress.com. Это происходит автоматически.
Почему на моем сайте нет сертификата SSL?
Сертификаты SSL от Let’s Encrypt автоматически добавляются вскоре после регистрации или подключения доменов. Для добавления сертификата SSL на сайт может потребоваться до 72 часов. Если вы его ещё не видите, подождите немного.
Для доменов, подключённых у других регистраторов, сертификаты SSL добавляются после того, как вы выполните подключение.
Замедляет ли протокол HTTPS работу сайта?
Раньше замедлял, но такие технологии, как HTTP/2 обладают значительно более высокой производительностью. В некоторых случаях зашифрованный трафик HTTP/2 передается даже быстрее, чем незашифрованный. WordPress.com предоставляет распределённую сеть серверов по всему миру и обеспечивает поддержку новейших технологий, чтобы пользователям было максимально удобно работать со своими сайтами.
Как убрать бесконечные предупреждения системы безопасности?
Как правило, при работе на WordPress.com у вас не должно появляться предупреждений системы безопасности. Если такое случается, обратитесь в службу поддержки и сообщите подробности.
Почему в общем имени (CN) сертификата отображается tls. automattic. com?
Если вы привязали пользовательский домен к WordPress.com, его безопасность обеспечивается с помощью сертификата SSL от центра сертификации Let’s Encrypt. Чтобы повысить эффективность и удобство сертификации, мы используем одно общее имя (tls.automattic.com) для всех сертификатов и храним уникальные доменные имена в виде партий примерно по 50 штук в атрибуте SubjectAltName. Все современные браузеры распознают этот атрибут и не показывают вам и вашим читателям предупреждения и ошибки.
Вы поддерживаете заголовки безопасности, например HSTS?
В настоящее время WordPress.com отправляет во всех ответах HTTPS заголовок Strict-Transport-Security (HSTS).