Як підключити в 1 клік безкоштовний SSL сертифікат від Let's Encrypt на WordPress хостингу Hostenko
Одним із ключових моментів у забезпеченні безпеки сайту на WordPress є встановлення спеціального SSL-сертифікату. За його допомогою користувачі зможуть обмінюватися інформацією з вашим сайтом через безпечне та захищене з'єднання протоколу. Але потрібно буде зробити деяку, хоч і нескладну роботу, щоб визначити, яку інформацію потрібно захистити і переконатися, що вона залишає сайт у такому вигляді.
Дивіться також:
Що таке SSL?
Протокол SSL – це стандарт для обміну надійною інформацією між веб-сайтом та браузером. Не вдаючись до подробиць технічної частини його роботи, його можна пояснити так: він встановлює довірчі стосунки між сервером та веб-браузером. Коли «довіра» встановлена, сервер шифрує дані таким чином, що тільки кінцевий одержувач (клієнт) зможе їх розшифрувати.
Такі заходи безпеки вживаються через ймовірність, що будь-які дані, що передаються через інтернет з однієї точки в іншу, можуть будь-коли перехоплені хакерами або іншими учасниками мережі.
А передача захищених даних дає впевненість, що тільки конкретний одержувач зможе їх прочитати. Якщо їх відкриє хтось інший, побачить лише спотворене зображення, набір якихось символів. Це краще, ніж видимі дані кредитної картки, особисті записи, листи та інше.
Використання SSL вимагає від сайту встановлення спеціального сертифіката. Придбання такого сертифіката передає браузеру важливу інформацію щодо безпеки вашого сайту. У більшості браузерах, коли ви заходите на безпечний сайт, ви побачите іконку у вигляді зеленого замку в адресному рядку. Це означає наявність SSL-сертифіката:
Наявність SSL є обов'язковою для будь-якого сайту, що займається електронною комерцією, і рекомендується тим, хто має справу з обміном важливої інформації. Не будемо вдаватися до подробиць процесу додавання сертифіката в пакет вашого хостингу, оскільки він залежить від виду хостинг-провайдера. Але хороша хостинг-компанія обов'язково запропонує вам найпростіший спосіб встановлення SSL-сертифікату.
Після встановлення сертифіката кожен відвідувач вашого сайту зможе мати доступ до його сторінок через HTTP або HTTPS з'єднання. Не дарма вжито слово "може", а не "буде", тому що додавання самого сертифіката ще недостатньо. Вам потрібно налаштувати WordPress таким чином, щоб змусити відвідувачів використовувати HTTPS.
Коли ми говоримо "використання SSL", то маємо на увазі, що обмін інформацією між сервером і браузером здійснюється через протокол HTTPS замість незахищеного протоколу HTTP. Це вимагає наявності валідного SSL сертифіката, але не тільки.
Де і як використовувати HTTPS?
Можна налаштувати сайт на WordPress таким чином, щоб відвідувачі використовували HTTPS при вході на сайт, при використанні адмінки, на кожній або на певних сторінках вашого сайту. Є два підходи для визначення необхідності його використання. Перший – за потребою. Тобто тільки найчутливіші файли. Другий спосіб – для всього сайту.
Не так давно Google заявив про те, що захищені сайти за допомогою HTTPS мають вищі показники в пошуковій видачі. Це означає, що використання HTTPS не лише забезпечить захист сайту, але й сприятиме SEO. Також цей протокол допоможе запобігти або усунути будь-які людські помилки щодо конфіденційності тієї чи іншої інформації.
недолік використання SSL для всього сайту полягає в тому, що протокол HTTPS працює повільніше, ніж HTTP. Причина в тому, що дані повинні зашифровуватися перед їх надсиланням і розшифровуватися при отриманні. А це додаткове навантаження на сервер, що відправляє дані та веб-браузер, який отримує їх. Відповідно, цей процес потребує додаткового часу.
Так як швидкість завантаження сторінки дуже важлива для кінцевого користувача та для SEO, необхідно визначити, чи є важливим захист нечутливого контенту (наприклад, контент сторінок, доступний всім користувачам). Це, звичайно ж, залежить від багатьох факторів і визначається після оцінки та тестування вашого сайту.
У більшості випадків, до найбільш чутливим даним відноситься інформація індивідуального характеру, що стосується компанії. Це фінансова інформація, паролі, номер кредитної картки та інше. І, як говорилося раніше, установка HTTPS є обов'язковою умовою для всіх сайтів електронної комерції. А також у разі передачі будь-якої чутливої інформації. До них належать, наприклад, дані медичних карток.
Майте на увазі, що якщо вас колись найму для створення сайту, з/на який будуть надсилатися медичні або фінансові дані, то ваш клієнт обов'язково проконсультується з юристом щодо питання безпеки. І ці потреби в галузі безпеки повинні бути включені в рамках договору створення сайту.
Налаштовуємо SSL вручну на WordPress
Існує константа, яку ви можете використовувати у файлі WP-config.php та забезпечити безпечне з'єднання в адмінці. І ця константа - FORCE_SSL_ADMIN – вимагає наявності SSL-сертифіката та HTTPS для доступу до будь-якого місця адмінки WordPress.
За замовчуванням цю функцію вимкнено. Щоб її увімкнути, потрібно додати до файлу WP-config.php наступний код:
define( 'FORCE_SSL_ADMIN', true);
Почитайте чудову статтю у WordPress Codex про те, як налаштувати HTTPS на всьому сайті та зашифрувати сторінки фронтенду.
Але якщо ви не зможете зробити це за допомогою двох констант, тобто ще один спосіб - використання плагіна. Про що ми зараз і поговоримо.
Використання плагіна для HTTPS
Існує чудовий безкоштовний плагін HTTPS (SSL) WordPress, за допомогою якого можна легко зробити всі налаштування. Правда, плагін давно не оновлювався і, як видно з каталогу плагінів, тестувався лише для WordPress 3.5.2. Але він добре працює також і з версіями 3.9 та 4.0.
Цей плагін здійснює дві функції. Він дозволяє встановити глобальні SSL-налаштування для вашого сайту або сайтів.
Якщо ви не бажаєте використовувати SSL для всього сайту, то плагін дозволяє вибрати конкретні записи та сторінки для цього.
Процес налаштування плагіна досить простий. Панель керування дає вам можливість настроювати опції для всього сайту (або кільком сайтам, якщо у вас мультисайтова інсталяція WordPress).
Плагін також надає доповнення у вигляді метабоксів кожного редактора постів, що дозволяє вам індивідуально налаштувати запис або сторінку. Це дуже зручно, якщо потрібно убезпечити доступ до кількох сторінок одразу.
Для безпеки сайту SSL недостатньо!
Встановлення та налаштування SSL є, звичайно, важливим кроком на шляху до забезпечення безпеки сайту на WordPress та даних, але й цього недостатньо. Пароль вашого сайту все одно можна дізнатися чи вгадати. І в цьому випадку SSL ніяк не захистить сайт від використання вашої інформації тими, хто її отримав шляхом злому доступу до сайту.
Як можна перестрахуватись? Вибирати тільки дуже сильні паролі, своєчасно оновлювати плагіни та теми WordPress, періодично сканувати на наявність шкідливих скриптів, інше.
Саме собою наявність на вашому сайті SSL-сертифіката не убезпечить його. Необхідно використовувати ще й відповідні плагіни безпеки, наприклад, WordFence, iThemes Security або сервіс Sucuri.
Але встановлення SSL сертифіката та конфігурація WordPress для використання HTTPS – важливий та перший крок до забезпечення безпеки сайту. І, як говорилося, досить простий.
Бонус! Спробуйте безкоштовний SSL від Let's Encrypt на Hostenko
Якщо ви користувач WordPress хостингу від HostenkoВи можете самостійно підключити SSL сертифікат від Let's Encrypt абсолютно безкоштовно, натиснувши на 1 кнопку.
Для цього потрібно перейти в Особистий кабінет хостингу, відкрити блок "Управління хостингом" для вашого сайту та в розділі "Безпека" натиснути на кнопку "Додати SSL сертифікат Let's Encrypt":
Вся процедура пройде в автоматичному режимі, і вже за кілька секунд до вашого сайту буде підключено безкоштовний SSL сертифікат від Let's Encrypt, а адреса сайту зміниться на https. Додати SSL-сертифікат можна для будь-якого сайту на власному домені.
Докладніше читайте у замітці на блозі хостингу:
Як підключити в 1 клік безкоштовний SSL сертифікат від Let's Encrypt до Hostenko
Джерело: elegantthemes.com
Коментарі до запису: 12
Цікава стаття, а ось питання: навіть якщо і сайт не займається електронною комерцією, то краще все одно встановити ССЛ? Наприклад для блогу, з метою його просування?
На просування блогу це ніяк не позначиться, ну хіба що Google знатиме про ваш сертифікат і теоретично може підвищувати вашу позицію у видачі. Зворотний бік медалі - витрати на сертифікат і збільшення час відгуку сайту в порівнянні з http.
Це глибоке оману. Робота із захищеним протоколом HTTPS є повільніша ніж HTTPS тільки через процес «рукостискання» (SSL handshake) під час встановлення з'єднання.
Шифрування, передача та розшифрування даних відбувається миттєво і не надає жодного відчутного навантаження на сервер або браузер.
Ймовірно, ви недооцінюєте зловмисників :) Якщо ви захистили вашу форму введення інформації кредитної картки за допомогою HTTPS в одній частині сайту, але на цьому ж сайті без протоколу HTTPS відображаєте «контент сторінок, доступний усім користувачам), то грамотний зловмисник вставить подібну форму на вашу незахищену сторінку (content spoofing), яка надсилатиме дані на вашу захищену сторінку, а між цим і на пошту зловмиснику. Відвідувач різниці не помітить.
Привіт із 2016 =)
Чудова стаття! Бо реєстратор мені пропонував на рік безкоштовно SSL сертифікат, і я думав — брати чи не брати. Вирішив, що для мого блогу, він не потрібен (поки що).
Але, у мене питання… якщо сайт вже робітник, або навпаки яб зараз узяв SSL, а через рік не захотів його продовжувати…
Пошуковики також змінюватимуть ранжувати або вони мене втратять?
Раніше дискусії часто були з www писати домени або БЕЗ, а тепер сам протокол http або httpS! Або воно теж буде автоматично підставлятися?
Мені здається у мене був випадок, коли я на якийсь сайт заходив у рядок вставивши повністю: http://сайт.ru і брайзер видав помилку. Потрібно було саме https://сайт.ru
Велике дякую, миттєво вирішив свою проблему!
Добридень! Вийшла новина від гугла: Усі сайти, які передають будь-які дані користувачів (паролі, номери кредитних карток і т.д.), але не використовують при цьому протокол HTTPS, позначатимуться в браузері Chrome написом Not secure (не безпечно)
-
цікаво їх https://startssl.com/ безкоштовний піде чи ні? І ще питання - це виходить, що всі сторінки з індексу вилетять? І потрібно буде чекати доки зайдуть чи можна в хттацесс прописати постійний редирект з http на https?
Добрий день. Ось купив я сертифікат, і коли на хостингу включаю безпечне з'єднання SSL, то у мене сайт починає криво відображатися. Хостер пише «Вам слід виконати налаштування так, щоб усі матеріали сайту завантажувалися за протоколом HTTPS.». Ви часом не підкажете, як мені це зробити?
Спасибо!
Найпоширеніша ситуація в даному випадку - на сайті залишилися прописані повні URL до картинок або зовнішніх джерел через http://
Як варіант, можна пройтися пошуком по всій базі даних у phpMyAdmin та подивитися, де залишилися ці урли та замінити їх на https://
Ви можете зробити перенаправлення за допомогою htaccess
Встановив плагін, зазначений у цій статті
Зіткнувся з проблемою:
Якщо wp-config.php прописати define( 'FORCE_SSL_ADMIN', true ); або в налаштуваннях вказати siteurl і home як https не можу зайти в адмінку - отримую ERR_TOO_MANY_REDIRECTS
Дякую. Дуже корисна стаття. Але я ще зіткнулася з низкою проблем вирішення яких описала тут