Одним из ключевых моментов в обеспечении безопасности сайта на WordPress является установка специального SSL-сертификата. С его помощью пользователи смогут обмениваться информацией с вашим сайтом через безопасное и защищенное соединение по протоколу. Но нужно будет проделать некоторую, хоть и несложную работу, чтоб определить, какую информацию нужно защитить и убедиться, что она покидает сайт в таком виде.

Смотрите также:

Что такое SSL?

Протокол SSL – это стандарт для обмена надежной информацией между веб-сайтом и браузером. Не вдаваясь в подробности технической части его работы, его можно объяснить так: он устанавливает доверительные отношения между сервером и веб-браузером. Когда «доверие» установлено, сервер шифрует данные таким образом, что только конечный получатель (клиент) сможет их расшифровать.

Такие меры безопасности принимаются из-за вероятности, что любые данные, передаваемые через интернет с одной точки в другую, могут быть в любой момент перехвачены хакерами или другими участниками сети.

Передача же защищенных данных дает уверенность, что только конкретный получатель сможет их прочесть. Если их откроет кто-либо другой, то увидит только искаженное изображение, набор каких-то символов. Это лучше, чем видимые данные кредитной карты, личные записи, письма, прочее.

Использование SSL требует от сайта установки специального сертификата. Приобретение такого сертификата передает браузеру важную информацию о безопасности вашего сайта. В большинстве браузерах, когда вы заходите на безопасный сайт, вы увидите иконку в виде зеленого замочка в адресной строке. Это означает наличие SSL -сертификата:

Наличие SSL является обязательным для любого сайта, занимающегося электронной коммерцией, и рекомендуется тем, кто имеет дело с обменом важной информации. Не будем вдаваться в подробности процесса добавления сертификата в пакет вашего хостинга, так как он зависит от вида хостинг-провайдера. Но хорошая хостинг-компания обязательно предложит вам самый простой способ установки SSL-сертификата.

После установки сертификата каждый посетитель вашего сайта сможет иметь доступ к его страницам через HTTP или HTTPS соединение. Не зря употреблено слово «сможет», а не «будет», так как добавления самого сертификата еще недостаточно. Вам нужно настроить WordPress таким образом, чтоб заставить посетителей использовать HTTPS.

Когда мы говорим «использование SSL», то подразумеваем, что обмен информацией между сервером и браузером осуществляется через протокол HTTPS вместо незащищенного протокола HTTP. Это требует наличия валидного SSL-сертификата, но не только.

Где и как использовать HTTPS?

Можно настроить сайт на WordPress таким образом, чтобы посетители использовали HTTPS при входе на сайт, при использовании админки, на каждой или же на определенных страницах вашего сайта. Есть два подхода к определению необходимости его использования. Первый – по необходимости. То есть, только самые чувствительные файлы. Второй способ – для всего сайта.

Не так давно Google заявил о том, что защищенные сайты с помощью HTTPS имеют более высокие показатели в поисковой выдаче. Это значит, что использование HTTPS не только обеспечит защиту сайта, но и поспособствует SEO. Также этот протокол поможет предотвратить или устранить любые человеческие ошибки в отношении конфиденциальности той или иной информации.

Недостаток использования SSL для всего сайта состоит в том, что протокол HTTPS работает медленнее, нежели HTTP. Причина в том, что данные должны зашифровываться перед их отправкой и расшифровываться при их получении. А это дополнительная нагрузка на сервер, отправляющий данные и веб-браузер, получающий их. Соответственно, этот процесс требует дополнительного времени.

Так как скорость загрузки страницы очень важна для конечного пользователя и для SEO, необходимо определить, является ли важной защита нечувствительного контента (как например, контент страниц, доступный всем пользователям). Это, конечно же, зависит от многих факторов и определяется после оценки и тестирования вашего сайта.

В большинстве случаев, к наиболее чувствительным данным относится информация личного характера, касающаяся компании. Это финансовая информация, пароли, номер кредитной карты, прочее. И, как уже говорилось ранее, установка HTTPS является обязательным условием для всех сайтов электронной коммерции. А также в случае передачи любой чувствительной информации. К ним относятся, например, данные медицинских карт.

Имейте ввиду, что если вас когда-либо наймут для создания сайта, с/на который будут отправляться медицинские или финансовые данные, то ваш клиент обязательно проконсультируется с юристом касательно вопроса безопасности. И эти потребности в области безопасности должны быть включены в рамках договора на создание сайта.

Настраиваем SSL вручную на WordPress

Существует константа, которую вы можете использовать в файле wp-config.php и обеспечить безопасное соединение в админке. И эта константа - FORCE_SSL_ADMIN – требует наличия SSL-сертификата и HTTPS для доступа в любое место админки WordPress.

По умолчанию эта функция выключена. Чтобы ее включить, нужно добавить в файл wp-config.php следующий код:

define( 'FORCE_SSL_ADMIN', true );

Почитайте замечательную статью в WordPress Codex о том, как настроить HTTPS на всем сайте и зашифровать страницы фронтенда.

Но если вы не сможете сделать все это с помощью двух констант, то есть еще один способ – использование плагина. О чем мы сейчас и поговорим.

Использование плагина для HTTPS

Существует отличный бесплатный плагин WordPress HTTPS (SSL), с помощью которого можно очень легко произвести все настройки. Правда, плагин давно не обновлялся и, как видно из каталога плагинов, тестировался только для версии WordPress 3.5.2. Но он отлично работает также и с версиями 3.9 и 4.0.

Этот плагин осуществляет две функции. Он позволяет задать глобальные SSL-настройки для вашего сайта или сайтов.

Если вы не хотите использовать SSL для всего сайта, то плагин позволяет выбрать конкретные записи и страницы для этого.

Процесс настройки плагина довольно прост. Панель управления дает вам возможность настраивать опции для всего сайта (или нескольким сайтам, если у вас мультисайтовая инсталляция WordPress).

Плагин также предоставляет дополнения в виде метабоксов к каждому редактору постов, что позволяет вам индивидуально настроить запись или страницу. Это очень удобно, если нужно обезопасить доступ к нескольким страницам сразу.

Для безопасности сайта SSL недостаточно!

Установка и настройка SSL является, конечно, важным шагом на пути к обеспечению безопасности сайта на WordPress и пользовательских данных, но и этого недостаточно. Пароль вашего сайта все равно можно узнать или угадать. И в этом случае SSL никак не защитит сайт от использования вашей информации теми, кто ее получил путем взлома доступа к сайту.

Как можно перестраховаться? Выбирать только очень сильные пароли, своевременно обновлять плагины и темы на WordPress, периодически сканировать на наличие вредоносных скриптов, прочее.

Само по себе наличие на вашем сайте SSL-сертификата не обезопасит его. Необходимо использовать еще и соответствующие плагины безопасности, как например, WordFenceiThemes Security или сервис Sucuri.

Но установка SSL сертификата и конфигурация WordPress для использования HTTPS – важный и первый шаг к обеспечению безопасности сайта. И, как уже говорилось, довольно простой.

Бонус! Попробуйте бесплатный SSL от Let’s Encrypt на Hostenko

Если вы пользователь WordPress хостинга от Hostenko, вы можете самостоятельно подключить SSL сертификат от Let's Encrypt совершенно бесплатно, нажав на 1 кнопку.

Для этого нужно перейти в Личный кабинет хостинга, открыть блок "Управление хостингом" для вашего сайта и в разделе "Безопасность" нажать на кнопку "Добавить SSL сертификат Let's Encrypt":

Вся процедура пройдет в автоматическом режиме, и уже через пару секунд к вашему сайту будет подключен бесплатный SSL сертификат от Let's Encrypt, а адрес сайта изменится на https. Добавить SSL сертификат можно для любого сайта на собственном домене.

Более подробно читайте в заметке на блоге хостинга:

Как подключить в 1 клик бесплатный SSL сертификат от Let’s Encrypt на Hostenko

Источник: elegantthemes.com

Вам понравился материал?

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

11 комментариев

сначала новые
по рейтингу сначала новые по хронологии

Спасибо. Очень полезная статья. Но я еще столкнулась с рядом проблем решение которых описала тут

Евгений

Установил плагин указанный в этой статье
Столкнулся с проблемой:
Если в wp-config.php прописать define( 'FORCE_SSL_ADMIN', true ); или в настройках указать siteurl и home как https то не могу зайти в админку - получаю ERR_TOO_MANY_REDIRECTS

Здравствуйте. Вот купил я сертификат, и когда на хостинге включаю безопасное соединение по SSL, то у меня сайт начинает криво отображаться. Хостер пишет "Вам следует выполнить настройки так, чтобы все материалы сайта загружались по протоколу HTTPS.". Вы случайно не подскажете, как мне это сделать?
Спасибо!

Самая распространенная ситуация в данном случае - на сайте остались прописаны полные URL-ы к картинкам или внешним источникам через http://
Как вариант, можно пройтись поиском по всей базе данных в phpMyAdmin и посмотреть, где остались эти урлы и заменить их на https://

Дмитрий

Добрый день! Вышла новость от гугла: Все сайты, которые передают какие-либо данные пользователей (пароли, номера кредитных карт и т.д.), но не используют при этом протокол HTTPS, будут помечаться в браузере Chrome надписью Not secure (не безопасно)
----
интересно их https://startssl.com/ бесплатный пойдет или нет? И еще вопросик - это получается, что все страницы с индекса вылетят? И нужно будет ждать пока зайдут или можно в хттацесс прописать постоянный редирект с http на https?

Практикант

Огромное спасибо, мгновенно решил свою проблему!

unemployed.in.ua

Отличная статья! А то регистратор мне предлагал на год бесплатно SSL сертификат, и я думал - брать или не брать. Решил что для моего блога, он не нужен (пока).

Но, у меня вопрос... если сайт уже рабочий, или наоборот яб сейчас взял SSL, а через год не захотел его продлевать...
Поисковики также будут менять ранжировать или они меня потеряют?
Раньше дискуссии часто были с www писать домены или БЕЗ, а теперь сам протокол http или httpS ! Или оно тоже будет автоматом подставляться?

Мне кажется у меня был случай когда я на какой-то сайт заходил в строку вставив полностью: http://сайт.ru и брайзер выдал ошибку. Надо было именно https://сайт.ru

Недостаток использования SSL для всего сайта состоит в том, что протокол HTTPS работает медленнее, нежели HTTP. Причина в том, что данные должны зашифровываться перед их отправкой и расшифровываться при их получении.

Это глубокое заблуждение. Работа по защищенному протоколу HTTPS является медленнее чем HTTPS только из-за процесса "рукопожатия" (SSL handshake) при установке соединения.

Шифрование, передача и расшифрование данных происходит мгновенно и не оказывает никакой ощутимой нагрузки на сервер или браузер.

Необходимо определить, является ли важной защита нечувствительного контента (как например, контент страниц, доступный всем пользователям).

Вероятно вы недооцениваете злоумышленников :) Если вы защитили вашу форму ввода информации кредитной карты с помощью HTTPS в одной части сайта, но на этом же сайте без протокола HTTPS отображаете "контент страниц, доступный всем пользователям), то грамотный злоумышленник вставит подобную форму на вашу незащищенную страницу (content spoofing), которая будет отправлять данные на вашу защищенную страницу, а между этим и на почту злоумышленнику. Посетитель разницы не заметит.

Даниил

Привет из 2016 =)

Максим

Интересная статья , а вот вопрос : даже если и сайт не занимается электронной коммерцией , то лучше все равно установить ССЛ ? к примеру для блога , в целях его продвижения?

На продвижение блога это никак не скажется, ну разве что гугл будет знать о вашем сертификате и теоретически может повышать вашу позицию в выдаче. Обратная сторона медали - затраты на сертификат и увеличение время отклика сайта по сравнению с http.