SSL — расшифровывается как Secure Sockets Layer (протокол безопасных соединений). Это шифрование на основе технологии безопасного обмена информацией между веб-сайтом и посетителем.
Помимо шифрования данных, которыми обмениваются клиент-сервер, также обеспечивается подлинность веб-сайта для ваших посетителей. Миллионы веб-сайтов используют SSL для безопасности. Это неотъемлемый элемент защиты. Если вы заботитесь об опыте использования сайта и безопасности, вам определенно нужен SSL.
Как подключить в 1 клик бесплатный SSL сертификат от Let’s Encrypt на WordPress хостинге Hostenko
Смотрите также:
- Бесплатный SSL сертификат — где его найти и зачем он нужен на WordPress
- Как подключить бесплатный SSL сертификат Let’s Encrypt на Hostenko
- Как использовать SSL и HTTPS на WordPress?
- 5 лучших плагинов для настройки безопасности и защиты вашего сайта на WordPress
- WP Security Audit Log — следите за всеми изменениями на вашем сайте WordPress
- Как защитить WordPress сайт от User-агентов и ботов
Множество людей вводят на сайты личную конфиденциальную информацию, как например данные кредитных карт. На такие детали стоит особенно обращать внимание, чтобы не дать хакерам возможности узнать подобные сведения во время посещения сайта.
Вот почему владельцам веб-сайтов, а также посетителям необходимо понять важность протокола SSL. Это не рекламный ход хостинговых компаний, чтобы заставить вас потратить деньги, а надежность вашей информации и доверие пользователей.
В этом посте вы узнаете обо всех нюансах SSL для вашего сайта на WordPress.
Различия между HTTP и HTTPS
В общем понимании, применение SSL — это переход с обычного протокола HTTP на HTTPS. HTTP — это протокол передачи данных, на котором базируется все интернет-пространство. Учтите, что мы будем использовать термины HTTPS и SSL как синонимы, поскольку в этом посте они несут одинаковое значение.
Существует несколько различий между HTTP и HTTPS а именно:
- Безопасность веб-сайта: в HTTPS обмен информацией между браузером и пользователем закодирован, что делает данные зашифрованными и несходными с фактической передачей данных.
- Зеленый замочек: веб-сайты, использующие протокол SSL, имеют URL-адреса, что начинаются с HTTPS. Рядом с ними в адресной строке браузера отображается зеленый замочек. Нажав на него, будут показываться различные сведения о сертификате SSL и уровень безопасности.
- Разница в цене: HTTP — это базовый протокол обмена, а потому он не может быть платным, использовать его могут все. HTTPS — платный, годовая плата для обновления соответствующего сертификата составляет $20-200. Но такие сервисы как Let’s Encrypt помогают миру, делая SSL бесплатным.
Таковыми есть основные различия между протоколами, однако это не входит в задачу данного поста. Нужно знать, что HTTPS — надежный, а HTTP — нет. Любые данные, которые вы вводите через HTTP, могут быть перехвачены хакерами.
Для чего нужен протокол HTTPS
Данная технология может показаться крутой и модной, но есть ли практическое соображение для перехода с HTTP на HTTPS? Безусловно! Позвольте объяснить несколько причин, для чего нужен протокол HTTPS:
- Улучшенное SEO (оптимизация поисковых систем): Суть SEO заключается в передачи дополнительного трафика из поисковых систем. Есть много сигналов ранжирования, что проверяет Google для определения рейтинга веб-страницы. HTTPS – один из официально признанных сигналов ранжирования. Google указывает, что сайты HTTPS лучше.
- Безопасность: очень важно гарантировать конфиденциальность и безопасность для ваших пользователей. Если через ваш сайт проходят платежи или любая другая конфиденциальная информация, необходимо обеспечить безопасность. Протокол SSL повышает безопасность как для пользователей, так и для владельцев сайта. Владельцы сайтов могут облегчённо вздохнуть, потому что их трафик на 100% зашифрован. Что касается посетителей, то они тоже могут чувствовать себя в безопасности, видя яркий зеленый замочек.
- Надежность сайта: крупные сайты, такие как Google, Mozilla и YouTube используют HTTPS и показывают зеленые замки, что находятся рядом со всеми адресами. Это считается хорошим признаком. Пользователи более склонны доверять сайту, который имеет SSL. Это и хорошо, и плохо одновременно, потому что не все веб-сайты, использующие такой протокол, легальные.
- Для интернет магазинов: при запуске онлайн-магазина немаловажным становится прием кредитных карт и оплата через PayPal. Если вы хотите сделать это согласно с PCI Compliance, необходимо использовать SSL.
С HTTPS пользователи будут чувствовать себя уверенно. Они не должны вводить данные своей кредитной карты или любую другую конфиденциальную информацию на сайт без SSL.
Теперь вы знаете важность использования SSL. Но как применить это на сайте? Читайте дальше.
Как установить HTTPS
SSL сертификат — это утверждённый документ, что позволяет использовать технологию кодирования SSL. Этот сертификат является обязательным, поскольку без него нельзя использовать адрес, который начинается с HTTPS. Стоимость SSL-сертификатов в диапазоне от $20 до $200, в зависимости от срока действия. Все верно: после окончания срока действия сертификата следует его обновить для продолжения использования.
Шаг 1. Получить сертификат SSL / Использовать Let’s Encrypt
Есть два способа получить сертификат.
- Купить его у надежного SSL поставщика.
- Использовать Let’s Encrypt, который предоставляет бесплатные базовые SSL-сертификаты
Оба варианта надежные. После того как вы получили сертификат, попросите техподдержку вашего хостинга уставить его для вашего сайта.
Шаг 2. Переключить админку WP-Admin на HTTPS
Консоль администратора WordPress так же важна, как и сам сайт. Переход на HTTPS в WP-Admin — тоже принципиальный шаг. Прежде всего, убедитесь, есть ли у вас резервная копия вашего сайта, в случае, если дело завалится.
Добавьте следующий код в ваш файл wp-config.php:
define( ‘FORCE_SSL_ADMIN’, true );
Это переключит вашу консоль WordPress на HTTPS.
Шаг 3. Смена адреса WordPress и адреса сайта на HTTPS
Чтобы использовать HTTPS повсюду, проверьте, обновились ли параметры сайта WordPress. Выполните следующие инструкции:
Перейдите в Настройки → Общие и добавьте префикс https вместо http для двух полей, отмеченных на картинке выше
Этот шаг немного рискованный, особенно если вы собираетесь сделать это для старого сайта. Мы рекомендуем использовать плагин Really Simple SSL в WordPress, он автоматически позаботится об этом действии и сообщит о других вещах, которые нужно исправить:
Шаг 4. Поиск и замена всех ссылок на HTTPS
Если ваш сайт относительно старый, все внутренние ссылки должны быть обновлены. Самое время найти и заменить эти ссылки. Перед выполнением данного действия создайте резервную копию базы данных WordPress. Выполните следующие инструкции:
Установите плагин Better Search Replace:
Перейдите в Инструменты → Better Search Replace и выполните замену.
В поле Search for введите http://вашсайт.com, а в поле Replace with введите https://вашсайт.com
Это должно заменить все старые URL-адреса на новые с префиксом https://
Шаг 5. Переадресация с HTTP на HTTPS
А что насчет всего поискового листинга по HTTP? Как сказать Google что вы перешли с HTTP на HTTPS?
Очень просто! Выполните 301-редирект на все ссылки. Просто добавьте следующий код в .htaccess файл на вашем хостинге:
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.your_domain.com/$1 [R,L] </IfModule>
Замените www.your_domain.com на ваш сайт. Выполнение этого гарантирует перенаправление всех страниц с http на https с обновленными URL-адресами.
Шаг 6. Тестирование
После выполнения всего вышеперечисленного необходимо провести испытание, чтобы убедиться, что все работает правильно. Вот некоторые советы и рекомендации:
- Используйте JitBit SSL-check для выявления "небезопасного" контента на вашем сайте
- Вы также можете выполнить тест SSL Labs, чтобы получить полную картину конфигурации вашего SSL.
- Посетите несколько страниц вашего сайта и проверьте, все ли они будут отображаться значком зеленого замочка.
- Сделайте поиск в Google по запросу “site:вашсайт.com”, чтобы убедиться, что все проиндексированные ссылки правильно перенаправлены и есть протокол https. Понадобится время, чтобы Google обновил настройки; убедитесь, что ваша новая карта сайта отправлена, и вы можете переиндексировать ваш сайт вручную.
- Используйте плагин SSL Insecure Content Fixer для исправления смешанного контента, если такая проблема есть.
Заключение
Действия, описанные в данном посте, могут нагрузить или напугать вас, но наличие SSL для вашего сайта очень необходимо. Вместе с улучшенным SEO вы также получите надежность и безопасность сайта, чтобы быть на шаг впереди.
Протокол HTTP является устаревшим. HTTPS — это будущее!
Начиная с января 2017 Google Chrome будет помечать сайты HTTP как небезопасные:
Поэтому, сейчас самое подходящее время, чтобы задуматься о переходе на HTTPS.
Видео
Бонус! Попробуйте бесплатный SSL от Let’s Encrypt на Hostenko
Если вы пользователь WordPress хостинга от Hostenko, вы можете самостоятельно подключить SSL сертификат от Let's Encrypt совершенно бесплатно, нажав на 1 кнопку.
Для этого нужно перейти в Личный кабинет хостинга, открыть блок "Управление хостингом" для вашего сайта и в разделе "Безопасность" нажать на кнопку "Добавить SSL сертификат Let's Encrypt":
Вся процедура пройдет в автоматическом режиме, и уже через пару секунд к вашему сайту будет подключен бесплатный SSL сертификат от Let's Encrypt, а адрес сайта изменится на https. Добавить SSL сертификат можно для любого сайта на собственном домене.
Более подробно читайте в заметке на блоге хостинга:
Как подключить в 1 клик бесплатный SSL сертификат от Let’s Encrypt на Hostenko
Комментарии к записи: 29
Спаисбо за вашу статью, но скажите, можно ли удалить все вышеперечисленные плагины после выполнения из функций? Например, если я при помощи пдагина найду и заменю все http ссылки, смогу ди я после этого удалить этот плагин с гарантией что весь результат его работы не вернется в исходное значение?
Конечно! Плагин один раз выполнит необходимую работу, и дальше он не нужен, можете его отключать.
Добрый день подскажите у меня на сайте такая ситуация как на фото половина страниц HTTPS а другая HTTP. На моем хостинге есть (Переадресовывать запросы с http на https). Подскажите пожалуйста если я сделаю переадресацию мне надо менять еще где то настройки сайта чтобы не упасть в поиске? Спасибо
Смотря, что подразумевается под действием «Переадресовывать запросы с http на https» на вашем хостинге. Если это действие выполняет шаги, описанные в этом руководстве, то вам больше ничего не нужно делать. Скорее всего, это действие выполнит то, что описано у нас про .htaccess. То есть после этого вам все равно придется пройтись по БД вашего сайта и заменить все ссылки на https.
Я спрашивал у тех поддержки хостинга ukraine .com.ua они сказали что ссылки автоматом переделываются. В Robots.txt надо менять с http-https? И еще вопрос позиции сайта будут меняться?
Спасибо, годная статья. Несколько сайтов перевел уже но используя сервис CloudFlare — очень крутой функционал.
Можно добавить, что если на сайте установлен уберкомбайн ithemes security, то достаточно просто включить https в настройках этого плагина. Все остальное он сделает за вас.
Добрый день! Сделал все данные действия и ничего но получается! Делал по шагам, при открытии страницы сайта пишет:
Сайт kadrypro .ru выполнил переадресацию слишком много раз.
Удалите файлы cookie..
ERR_TOO_MANY_REDIRECTS
А в плагине Really Simple SSL висит ошибка:
The mixed content is activated, but the frontpage could not be loaded for verification. The following error was returned: CURLE_FAILED_INIT
Может сталкивались с такой ерундой?
Нашел статью по этой теме в Really Simple SSL
https://really-simple-ssl.com/knowledge-base/how-to-check-if-the-mixed-content-fixer-is-active/
Может это связано с кэшированием сайта
Здравствуйте. Спасибо за статью. Буду полагаться на нее.
Но, хочу еще спросить за плагин WordPress Force HTTPS. Его нужно использовать или следуя данным советам этот плагин использовать не обязательно?
Плагинов для помощи установки SSL на WordPress хватает, но это не значит что нужно пользоваться ими всеми. Вполне достаточно той инструкции, что приведена здесь.
Понял. Просто собираюсь переходить, перечитал кучу информации, что уже запутался)
Но, у вас все аккуратно и понятно написано.
Спасибо за статью!
Еще, сели можно, хочу уточнить по Шаг 5 и Шаг 2
Если сейчас в моем .htaccess уже много всего написано (скорее всего это связано с W3 Total Cache) можно добавить указанный код ниже всего остального, до надписи # END WordPress?
И аналогично Шаг 2 код define( ‘FORCE_SSL_ADMIN’, true ); имеет значение куда его добавить, ближе к началу, или не важно?
В htaccess #END — это просто закомментированная строка обозначающая конец предыдущего фрагмента, т.е. можете добавлять под ней.
В config.php добавляйте код в самом конце последней строкой.
Спасибо за полезную статью. И конечно же имеется вопрос. Не понятен Шаг 5, хоть и вроде должно быть все просто! Выполнил все по шагам, но когда добавляю в .htaccess файл редирект с заменой ссылки как и написано… то работает только главная страница сайта, остальные вижу так: Not Found
The requested URL /kontakty/ was not found on this server.
вот как сохраняю .htaccess
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ [R,L]
# END WordPress
Подскажите пожалуйста что делаю не так.
Заранее благодарен.
Перешел по ссылке и ни как не пойму как получить сертификат! Предлагает только оплатить произвольную сумму. Подскажите пожалуйста как получить сертификат?
Спасибо за статью. Я так понимаю, что сертификат безопасности Let’s Encrypt выдается на ограниченное время, пишут даже, что всего на 3 месяца. Что потом? Обновлять вручную, в какое время, что будет, если время обновления пропустить?
Вроде как эти сертификаты от Lets Encrypt должны автоматически продлеваться сами. С вашей стороны не потребуется дополнительных действий.
В данном случае, потребуется продлить сертификат вручную. Автоматическое продление работает в случае полной автоматизации данного процесса со стороны хостинг провайдера и в том случае, если генерация сертификата осуществляется через соответствующий интерфейс хостинг провайдера.
Здравствуйте, спасибо за вашу статью по установке SSL. Но не подскажете где найти инструкцию по приобретению SSL? Везде на английском, при покупке просят предоставить какой-то CSR, цены на один и тот же тип сертификата различаются от $5 до $60.
Вроде бы давно веду блог и не новичок, но с этой темой уже час вожусь и не могу разобраться :)
Так здесь же указано как получить сертификат от Let`s Encrypt :)
Но если вы желаете приобрести сертификат — выберите поставщика и он вам всё объяснит :)
Например можно приобрести сертификат здесь:
https://ssl.com.ua/
А вот и их генератор CSR запроса (не потеряйте приватный ключ):
https://ssl.com.ua/online-CSR-generator/
Получил сертификат от хостинга и тем не менее восклицательный знак( Эта проблема как то решается?
Это ж не восклицателоьный знак, а буква i, т.е. информация
Спасибо за мануал, все получилось!
Можно ли отключить плагин Really Simple SSL? Он уже сделал свою работу?
Да, можно.
А че делать то если сертификат на домен lets scryp дадут завтра только а сайт нужно уже сейчас запустить и настроить ? ..каков алгоритм действий ? ..чето я запутался…. Чтобы не ждать завтра и не тратить время что нужно сделать правильно ???
Установила ssl от Let’s encrypt, добавила строчку в конец файла wp-config.php в корень файлов и на сайте не зеленый знак защиты, а знак информации и написано что защищен не полностью.
Почему? Как это исправить?
Скорее всего у вас картинки находятся по адресу http. Необходимо все урлы в базе поменять на https. Воспользуйтесь этим плагином https://ru.wordpress.org/plugins/better-search-replace/ для смены адресов.
Здравствуйте. А можно уточнить одну важную деталь в шаге 5 (переадресация — редирект 301). При добавление кода:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.your_domain.com/$1 [R,L]
В этом месте — [R,L] не нужно ли ставить — [R=301,L] или как-то иначе 301?