SSL — расшифровывается как Secure Sockets Layer (протокол безопасных соединений). Это шифрование на основе технологии безопасного обмена информацией между веб-сайтом и посетителем.

Помимо шифрования данных, которыми обмениваются клиент-сервер, также обеспечивается подлинность веб-сайта для ваших посетителей. Миллионы веб-сайтов используют SSL для безопасности. Это неотъемлемый элемент защиты. Если вы заботитесь об опыте использования сайта и безопасности, вам определенно нужен SSL.

Смотрите также:

Множество людей вводят на сайты личную конфиденциальную информацию, как например данные кредитных карт. На такие детали стоит особенно обращать внимание, чтобы не дать хакерам возможности узнать подобные сведения во время посещения сайта.

Вот почему владельцам веб-сайтов, а также посетителям необходимо понять важность протокола SSL. Это не рекламный ход хостинговых компаний, чтобы заставить вас потратить деньги, а надежность вашей информации и доверие пользователей.

В этом посте вы узнаете обо всех нюансах SSL для вашего сайта на WordPress.

Различия между HTTP и HTTPS

В общем понимании, применение SSL — это переход с обычного протокола HTTP на HTTPS. HTTP — это протокол передачи данных, на котором базируется все интернет-пространство. Учтите, что мы будем использовать термины HTTPS и SSL как синонимы, поскольку в этом посте они несут одинаковое значение.

Существует несколько различий между HTTP и HTTPS а именно:

  • Безопасность веб-сайта: в HTTPS обмен информацией между браузером и пользователем закодирован, что делает данные зашифрованными и несходными с фактической передачей данных.
  • Зеленый замочек: веб-сайты, использующие протокол SSL, имеют URL-адреса, что начинаются с HTTPS. Рядом с ними в адресной строке браузера отображается зеленый замочек. Нажав на него, будут показываться различные сведения о сертификате SSL и уровень безопасности.
  • Разница в цене: HTTP — это базовый протокол обмена, а потому он не может быть платным, использовать его могут все. HTTPS — платный, годовая плата для обновления соответствующего сертификата составляет $20-200. Но такие сервисы как Let’s Encrypt помогают миру, делая SSL бесплатным.

Таковыми есть основные различия между протоколами, однако это не входит в задачу данного поста. Нужно знать, что HTTPS — надежный, а HTTP — нет. Любые данные, которые вы вводите через HTTP, могут быть перехвачены хакерами.

Для чего нужен протокол HTTPS

Данная технология может показаться крутой и модной, но есть ли практическое соображение для перехода с HTTP на HTTPS? Безусловно! Позвольте объяснить несколько причин, для чего нужен протокол HTTPS:

  • Улучшенное SEO (оптимизация поисковых систем): Суть SEO заключается в передачи дополнительного трафика из поисковых систем. Есть много сигналов ранжирования, что проверяет Google для определения рейтинга веб-страницы. HTTPS – один из официально признанных сигналов ранжирования. Google указывает, что сайты HTTPS лучше.
  • Безопасность: очень важно гарантировать конфиденциальность и безопасность для ваших пользователей. Если через ваш сайт проходят платежи или любая другая конфиденциальная информация, необходимо обеспечить безопасность. Протокол SSL повышает безопасность как для пользователей, так и для владельцев сайта. Владельцы сайтов могут облегчённо вздохнуть, потому что их трафик на 100% зашифрован. Что касается посетителей, то они тоже могут чувствовать себя в безопасности, видя яркий зеленый замочек.
  • Надежность сайта: крупные сайты, такие как Google, Mozilla и YouTube используют HTTPS и показывают зеленые замки, что находятся рядом со всеми адресами. Это считается хорошим признаком. Пользователи более склонны доверять сайту, который имеет SSL. Это и хорошо, и плохо одновременно, потому что не все веб-сайты, использующие такой протокол, легальные.
  • Для интернет магазинов: при запуске онлайн-магазина немаловажным становится прием кредитных карт и оплата через PayPal. Если вы хотите сделать это согласно с PCI Compliance, необходимо использовать SSL.

С HTTPS пользователи будут чувствовать себя уверенно. Они не должны вводить данные своей кредитной карты или любую другую конфиденциальную информацию на сайт без SSL.

Теперь вы знаете важность использования SSL. Но как применить это на сайте? Читайте дальше.

Как установить HTTPS

SSL сертификат — это утверждённый документ, что позволяет использовать технологию кодирования SSL. Этот сертификат является обязательным, поскольку без него нельзя использовать адрес, который начинается с HTTPS. Стоимость SSL-сертификатов в диапазоне от $20 до $200, в зависимости от срока действия. Все верно: после окончания срока действия сертификата следует его обновить для продолжения использования.

Шаг 1. Получить сертификат SSL / Использовать Let’s Encrypt

Есть два способа получить сертификат.

  • Купить его у надежного SSL поставщика, например SiteGround
  • Использовать Let’s Encrypt, который предоставляет бесплатные базовые SSL-сертификаты

Оба варианта надежные. После того как вы получили сертификат, попросите техподдержку вашего хостинга уставить его для вашего сайта.

Шаг 2. Переключить админку WP-Admin на HTTPS

Консоль администратора WordPress так же важна, как и сам сайт. Переход на HTTPS в WP-Admin — тоже принципиальный шаг. Прежде всего, убедитесь, есть ли у вас резервная копия вашего сайта, в случае, если дело завалится.

Добавьте следующий код в ваш файл wp-config.php:

define( ‘FORCE_SSL_ADMIN’, true );

Это переключит вашу консоль WordPress на HTTPS.

Шаг 3. Смена адреса WordPress и адреса сайта на HTTPS

Чтобы использовать HTTPS повсюду, проверьте, обновились ли параметры сайта WordPress. Выполните следующие инструкции:

Перейдите в Настройки → Общие и добавьте префикс https вместо http для двух полей, отмеченных на картинке выше

Этот шаг немного рискованный, особенно если вы собираетесь сделать это для старого сайта. Мы рекомендуем использовать плагин Really Simple SSL в WordPress, он автоматически позаботится об этом действии и сообщит о других вещах, которые нужно исправить:

Шаг 4. Поиск и замена всех ссылок на HTTPS

Если ваш сайт относительно старый, все внутренние ссылки должны быть обновлены. Самое время найти и заменить эти ссылки. Перед выполнением данного действия создайте резервную копию базы данных WordPress. Выполните следующие инструкции:

Установите плагин Better Search Replace:

Перейдите в Инструменты → Better Search Replace и выполните замену.

В поле Search for введите http://вашсайт.com, а в поле Replace with введите https://вашсайт.com

Это должно заменить все старые URL-адреса на новые с префиксом https://

Шаг 5. Переадресация с HTTP на HTTPS

А что насчет всего поискового листинга по HTTP? Как сказать Google что вы перешли с HTTP на HTTPS?

Очень просто! Выполните 301-редирект на все ссылки. Просто добавьте следующий код в .htaccess файл на вашем хостинге:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.your_domain.com/$1 [R,L]
</IfModule>

Замените www.your_domain.com на ваш сайт. Выполнение этого гарантирует перенаправление всех страниц с http на https с обновленными URL-адресами.

Шаг 6. Тестирование

После выполнения всего вышеперечисленного необходимо провести испытание, чтобы убедиться, что все работает правильно. Вот некоторые советы и рекомендации:

  • Используйте JitBit SSL-check для выявления "небезопасного" контента на вашем сайте
  • Вы также можете выполнить тест SSL Labs, чтобы получить полную картину конфигурации вашего SSL.
  • Посетите несколько страниц вашего сайта и проверьте, все ли они будут отображаться значком зеленого замочка.
  • Сделайте поиск в Google по запросу “site:вашсайт.com”, чтобы убедиться, что все проиндексированные ссылки правильно перенаправлены и есть протокол https. Понадобится время, чтобы Google обновил настройки; убедитесь, что ваша новая карта сайта отправлена, и вы можете переиндексировать ваш сайт вручную.
  • Используйте плагин SSL Insecure Content Fixer для исправления смешанного контента, если такая проблема есть.

Заключение

Действия, описанные в данном посте, могут нагрузить или напугать вас, но наличие SSL для вашего сайта очень необходимо. Вместе с улучшенным SEO вы также получите надежность и безопасность сайта, чтобы быть на шаг впереди.

Протокол HTTP является устаревшим. HTTPS — это будущее!

Начиная с января 2017 Google Chrome будет помечать сайты HTTP как небезопасные:

Поэтому, сейчас самое подходящее время, чтобы задуматься о переходе на HTTPS.

Видео

Вам понравился материал?

Лучшие темы от Tesla Themes:

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

22 комментария

сначала новые
по рейтингу сначала новые по хронологии

Получил сертификат от хостинга и тем не менее восклицательный знак( Эта проблема как то решается?

Здравствуйте, спасибо за вашу статью по установке SSL. Но не подскажете где найти инструкцию по приобретению SSL? Везде на английском, при покупке просят предоставить какой-то CSR, цены на один и тот же тип сертификата различаются от $5 до $60.

Вроде бы давно веду блог и не новичок, но с этой темой уже час вожусь и не могу разобраться :)

Так здесь же указано как получить сертификат от Let`s Encrypt :)
Но если вы желаете приобрести сертификат - выберите поставщика и он вам всё объяснит :)
Например можно приобрести сертификат здесь:
https://ssl.com.ua/
А вот и их генератор CSR запроса (не потеряйте приватный ключ):
https://ssl.com.ua/online-CSR-generator/

Светлана

Спасибо за статью. Я так понимаю, что сертификат безопасности Let’s Encrypt выдается на ограниченное время, пишут даже, что всего на 3 месяца. Что потом? Обновлять вручную, в какое время, что будет, если время обновления пропустить?

В данном случае, потребуется продлить сертификат вручную. Автоматическое продление работает в случае полной автоматизации данного процесса со стороны хостинг провайдера и в том случае, если генерация сертификата осуществляется через соответствующий интерфейс хостинг провайдера.

Вроде как эти сертификаты от Lets Encrypt должны автоматически продлеваться сами. С вашей стороны не потребуется дополнительных действий.

Александр

Перешел по ссылке и ни как не пойму как получить сертификат! Предлагает только оплатить произвольную сумму. Подскажите пожалуйста как получить сертификат?

Александр

Спасибо за полезную статью. И конечно же имеется вопрос. Не понятен Шаг 5, хоть и вроде должно быть все просто! Выполнил все по шагам, но когда добавляю в .htaccess файл редирект с заменой ссылки как и написано... то работает только главная страница сайта, остальные вижу так: Not Found

The requested URL /kontakty/ was not found on this server.
вот как сохраняю .htaccess
# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.printak.com.ua/$1 [R,L]

# END WordPress
Подскажите пожалуйста что делаю не так.
Заранее благодарен.

Еще, сели можно, хочу уточнить по Шаг 5 и Шаг 2
Если сейчас в моем .htaccess уже много всего написано (скорее всего это связано с W3 Total Cache) можно добавить указанный код ниже всего остального, до надписи # END WordPress?
И аналогично Шаг 2 код define( ‘FORCE_SSL_ADMIN’, true ); имеет значение куда его добавить, ближе к началу, или не важно?

В htaccess #END - это просто закомментированная строка обозначающая конец предыдущего фрагмента, т.е. можете добавлять под ней.

В config.php добавляйте код в самом конце последней строкой.

Здравствуйте. Спасибо за статью. Буду полагаться на нее.
Но, хочу еще спросить за плагин WordPress Force HTTPS. Его нужно использовать или следуя данным советам этот плагин использовать не обязательно?

Плагинов для помощи установки SSL на WordPress хватает, но это не значит что нужно пользоваться ими всеми. Вполне достаточно той инструкции, что приведена здесь.

Понял. Просто собираюсь переходить, перечитал кучу информации, что уже запутался)
Но, у вас все аккуратно и понятно написано.
Спасибо за статью!

Максим

Добрый день! Сделал все данные действия и ничего но получается! Делал по шагам, при открытии страницы сайта пишет:
Сайт kadrypro .ru выполнил переадресацию слишком много раз.
Удалите файлы cookie..
ERR_TOO_MANY_REDIRECTS

А в плагине Really Simple SSL висит ошибка:
The mixed content is activated, but the frontpage could not be loaded for verification. The following error was returned: CURLE_FAILED_INIT
Может сталкивались с такой ерундой?

Нашел статью по этой теме в Really Simple SSL
https://really-simple-ssl.com/knowledge-base/how-to-check-if-the-mixed-content-fixer-is-active/
Может это связано с кэшированием сайта

Можно добавить, что если на сайте установлен уберкомбайн ithemes security, то достаточно просто включить https в настройках этого плагина. Все остальное он сделает за вас.

Спасибо, годная статья. Несколько сайтов перевел уже но используя сервис CloudFlare - очень крутой функционал.