Как исправить сообщение «Веб-сайт небезопасен» в Chrome

Сообщение о «небезопасном» веб-сайте в Chrome выглядит довольно пугающим для посетителей — достаточно, чтобы отпугнуть большинство из них. В результате вы можете попрощаться с конверсиями, продажами, новыми подписчиками и всем остальным, чего вы пытаетесь достичь.

Другими словами, не имеет значения, сколько работы вы вложили в оптимизацию рекламного текста, UX-дизайна или производительности сайта, сообщение «небезопасно» делает ваш сайт практически бесполезным. Звучит тревожно? К счастью, и причина, и решение довольно просты.

Это сообщение об ошибке появляется, когда возникает проблема с сертификатом уровня защищенных сокетов (SSL) вашего сайта или конфигурацией HTTPS.

В этой статье мы обсудим все, что вам нужно знать о сообщении «небезопасный» веб-сайт в Chrome, включая то, что оно означает и как его исправить. Мы также поговорим о других мерах безопасности, которые вы можете предпринять для дальнейшей защиты вашего сайта, а также о том, какие инструменты вам следует использовать (например, пакет Jetpack Security).

Что означает сообщение «небезопасный» веб-сайт?

Сообщение «небезопасно» в Chrome может появиться для любого веб-сайта, независимо от того, создан ли он на WordPress или любой другой платформе. Это означает, что веб-сайт не использует HTTPS или не имеет активного сертификата SSL.

Использование HTTPS теперь является обязательным требованием для всех владельцев веб-сайтов. Поисковые системы накажут вас, снизив ваш рейтинг и предупредив посетителей сайта, если у вас его нет.

И можно с уверенностью сказать, что если посетитель увидит одно из этих предупреждений, он, вероятно, не останется на сайте. Иногда их браузер даже не позволяет им это сделать.

Если вы столкнулись с этой ошибкой на своем веб-сайте, вам следует остановить все и найти решение.

Что такое HTTPS?

HTTPS — это безопасная версия HTTP. Это означает «безопасный протокол передачи гипертекста». Используя HTTPS, сайт предлагает более безопасные каналы связи для отправляемых и получаемых данных.

Это современный стандарт защиты посетителей, и браузеры и поисковые системы требуют, чтобы вы его использовали.

Чтобы включить HTTPS для вашего сайта, вам сначала понадобится сертификат SSL. Это своего рода цифровой сертификат, который подтверждает подлинность и право собственности вашего сайта.

Большинство авторитетных веб-хостов предлагают автоматическую настройку сертификата SSL и сделают это бесплатно в рамках вашего плана хостинга. Они возьмут на себя большую часть работы, включая своевременное продление сертификата.

Это лишь одна из многих причин выбрать хорошего хостинг-провайдера.

Почему HTTPS имеет решающее значение для безопасности веб-сайта?

Вы можете многое сделать, чтобы улучшить безопасность своего сайта. Вы можете поддерживать свое программное обеспечение в актуальном состоянии, включать двухфакторную аутентификацию, использовать плагин безопасности, регулярно создавать резервные копии сайта и многое другое.

Но включение HTTPS — одна из самых простых, но эффективных мер, которые вы можете предпринять. Помимо предотвращения предупреждения о «небезопасности», вам следует использовать HTTPS, потому что он:

• Облегчает шифрование данных. При включенном HTTPS все данные, передаваемые между посетителями и сервером сайта, будут зашифрованы. Это означает, что даже если кому-то удастся перехватить данные, он не сможет их понять.
• Предотвращает подделку данных. Шифрование данных также помогает предотвратить несанкционированный доступ. Некоторые распространенные кибератаки (например, атаки с повторным воспроизведением или внедрение пакетов) включают внесение изменений в передаваемые данные с целью использования уязвимостей.
• Обеспечивает аутентификацию данных. Благодаря HTTPS вы можете быть уверены, что подключаетесь к нужному веб-сайту, а не к фишинговому мошенничеству или другому типу поддельного контента.
• Включает сигналы доверия и безопасности. Установка сертификата SSL и использование HTTPS приведет к тому, что некоторые браузеры будут отображать сигналы доверия на панели навигации. Увидев эти сигналы, вы сможете убедить посетителей и придать им больше уверенности в совершении покупки или совершении другого важного действия.

Как узнать, использует ли сайт, который вы посещаете, HTTPS?

Если вы используете Chrome, вы можете щелкнуть значок в левой части панели навигации. Он находится рядом с адресом сайта, который вы посещаете.

Нажав на этот значок, вы увидите, использует ли сайт безопасное соединение и имеет ли действительный сертификат SSL. Если вы видите сообщение «небезопасно», это означает, что возникла проблема либо с конфигурацией HTTPS, либо с сертификатом SSL.

Для посетителей сайта: что делать, если вы видите сообщение «небезопасно»

Если вы столкнулись с сообщением «небезопасно» в Chrome, возможно, вам следует избегать посещения этого веб-сайта, пока владелец не исправит его. Обычно это указывает на проблему с сертификатом SSL сайта или конфигурацией HTTPS.

В некоторых случаях это может быть простой оплошностью. Если владелец веб-сайта забудет обновить свой SSL-сертификат, это может привести к тому, что сайт будет безопасным, но Chrome по-прежнему будет предупреждать пользователей, пока проблема не будет устранена.

Как конечный пользователь, у вас есть несколько способов определить, является ли ошибка «небезопасно» ошибкой. В Chrome вы можете проверить SSL-сертификат сайта и посмотреть, соответствуют ли его данные сайту и истек ли срок его действия:

Вы можете по своему усмотрению решить, стоит ли посещать сайты, помеченные как «небезопасные». Тем не менее, если вы посещаете незащищенный веб-сайт, не вводите конфиденциальную информацию, например пароли, до тех пор, пока ошибка не будет исправлена.

Для владельцев веб-сайтов: как исправить сообщение «сайт небезопасен» в Chrome

Если на вашем веб-сайте отображается ошибка «небезопасно», вам необходимо немедленно ее исправить. Большинство посетителей будут избегать вашего сайта и вместо этого могут оказаться на сайте конкурента.

Как мы упоминали ранее, сообщения «небезопасно» в Chrome появляются из-за проблем с SSL-сертификатом сайта (например, его отсутствия) или его конфигурацией HTTPS. Начнем с сертификатов.

Приобретите и установите SSL-сертификат (или получите бесплатный)

Использование сертификата SSL для вашего веб-сайта не должно быть предметом переговоров. Если вас беспокоят затраты, вы можете настроить бесплатные SSL-сертификаты от таких авторитетных организаций, как Let's Encrypt.

Эти сертификаты (сертификаты начального уровня, известные как сертификаты с проверкой домена (DV)) идеально подходят для личных веб-сайтов и веб-сайтов малого бизнеса.

Если у вас есть веб-сайт для крупного бизнеса, интернет-магазин с большим трафиком или корпоративный проект, вам следует выбрать более надежный тип — например, SSL-сертификат с проверкой организации (OV) или расширенной проверкой.

Это будет связано с затратами, и приложению может потребоваться определенный уровень проверки и тестирования безопасности, но это часто необходимо с точки зрения соответствия.

Если вы ищете веб-хостинг, который установит для вас сертификат SSL и будет управлять его продлением, обратите внимание на наших партнеров по хостингу.

Обновите свой веб-сайт, чтобы он обслуживал только URL-адреса HTTPS.

После того как вы настроите сертификат SSL для своего сайта, вам также необходимо настроить его для загрузки через HTTPS. В противном случае вы столкнетесь с сообщениями об ошибках при попытке доступа к веб-сайту, независимо от того, какой браузер вы используете.

Существует несколько способов настроить ваш веб-сайт для обслуживания контента только с использованием HTTPS. Если ваш сайт использует сервер Apache, вы можете изменить его . htaccess для перенаправления всего HTTP-содержимого через HTTPS.

Если вы хотите использовать этот подход, важно сначала создать резервную копию вашего сайта, поскольку вам придется редактировать часть его кода. В WordPress вы можете сделать это с помощью Jetpack VaultPress Backup, который также будет создавать резервные копии вашего сайта в реальном времени каждый раз, когда вы вносите в него изменения.

Затем подключитесь к сайту по протоколу передачи файлов (FTP). Перейдите в корневой каталог сайта и найдите внутри файл .htaccess .

Откройте этот файл с помощью текстового редактора. Это должно выглядеть примерно так, как показано на скриншоте ниже, возможно, с некоторыми пользовательскими конфигурациями в зависимости от настроек вашего сайта:

Теперь скопируйте следующий фрагмент кода и добавьте его перед строкой # END WordPress, стараясь не затрагивать остальной код:

 RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Этот код реализует 301 или постоянное перенаправление для маршрутизации всего HTTP-трафика через HTTPS. Мы используем перенаправление 301, потому что это должно быть постоянное изменение, и таким образом вы передаете свой ресурс ссылки на URL-адреса HTTPS.

Если у вас есть веб-сайт WordPress, вы также можете использовать плагин для обслуживания только HTTPS-трафика. Например, Really Simple SSL позволяет вам установить бесплатный сертификат SSL с панели управления, а также добавить 301 перенаправление на ваш сайт без необходимости возиться с файлами вручную.

Проверьте смешанный контент

В некоторых случаях проблемы с конфигурацией вашего сайта могут привести к загрузке некоторого контента через HTTPS, но не всего. Это приводит к ошибке смешанного содержимого, которая может проявляться в виде сообщения о «небезопасном» веб-сайте в Chrome.

Чтобы проверить наличие ошибки смешанного контента, вы можете получить доступ к сайту с помощью Chrome и открыть инструменты разработчика браузера, проверив одну из его страниц.

Перейдите на вкладку «Безопасность» и проверьте, что написано в разделе «Обзор безопасности» → «Ресурсы» .

В идеале вы увидите сообщение «все обеспечено безопасностью». Предупреждение о смешанном контенте означает, что вам придется пересмотреть то, как ваш сайт использует HTTPS. Это также может быть проблема со сторонними ресурсами, которые использует ваш сайт и которые загружаются через HTTP.

Вы можете использовать консоль инструмента разработчика, чтобы увидеть, какие ресурсы загружаются на ваш сайт. Консоль выделит ресурсы со смешанным контентом, чтобы вы могли легко их идентифицировать.

Код, которым мы поделились ранее, о том, как маршрутизировать HTTP-трафик через HTTPS для серверов Apache, должен работать для всего контента. Если вы использовали этот код, еще раз проверьте, правильно ли он добавлен в файл .htaccess сайта.

Для пользователей WordPress существуют дополнительные причины, по которым вы можете столкнуться с предупреждением о смешанном контенте. Иногда старые медиафайлы упорно цепляются за использование HTTP. Возможно, вам придется повторно загрузить эти файлы или использовать плагин, например Really Simple SSL, чтобы заставить весь контент загружаться через HTTPS.

Убедитесь, что Chrome распознает ваш сайт как безопасный.

После реализации любого из вышеперечисленных исправлений вам необходимо проверить, сохраняется ли ошибка в Chrome. Если вы по-прежнему видите сообщение «небезопасный веб-сайт», это означает, что реализованное вами исправление не сработало.

Поскольку «незащищенные» сообщения связаны с сертификатами SSL или проблемами HTTPS, вам необходимо убедиться, что оба они работают на вашем сайте. Если у вас настроен действительный сертификат и весь контент правильно настроен для загрузки через HTTPS, сообщение об ошибке должно полностью исчезнуть.

Дополнительные важные меры безопасности для владельцев сайтов

Использование сертификата SSL и HTTPS является отличной мерой безопасности. Но вы можете сделать гораздо больше, чтобы обеспечить безопасность своего сайта и защитить посетителей от злоумышленников.

Давайте рассмотрим некоторые эффективные способы дальнейшей защиты вашего сайта.

1. Установите плагин безопасности для обеспечения круглосуточной защиты.

Этот совет предназначен для веб-сайтов WordPress. Даже если вы не используете WordPress, существует множество замечательных инструментов и сервисов безопасности, которые вы можете использовать для защиты своего сайта — это просто вопрос поиска правильных вариантов.

Если вы не знаете, с чего начать, поищите инструменты, включающие некоторые функции, которые мы обсудим в этом разделе. Как пользователю WordPress, вам лучше всего найти решения безопасности, которые защитят ваш сайт по нескольким направлениям.

Jetpack Security — это набор инструментов WordPress, предназначенный для защиты вашего сайта от злоумышленников и восстановления вашего контента в случае, если что-то пойдет не так. Оно включает в себя решение для резервного копирования в реальном времени, сканирование и исправление вредоносных программ в реальном времени, а также защиту от спама, а также мониторинг простоев, журнал активности и защиту от атак методом перебора.

Вы также можете выбрать отдельные продукты в пакете, если у вас есть особые проблемы с безопасностью. Например, VaultPress Backup предлагается в виде специального плагина. Сам по себе или как часть Jetpack Security он обеспечивает резервное копирование в режиме реального времени, поэтому каждое внесенное вами изменение, полученный комментарий или принятый заказ всегда в безопасности.

Между тем, Jetpack Scan использует самую большую базу данных уязвимостей WordPress (которая регулярно обновляется), чтобы проверить, является ли ваш сайт каким-либо образом уязвимым. Вы также можете использовать плагин, чтобы исправить большинство известных проблем всего за несколько кликов.

Пакет Jetpack также включает в себя Akismet Anti-Spam. Этот плагин использует машинное обучение для проверки текстовых сообщений на вашем сайте (комментариев, форм и даже регистраций пользователей) и автоматически блокирует спам с точностью 99,99% и без раздражающих CAPTCHA .

Akismet Anti-Spam блокирует около семи с половиной миллионов спам-рассылок в час в сети сайтов, которые его используют. Благодаря всем этим данным он также постоянно учится обнаруживать новые формы спама.

2. Постоянно обновляйте программное обеспечение, темы и плагины.

Если вы используете WordPress, вам необходимо убедиться, что все его компоненты всегда актуальны — основное программное обеспечение, а также плагины и темы, которые вы устанавливаете и активируете.

Вы можете быстро проверить наличие доступных обновлений, открыв панель управления и перейдя на вкладку «Обновления» . Это даст вам обзор всех элементов вашего сайта, которые требуют обновлений.

Обновления программного обеспечения необходимы, поскольку они часто включают исправления безопасности. Разработчики могут обнаружить уязвимости, о которых они сначала не знали, или закрыть лазейки в безопасности, обнаруженные злоумышленниками.

Чем дольше плагин или тема обходятся без обновлений, тем больше вероятность, что они будут уязвимы. То же самое и с WordPress. Например, если вы все еще используете WordPress 5.0, вы открыты для длинного списка известных уязвимостей.

Конечно, прежде чем что-либо обновлять, вам нужно сделать резервную копию, чтобы можно было восстановить ее, если обновление вызовет ошибку. Если у вас есть Jetpack VaultPress Backup, работа за вас уже сделана.

В любом случае вам обязательно нужно часто обновлять WordPress. В идеале вам следует проверять наличие обновлений каждый раз, когда вы заходите в панель управления.

3. Используйте двухфакторную аутентификацию (2FA) для административного доступа.

Каждый, у кого есть административный доступ к вашему сайту, должен использовать 2FA. Это добавляет еще один фактор безопасности помимо паролей и усложняет злоумышленникам доступ к сайту, даже если они получат в свои руки учетные данные пользователя.

Вероятно, вы уже используете 2FA на некоторых посещаемых вами веб-сайтах. Реализации могут различаться: некоторые сайты попросят вас использовать приложение для аутентификации, а другие отправят коды подтверждения по электронной почте или SMS.

Хотя 2FA может немного усложнить задачу некоторым пользователям, она важна для всех, у кого есть доступ к серверной части сайта. Это учетные записи пользователей с большим количеством административных привилегий. Если злоумышленники получат к ним доступ, они могут нанести большой ущерб вашему сайту.

Если вы используете WordPress, вы можете использовать плагин Jetpack, чтобы потребовать от администратора входа в систему с учетной записью WordPress.com. Затем вы можете включить требование двухэтапной аутентификации.

Эта функция доступна с бесплатным плагином Jetpack, поэтому ее может использовать каждый. Это быстрый и простой способ создать более безопасный процесс входа в WordPress.

4. Установите брандмауэр веб-приложений (WAF).

Брандмауэр веб-приложений — это программное обеспечение, которое отслеживает и блокирует подключения к вашему сайту на основе набора правил. Лучшие продукты и плагины WAF способны блокировать большую часть вредоносного трафика, как правило, потому, что они имеют огромные базы данных известных злоумышленников.

В зависимости от WAF он также может выявить шаблоны атак или подозрительную активность пользователей. В целом, использование правильного WAF может значительно повысить безопасность веб-сайта.

Если вы используете WordPress, плагин Jetpack включает WAF, который вы можете включить, чтобы защитить свой веб-сайт. Эту опцию вы можете включить непосредственно в настройках плагина.

Использование брандмауэра Jetpack позволяет вам использовать огромную базу данных известных злоумышленников. Чтобы включить автоматические правила, вам понадобится лицензия Jetpack Scan или Jetpack Security.

5. Регулярно создавайте резервную копию вашего сайта

Наличие недавних резервных копий вашего сайта — один из лучших способов обойти проблемы безопасности и уязвимости. Если злоумышленникам удается получить доступ, вы часто можете решить проблему, восстановив недавнюю резервную копию и с этого момента приняв дополнительные меры безопасности.

Самая большая проблема с резервными копиями заключается в том, что вы часто теряете данные при восстановлении сайта до более раннего состояния. Это особенно верно, если последняя резервная копия, которую вы сделали, была несколько недель назад.

Jetpack VaultPress Backup предлагает резервное копирование веб-сайтов WordPress в реальном времени. Это означает, что каждый раз, когда вы вносите изменения на сайт, плагин сохраняет их.

VaultPress Backup устраняет проблему отсутствия доступа к последним резервным копиям. Он также хранит резервные копии за пределами сайта, поэтому, если что-то случится с вашим сервером, копии вашего сайта по-прежнему будут в безопасности.

Jetpack Security для сайтов WordPress

Jetpack Security предлагает полный набор продуктов, которые помогут вам защитить ваш сайт WordPress. К ним относятся Jetpack Scan, VaultPress Backup, Akismet Anti-Spam и другие.

Вы можете использовать Jetpack Scan для автоматического сканирования вредоносных программ и уязвимостей на вашем веб-сайте и быстрого устранения большинства проблем в несколько кликов. Плагин использует самую большую известную базу данных уязвимостей безопасности WordPress, чтобы обеспечить безопасность вашего сайта.

Jetpack Scan также дает вам доступ к автоматическим правилам для брандмауэра веб-приложений плагина. Эти правила помогают защитить ваш сайт от злоумышленников благодаря растущей базе данных известных злоумышленников Jetpack.

С VaultPress Backup вы можете быть спокойны, зная, что каждый раз, когда вы вносите изменения в свой сайт, плагин сохранит его в безопасности. Эта технология резервного копирования в реальном времени позволяет вам никогда не потерять важные данные, если вам нужно восстановить свой веб-сайт до предыдущего состояния.

Благодаря Jetpack Security у вас также есть мониторинг простоев и журнал активности, который позволяет вам проверять все, что происходит на вашем веб-сайте, и определять, какие действия (и кто их предпринял) могли вызвать проблему. Каждый раз, когда кто-то заходит на ваш сайт, обновляет страницу, меняет конфигурацию или добавляет код в основной файл, все это будет в журнале активности.

Jetpack Security — идеальное комплексное решение безопасности для WordPress, которое было установлено более 27 миллионов раз.

Часто задаваемые вопросы

Если у вас еще остались вопросы о том, как исправить сообщение о «небезопасном» веб-сайте в Chrome и как защитить ваш сайт в целом, этот раздел даст на них ответы.

Что такое HTTPS и чем он отличается от HTTP?

HTTPS — это безопасная версия HTTP. Данные, которые вы отправляете или получаете по протоколу HTTPS, зашифрованы для предотвращения несанкционированного доступа. Веб-сайт, использующий HTTPS, также означает, что у него есть действительный сертификат SSL.

Как сертификат SSL защищает информацию на веб-сайте?

Сертификат SSL — это цифровой сертификат, подтверждающий подлинность веб-сайта. Он может защитить информацию на веб-сайте, позволяя использовать HTTPS. Безопасные соединения HTTPS менее уязвимы для кибератак.

Как приобрести SSL-сертификат для моего сайта?

В зависимости от вашего сайта и его области действия вам может потребоваться заплатить за сертификат SSL. Но многие сайты могут использовать бесплатный вариант. Некоторые центры сертификации, такие как Let's Encrypt, предлагают бесплатные сертификаты, которые вы можете легко настроить на своем веб-сайте.

Могу ли я использовать бесплатный сертификат SSL и безопасен ли он?

Вы можете использовать бесплатный сертификат SSL для большинства сайтов, но это не рекомендуется для проектов с более высокими требованиями к безопасности, таких как крупные магазины электронной коммерции. Для большинства сайтов бесплатный сертификат SSL удовлетворит все ваши требования.

Может ли срок действия SSL-сертификатов истечь? Если да, могу ли я автоматизировать их продление?

Срок действия SSL-сертификатов истекает. Их необходимо периодически обновлять в целях безопасности, чтобы владелец сайта мог убедиться, что он по-прежнему управляет сайтом. Несмотря на это, вы можете автоматизировать процесс продления большинства сертификатов. Если вы используете веб-хостинг, который предлагает бесплатный сертификат, он, скорее всего, также продлит его для вас.

Что мне делать, если на моем веб-сайте отображается предупреждение о «смешанном контенте»?

Если на вашем сайте отображается предупреждение о смешанном контенте, убедитесь, что все его компоненты загружаются по протоколу HTTPS. Возможно, вам придется реализовать перенаправление, чтобы заставить запросы проходить через HTTPS или определить контент, вызывающий ошибку, и заменить его.

Каким еще рекомендациям мне следует следовать, чтобы защитить свой веб-сайт?

Помимо использования сертификата SSL и HTTPS, всегда лучше регулярно делать резервные копии вашего сайта. Вам также следует настроить WAF для блокировки вредоносного трафика, использовать инструменты предотвращения спама, включить 2FA и обновлять компоненты вашего веб-сайта.

Какие типы инструментов рекомендуются для повышения безопасности веб-сайта?

При поиске решений безопасности для вашего сайта рассмотрите варианты, которые предлагают резервное копирование в реальном времени, сканеры вредоносных программ и уязвимостей, журналы активности, 2FA и WAF. Jetpack Security включает в себя все эти функции и многое другое.

Jetpack Security: быстрый и простой способ защитить ваш сайт WordPress

Сообщение о «небезопасном» веб-сайте в Chrome — одна из множества ошибок SSL, с которыми вы можете столкнуться. Сертификаты SSL и HTTPS являются важными мерами безопасности для современных веб-сайтов, но они не единственные, которые могут защитить ваш сайт.

После того, как вы настроили сертификат SSL и включили HTTPS, вам нужно будет перейти к другим мерам безопасности. С помощью Jetpack Security вы можете реализовать множество улучшений безопасности с помощью одного набора инструментов. Сюда входят резервное копирование в реальном времени и сканирование на наличие вредоносных программ, мониторинг простоев, защита от атак методом перебора, журналы активности и многое другое.

Если вы хотите обеспечить безопасность своего сайта WordPress, попробуйте пакет Jetpack Security. Вы также можете получить доступ к избранным функциям через отдельные плагины, включая Jetpack VaultPress Backup, Jetpack Protect и Akismet Anti-Spam. Повысьте безопасность вашего сайта уже сегодня!