Полное руководство по HTTPS и SSL для WordPress

Вы когда-нибудь замечали, что URL-адрес большинства ваших любимых веб-сайтов начинается с HTTPS? Скорее всего, вы заметите, что буква S, указывающая на безопасность URL-адреса, отсутствует. Это связано с тем, что Google теперь помечает веб-сайты без SSL-сертификата — важного компонента безопасного веб-сайта. Поскольку безопасность веб-сайта очень важна, крайне важно, чтобы вы понимали HTTPS и SSL для WordPress.

Если вы запускаете веб-сайт WordPress, вы захотите, чтобы он имел SSL и HTTPS для большей безопасности и доверия посетителей. В качестве дополнительного бонуса ваш сайт будет иметь более высокий рейтинг в поисковых системах SEO. Поэтому, если вы готовы добавить дополнительный уровень безопасности и защиты как для своего сайта, так и для пользователей, которые его посещают, читайте дальше.

Что такое HTTPS и SSL?

HTTPS и SSL для WordPress идут рука об руку. Сам по себе HTTP (исходный префикс URL) означает протокол передачи гипертекста. Установка сертификата SSL (уровень защищенных сокетов) на вашем веб-сайте защищает его. Если на вашем веб-сайте установлен соответствующий сертификат SSL или TLS, префикс URL-адреса переключается с HTTP на HTTPS: безопасный протокол передачи гипертекста.

Давайте подробнее рассмотрим, что такое HTTPS и SSL и как они работают. Согласно сети разработчиков Mozilla (MDN):

HTTPS (протокол безопасной передачи гипертекста) — это зашифрованная версия протокола HTTP. Он использует SSL или TLS для шифрования всей связи между клиентом и сервером. Это безопасное соединение позволяет клиентам безопасно обмениваться конфиденциальными данными с сервером, например, при выполнении банковских операций или совершении покупок в Интернете.

По сути, HTTPS означает, что ваш сайт полностью зашифрован. Это означает, что только два клиента на каждом конце транзакции могут читать данные. Если бы злонамеренный пользователь или объект перехватил сообщение, он не получил бы ничего, кроме беспорядка случайных, искаженных символов.

Теперь давайте перейдем к определению SSL в MDN:

Secure Sockets Layer, или SSL, был старой стандартной технологией безопасности для создания зашифрованной сетевой связи между сервером и клиентом, гарантирующей конфиденциальность и безопасность всех передаваемых данных. Текущей версией SSL является версия 3.0, выпущенная Netscape в 1996 году, и она была заменена протоколом Transport Layer Security (TLS).

Когда дело доходит до TLS и SSL, TLS, по сути, является продолжением SSL. Как и SSL, TLS устанавливает зашифрованное соединение между сервером и клиентом. Два протокола обеспечивают лучшую безопасность вашего сайта WordPress.

Вам нужны HTTPS и SSL?

Короткий ответ — да: вам нужны HTTPS и SSL. Помимо построения доверительных отношений с вашими посетителями, безопасность сайта является одним из важных аспектов SEO. В 2018 году Google начал помечать веб-сайты без сертификата SSL или TLS. Это препятствует пользователям переходить на сайты, у которых нет SSL-сертификата.

Несколько лет назад SSL-сертификаты стоили дорого — на самом деле, тысячи долларов. Крупные веб-сайты, приносящие доход, такие как Facebook и Amazon, отображали значок блокировки в окне браузера пользователя. Это потому, что у них был бюджет, чтобы купить сертификат. С другой стороны, веб-сайт WordPress среднего пользователя просто имел префикс HTTP. В наши дни SSL-сертификаты необходимы и доступны по цене.

В то время как WordPress теперь автоматически устанавливает SSL-сертификаты на каждый новый веб-сайт, у вас может быть старый домен или давно существующий сайт, который нуждается в защите. Можно получить бесплатный SSL-сертификат для вашего сайта WordPress, если у вас его еще нет. Большинство хостов также предлагают бесплатный SSL-сертификат или сертификат со скидкой как часть своих пакетов хостинга. Теперь, когда HTTPS и SSL для WordPress настолько доступны, нет причин оставлять ваш сайт уязвимым.

Как установить SSL для WordPress

Хотите знать, как установить SSL для WordPress? Мы проведем вас через шаги и покажем, как это делается.

Использование плагина

Давайте начнем с установки SSL для WordPress с помощью плагина. В этом руководстве мы используем Really Simple SSL. Этот плагин автоматически переводит ваш сайт WordPress на SSL. Поэтому, если ваш URL-адрес по-прежнему отображает HTTP, а не HTTPS, этот плагин позаботится об этой проблеме и поможет вам защитить ваш сайт.

Давайте приступим к делу.

1. Перейдите на страницу подключаемого модуля Really Simple SSL и нажмите «Загрузить». Сохраните ZIP-файл плагина на свой компьютер.

2. Откройте новую вкладку браузера, войдите в панель управления WordPress и нажмите «Плагины».

3. На экране «Плагины» нажмите «Добавить новый».

4. На странице добавления подключаемых модулей щелкните Загрузить подключаемый модуль.

5. Затем загрузите ZIP-файл, связанный с вашим плагином. Выберите файл и нажмите «Установить сейчас».

6. WordPress отобразит страницу с прогрессом загрузки. После загрузки плагина просто нажмите «Активировать плагин».

Возможные настройки плагина

7. Как видите, на сайте, над которым я работаю, уже обнаружен SSL-сертификат. Но если бы у нас еще не было SSL, нам нужно было бы охватить следующие шаги:

• Изменение любых ссылок http:// в файлах .css и .js на https://
• Удаление любых скриптов, таблиц стилей или изображений, созданных в домене без SSL
• Войдите снова (потому что, как только вы активируете плагин, WordPress выйдет из системы)

Когда будете готовы, нажмите Активировать SSL, чтобы завершить установку. Этот плагин изменит ваш URL по умолчанию на HTTPS.

8. Теперь SSL активирован. Окно плагина показывает мне, какие шаги необходимо предпринять для дополнительной защиты веб-сайта. Really Simple SSL содержит статьи и ресурсы, которые помогут мне настроить параметры безопасности на оптимальном уровне. Я могу просмотреть их один за другим, чтобы оптимизировать свою безопасность.

Вы используете Divi на своем сайте WordPress? У некоторых пользователей Divi возникают проблемы со смешанным содержимым при установке Really Simple SSL. В этом случае необходимо очистить кеш Divi, чтобы устранить проблему. Подробнее о том, как решить проблему, читайте здесь.

Просмотрите настройки подключаемого модуля SSL

Теперь пришло время перейти на главную страницу плагинов и проверить настройки вашего плагина SSL. Просто нажмите «Настройки», чтобы начать. Вы увидите тот же контрольный список ресурсов, что и раньше. Просто прокрутите страницу вниз, чтобы увидеть, где вы можете переключать настройки.

Настройки плагина по умолчанию должны быть адекватными, но вы всегда можете внести коррективы. Прежде всего, вы хотите убедиться, что средство исправления смешанного содержимого проверено. Скорее всего, тот уже будет выбран. Если это не так, проверьте его и сохраните страницу.

Перед изменением настроек обязательно прочтите всю прилагаемую документацию.

Вот и все! Вы установили SSL для WordPress через плагин.

Ручная установка

Теперь давайте посмотрим, как установить SSL для WordPress вручную. Мы начнем с открытия новой вкладки браузера и перехода к SSL бесплатно (ZeroSSL).

1. На главной странице введите URL-адрес вашего сайта в текстовую строку и нажмите «Создать бесплатный SSL-сертификат».

2. Вам будет предложено создать учетную запись. Как только вы это сделаете, сайт перенаправит вас на домашнюю страницу ZeroSSL. Оттуда нажмите Новый сертификат.

3. На следующей странице вы можете ввести свой домен в текстовое поле, а затем нажать «Следующий шаг».

4. Вы можете выбрать, создать 90-дневный сертификат бесплатно или 1-летний сертификат (платно). Если вы выберете тот, который действует в течение 90 дней, вам придется возвращаться и повторно генерировать новый каждые 90 дней. После того, как вы выбрали вариант, который хотите использовать, нажмите «Следующий шаг».

5. Затем вы можете настроить программу на автоматическую генерацию запроса на подпись сертификата (CSR), если хотите. Вы также можете вручную заполнить свои данные. Целью этого является подтверждение вашей личности и того факта, что вы действительно владеете доменом, для которого создаете SSL. Затем вам будет предложено выбрать план, который вы хотите.

Проверка домена и SSL для ручной установки WordPress

6. Вам будет предложено подтвердить свой домен. Вы можете сделать это одним из трех способов:

• Через подтверждение электронной почты
• Добавляя новую запись CNAME на хост-сервер
• Через HTTP-загрузку файла

В зависимости от выбранного варианта следуйте инструкциям на сайте.

7. Как только ваш домен будет подтвержден, сайт сгенерирует ваш SSL-сертификат. Вы можете загрузить свой сертификат, а затем нажать «Следующий шаг».

8. Теперь вам нужно загрузить сертификат SSL в вашу cPanel. Этот процесс может немного отличаться в зависимости от того, какой хост вы используете. Чтобы получить пошаговые инструкции, найдите свой хост в этом списке от ZeroSSL, который поможет вам завершить установку SSL для WordPress.

Для целей этой статьи я покажу вам, как это выглядит через мою Bluehost cPanel.

9. Сначала перейдите в свою cPanel и прокрутите вниз до раздела БЕЗОПАСНОСТЬ. Щелкните SSL/TLS.

10. Нажмите «Создать, просмотреть, загрузить или удалить сертификаты SSL».

11. Теперь вы увидите список сертификатов, которые в настоящее время находятся на вашем сервере. Прокрутите вниз до раздела «Загрузить новый сертификат».

12. Теперь у вас есть несколько вариантов. Вы также можете:

• Разархивируйте сертификат SSL, загруженный с ZeroSSL, затем загрузите файл .crt.
• Или вы можете открыть файл .crt в обычном текстовом редакторе. Скопируйте полный текст сертификата, затем вернитесь в свою cPanel и вставьте его в текстовое поле с надписью «Загрузить новый сертификат». Сюда входит текст верхнего и нижнего колонтитула, обозначающий начало и конец сертификата.

13. Щелкните Загрузить сертификат. После этого вы захотите перепроверить, что установка прошла успешно. Вы можете проверить свой сертификат на панели инструментов ZeroSSL. В качестве альтернативы попробуйте перейти по URL-адресу с префиксом https://, чтобы проверить, подходит ли он вам.

Вот и все!

SSL и HTTPS: часто задаваемые вопросы

Теперь давайте рассмотрим некоторые часто задаваемые вопросы, касающиеся HTTPS и SSL для WordPress.

Как узнать, есть ли у моего сайта SSL-сертификат?

Откройте новое окно браузера и перейдите на свой сайт. Посмотрите слева от префикса URL. В окне вашего браузера рядом с URL-адресом должен отображаться значок замка. В качестве альтернативы щелкните текстовое поле, и вы сможете увидеть отображаемый HTTPS.

Сделают ли SSL и HTTPS мой сайт медленнее?

SSL и HTTPS могут немного замедлить работу вашего сайта. Однако, если посетители вашего веб-сайта сталкиваются с экраном ошибки Google, который в первую очередь не позволяет им получить доступ к вашему веб-сайту HTTP, это скорее проблема. Вы либо пожертвуете небольшой скоростью ради безопасного веб-сайта, которому доверяют пользователи, либо столкнетесь с высоким показателем отказов от незащищенного сайта.

Я установил SSL-сертификат, но мой сайт по-прежнему показывает, что он небезопасен. Что мне теперь делать?

Дважды проверьте, что ваша установка прошла успешно. Вы можете сделать это в WordPress, перейдя на страницу настроек вашего плагина или проверив ручную установку через панель инструментов ZeroSSL. Могут быть некоторые настройки, которые вам нужно переключить, или вам, возможно, придется выполнить устранение неполадок.

Если вы постоянно видите ошибки SSL на своем сайте, вам может потребоваться:

• • Принудительное перенаправление с HTTP на HTTPS
  • Исправить ошибки смешанного содержимого (битые изображения)
  • Проверяйте существующие плагины и темы на наличие ошибок

• Исправить цикл перенаправления
• Дальнейшее устранение неполадок с вашим SSL-сертификатом, который может отображать предупреждение о недействительном сертификате (в этом случае вы можете обновить его)

Чтобы проверить ошибки SSL, вы можете щелкнуть правой кнопкой мыши свой веб-сайт и выбрать «Проверить» в раскрывающемся меню. Ошибки выделены красным. Вы можете сообщать об ошибках автору плагина или темы, своему провайдеру веб-хостинга или в службу технической поддержки, в зависимости от того, где и как размещен и настроен ваш сайт.

Если вы не разработчик, лучше не пытаться настраивать свои плагины или темы. Слишком легко сломать что-то, о чем вы либо не подозреваете, либо что влияет на ваш сайт в целом.

В зависимости от выбранного вами инструмента, вы сможете получить некоторую помощь. Вы можете задавать вопросы на открытых форумах, следовать руководствам по устранению неполадок или обращаться за помощью к своему хосту. Если вы управляете Divi, у нас есть команда чата, которая также может вам помочь. Скорее всего, вы сможете получить помощь от кого-то, кто разбирается в проблеме, с которой вы столкнулись.

Как исправить ошибки смешанного содержимого?

Ошибки смешанного содержимого возникают, когда вы установили SSL для WordPress, но ваш веб-сайт по-прежнему считает некоторый контент небезопасным. Например, вы можете заметить отсутствующие изображения. Чтобы исправить это, вы можете настроить свой сайт WordPress для отображения смешанного контента.

Вы можете исправить ошибки смешанного содержимого, установив и активировав подключаемый модуль SSL Insecure Content Fixer. Если вы продолжаете получать ошибки смешанного содержимого, возможно, что-то не так в вашей базе данных. Вам нужно будет предпринять несколько дополнительных шагов, чтобы решить эту проблему, включая установку и запуск плагина Better Search and Replace. Мы написали статью, чтобы помочь вам исправить ошибки смешанного содержимого здесь.

Как принудительно включить HTTPS?

Чтобы принудительно использовать HTTPS, вам может потребоваться настроить автоматическое перенаправление с HTTP на HTTPS. Принудительное автоматическое перенаправление не позволит пользователям открывать HTTP-версию вашего веб-сайта, которая технически все еще существует.

Вот учебник от Name.com, который проведет вас через процесс через cPanel. Кроме того, вы можете исправить эту проблему непосредственно в файле . htacess через FTP-клиент. В этом руководстве от Dreamhost вы узнаете, как обеспечить безопасную загрузку вашего сайта.

Сколько стоят SSL-сертификаты?

SSL-сертификаты сильно различаются по цене: от бесплатных до примерно 1000 долларов в год. В среднем они, как правило, намного дешевле. Цена зависит от выбранной вами услуги и требуемого уровня поддержки.

Есть ли разница между бесплатными и платными SSL-сертификатами?

Не с точки зрения функциональности. Как бесплатные, так и платные SSL-сертификаты обеспечивают конечным пользователям одинаковую степень безопасности. Однако платный SSL-сертификат, скорее всего, будет иметь дополнительную техническую поддержку и более тщательную проверку. Если вам удобно самостоятельно устранять неполадки с SSL, то использование бесплатного сертификата может вам подойти. Но если вы считаете, что вам может понадобиться постоянная техническая поддержка, и вы не хотите переустанавливать новый бесплатный сертификат каждый раз, когда истекает срок действия вашего текущего, платный SSL-сертификат может быть лучшим вариантом.

Должен ли я продлевать свой SSL-сертификат?

Продление сертификата SSL зависит от вашего хоста. Если вы используете хост, который включает SSL-сертификат как часть вашего хостинг-плана, его можно настроить на автоматическое продление (и в наши дни многие настроены таким образом, чтобы пользователям никогда не приходилось их трогать). Если вы используете 90-дневный или 1-летний SSL-сертификат от ZeroSSL, вам нужно будет вручную обновлять свой SSL-сертификат через определенные промежутки времени.

Вывод

Теперь, когда вы знаете, как установить SSL-сертификат и устранить неполадки, пришло время защитить ваш сайт WordPress. HTTPS и SSL для WordPress критически важны для успеха вашего сайта и уровня доверия пользователей (и Google). Если вы хотите, чтобы ваш сайт работал не только сейчас, но и в будущем, обязательно заблокируйте его с помощью HTTPS и SSL.

Сталкивались ли вы с проблемами с SSL для WordPress? Как вы подошли к их решению? Оставьте нам комментарий ниже и дайте нам знать.

Статья с изображением Eny Setiyowati / Shutterstock.com