Как настроить SSL и HTTPS на WordPress
Поделились
0

Хотите узнать, где и как получить бесплатный SSL сертификат или сертификаты по самым низким ценам от авторизованных издателей Comodo, Symantec, GeoTrust, Thawte, GoGetSSL, RapidSSL? А установить его и настроить HTTPS на своем сайте за считанные минуты, избежав многих проблем, которые обычно при этом возникают? Кликните здесь, чтобы скачать бесплатную пошаговую инструкцию.

SSL и HTTPS на WordPress настроить совсем не сложно. А поскольку наличие SSL-сертификата на сайте теперь влияет на ранжирование в поиске, озаботиться его установкой должен каждый владелец WordPress-сайта.

Зачем вообще нужны SSL сертификаты?

Вы согласны, что чем безопаснее Интернет в целом и Ваш сайт для Ваших посетителей, тем живется спокойнее и зарабатывается больше?

Каждый день мы оставляем на разных сайтах свою персональную информацию

Email-адреса и имена при подписках в рассылки, домашние адреса и данные кредитных карт при онлайн-покупках, различные другие данные при заполнении анкет и т.д.

Если Ваш сайт что-то продает, использует регистрацию пользователей, предлагает контактные формы для обратной связи – то же самое на Вашем сайте делают и Ваши посетители.

Передача личных данных в Интернет сейчас настолько обыденная вещь, что мы обычно долго не думаем, нажимая кнопку “Отправить” в очередной заполненной форме.

А ведь любые данные, передаваемые на незащищенных SSL сертификатом и безопасным HTTPS-протоколом сайтах, запросто могут быть похищены (и, будьте уверены, похищаются).

Чтобы этого избежать и повысить доверие к Вам Ваших посетителей и клиентов, необходимо настроить на своем сайте передачу любых данных через https.

При этом устанавливается проверенный и подтвержденный уполномоченными организациями SSL сертификат.

Ни в коем случае не самоподписанный – что легко можно сделать из любой панели управления хостингом.

Если вышеописанные доводы на Вас особого впечатления не произвели, вот и другие аргументы.

Что об SSL и HTTPS говорит Google

Google всегда был весьма щепетилен в вопросах информационной безопасности – сначала, в 2010 году, переведя на HTTPS свой почтовый сервис GMail, а затем сделав то же самое и с Google Drive.

Поисковик Google также работает исключительно по безопасному протоколу и, вполне понятно, что они теперь всерьез озаботились тем, чтобы и сайты, на которые пользователи переходят из поиска, также отвечали требованиям безопасности.

SSL сертификат на сайте влияет на позицию в поиске Google

Еще в 2014 году компанией было заявлено, что наличие на сайте подключения по HTTPS с использованием SSL сертификата влияет на позицию в поисковой выдаче Google.

С 17-го декабря 2015 года Google начал по умолчанию индексировать страницы с протоколом HTTPS, если таковой доступен одновременно с HTTP и не заблокирован каким-либо образом.

Индексирование страниц, использующих HTTPS

Летом 2016 года представитель Google на одной из встреч с веб-мастерами заявил, что в компании всерьез рассматривают возможность увеличения веса SSL сертификата как фактора ранжирования в поисковой системе.

И вот еще одна статья из первоисточника, гугловского блога по безопасности, которая так прямо и называется: “HTTPS as a ranking signal” (HTTPS как сигнал к ранжированию).

Т.е. в том, что сейчас происходит, нет никакой неожиданности – сани готовились давно.

Почему SSL сертификат нужен Вашему сайту СЕЙЧАС

Разработчики браузера Google Chrome обещали ранее помечать сайты, использующие простое http-соединение, как небезопасные, и предложили всем другим веб-приложениям поступить также.

Такая себе “черная метка”.

Можно было подумать, что в адресной строке будет появляться угрожающего вида блямба, от которой поразбегаются все посетители.

Но, вот сейчас начало января 2017-го, и мы видим, что для сайтов без HTTPS все выглядит достаточно терпимо – всего лишь невзрачный кружок с буквой “i” (надо полагать, “информация”).

Правда, если человек на него нажмет, то должное впечатление от этого сообщения наверняка им будет получено.

Незащищенное соединение

И, как альтернатива такой “дискриминации” – совершенно недвусмысленная, поощрительная для понятливых владельцев сайтов и ободряющая для их посетителей, зеленая надпись “Надежный”.

Если Вы сейчас читаете это из “хрома” – можете наблюдать сие чудо в адресной строке браузера, или на картинке, помещенной мной в начало данного поста.

И, глядя на это, понимаешь, что в глазах посетителя такой сайт сразу набирает пару дополнительных очков.

Так что, если Вы себе SSL сертификат еще не установили, как говорится, выводы делайте сами.

По моему же скромному мнению, это только начало, и совсем скоро сайтам без HTTPS если и будет позволено функционировать (т.е. хотя бы открываться в браузерах), то с такими “метками”, с которыми на людях лучше вообще не показываться 🙂

Как работает SSL?

SSL шифрует информацию, которой обмениваются браузер и сервер, на котором находится веб-сайт.

У специальной авторизованной компании-издателя мы получаем шифрованные ключи, в замен предоставив сведения о нашем сайте, имени, адресе, номере телефона и, в зависимости от разновидности сертификата, регистрационные данные своей компании.

Издатель сертификата проверяет предоставленную владельцем сайта информацию, и, если она отвечает действительности, выдает нам подписанный специальным алгоритмом (SHA) сертификат.

Когда посетитель заходит на сайт, сервер сверяет SSL сертификат с приватным ключом, и, если они совпадают, между сервером, на котором хостится сайт и браузером пользователя создается безопасное шифрованное соединение.

Ссылка на такой сайт всегда начинается с HTTPS://… и это можно видеть в адресной строке браузера.

Более заумные технические детали из спецификаций и Википедии здесь цитировать не буду – если Вас это интересует и голова не заболит, погуглите.

В каких случаях SSL перестает работать?

  • Если он, извините, вообще отсутствует;
  • Когда период действия сертификата истекает (обычно они выдаются на срок 1-3 года);
  • Если он самоподписанный – т.е. выдан неавторизованным издателем;
  • Если он неправильно установлен или содержит ошибки.

При заходе на такой сайт по протоколу https мы увидим следующее:

Ошибка SSL сертификата

И сразу никаких вопросов, правда?

Очень важно приобретать сертификат именно авторизованного издателя: Comodo, Symantec, GeoTrust, Thawte, GoGetSSL (GGSSL), RapidSSL, т.к. браузеры ДРУГИМ НЕ ДОВЕРЯЮТ!

И если Ваш сертификат был получен у компании с более низким рейтингом, он будет причислен к разряду самоподписанных (читай самодельных).

Кроме того, может быть ряд других ошибок и причин, из-за которых соединение с Вашим веб-сайтом будет признано браузером посетителя как небезопасное или частично-небезопасное.

Также будут сложности, если был выбран не подходящий для Вас тип сертификата (о типах SSL сертификатов читайте далее в этой статье).

Если у Вас уже имеется SSL сертификат, проверить все нюансы и корректность работы безопасного соединения на своем сайте Вы можете вот здесь.

Что делать, когда срок действия сертификата истекает?

То же, что Вы делаете, когда продлеваете свои домены – перевыпустить, что фактически равнозначно получению нового сертификата с теми же параметрами, или получить новый.

Как выбрать SSL сертификат

SSL сертификаты, применяемые для веб-сайтов, имеют следующие разновидности:

  • С проверкой домена (Domain Validation SSL)
  • Мультидоменные (Multi-Domain SSL)
  • С поддержкой субдоменов (Wild Card SSL)
  • С проверкой бизнеса (Business Validation SSL)
  • С расширенной проверкой и зеленой строкой (Extended Validation SSL)

Если у Вас всего один сайт и Вы не используете субдомены, выбирайте Domain Validation SSL.

При наличии сайтов на субдоменах будет дешевле (и проще) приобрести сертификат с поддержкой субдоменов (Wild Card SSL), чем по отдельному сертификату на каждый сайт.

Так что Вы хорошенько подумайте, определяясь с выбором типа сертификата – это, к тому же, в некоторых случаях поможет существенно сэкономить.

Что касается стоимости, она зависит от издателя, продавца, типа сертификата и срока его действия и может быть от нескольких долларов ($3-5) до нескольких тысяч $.

При этом издатели гарантируют выплату конечному пользователю, пострадавшему на сайте с установленным сертификатом, компенсацию, размер которой может превышать миллион долларов.

К тому же, существуют и БЕСПЛАТНЫЕ сертификаты от авторизованных издателей – они обладают теми же свойствами, что и платные, но без финансовой гарантии.

Также и срок действия бесплатного сертификата может быть менее одного года.

Например, бесплатный сертификат с проверкой домена Comodo Free SSL выпускается на 90 дней. По окончании этого периода его надо просто перевыпустить.

В чем неудобства использования бесплатного сертификата?

В необходимости обновлять его каждые 3 месяца, и в том, что он выдается только для одного домена – если у Вас несколько сайтов, процедура перевыпусков и переустановок для каждого из них с такой частотой будет довольно утомительным занятием.

Возможно, SSL сертификат Вам предоставит и установит Ваш хостер, и возможно даже бесплатно, но я, например, предпочитаю не держать все яйца в одной корзине.

Хостинг – это хостинг, регистратор доменов – это регистратор доменов, а поставщик сертификатов – это поставщик сертификатов.

Независимые аккаунты гарантируют права обладания и дают полную свободу действий, например, в случае смены хостинга.

Если у Вас мультисайт

Поскольку SSL сертификат устанавливается не на сайт, а на сервер, и служит для проверки домена (как минимум), выбор типа сертификата зависит от того, каким образом у Вас организована структура сайтов внутри Вашего мультисайта.

Как известно, эти сайты могут располагаться:

  1. в поддиректориях основного домена и обращение к ним происходит по адресам вида http(s)://www.mymultisite.com/site_1, http(s)://www.mymultisite.com/site_2
  2. на субдоменахhttp(s)://site_1.mymultisite.com, http(s)://site_2.mymultisite.com
  3. и на отдельных доменахhttp(s)://www.site_1.com, http(s)://www.site_2.com

Следовательно, в первом случае достаточно одного SSL-сертификата с проверкой домена (Domain Validation SSL), во втором – потребуется один сертификат с поддержкой субдоменов (Wild Card SSL) или мультидоменный (Multi-Domain SSL), а в третьем – мультидоменный.

Как установить сертификат на сервер

Сразу оговорюсь, здесь нет инструкций для владельцев VPS/VDS – выделенных серверов. Ваши администраторы вполне компетентные люди и знают, как это все делается.

На обычных же хостингах это совсем не сложная задача – практически в любой панели управления, будь то CPanel, ISP или другая, имеется соответствующая функциональность.

Заходите в нужное меню, там должны быть поля для ввода (или кнопки для загрузки файлов) самого сертификата, приватного ключа и цепочки промежуточных сертификатов.

Промежуточные сертификаты (Ca Bundle или цепочка сертификатов) необходимы для поддержки сертификата определенными браузерами.

Установка SSL сертификата

Загружаете полученные у издателя файлы, нажимаете кнопку “Установить” и готово.

На обновление информации по домену может потребоваться некоторое заметное время, а может и нет – в любом случае, проверить корректность установки Вы можете на этом ресурсе.

Проверка корректности установки SSL-сертификата

Как настроить SSL на WordPress

Первоочередной совет – после установки сертификата на сервер и перед началом настройки сайта для работы через HTTPS обязательно сделать бэкапы файлов и базы данных.

По большому счету, резервные копии сайта необходимо делать ежедневно, но это тема уже для другого разговора.

По моему опыту процесс перехода на HTTPS редко проходит гладко и с первого раза – и это нормально. На каждом сайте свои нюансы конфигурации и особенностей хостинга.

И если даже с работой редиректов (http на https) проблем не возникает (а часто бывают), то не мало головной боли приносит так называемый “смешанный контент”.

Смешанный контент – это когда на странице, открытой через https, имеются подключения ресурсов по обычному http-протоколу (картинки, стили, скрипты).

В этом случае браузеры помечают сайт как частично небезопасный.

Смешанный контент

В добавок, браузеры блокируют javaскрипты неподготовленных к HTTPS плагинов и тем, что нарушает их функциональность и функциональность сайта в целом.

Стандартные рекомендации сводятся к следующему (не спешите их применять и дочитайте статью до конца).

  1. Откройте свой файл wp-config.php и добавьте (выше комментария /* Это всё, дальше не редактируем. Успехов! */) следующую строку:

2. Откройте файл .htaccess или создайте новый, если у Вас этого файла нет (?!) и добавьте туда следующие директивы:

WordPress htaccess

Не забудьте заменить www.mysite.com на домен своего сайта!

3. Очистите историю браузера, весь кэш и куки, и заходите в админку по адресу https://адрес_вашей_админки.

После чего можете посвятить всю следующую неделю своей жизни разгребанию “смешанного контента”.

Как настроить SSL на WordPress проще

Теперь забудьте пункты 1 и 2 предыдущей инструкции и сделайте доступными для записи свои файлы wp-config.php и .htaccess – для этого установите для них права 777.

На разных серверах значения могут отличаться, поэтому привожу “гарантированно работоспособное” значение – главное, потом верните все обратно.

Установите плагин Really Simple SSL и активируйте его. Здесь Вас, скорее всего, выбросит из админки (так и должно быть), поэтому выполните пункт 3 из предыдущего варианта инструкции и заходите обратно.

Основную массу проблем этот плагин обычно решает сразу, без каких-либо дополнительных телодвижений – остается проверить сайт с помощью вышеприведенного инструмента и устранить выявленные ошибки.

При обнаружении неготовности каких-то плагинов или темы к работе через https, обращайтесь к разработчикам, или найдите замену.

Постскриптум

Только теперь не надо думать, что установка SSL-сертификата решила все Ваши проблемы с безопасностью сайта – это далеко не так и это также другая и серьезная тема, выходящая за рамки данного повествования, но которой нельзя пренебрегать ни в коем случае.

Не забывайте об этом! 🙂

* В статье использованы материалы из открытых источников Google.com, WPMUdev.org, SSLcom.ua.

Поделились
0

7 КОММЕНТАРИИ

  1. Игорь, спасибо!
    Как и обычно, все интересно и по делу! Особенное спасибо за детальную инструкцию.

    Хоть я и думаю, что большинство пользователей интернета эти надписи в адресной строке вообще не замечают, и станут, может, замечать лет через 5-7, однако, рано или поздно придется озаботиться установкой сертификатов. Поэтому лучше рано))

    Ответить
  2. Спасибо за актуальную информацию.
    Не могли бы ещё добавить постскриптум как подключить сертификат на мультисайт WordPress?

    Ответить
    • Спасибо, Егор – сделал дополнение в раздел “Как выбрать SSL сертификат” – “Если у Вас мультисайт”.

      Ответить
  3. Игорь, спасибо! Установил плагин Really Simple SSL и активировал его, всё по Вашей инструкции, всё получилось и сайт работает. Спасибо большое.

    Ответить
  4. Игорь спасибо за подробную инструкцию. Это ведь с 2017 года очень актуально для всех , кто ведет в интернете бизнес!

    Ответить