Содержание
С июля 2018 года Google начал помечать ваш сайт как «небезопасный» для всех, кто посещает его с помощью Google Chrome. Если вы не хотите терять трафик, рекомендуется убедиться, что SSL настроен на вашем сайте, чтобы люди могли посещать его по протоколу HTTPS.
Сейчас самое время это настроить; вот что тебе нужно сделать.
Заметка: Вы можете по-прежнему видеть ваш сайт как «Незащищенный» после «успешной» установки сертификата SSL. Смотрите наши советы по устранению неполадок в конце этой статьи.
Шаг 1: Получите ваш сертификат SSL
Согласно блогу разработчиков Google, включение HTTPS на вашем сайте не только защищает целостность ваших данных. HTTPS также является требованием для многих новых функций браузера. Не только это, но и позволяет вашим посетителям чувствовать себя в большей безопасности, когда они посещают ваш сайт. Это важные причины, по которым вашему сайту требуется сертификат SSL.
В последнее время, если вы открываете свой веб-сайт с помощью браузера Chrome, вы, вероятно, видели это большое, уродливое сообщение «Небезопасно» перед вашим URL.
Это не очень приятно видеть, когда вы вложили так много времени и сил в создание отличного веб-сайта для своих посетителей.
Прежде чем вы закончите и ищите сертификат SSL для покупки, убедитесь, что вы уже знаете, где вы находитесь с вашим текущим веб-хостинга.
SSL довольно прост в настройке, но вы должны следовать правильной процедуре для вашей ситуации. Если ваш веб-хостинг уже предлагает бесплатное решение SSL, не тратьте деньги на покупку сертификата.
Вы также можете рассмотреть возможность выбора веб-хостинга.
,
Это, как правило, Параметры SSL-сертификата Вы должны выбрать из.
- Бесплатный сертификат SSL от вашего существующего веб-хостинга.
- Получите бесплатный SSL-сертификат от таких служб, как Let Encrypt, Comodo или Cloudflare.
- Приобретите SSL-сертификат у таких служб, как DigiCert, Namecheap или GoDaddy.
Сервисы SSL, которые предлагают бесплатные сертификаты SSL, часто также предлагают платные.
Разница в том, что большинство бесплатных сертификатов необходимо обновлять вручную. Вы можете сделать это через работу cron
, но это выходит за рамки этой статьи.
Некоторые веб-хостинги на самом деле предлагают бесплатное управление этими заданиями cron, если вы используете сервис типа Let Encrypt. SiteGround это один хост, который делает это.
Какой бы вариант вы ни выбрали, при заказе сертификата вы увидите страницу, подобную приведенной ниже. И сертификат, и ключ являются частью пакета.
Скопируйте оба блока зашифрованного текста и сохраните их в безопасном месте.
Шаг 2. Установите ваш сертификат SSL
Большинство руководств, описывающих, как установить SSL-сертификат, скажут вам, что у вас должен быть выделенный IP-адрес. Это означает покупку более дорогого выделенного тарифного плана
,
Если у вас есть такой план и вы войдете в свою учетную запись, вы увидите, что с ним связан выделенный IP-адрес.
Если у вас есть план общего хостинга, когда несколько веб-сайтов используют один и тот же сервер, у вас нет выделенного IP-адреса, соответствующего вашему URL.
Означает ли это, что вы не можете установить SSL-сертификат без выделенного хостинг-плана? Нет. Благодаря технологии под названием Индикатор имени сервера (SNI), Вы все еще можете установить сертификат SSL для своего сайта.
Если у вас есть план общего хостинга, спросите у своего веб-хоста, поддерживают ли они SNI для шифрования SSL.
Чтобы установить сертификат, вам нужно зайти в cPanel и нажать Менеджер SSL / TLS.
Вы должны увидеть различные варианты управления сертификатами SSL.
Чтобы установить исходный сертификат SSL для HTTPS, выберите устанавливать вариант.
Вы увидите вариант выбора домена, на который вы хотите установить сертификат. Выберите правильный домен из выпадающего списка.
Затем вставьте длинный зашифрованный текст сертификата, который вы скопировали при покупке сертификата.
Затем прокрутите вниз, а также вставьте зашифрованный текст для закрытого ключа, который вы скопировали при покупке сертификата.
После сохранения обязательно зайдите в WordPress и обновите все кэширование. Также очистите кеш браузера (нажмите Ctrl + F5).
Просмотрите свой сайт снова, введя URL сайта с «https: //» перед ним. Если все в порядке, вы увидите статус «Безопасный» перед URL вашего сайта.
Поздравляем! Теперь у вас есть действующий сертификат SSL, и ваш сайт может быть доступен через HTTPS.
Но вы еще не закончили. Если люди введут старый URL вашего сайта в свой браузер, они все равно увидят незащищенную версию. Вам нужно форсировать весь трафик через HTTPS.
Как применить HTTPS на вашем сайте
Ваш хост может фактически иметь область управления, настроенную для вас, чтобы обрабатывать необходимые изменения SSL.
Например, Siteground встраивает Let’s Encrypt в cPanel. Там настройки HTTPS позволяют включить HTTP Enforce и перезапись внешних ссылок.
- HTTPS Enforce перенаправляет трафик (например, люди, которые только набирают URL сайта без «https» перед ним, на HTTPS.
- Внешние ссылки переписать изменяет внешние ссылки, начинающиеся с «http» на «https», поэтому предупреждение «Смешанный контент» не отображается в браузере вашего сайта.
Если у вас нет этой автоматической функции с вашим веб-хостингом, то вы должны сделать это вручную.
Перейдите к файлу .htaccess в корне вашего веб-сервера. Отредактируйте его, чтобы включить следующие строки кода.
RewriteCond %{HTTP_HOST} yoursitedomain\.com [NC]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.yoursitedomain.com/$1 [R,L]После того, как вы сохранили это изменение, любой, кто получает доступ к вашему сайту через HTTP, будет перенаправлен на HTTPS.
Проблема 1: образы CDN
В этот момент вы думаете, что вы свободны дома. Хорошо подумай еще раз.
Во многих случаях ваш сайт может появиться, но многие изображения будут выглядеть неработающими.
Это может произойти, если вы используете сервис CDN для своих изображений. Это потому, что все ваши образы предоставляются по незащищенным ссылкам CDN. Поскольку весь трафик перенаправляется на использование HTTPS, эти изображения не могут загружаться.
Есть два способа исправить это. Самый простой — изменить ваш SSL-сертификат для использования подстановочного знака. Например, если вы используете Let Encrypt, вы увидите вариант использования подстановочного знака на странице управления SSL.
Подстановочный знак позволяет использовать ваш SSL-сертификат на любом поддомене вашего сайта.
Включите это и получите сертификат, закрытый ключ и CA зашифрованный текст из деталей SSL.
Зайдите в свой сервис CDN. В приведенном ниже примере я использую MaxCDN. Вы должны найти опцию SSL в области, где вы можете управлять зоной для вашего сайта.
Здесь вы увидите поля, в которые можно вставить сертификат SSL и закрытый ключ.
Используйте тот же зашифрованный текст, который вы вставили в cPanel ранее.
Как только вы сохраните это, все изображения должны правильно загружаться на ваш сайт.
Если используемая вами служба SSL не предлагает вариант с подстановочными знаками, вам фактически нужно приобрести второй сертификат SSL для активов образа CDN и установить его, используя описанные выше действия.
Проблема 2: Небезопасные ссылки
Если вы ничего не сделали для своего сайта, кроме как включили свой SSL-сертификат и принудительный HTTPS, вы все равно можете увидеть ошибку «Незащищенный».
Это даже будет отображаться, когда ваш сайт загружается через HTTPS. Наиболее частая причина этой проблемы — на вашем сайте все еще есть несколько небезопасных ссылок. Обычно это происходит из-за ссылок на боковой панели, в верхнем или нижнем колонтитуле.
Зайдите в WordPress и просмотрите весь код верхнего и нижнего колонтитула, а также виджеты боковой панели. Ищите ссылки на такие сервисы, как Gravatar, Facebook или другие.
Измените эти ссылки, чтобы использовать «https» вместо «http».
Когда вы закончите, очистите все кэши и перезагрузите ваш сайт. Все проблемы должны быть решены на этом этапе, и ваш сайт теперь полностью защищен!
Защита ваших посетителей с помощью HTTPS — это разумно
Несмотря на то, что ваша мотивация для этого может состоять в том, чтобы повысить ваш SEO, реальность такова, что вы также защищаете своих посетителей от любых хакеров, перехватывающих пакеты.
Это особенно ценно, если вы спрашиваете у своих посетителей информацию о себе, такую как имена, адреса, номера телефонов или данные кредитной карты.
Для личного сайта это достаточно важно. Но если вы ведете бизнес, вы должны понимать, почему безопасность веб-сайта так важна для успеха вашего бизнеса
,
