В докладе Digital 2020 агентство We Are Social сообщает, что среднестатистический житель планеты ежедневно проводит в интернете почти 7 часов. Мы общаемся, делаем покупки и регистрируемся в различных сервисах постоянно, и кто-то должен заботиться о безопасности наших данных: e-mail адресах, паролях, номерах банковских карт. Конечно же, защита информации, передаваемой на сайте — задача его владельца.
WordPress — самый популярный движок в мире. Поэтому сегодня я хочу рассказать вам, как добавить SSL-сертификат на сайт на WordPress и сделать его безопасным для посетителей, избежав распространенной ошибки. Разберемся по порядку.
Заказ и установка SSL-сертификата
Специальный сертификат безопасности нужно приобрести для доменного имени, то есть адреса вашего сайта в интернете, а установить на самом сайте. Если ваш проект размещен на нескольких доменах (например, timeweb.ru и timeweb.com), правильнее защитить все: это может быть одно решение сразу для всех доменных имен либо отдельно для каждого. Сделать заказ вы можете на любом специальном ресурсе, а установку — только там, где покупаете хостинг для WordPress.
Если ваш сайт размещен в Timeweb, то и заказ, и установка доступны вам в панели хостинга. Это позволяет без проблем подключить SSL-сертификат к сайту на WordPress.
Вы можете приобрести бесплатный SSL Let’s Encrypt или коммерческий от Центра сертификации Sectigo. Я предпочитаю Sectigo Positive: он легко выпускается, совместим со всеми популярными браузерами, срок действия (1 год с автопродлением) и стоимость для меня оптимальны.
Чтобы сделать заказ в Timeweb, перейдите в соответствующий раздел в панели управления.
Затем нажмите «Заказать», выберите тип сертификата, домен и заполните остальные поля, отобразившиеся на странице.
Let’s Encrypt автоматически установится через 15-30 минут, Sectigo — после того, как вы подтвердите его выпуск.
Настройка HTTPS
Обязательно дождитесь установки, после чего продолжите настройку SSL-сертификата на WordPress.
По умолчанию сайт открывается в браузере по протоколу HTTP. Чтобы автоматически устанавливалось безопасное соединение HTTPS, нужно включить перенаправление с HTTP на HTTPS. Рассмотрим два способа.
Настройка перенаправления в админке WordPress
- В меню выберите «Настройки», затем «Общие».
- В полях “WordPress Address (URL)” и “Site Address (URL)” к “http” добавьте в конце “s”, чтобы получилось “https”, и сохраните изменения.
Включение перенаправления в панели хостинга. На примере Timeweb
- Перейдите в раздел «Сайты».
- Рядом с папкой нужного сайта нажмите на зеленую кнопку в виде шестеренки.
- Переведите переключатель «Использовать безопасное соединение https://» в состояние «вкл» и нажмите «Сохранить настройки».
Проверьте, как ваш сайт открывается в браузере: в адресной строке должен быть «замочек».
Если видите надпись «Не защищено», то, чтобы настроить SSL-сертификат на сайте на WordPress, нужно исправить ошибку “mixed content”.
Устранение ошибки смешанного контента
Ошибка возникает, когда основной контент страницы передается по защищенному протоколу HTTPS, а часть информации (чаще всего это дополнительные элементы, например, изображения, видео или скрипты) — по небезопасному протоколу HTTP. Это делает некоторые страницы сайта уязвимыми и может вызвать недоверие пользователей: в адресной строке браузера посетитель сайта увидит надпись «Не защищено» — несмотря на все шаги, которые вы проделали ранее. Подробнее об ошибке написано в статье «Чем опасна ошибка смешанного контента на сайте». А в этой статье я расскажу, как исправить “mixed content” после установки SSL-сертификата. Вариант решения — не один. Рассмотрим самый простой, на мой взгляд.
Чтобы исправить ошибку, воспользуемся плагином Really Simple SSL. Почему: положительные отзывы, более 4 миллионов установок, регулярное обновление.
Вот что нужно сделать:
- В меню админки WordPress выберите «Плагины», затем «Добавить новый».
- Введите в строке поиска “really simple ssl” или “mixed content”.
- Нажмите «Установить» рядом с плагином “Really Simple SSL”, затем «Активировать».
- Когда плагин активируется, нажмите кнопку «Вперед, активируйте SSL!».
- Проверьте работу сайта — в адресной строке браузера должен отобразиться «замочек».
Готово! Вы закончилу работу с SSL-сертификатом и победили смешанный контент HTTP и HTTPS на WordPress.
Продление SSL-сертификата
Чтобы ваш сайт постоянно был под защитой, заблаговременно выполняйте продление. Каждый сертификат безопасности имеет свой срок действия и обновляется по определенным правилам. Например, бесплатный Let’s Encrypt продлевается раз в три месяца за две недели до даты завершения, Sectigo Positive — раз в год, когда до окончания срока действия остается меньше 90 дней. Во втором случае можно включить автоматическое продление сразу при покупке и не волноваться, что вы забудете или не успеете обновить защиту сайта, а данные пользователей попадут в руки злоумышленников.
Комментарии
Только один вопрос - в какой момент установки необходимо сменить адрес сайта в настройках wordpress с http на https?