Как настроить сайт на WordPress для работы с SSL-сертификатом

В докладе Digital 2020 агентство We Are Social сообщает, что среднестатистический житель планеты ежедневно проводит в интернете почти 7 часов. Мы общаемся, делаем покупки и регистрируемся в различных сервисах постоянно, и кто-то должен заботиться о безопасности наших данных: e-mail адресах, паролях, номерах банковских карт. Конечно же, защита информации, передаваемой на сайте — задача его владельца.

WordPress — самый популярный движок в мире. Поэтому сегодня я хочу рассказать вам, как добавить SSL-сертификат на сайт на WordPress и сделать его безопасным для посетителей, избежав распространенной ошибки. Разберемся по порядку.

Заказ и установка SSL-сертификата

Специальный сертификат безопасности нужно приобрести для доменного имени, то есть адреса вашего сайта в интернете, а установить на самом сайте. Если ваш проект размещен на нескольких доменах (например, timeweb.ru и timeweb.com), правильнее защитить все: это может быть одно решение сразу для всех доменных имен либо отдельно для каждого. Сделать заказ вы можете на любом специальном ресурсе, а установку — только там, где покупаете хостинг для WordPress. 

Если ваш сайт размещен в Timeweb, то и заказ, и установка доступны вам в панели хостинга. Это позволяет без проблем подключить SSL-сертификат к сайту на WordPress.

Вы можете приобрести бесплатный SSL Let’s Encrypt или коммерческий от Центра сертификации Sectigo. Я предпочитаю Sectigo Positive: он легко выпускается, совместим со всеми популярными браузерами, срок действия (1 год с автопродлением) и стоимость для меня оптимальны. 

Чтобы сделать заказ в Timeweb, перейдите в соответствующий раздел в панели управления.

Затем нажмите «Заказать», выберите тип сертификата, домен и заполните остальные поля, отобразившиеся на странице. 

Let’s Encrypt автоматически установится через 15-30 минут, Sectigo — после того, как вы подтвердите его выпуск.

Настройка HTTPS

Обязательно дождитесь установки, после чего продолжите настройку SSL-сертификата на WordPress. 

По умолчанию сайт открывается в браузере по протоколу HTTP. Чтобы автоматически устанавливалось безопасное соединение HTTPS, нужно включить перенаправление с HTTP на HTTPS. Рассмотрим два способа.

Настройка перенаправления в админке WordPress

1. В меню выберите «Настройки», затем «Общие».
2. В полях “WordPress Address (URL)” и “Site Address (URL)” к “http” добавьте в конце “s”, чтобы получилось “https”, и сохраните изменения.

Включение перенаправления в панели хостинга. На примере Timeweb

1. Перейдите в раздел «Сайты». 
2. Рядом с папкой нужного сайта нажмите на зеленую кнопку в виде шестеренки.
3. Переведите переключатель «Использовать безопасное соединение https://» в состояние «вкл» и нажмите «Сохранить настройки». 

Проверьте, как ваш сайт открывается в браузере: в адресной строке должен быть «замочек».

Если видите надпись «Не защищено», то, чтобы настроить SSL-сертификат на сайте на WordPress, нужно исправить ошибку “mixed content”.

Читайте также

Установка SSL-сертификата на VDS

Для чего и где применяется SSL-сертификат?

Устранение ошибки смешанного контента

Ошибка возникает, когда основной контент страницы передается по защищенному протоколу HTTPS, а часть информации (чаще всего это дополнительные элементы, например, изображения, видео или скрипты) — по небезопасному протоколу HTTP. Это делает некоторые страницы сайта уязвимыми и может вызвать недоверие пользователей: в адресной строке браузера посетитель сайта увидит надпись «Не защищено» — несмотря на все шаги, которые вы проделали ранее. Подробнее об ошибке написано в статье «Чем опасна ошибка смешанного контента на сайте». А в этой статье я расскажу, как исправить “mixed content” после установки SSL-сертификата. Вариант решения — не один. Рассмотрим самый простой, на мой взгляд.

Чтобы исправить ошибку, воспользуемся плагином Really Simple SSL. Почему: положительные отзывы, более 4 миллионов установок, регулярное обновление. 

Вот что нужно сделать:

1. В меню админки WordPress выберите «Плагины», затем «Добавить новый».
2. Введите в строке поиска “really simple ssl” или “mixed content”.
3. Нажмите «Установить» рядом с плагином “Really Simple SSL”, затем «Активировать».
4. Когда плагин активируется, нажмите кнопку «Вперед, активируйте SSL!».
5. Проверьте работу сайта — в адресной строке браузера должен отобразиться «замочек».

Готово! Вы закончилу работу с SSL-сертификатом и победили смешанный контент HTTP и HTTPS на WordPress.

Продление SSL-сертификата

Чтобы ваш сайт постоянно был под защитой, заблаговременно выполняйте продление. Каждый сертификат безопасности имеет свой срок действия и обновляется по определенным правилам. Например, бесплатный Let’s Encrypt продлевается раз в три месяца за две недели до даты завершения, Sectigo Positive — раз в год, когда до окончания срока действия остается меньше 90 дней. Во втором случае можно включить автоматическое продление сразу при покупке и не волноваться, что вы забудете или не успеете обновить защиту сайта, а данные пользователей попадут в руки злоумышленников.