Переклад сайту WordPress на HTTPS: інструкція технічного переходу

1. Вступна частина
2. HTTPS і HTTP
3. Навіщо переходити на HTTPS
4. Три міфи про SSL
5. Переклад сайту WordPress на HTTPS - Завдання
6. Технічне підключення захищеного протоколу SSL
7. Включити протокол SSL на сервері свого хостера
8. Що робити на сайті WordPress після підключення SSL сертифікату
9. Переадресація http на https
10. Перша перевірка перекладу сайту WordPress на HTTPS
11. Міняємо посилання сайту WordPress
12. Чи потрібно міняти адреси в налаштуванні Загальні
13. Що робити з посиланнями в скриптах
14. Друга перевірка сайту
15. висновки

Вступна частина

Початок року хороший привід, поліпшити оптимізацію сайту і першими кроками я вибрав швидкість завантаження і перехід на HTTPS. Про те, що Google ввів «прихильність» до сайтів, які працюють за протоколом HTTPS, замість HTTP, написано багато статей і відомо всім, хто цікавиться оптимізацією свого сайту.

HTTPS і HTTP

Що таке HTTPS і чим він (протокол) відрізняється від HTTP краще почитати більш компетентні ресурси. Безпечний протокол з'єднання (HTTPS) безпосередньо пов'язаний з отриманням сайтом сертифіката безпеки, SSL. Купуючи, вірніше орендуючи, домен за своїми паспортними даними, ви вже маєте найслабший сертифікат безпеки. Але цей сертифікат на дає вам, «зелений замок» в адресному рядку браузера.

Навіщо переходити на HTTPS

Знову-таки, про мотиваціях переходу на HTTPS написано маса статей. Я перерахую ті причини переходу на HTTPS, які мотивували мене:

• Повідомлення Google, що HTTPS став фактором ранжирування;
• Заява Mozilla, про припинення підтримувати в своєму браузері HTTP з'єднання (http://www.securitylab.ru/news/472588.php);
• Імовірність Яндекс наслідувати загальної тенденції і в черговий раз поставити всіх «на вуха».

Три міфи про SSL

Міф 1. Для SSL потрібен окремий IP. Нісенітниця. На моєму хостинг плані, тільки моїх сайтів дві дюжини, і IP я не купував і всі сайти перевів на SSL причому, безкоштовно. Більш того, на моєму VDS у мене окремий IP, а вартість SSL (V) 500 рублів на кожен домен.

Міф 3. Для некомерційних сайтів SSL не потрібен. Подивимося 31 січня 2017 року. Саме тоді вийде новий, Chrom 5.6 з червоними прапорами для всіх небезпечних сайтів.

Напористість Google в процесі сертифікації сайтів, рано чи пізно, перекинеться і на Яндекс, а ось він попереджати не буде і введе новий фільтр для «Небезпечних сайтів».

Переклад сайту WordPress на HTTPS - Завдання

Отже, завдання. Перекласти сайт WordPress на відгук щодо безпечного протоколу https, тобто, сайту потрібно отримати сертифікат безпеки SSL.

Важливо! Завдання переходу на HTTPS для сайту WordPress, складається з трьох взаємопов'язаних, але практично незалежних завдань:

1. Технічне підключення захищеного протоколу SSL;
2. Переадресація сайту http: // на сайт https: //
3. Заміна всіх внутрішніх посилань сайту на безпечні посилання https: // або на відносні посилання.
4. оптимізація переїзду на новий протокол, для відновлення (збереження) пошукових позицій.

Важливо! Перераховані завдання не потрібно розтягувати за часом і краще виконати послідовно. Непотрібно робити спочатку переадресацію сайту, а потім отримувати сертифікат, у всьому повинна бути логіка.

Примітка: На момент виходу статті, я ще не готовий сказати, що дав мені перехід на HTTPS (SSL), крім витраченого часу і «зеленого замку» в адресному рядку.

Технічне підключення захищеного протоколу SSL

На сьогодні, є кілька схем підключення захищеного протоколу SSL: платні і безкоштовні.

• За додаткову плату, ви можете купити сертифікат безпеки в спеціальних центрах сертифікації (CA), від 500 рублів за домен в рік, отримати два ключа і показати ці ключі на своєму хостера. Ця стаття не про це.
• Деякі хостинги, надають безкоштовну послугу підключення захищеного протоколу SSL до будь-якого домену.
• Використовувати хмарні сервера в послуги яких, входить отримання SSL.
• Купувати сертифікат безпеки, для некомерційного сайту я б не став. Не бачу сенсу. Мені пощастило, я зміг технічне підключення захищеного протоколу SSL вибрати з безоплатної схемою, так як мій хостер надає таку послугу безкоштовно.

Примітка: У наданні хостинг компанією безкоштовних SSL сертифікатів немає нічого не звичайного. З тих пір як з'явився центр безкоштовної сертифікації Let's Encrypt (про нього нижче), будь-яка хостинг компанія може встановити і безкоштовно пропонувати сертифікацію SSL своїм клієнтам. Список західних хостінг, компаній, що працюють з Let's Encrypt тут. Серед вітчизняних можу порадити:

• AgHost.biz;
• HostLand.ru;
• Firstvds.ru.

Отже, я можу включити протокол SSL на сервері свого хостера.

Включити протокол SSL на сервері свого хостера

Крок 1. Попередня перевірка сайту

Почнемо з перевірки, а раптом ваш домен вже має сертифікат. Пропоную наступний інструмент перевірки: (https://www.sslshopper.com/).

Крок 2. Для домену сайту, в адміністративній панелі, включаємо підтримку режиму SSL.

Крок 3. Підключення сертифіката на сервері хостингу

Дивимося в панелі DirectAdmin. Вкладка «SSL сертифікати». Повторюся, мій провайдер пропонує стандартні варіанти отримати сертифікат безпеки і серед них, варіант: Free & automatic certificate from Let's Encrypt.

Мій сайт некомерційний і мені цілком достатньо, отримати сертифікат на Let's Encrypt (https://letsencrypt.org/) тип сертифіката: Internet Security Research Group (ISRG).

• Заповнюємо поля, вказуючи email зі своїх реєстраційних даних.
• Розмір ключа повинен бути не менше 2048-біт. У мене є вибір 4096 біт.

Примітка: В рекомендації Google про перехід на HTTPS //support.google.com/webmasters/answer/6073543?hl=ru, говориться про пріоритет 2048-біт по відношенню до 1024-бітного ключа, про нічого немає і більшому розмірі.

• Після заповнення всіх полів зберігається і бачимо результат.

Безкоштовний сертифікат Internet Security Research Group (ISRG) для некомерційних сайтів отриманий від Let's Encrypt. Щоб сертифікат включився фактично має пройти час.

Повернемося до перевірки на сайт «SSL Certificate Comparison and Reviews» (https://www.sslshopper.com/). Робимо перевірку, бачимо зовсім іншу картину.

Як бачимо, сертифікат є. Отримання сертифікату SSL, це лише початок. Все саме «цікаве» попереду.

Що робити на сайті WordPress після підключення SSL сертифікату

Перш за все, перевіряємо доступність сайту по двох протоколах: http і https.

Якщо ви не включали переадресацію http на https в адміністративній панелі хостингу, сайт повинен відкриватися за двома адресами http і https. Якщо це не так, потрібно виправляти.

Доступність сайту по двох протоколах, - кажуть знаючі оптимізатори, є негативним фактором для пошукових систем і негативно впливає на позиції сайту у видачі. Віримо і робимо переадресацію http на https.

Переадресація http на https

Спосіб 1. Мені знову щастить, я роблю це з панелі свого хостинг провайдера.

Спосіб 2. Якщо ваш сайт працює в веб-сервісом Apache, то в файл .htaccess, який повинен бути в корені сайту. Вписуємо дві директиви для Apache:

Якщо ваш сайт працює на «чистому» Nignx, то файл .htaccess не допоможе, пишіть в суппорт і питаєте, що робити.

Спосіб 3. Працює при доступності сайту по двох протоколах: http і https і не скасовує перші два пункти. Йдете в панель сайту WordPress, на вкладку Налаштування >> Загальні >> Адреса сайту і Адреса сайту WordPress. У цих двох формах, вписуємо домен сайту сайт з https.

Якщо сайт не був доступний по https, ви втратите доступ в панель. Щоб відновити доступ, читаємо тут або дивимося відео:

Перша перевірка перекладу сайту WordPress на HTTPS

Після правильно виконаної переадресації, ваш сайт повинен відкриватися лише з безпечного протоколу https. Щоб не плутатися, поновіть закладки в браузері.

Міняємо посилання сайту WordPress

Для сайтів WordPress, на відміну від сайтів на Joomla, потрібно все існуючі посилання на сайті перевести в протокол https. Було б добре, щоб всі зовнішні посилання, теж були безпечними. Якщо це не можливо, на цих сторінках, замість зеленого замку в рядку браузера, буде попередження про наявність на сайті небезпечного контенту. Називається ця помилка, Mixed Content (змішане утримання).

Відносний адреса:

/image.jpg

Відносний адреса незалежно від протоколу:

//sitename.ru/image.jpg

Абсолютний адреса дозволений SSL:

https://sitename.ru/image.jpg

Абсолютний адреса Mixed Content:

http://sitename.ru/image.jpg

• Щоб усунути змішане утримання (Mixed Content) на сайті WordPress, вам потрібно. Всі внутрішні абсолютні посилання сайту зазначені з http, перевести у відносні посилання типу: //domen.ru/content. В цьому випадку, браузер сам вирішує, безпечний протокол чи ні.
• Всі зовнішні посилання повинні бути з ресурсів підтримують протокол HTTPS, інакше браузер покаже помилку «Mixed Content».

Найпростіший спосіб це зробити, встановити спеціалізований плагін WordPress. Я пробував два плагіна:

1. «HTTP / HTTPS». Цей плагін без налаштувань. Помічені перетворення не всіх посилань.
2. «Easy HTTPS (SSL) Redirection». Цей плагін з легкими настройками. Добиває недоліки першого плагіна.

Примітно. У кожному з цих плагінів сказано, що вони працюють самостійно і краще їх ставити на самоті. У мене на практиці і перший і другий плагіни на самоті не працюють до кінця правильно, тільки в парі.

Важливо! Перед установкою цих або цього плагіна, перевірте доступність сайту по двох протоколах http і https. Якщо бачите помилки, ймовірно, не включений режим SSL на сервері. Перевірте його підключення в панелі хостингу, якщо все включено пишіть в тех.підтримку.

Якщо після установки плагінів сайт пропав, йдіть на сайт по FTP і правте файл .htaccess. Саме в нього ці плагіни записують правила переадресації.

Чи потрібно міняти адреси в налаштуванні Загальні

Це важливо! Якщо ви зробили переадресацію http на https в панелі хостингу, то НЕ ПОТРІБНО міняти адреси в налаштуванні Загальні. Цим ви створите циклічну переадресацію і сайт (вірніше адмін панель) буде недоступна. Виправити це не складно (відео вище).

Що робити з посиланнями в скриптах

Ймовірно, у вас є посилання в скриптах, наприклад лічильники, а також є скрипти підключення до бібліотек. Вони теж повинні мати тільки динамічні або безпечні посилання.

Друга перевірка сайту

Якщо після зміни всіх посилань сайту ви все одно бачите попередження браузера про ненадійність сайту, робимо другу перевірку в браузері Google Chrome.

• Відкрийте сайт в браузері. На правій кнопці миші, відкриваємо «Перегляд коду».
• Внизу або праворуч вікна браузера з'явиться вікно інструментів.
• На вкладці Security, ви побачите підключення сертифікати і якщо є, повідомлення про Mixed Content.

• На вкладці Console. Ви побачите, перераховані проблемні посилання «Mixed Content» з нормально читаються поясненнями.

До всього іншого:

• Цілком можливо, що ви забули очистити кеш сайту, якщо використовуєте плагіни кешування.
• Не забудьте почистити кеш браузера.
• Деякі посилання доведеться поміняти «вручну».

висновки

Переклад сайту WordPress на HTTPS закінчений технічно. Важливо зрозуміти наступне: Перехід на протокол HTTPS можливо призведе до втрати позицій в пошуковій видачі. Ваша наступна задача, мінімізувати втрати, щоб це просідання трафіку було тимчасовим. Про це в наступній статті.

© www.wordpress-abc.ru

Статті про безпеку

Статті пов'язані з теми: