Незащищенный протокол http что это как исправить вордпресс

В докладе Digital 2020 агентство We Are Social сообщает, что среднестатистический житель планеты ежедневно проводит в интернете почти 7 часов. Мы общаемся, делаем покупки и регистрируемся в различных сервисах постоянно, и кто-то должен заботиться о безопасности наших данных: e-mail адресах, паролях, номерах банковских карт. Конечно же, защита информации, передаваемой на сайте — задача его владельца.

WordPress — самый популярный движок в мире. Поэтому сегодня я хочу рассказать вам, как добавить SSL-сертификат на сайт на WordPress и сделать его безопасным для посетителей, избежав распространенной ошибки. Разберемся по порядку.

Заказ и установка SSL-сертификата

Специальный сертификат безопасности нужно приобрести для доменного имени, то есть адреса вашего сайта в интернете, а установить на самом сайте. Если ваш проект размещен на нескольких доменах (например, timeweb.ru и timeweb.com), правильнее защитить все: это может быть одно решение сразу для всех доменных имен либо отдельно для каждого. Сделать заказ вы можете на любом специальном ресурсе, а установку — только там, где покупаете хостинг для WordPress. 

Если ваш сайт размещен в Timeweb, то и заказ, и установка доступны вам в панели хостинга. Это позволяет без проблем подключить SSL-сертификат к сайту на WordPress.

Вы можете приобрести бесплатный SSL Let’s Encrypt или коммерческий от Центра сертификации Sectigo. Я предпочитаю Sectigo Positive: он легко выпускается, совместим со всеми популярными браузерами, срок действия (1 год с автопродлением) и стоимость для меня оптимальны. 

Чтобы сделать заказ в Timeweb, перейдите в соответствующий раздел в панели управления.

Затем нажмите «Заказать», выберите тип сертификата, домен и заполните остальные поля, отобразившиеся на странице. 

Let’s Encrypt автоматически установится через 15-30 минут, Sectigo — после того, как вы подтвердите его выпуск.

Настройка HTTPS

Обязательно дождитесь установки, после чего продолжите настройку SSL-сертификата на WordPress. 

По умолчанию сайт открывается в браузере по протоколу HTTP. Чтобы автоматически устанавливалось безопасное соединение HTTPS, нужно включить перенаправление с HTTP на HTTPS. Рассмотрим два способа.

Настройка перенаправления в админке WordPress

1. В меню выберите «Настройки», затем «Общие».
2. В полях “WordPress Address (URL)” и “Site Address (URL)” к “http” добавьте в конце “s”, чтобы получилось “https”, и сохраните изменения.

Включение перенаправления в панели хостинга. На примере Timeweb

1. Перейдите в раздел «Сайты». 
2. Рядом с папкой нужного сайта нажмите на зеленую кнопку в виде шестеренки.
3. Переведите переключатель «Использовать безопасное соединение https://» в состояние «вкл» и нажмите «Сохранить настройки». 

Проверьте, как ваш сайт открывается в браузере: в адресной строке должен быть «замочек».

Если видите надпись «Не защищено», то, чтобы настроить SSL-сертификат на сайте на WordPress, нужно исправить ошибку “mixed content”.

Устранение ошибки смешанного контента

Ошибка возникает, когда основной контент страницы передается по защищенному протоколу HTTPS, а часть информации (чаще всего это дополнительные элементы, например, изображения, видео или скрипты) — по небезопасному протоколу HTTP. Это делает некоторые страницы сайта уязвимыми и может вызвать недоверие пользователей: в адресной строке браузера посетитель сайта увидит надпись «Не защищено» — несмотря на все шаги, которые вы проделали ранее. Подробнее об ошибке написано в статье «Чем опасна ошибка смешанного контента на сайте». А в этой статье я расскажу, как исправить “mixed content” после установки SSL-сертификата. Вариант решения — не один. Рассмотрим самый простой, на мой взгляд.

Совет: перед тем, как проводить работы на сайте, делайте резервную копию. Тогда, если что-то пойдет не так, вы сможете откатить изменения, восстановив предыдущую версию сайта.

Чтобы исправить ошибку, воспользуемся плагином Really Simple SSL. Почему: положительные отзывы, более 4 миллионов установок, регулярное обновление. 

Вот что нужно сделать:

1. В меню админки WordPress выберите «Плагины», затем «Добавить новый».
2. Введите в строке поиска “really simple ssl” или “mixed content”.
3. Нажмите «Установить» рядом с плагином “Really Simple SSL”, затем «Активировать».
4. Когда плагин активируется, нажмите кнопку «Вперед, активируйте SSL!».
5. Проверьте работу сайта — в адресной строке браузера должен отобразиться «замочек».

Готово! Вы закончилу работу с SSL-сертификатом и победили смешанный контент HTTP и HTTPS на WordPress.

Продление SSL-сертификата

Чтобы ваш сайт постоянно был под защитой, заблаговременно выполняйте продление. Каждый сертификат безопасности имеет свой срок действия и обновляется по определенным правилам. Например, бесплатный Let’s Encrypt продлевается раз в три месяца за две недели до даты завершения, Sectigo Positive — раз в год, когда до окончания срока действия остается меньше 90 дней. Во втором случае можно включить автоматическое продление сразу при покупке и не волноваться, что вы забудете или не успеете обновить защиту сайта, а данные пользователей попадут в руки злоумышленников.

Некогда современный протокол HTTP уже давно не является безопасным и не способен предотвратить участившиеся случаи перехвата данных пользователей оставлявших свои данные на сайтах с этим протоколом. Почему незащищенный протокол http устарел и как это исправить.

Протокол HTTP выполняет функцию обмена данными между ПК или мобильными гаджетами пользователей и сервером. Он напрямую связан с загрузкой страниц в браузере. Что это такое, легко понять на простом примере. При отправке сообщений в социальных сетях, включении видео или просто при загрузке любого сайта, компьютер пользователя направляет запрос серверу и принимает от него ответ. Обмен сведениями как раз и осуществляется с помощью протокола HTTP.

Но при всей востребованности и удобстве использования, у протокола есть существенный недостаток:
данные перенаправляются в открытом и незащищенном виде. Обмен информацией выполняется через промежуточные соединения и если даже одно из них используется сторонним пользователем, то сведения могут быть перехвачены и задействованы в противоправных целях. Как исправить незащищенный протокол HTTP, расскажу дальше.

Разновидности протоколов

Прежде чем приступить и исправить незащищенный протокол HTTP нужно понять, какие разновидности существуют. Действующий HTTP 1.1. используется с 1999 года и в сегодняшних условиях уже не может обеспечивать высокую скорость обмена.

Современные сайты используют множество элементов: скрипты на Javascript, стили на CSS, flash-анимацию и т.д. Для передачи таких данных создается несколько соединений, что замедляет скорость выполнения операций.

Решение проблемы – переход на новый протокол HTTP/2, ускоряющий загрузку ресурсов за счет нескольких особенностей:

• Соединение – несколько запросов одновременно отправляются через одно TCP-соединение, а ответы можно получать в любом порядке.
• Приоритеты потоков – клиент получит возможность определять приоритеты, т.е. какие данные важны для него, прежде всего.
• Сжатие заголовка: величину заголовка HTTP можно сокращать.
• Push-отправка информации – сервер отправляет клиенту информацию, которую тот еще не запрашивал, но может запросить на основе имеющихся сведений. Например, какая следующая страница сайта будет открыта пользователем.

Создание HTTP/2 основывалось на другом протоколе – SPDY, созданный Google. Скорость загрузки данных с его помощью существенно увеличивается.

Что такое протокол HTTPS?

Исправить незащищенный протокол HTTP можно с помощью расширения S, которое делает весь пересылаемый массив сведений недоступным для сторонних лиц. Защиту пересылки данных по HTTPS обеспечивает протокол SSL/TLS, кодирующий все сведения.
Особенности протокола:

1. Шифровка сведений.
2. Фиксация изменений в направляемых данных.
3. Защита от атак с перехватом – безопасная авторизация пользователя на сервисе.
4. Максимальное доверие к сайтам, работающих с HTTPS. Проверка простая – название легко найти в адресной строке.

В ходе формирования соединения через HTTPS создается ключ, известный только компьютеру пользователя и интересуемому серверу. Так зашифровываются все данные. Доступ к ним практически невозможен, т.к. ключ состоит из более 100 символов.

Платный и бесплатный ssl сертификат для сайта

Платные варианты ssl сертификата

Прежде всего, нужно выбрать SSL-сертификат. Он бывает 2-х видов. Domain Validation SSL активируется после того как пользователь подтвердит владение доменом через электронный адрес, запись в DNS или хэш-файл. Такой вариант оптимально подходит для личного блога или небольшого оффлайнового бизнеса.

Business Validation –более надежный тип, поскольку клиент подтверждает факт связи организации с сайтом. Для этого в верификационный центр направляется пакет бумаг, а проверка осуществляться с помощью звонка на личный мобильный номер телефона пользователя.

Бесплатно

SSL-сертификат, выдаваемый центром сертификации Let`s Encrypt, партнерами или посредниками. И такими посредниками сейчас выступают многие хостинг-провайдеры.

На хостинге, услугами которого пользуюсь я бесплатные сертификаты можно устанавливать путем нажатия одной кнопки.

Как получить платный ssl сертификат

Отвечая на вопрос, как исправить незащищенный протокол HTTP, пользователю нужно сделать запрос CSR на получение сертификата и его активации.
Для этого необходимо указать:

• Имя сервера: «site.com» или «*.site.com», если заказывается WIldcard сертификат.
• Код страны: RU, UA и т.д.
• Область – Moscow Region и т.д.
• Город.
• Данные владельца ресурса.

Запрос CSR направляется в центр верификации. В итоге пользователь получает SSL и файл с персональным ключом. Его нельзя передавать сторонним лицам и выкладывать в сеть.

Для получения бесплатного ssl сертификата на своем хостинге, никаких данных не нужно.

Как исправить ошибки после перехода с http на https

При установке любого сертификата на уже работающий сайт, следует учесть что все существующие ссылки будут не действительны. Как на существующие посты и картинки, так и на ссылки ведущие на сторонние ресурсы. И как следствие, мы получаем ошибку 404, что плохо сказывается на SEO.

На блоге я уже публиковал материал по данной теме и чтобы не было дублирования контента, рекомендую посмотреть практическое видео по исправлению ошибок протокола https на блоговом движке wordpress.

Для других cms-систем opencart, joomla и прочих, так же видео будет полезно.

Еще по теме: “SEO продвижение сайта wordpress”

Просмотр 12 ответов — с 1 по 12 (всего 12)

Просмотр 12 ответов — с 1 по 12 (всего 12)

После того как установили SSL сертификат на ваш хостинг или vps (как установить бесплатный сертификат на vps читайте здесь) необходимо еще настроить CMS для корректного отображения в браузере. Настройка Wordpress SSL не сложный процесс. Рассмотрим возможные проблемы и методы их устранения, а так же рекомендации по использованию.

WordPress SSL и смешанный контент

Если вы вебсервер настроен корректно, то сайт сразу будет нормально отображаться по SSL, однако могут возникнуть проблемы, когда в браузере при посещении сайта по защищенному протоколу значок в строке адреса будет показывать опасность и в подробностях указывать на смешанный контент. Это значит, что часть содержимого страницы загружается по незащищенному протоколу http. Это сообщение может вызвать так же форма, которая настроена на отправку данных по незащищенному протоколу.

Все эти нюансы необходимо устранить. Ваша задача найти все сторонние скрипты, внутренние и внешние изображения, которые загружаются по http, а так же формы, которые отправляют данные по http (в параметре action, которых указан адрес начинающийся с http). Большинство счетчиков, виджетов и крупных рекламных сетей уже поддерживают работу по https, поэтому вам необходимо просто поменять код на универсальный (без указания протокола). Вместо http://site.ru/scrip.js указывается //site.ru/script.js. Таким образом браузер будет обращаться к этому сайту по тому же протоколу, что и основной сайт откуда вызван скрипт.

Чтобы найти все небезопасные элементы кликните по иконке протокола в адресной строке (1), а затем по ссылке подробнее в открывшемся окошке (2). Я показываю на примере браузера Google Chrome, но в других браузерах действия похожие (разве что в браузерах Microsoft не так, но кто их использует в нормальной жизни?).

В открывшемся инспекторе мы видим внизу оповещение Active Mixed Content и ссылку на просмотр этого самого содержимого в сетевой панели. Кликаем по ней, а затем обновляем страницу и наблюдаем в окне какое содержимое загружается не по защищенному протоколу.

Находим и исправляем (или удаляем) весь некорректно загружающийся контент, затем заново открываем сайт в новой вкладке (просто обновить не всегда срабатывает), чтобы убедится, что теперь сайт не показывает предупреждение и значок зеленый.

Внутренние изображения можно попытаться исправить отредактировав записи или сделав это массово запросом mysql. Однако если вы не опытны то лучше использовать сторонний плагин например SSL Insecure Content Fixer. Благо, если вы используете встроенные инструменты для редактирования сообщений и вставляете картинки штатным образом, то делать этого не придется.

Смена основного адреса сайта с http на https

Многие плагины используют системные параметры адреса сайта WordPress для формирования URL. Например это используется таким плагином как YOAST SEO для формирования XML карты сайта. Если вы переводите основное зеркало сайта на SSL, то необходимо, чтобы и в карте сайта отображались адреса страниц с HTTPS.

Для этого идете в настройкиобщие и меняете Адрес WordPress (URL) и Адрес сайта (URL) на адрес с SSL

Переадресация с HTTP на HTTPS

Настройка WordPress SSL будет не полной без включения автоматической переадресации на защищенный HTTPS. Для этих целей существует 2 метода:

1. Использовать плагин;
2. Настроить вебсервер.

В первом случае я рекомендую использовать плагин IThemes Security. Он позволяет настроить обязательное использование SSL только в админ панели или на весь сайт тоже. Установите этот плагин, если вы этого еще не сделали. После этого идите в SecuritySSL и включите опции как показано на изображении.

Настройка вебсервера доступна только обладателям VPS или собственных серверов. Поскольку чаще всего в качестве front-end сервера используется nginx то вот его вариант настройки:

server {
 listen xxx.xxx.xxx.xxx:80;
 server_name example.ru www.example.ru;
 return 301 https://$host$request_uri;
}

server {
 listen 443 ssl http2;
 ssl_certificate /etc/letsencrypt/live/example.ru/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/example.ru/privkey.pem;
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 ssl_prefer_server_ciphers on;
 ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
 ssl_buffer_size 4k;
 server_name example.ru www.example.ru;
.......


#прочие настройки сайта

}

Как видите в данном примере в виртуальном хосте для сайта создано 2 раздела server. Один слушает на 80 порту, а второй на 443 и при попадании клиента на сайт по http происходит автоматический 301 редирект на https.

HTTPS и поисковые системы

После того как вы провели все работы по переводу сайта на https настало время сообщить поисковикам об этой радостной новости.

С Google все просто. Вам необходимо зайти в консоль вебмастера и просто добавить еще один сайт с https. Не смущайтесь, если вы уже добавляли ранее этот же сайт без https. Через некоторое время Google склеит оба сайта и в выдаче будет показывать уже защищенную версию сайта на тех же позициях (а то и выше!).

У Яндекс процедура несколько иная. Вам необходимо открыть существующий сайт в консоли вебмастера, зайти в раздел ИндексированиеПереезд сайта.

Затем отметить галочку «Добавить HTTPS» и нажать кнопку сохранить.

После этого дождаться когда Яндекс склеит сайты и обновит поисковую выдачу.

На этом базовая настройка WordPress SSL окончена. Возможно я что-то упустил или забыл написать — прошу не стеснятся дополнять в комментариях.

В статье мы расскажем, зачем переводить свой сайт на HTTPS, как подключить SSL на WordPress и как настроить редирект с HTTP на HTTPS.

Зачем переходить на HTTPS

Любое действие в Интернете — это обмен данными. Каждый вбитый в поисковую строку запрос проходит путь от пользователя к серверу и обратно. В основе этого обмена лежит работа интернет-протоколов.

Раньше информация передавалась только через незащищенный протокол HTTP. При таком обмене данные (пароли, реквизиты, номера банковских карт) могли легко перехватить злоумышленники. Поэтому разработали HTTPS — протокол безопасного соединения. Защищенный протокол HTTPS работает по принципу непрерывного обмена ключами шифрования между сервером и браузером.

Чтобы сайт стал работать по безопасному соединению HTTPS, нужен SSL-сертификат. SSL-сертификат — это виртуальный документ, который подтверждает подлинность веб-сайта и гарантирует безопасное соединение. Благодаря SSL-сертификату пользователи понимают, что сайту можно доверять. Для сайтов с активным обменом данными (интернет-магазинов, корпоративных сайтов, крупных проектов) установка SSL не просто хороший тон, а необходимость. Подробнее читайте в статье В чём фишка HTTPS, или зачем мне SSL-сертификат?

Как настроить HTTPS для WordPress

Для сайта, созданного на WordPress, переход с HTTP на HTTPS состоит из трёх этапов:

1. заказ, активация и установка SSL-сертификата на хостинг;
2. перевод сайта с HTTP на HTTPS в WordPress;
3. переадресация с HTTP на HTTPS.

Рассмотрим каждый из этапов подробнее.

1 этап. Заказ, активация и установка SSL-сертификата

На первом этапе настройки HTTPS в WordPress нужно заказать SSL-сертификат. Выберите SSL для вашего проекта: Виды SSL-сертификатов, а затем переходите к покупке. Вам помогут инструкции:

• Как купить SSL-сертификат;
• Как заказать бесплатный SSL-сертификат. Вы можете заказать SSL бесплатно на 6 месяцев, если у вас есть домен или хостинг в REG.RU (например, WordPress hosting или бесплатный хостинг для сайтов WordPress).

После оплаты заказа вам на почту придёт письмо с данными для активации SSL. Следуйте одной из инструкций: Как активировать сертификаты: OrganizationSSL и ExtendedSSL и Как активировать сертификаты: AlphaSSL и DomainSSL.

После активации SSL установите SSL-сертификат на хостинг. Не забудьте проверить правильность установки сертификата.

Если вы установили SSL-сертификат на хостинг, переходите к настройке сайта на HTTPS в WordPress.

2 этап. Перевод сайта на HTTPS

Чтобы ваш сайт открывался по защищённому протоколу, переведите его с HTTP на HTTPS в админ-панели WordPress. Для этого поменяйте две основные ссылки в базе данных сайта.

Готово, теперь ваш сайт доступен по протоколу HTTPS. Однако все ссылки на сайте и в административной панели продолжат работать по протоколу HTTP.

Чтобы перевести все ссылки на HTTPS, переходите к следующему шагу.

3 этап. Настройка переадресации с HTTP на HTTPS

На этом этапе нужно настроить 301 редирект — он перенаправит все ссылки вашего сайта со старого URL-адреса (http://) на новый (https://). Без редиректа на сайте вместо зелёного замка в строке браузера будет отображаться ошибка смешанного содержимого — «Mixed Content». Также 301 редирект позволит не потерять SEO-позиции сайта.

Настроить редирект с HTTP на HTTPS можно двумя способами:

• на хостинге: в панели управления ISPmanager или в конфигурационном файле .htaccess через панели cPanel и Plesk по инструкции Редирект с http на https для Linux;
• установить плагин Really Simple SSL на Wordpress по инструкции ниже.

Мы рекомендуем использовать плагин. Он позволяет настроить редирект на уровне PHP и меняет все ссылки в базе данных сайта автоматически.

Как настроить редирект с помощью плагина Really Simple SSL

Чтобы настроить редирект с помощью плагина:

Готово, вы активировали плагин Really Simple SSL. Если вы хотите скорректировать действие плагина, во вкладке Настройки пролистайте до блока «Общее», затем укажите нужные параметры и нажмите Сохранить:

Теперь ваш сайт в WordPress будет работать по защищённому протоколу HTTPS. Посетители не будут беспокоиться о сохранности своих данных при работе с вашим сайтом.

Как настроить HTTPS для плагина Elementor

Если вы используете плагин Elementor, то ссылки можно заменить в разделе «Инструменты». Для этого:

Готово, вы настроили HTTPS.