Как использовать SSL и HTTPS на WordPress?
Опубликовано: 01.09.2018
Как подключить в 1 клик бесплатный SSL сертификат от Let’s Encrypt на WordPress хостинге Hostenko
Одним из ключевых моментов в обеспечении безопасности сайта на WordPress является установка специального SSL-сертификата. С его помощью пользователи смогут обмениваться информацией с вашим сайтом через безопасное и защищенное соединение по протоколу. Но нужно будет проделать некоторую, хоть и несложную работу, чтоб определить, какую информацию нужно защитить и убедиться, что она покидает сайт в таком виде.
Как настроить HTTPS для сайтов на базе WordPress
Смотрите также :
Что такое SSL?
Протокол SSL – это стандарт для обмена надежной информацией между веб-сайтом и браузером. Не вдаваясь в подробности технической части его работы, его можно объяснить так: он устанавливает доверительные отношения между сервером и веб-браузером. Когда «доверие» установлено, сервер шифрует данные таким образом, что только конечный получатель (клиент) сможет их расшифровать.
Такие меры безопасности принимаются из-за вероятности, что любые данные, передаваемые через интернет с одной точки в другую, могут быть в любой момент перехвачены хакерами или другими участниками сети.
Передача же защищенных данных дает уверенность, что только конкретный получатель сможет их прочесть. Если их откроет кто-либо другой, то увидит только искаженное изображение, набор каких-то символов. Это лучше, чем видимые данные кредитной карты, личные записи, письма, прочее.
Использование SSL требует от сайта установки специального сертификата. Приобретение такого сертификата передает браузеру важную информацию о безопасности вашего сайта. В большинстве браузерах, когда вы заходите на безопасный сайт, вы увидите иконку в виде зеленого замочка в адресной строке. Это означает наличие SSL -сертификата :
Наличие SSL является обязательным для любого сайта, занимающегося электронной коммерцией, и рекомендуется тем, кто имеет дело с обменом важной информации. Не будем вдаваться в подробности процесса добавления сертификата в пакет вашего хостинга, так как он зависит от вида хостинг-провайдера. Но хорошая хостинг-компания обязательно предложит вам самый простой способ установки SSL-сертификата.
После установки сертификата каждый посетитель вашего сайта сможет иметь доступ к его страницам через HTTP или HTTPS соединение . Не зря употреблено слово «сможет», а не «будет», так как добавления самого сертификата еще недостаточно. Вам нужно настроить WordPress таким образом, чтоб заставить посетителей использовать HTTPS.
Когда мы говорим «использование SSL», то подразумеваем, что обмен информацией между сервером и браузером осуществляется через протокол HTTPS вместо незащищенного протокола HTTP. Это требует наличия валидного SSL-сертификата, но не только.
Где и как использовать HTTPS?
Можно настроить сайт на WordPress таким образом, чтобы посетители использовали HTTPS при входе на сайт, при использовании админки, на каждой или же на определенных страницах вашего сайта. Есть два подхода к определению необходимости его использования. Первый – по необходимости. То есть, только самые чувствительные файлы. Второй способ – для всего сайта.
Не так давно Google заявил о том, что защищенные сайты с помощью HTTPS имеют более высокие показатели в поисковой выдаче. Это значит, что использование HTTPS не только обеспечит защиту сайта, но и поспособствует SEO. Также этот протокол поможет предотвратить или устранить любые человеческие ошибки в отношении конфиденциальности той или иной информации.
Недостаток использования SSL для всего сайта состоит в том, что протокол HTTPS работает медленнее, нежели HTTP. Причина в том, что данные должны зашифровываться перед их отправкой и расшифровываться при их получении. А это дополнительная нагрузка на сервер, отправляющий данные и веб-браузер, получающий их. Соответственно, этот процесс требует дополнительного времени.
Так как скорость загрузки страницы очень важна для конечного пользователя и для SEO, необходимо определить, является ли важной защита нечувствительного контента (как например, контент страниц, доступный всем пользователям). Это, конечно же, зависит от многих факторов и определяется после оценки и тестирования вашего сайта.
В большинстве случаев, к наиболее чувствительным данным относится информация личного характера, касающаяся компании. Это финансовая информация, пароли, номер кредитной карты, прочее. И, как уже говорилось ранее, установка HTTPS является обязательным условием для всех сайтов электронной коммерции. А также в случае передачи любой чувствительной информации. К ним относятся, например, данные медицинских карт.
Имейте ввиду, что если вас когда-либо наймут для создания сайта, с/на который будут отправляться медицинские или финансовые данные, то ваш клиент обязательно проконсультируется с юристом касательно вопроса безопасности. И эти потребности в области безопасности должны быть включены в рамках договора на создание сайта.
Настраиваем SSL вручную на WordPress
Существует константа, которую вы можете использовать в файле wp-config.php и обеспечить безопасное соединение в админке. И эта константа - FORCE_SSL_ADMIN – требует наличия SSL-сертификата и HTTPS для доступа в любое место админки WordPress.
По умолчанию эта функция выключена. Чтобы ее включить, нужно добавить в файл wp-config.php следующий код:
define( ' FORCE_SSL_ADMIN ', true );
Почитайте замечательную в WordPress Codex о том, как настроить HTTPS на всем сайте и зашифровать страницы фронтенда.
Но если вы не сможете сделать все это с помощью двух констант, то есть еще один способ – использование плагина. О чем мы сейчас и поговорим.
Использование плагина для HTTPS
Существует отличный бесплатный плагин WordPress HTTPS (SSL) , с помощью которого можно очень легко произвести все настройки. Правда, плагин давно не обновлялся и, как видно из каталога плагинов, тестировался только для версии WordPress 3.5.2. Но он отлично работает также и с версиями 3.9 и 4.0.
Этот плагин осуществляет две функции. Он позволяет задать глобальные SSL-настройки для вашего сайта или сайтов.
Если вы не хотите использовать SSL для всего сайта, то плагин позволяет выбрать конкретные записи и страницы для этого.
Процесс настройки плагина довольно прост. Панель управления дает вам возможность настраивать опции для всего сайта (или нескольким сайтам, если у вас мультисайтовая инсталляция WordPress).
Плагин также предоставляет дополнения в виде метабоксов к каждому редактору постов, что позволяет вам индивидуально настроить запись или страницу. Это очень удобно, если нужно обезопасить доступ к нескольким страницам сразу.
Для безопасности сайта SSL недостаточно!
Установка и настройка SSL является, конечно, важным шагом на пути к обеспечению безопасности сайта на WordPress и пользовательских данных, но и этого недостаточно. Пароль вашего сайта все равно можно узнать или угадать. И в этом случае SSL никак не защитит сайт от использования вашей информации теми, кто ее получил путем взлома доступа к сайту.
Как можно перестраховаться? Выбирать только очень сильные пароли, своевременно обновлять плагины и темы на WordPress, периодически сканировать на наличие вредоносных скриптов, прочее.
Само по себе наличие на вашем сайте SSL-сертификата не обезопасит его. Необходимо использовать еще и соответствующие плагины безопасности, как например, WordFence , iThemes Security или сервис Sucuri .
Но установка SSL сертификата и конфигурация WordPress для использования HTTPS – важный и первый шаг к обеспечению безопасности сайта. И, как уже говорилось, довольно простой.
Бонус! Попробуйте бесплатный SSL от Let’s Encrypt на Hostenko
Если вы пользователь WordPress хостинга от Hostenko , вы можете самостоятельно подключить SSL сертификат от Let's Encrypt совершенно бесплатно, нажав на 1 кнопку.
Для этого нужно перейти в Личный кабинет хостинга, открыть блок "Управление хостингом" для вашего сайта и в разделе "Безопасность" нажать на кнопку "Добавить SSL сертификат Let's Encrypt":
Вся процедура пройдет в автоматическом режиме, и уже через пару секунд к вашему сайту будет подключен бесплатный SSL сертификат от Let's Encrypt, а адрес сайта изменится на https. Добавить SSL сертификат можно для любого сайта на собственном домене.
Более подробно читайте в заметке на блоге хостинга:
Как подключить в 1 клик бесплатный SSL сертификат от Let’s Encrypt на Hostenko