Как настроить https для сайта на wordpress

Содержание:

HTTPS: что это такое и зачем нужно

— «протокол передачи гипертекста». В наше время повсеместно используется для получения информации с веб-сайтов. Все сайты сразу работают на HTTP. Когда пользователь вводит личную информацию на сайте, браузер в открытом виде передает ее на сервер. Этим и пользуются мошенники, перехватывая личные данные.

— расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. В этом случае личная информация передается уже не в открытом виде, а в зашифрованном. Принципом работы этого протокола является обмен ключами шифрования. Но для этого нужно, чтобы владелец сайта получил и установил SSL-сертификат на сайт.

— сертификат электронной подписи, содержащий открытый ключ и информацию о владельце, подписанный выдавшим его Центром сертификации и подтверждающий принадлежность владельцу.

Сервер, прежде чем ответить на запрос от браузера, предъявляет ключ шифрования — SSL-сертификат, браузер проверяет его подлинность в Центре сертификации, и если все в порядке, то браузер и сервер «доверяют» друг другу и «договариваются» о разовом шифре для защиты передаваемых данных. Так происходит при каждой сессии.

Безопасность пользователей и регламент GDPR

Особенно это касается сайтов, где происходит оплата товаров и указание личных данных. Если пользователь указывает свою личную информацию на сайте с протоколом http, то злоумышленники легко могут перехватить эти данные на пути от сайта к серверу. Если у сайта есть https, то данные тоже можно перехватить, но расшифровать их будет или невозможно, или слишком долго. В любом случае, это гораздо безопаснее чем http.

Предупреждение о небезопасном соединении

Казалось бы, если пользователь на сайте только смотрит, но никакие данные не передает, то можно было бы и не подключать https. Но многие браузеры стали предупреждать пользователей еще до захода на сайт, что соединение не защищено. Причем, чтобы попасть на сайт приходиться выбрать пару лишних опций, которые неискушенный пользователь может не заметить и просто откажется посещать такой сайт. Так что вы рискуете потерять трафик только из-за этого сообщения.

Доверие к сайту

Еще на предыдущем пункте сайт теряет доверие пользователей. Но даже, если пользователь остался на сайте, то, в ходе использования, всплывет ещё несколько уведомлений, которые напомнят ему, что здесь небезопасно.

В адресной строке браузера, где указан URL сайта есть уведомление «Не защищено». Если на него нажать, то появиться окно с объяснениями, почему так.

Также, некоторые браузеры, например, Firefox, при вводе паролей или другой личной информации выводят дополнительное предупреждение, что эти данные могут быть скомпрометированы.

После такого вряд ли многим захочется что-то у вас купить или на что-то подписаться.

SEO

Если вы рассчитываете на трафик из поисковых систем, то стоит помнить, что наличие безопасного протокола шифрования является одним из факторов ранжирования. Так что сайты на https, при прочих равных условиях, будут ранжироваться выше сайтов на http.

Про проседания и потери по трафику (число посетителей) при переезде сайта на https

Несмотря на то, что вы будете делать правильно… В любом случае, будут проседания по трафику и переиндексация — и это отразится на посещаемости ресурса. Обычно, это занимает не более 3 дней. А иногда и вовсе не заметно!

Тем более сейчас — яндекс и гугл отлично понимают, что вы переходите на https , и переезд осуществляется деликатно. Не так, как раньше, когда пошла первая и вторая волна. Когда владельцы сайтов делали переезд на свой страх и риск. И было заметно, как многие потеряли посетителей.

Обратите внимание! Если после смены на https , трафик значительно упал и не возвращается — стоит беспокоиться. Что касается по преимуществам с точки зрения ранжирования — то поиску всё равно, на http ваш сайт или на https

Вероятно в будущем будет приоритет сайтам на https. Но не думаю, что это будет скоро

Что касается по преимуществам с точки зрения ранжирования — то поиску всё равно, на http ваш сайт или на https. Вероятно в будущем будет приоритет сайтам на https. Но не думаю, что это будет скоро.

Яндекс официально заявляет:

Также, прикладываю переписку, в момент когда переводил свой блог, чтобы вы могли наблюдать ситуацию, как это было на самом деле…

Спасибо Дмитрию (https://ideafox.ru/pro-blog/perehod-na-ssl-2017.html), который помог решиться с переездом. Самое сложное порой — это принять решение!

Вот скрин из комментария (эти запросы есть в статье выше):

Продолжение…

Продолжение…

И последнее… Это РЕЗУЛЬТАТ и как в целом прошел переезд:

Скрин из комментария:

Вот такой небольшой опыт, которым решил поделиться с вами, и сделал памятку на блоге.

Отвечу на ваши вопросы…

Денис Повага

1-2 раза в год, веду до результата в блогинге, при наличии мест.
Для связи: ok.ru/denis.povaga

Комментарии: 2964Публикации: 795Регистрация: 12-03-2013

Добавление директивы в файл wp-config.php

Войдите по FTP на хостинг, откройте файл wp-config.php, который расположен в корне сайта (папка «public_html») на Вордпресс.

В файл wp-config.php необходимо добавить следующий код:

define('FORCE_SSL_ADMIN', true);

Вставьте код в верхней части файла, сразу после комментариев (после текста, отмеченного звездочками). Эта директива требуется в том случае, если при работе с панелью администрирования по защищенному протоколу возникает циклическая переадресация.

В моем случае, при попытках входа в админ-панель сайта, происходила переадресация на 404 страницу (страница не найдена).

Войдите в админ-панель по протоколу HTTPS. При необходимости, очистите кэш и удалите куки (cookie) в браузере.

Подготавливаем сайт к переезду

Прежде чем приобрести у хост-провайдера сертификат, необходимо подготовить сайт. Без этих работ переход может стоить Вам львиной доли органического трафика или работоспособности сайта. В обязательном порядке нужно:

  • Сделать все ссылки внутри сайта относительными;

    Все ссылки на сайте должны быть относительными. Грубо говоря, не иметь конкретного домена и протокола. К примеру: https://dh-agency.ru/regionalnoe-prodvijenie/ — это абсолютная ссылка, а вот /regionalnoe-prodvijenie/ — уже относительная. Внутри сайта обе ссылки будут вести на одну и ту же страницу.

    Если оставить абсолютные ссылки, то пользователь каждый раз будет переходить на незащищенный протокол http://.
    Это так же касается медиа материала, такого как видеоролики и изображения. Убедитесь, что весь он доступен по относительным адресам.

  • Исправить ссылки на все внешние скрипты;

    Убедитесь, что все внешние скрипты так же поддерживают https. Если Вы не уверены, возможно прописать ссылки без протокола, как указано на принт-скрине ниже.

    Желательно, что бы все сайты, с которых что-то подгружается, так же имели защищенное соединение.

  • Настроить виджеты, плагины и компоненты;

    Многие виджеты, плагины и компоненты используют для работы внешние ресурсы. Проверьте, что бы в настройках стояла галочка «Использовать SSL».

    В противном случае, на странице где используется данный виджет (модуль, компонент и т.д.) в адресной строке будет https://, но не будет сообщения о защищенном соединении.

  • Поменять адрес в настройках Вашей CMS;

    Если вы используете Joomla!, Opencart, WordPress, MODx, Bitrix или другую популярную систему управления, то в настройках всегда есть поле с главным адресом сайта. В WordPress это выглядит следующим образом:

Изменение URL на сайте плагином Velvet Blues Update URLs

Далее необходимо удалить указание протокола со всех ссылок, имеющих в своем адресе название вашего сайта.

Для этого установите, а затем активируйте плагин Velvet Blues Update URLs.

  1. Войдите в «Инструменты» => «Update URLs».
  2. В поле «Old URL» введите старый адрес сайта (обязательно поставьте прямой слеш в конце адреса). В поле «New URL» введите новый адрес сайта (с HTTPS), в котором обязателен прямой слеш на конце адреса.
  3. Выберите указанные на изображении настройки для изменения ссылок в содержании страниц, в выдержках, в ссылках, во вложениях (изображения, документы, медиа), в полях мета данных.
  4. Нажмите на кнопку «Update URLs NOW».

Отключите плагин Velvet Blues Update URLs, он больше не нужен, его можно удалить.

Что такое HTTPS?

Любое действие в интернете — это обмен данными, при котором каждый раз ваш компьютер делает запрос к необходимому серверу и получает от него ответ. Стандартно такой обмен данными происходит по протоколу HTTP, основной недостаток которого — незащищенность передаваемых данных, что абсолютно не приемлемо, например, когда речь идет о передаче паролей, данных кредитных карт и другой персональной или конфиденциальной информации.

Замеряем пульс российского диджитал-консалтинга

Какие консалтинговые услуги востребованы на российском рынке, и как они меняют бизнес-процессы? Представляете компанию-заказчика диджитал-услуг?

Примите участие в исследовании Convergent, Ruward и Cossa!

По сути, HTTPS —это расширение протокола HTTP, поддерживающее шифрование, что обеспечивает безопасность передачи данных.

Сильные и слабые стороны перехода c HTTP на HTTPS

Преимущества:

  • Безопасность. С HTTPS передаваемые данные защищены от изменения.
  • Доверие. С переходом на расширенный протокол, вам начнут доверять больше пользователей. Для сайтов, принимающих платежи – такой протокол обязателен.
  • Репутация сайта. HTTPS — один из факторов ранжирования сайта в поисковых системах. Кроме того, станет лучше и статистика переходов, осуществленных на ваш сайт. (Правда, после перехода на защищенный протокол требуется указать https-версию как главное зеркало, чтобы переходы в системах статистики не считали страницы http://sitename.рф/page1.html и https://sitename.рф/page1.html разными).
  • Отказ крупных организаций от HTTP. В апреле 2015 года, Mozilla Foundation предложила осуществить массовый переход на HTTPS.

Недостатки:

Снижение скорости. Часть ресурсов сервера будет уходить на шифрование данных. В связи с этим, скорость его работы будет снижена. Намного чаще скорость загрузки ниже из-за неоптимизированных изображений и множественных запросов скриптов к базам данных, чем из-за смены протокола.

Стоимость. Для осуществления перехода, вам понадобится сертификат SSL. Его стоимость варьируется в зависимости от сертификата.

Проблемы с поддерживанием HTTPS. Не все рекламодатели поддерживают данный протокол

Это важно, если вы нацелены на монетизацию вашего ресурса.

Что такое протокол HTTPS и как он работает?

Когда вы открываете сайт, браузер отправляет запрос серверу и получает от него ответ. При использовании HTTP-соединения данные передаются в открытом виде. А на пути от браузера к серверу данные проходят десятки узлов, и на каждом этапе злоумышленники могут включиться в канал передачи и получить доступ к информации. Для обеспечения безопасности используется HTTPS.

HTTPS — это модификация протокола HTTP, которую разработали в 1994 году для браузера Netscape Navigator. HTTPS поддерживает шифрование через криптографические протоколы SSL или TLS, что обеспечивает более безопасную передачу данных по сравнению с HTTP. Протоколы SSL/TLS являются своего рода оберткой для HTTP — они шифруют данные и исключают возможность их кражи на пути от браузера к серверу и обратно.

Если сайт использует HTTPS, это видно в адресной строке браузера:

Рис. 1. Маркер безопасного протокола

Пометка об HTTPS может иметь и другой вид:

Рис. 2. Другой маркер безопасного протокола

Как бы ни выглядела пометка, при клике по ней должна появиться информация, подтверждающая безопасность соединения:

Рис. 3. Информация о защите данных

Принцип работы HTTPS:

  1. Браузер отправляет запрос к серверу (сайту);
  2. Сайт отправляет копию SSL-сертификата;
  3. Браузер проверяет, является ли сертификат подлинным (отправляет запрос в центр сертификации);
  4. Если сертификат подлинный, браузер и сервер тайно «договариваются» о создании секретного ключа;
  5. Устанавливается защищенное соединение (данные передаются в зашифрованном виде, и доступ к ним имеет только сервер и клиент).

Секретный ключ состоит из более чем 100 символов (буквы и цифры), и взломать его практически невозможно (особенно если учесть, что в каждой новой сессии создается новый уникальный ключ).

Ответы на несколько вопросов

Напоследок несколько популярных вопросов, которые могут всплыть:

Почему сам тянул с переездом на https?
Я все никак не могу взяться за свои проекты (это видно по дате последних постов и съемки видео на канале), ну и решающим моментом стало оповещение Яндекса о том, что уже пора бы.

Могу ли я потерять посещаемость?
Да. Любые действия с сайтом в теории могут негативно повлиять на трафик. Но чаще проблем не бывает, если нигде не напортачил.

После перехода на https упали позиции, что делать?
Это тоже нормально. От момента переезда я обычно засекаю 3-4 недели (примерно) и не обращаю внимания на колебания. По истечении этого срока уже должна произойти склейка (в вебмастере зеркала будут слеплены вместе) и тогда можно делать какие-то выводы. Чаще всего все восстанавливается и иногда даже с плюсом.

Я хочу ЧПУ и SSL — в какой последовательности делать
Очень скользкий вопрос, сродни «Какой рукой открывать дверь: правой или левой?». Я опасный и потому делаю все сразу за 1 раз :). Проблем вроде не было, но склейка была дольше.

Подбираем и устанавливаем SSL сертификат

Подробно на том, какие бывают ssl сертификаты, я не буду описывать, лишь скажу, что с точки зрения безопасности все сертификаты имеют одинаковую силу шифрования и используют алгоритм хеширования SHA256. Сертификаты бывают:

  • Простые (Domain Validation, DV) – в сертификате указан только домен,
  • С проверкой компании (Organization Validation, OV) – указан домен и название компании,
  • С расширенной проверкой (Extended Validation, EV) – зеленая адресная строка браузера, название компании в ней, в сертификате также домен и название компании.

Даже самоподписанные ssl сертификаты имеют аналогичный уровень защиты, но их использовать не стоит, потому что любой браузер будет выдавать сообщение о том, что сертификат не подтвержденный, и на сайт не пустит. Но если будете работать по нашей инструкции, вы с этим не столкнетесь.

Если для вас не имеет значения, на кого будет выдан сертификат — то есть вас не смущает, что он будет выдан на физическое лицо — подойдет DV, и скорее всего это будет бесплатный Let’s Encrypt. Сертификаты EV физическим лицам в принципе не выдаются. Покупка сертификатов OV возможна для физлица, но процесс валидации намного сложнее, чем у юрлиц.

Вот так выглядит SSL с расширенной проверкой:

Так выглядит и простой SSL, и с проверкой организации:

Я думаю, что 99% читателей данного поста устроит самый простой тип сертификата DV.

Вот еще несколько нюансов, которые помогут вам определить, какой сертификат использовать:

Правильный перевод сайта на HTTPS

После покупки SSL-сертификата и его установки — важно грамотно перевести сайт на HTTPS. Под правильным переводом подразумевается:

  • Настройка корректного отображения сайта для пользователей.

  • Правильная индексация поисковыми системами — одной версии (зеркала) и направление трафика на неё.

  • Сохранение/увеличение трафика из поиска и прочих источников.

Если сайт уже индексируется поисковыми системами и привлекает целевой трафик, то полный переход на HTTPS затребует время на смену главного зеркала сайта.

Итак, для грамотного переезда на HTTPS, сохранения уровня трафика и роста конверсии требуется:

Купить и установить на сервер проверенный SSL-сертификат. Подойдёт любой крупный партнер. Самый сильный игрок на этом рынке — компания Symantec, которая владеет такими центрами сертификации как Thawte, Verisign и Geotrust.
Проверить, что все ссылки внутри домена ведут на страницы HTTPS-версии. В том числе: ссылки в XML-карте сайта, шаблонах, подключаемых стилях и прочие. Отдельно упомянем настройки, которые были произведены со «старой» версией, теперь все их надо перенести на HTTPS, скажем, файлы загруженные в Google Disavow Tool, ссылки на действующие XML-карты сайта в панелях.
Проверить, что весь подключаемый контент доступен именно по HTTPS. В частности, все подгружаемые аудио- и видеофайлы и скрипты должны указывать на защищенный протокол (Яндекс.Карты, YouTube и так далее).
Проверить визуально корректность отображения HTTPS-версии для пользователей.
Добавить обе версии в панели вебмастера Яндекса и Google.
Настроить в панелях вабмастеров переезд на версию с HTTPS и проконтролировать, что поисковый трафик из Яндекса полностью переключился на HTTPS-версию (по данным Яндекс.Метрики / Google Analytics).
Настроить 301-редиректы со всех второстепенных вариантов написания на новое основное зеркало и проверить их отработку. Все редиректы должны быть в один шаг и все с кодом 301

Это важно.

Для удобства и проверки верного кода можно использовать инструмент «Сервис для массовой проверки ответа сервера» от Пиксель Тулс.

Рис. 4. Проверка корректности отработки 301-редиректов на основное зеркало. Верная настройка с переадресацией со всех второстепенных зеркал в один шаг.

Для полного контроля рекомендуется проверять корректность работы с помощью бесплатных сервисов, пример — SSL Checker. Часто, на уже работающих сайтах имеются ошибки в настройках или установке SSL-сертификата.

Рис. 5. Работа сервиса SSL Checker, осуществляющего бесплатную проверку установки SSL-сертификата.

Что такое HTTPS и для чего он нужен

Что такое HTTPS

HTTPS (HyperText Transfer Protocol Secure) — это расширение HTTP-протокола, его используют, чтобы защитить от мошенников конфиденциальные данные, которые пользователи вводят на сайте. Сайтам с протоколом HTTPS доверяют больше, потому что пользоваться им безопаснее.

С июля 2018 года в браузере Google Chrome 68 все сайты с HTTP будут иметь пометку как ненадежные, как
написано в блоге компании. Этот браузер довольно популярен, так что стоит озаботиться переходом на HTTPS, чтобы избежать пометки.

У небезопасных сайтов появится пометка

Из-за этого сайты постепенно переходят на новый протокол, с каждым годом тенденция сохраняется .

Данные из блога Chromium на февраль 2018 года:

  • 64% трафика Chrome на Android и Windows защищены протоколом безопасности. В 2017 году было 64% трафика.
  • Более 78% трафика Chrome на ChromeOS и Mac защищены. В прошлом году было 75%.
  • 81 из 100 лучших сайтов используют HTTPS по умолчанию, в прошлом году их было 71.

Судя по росту показателей с каждым годом, процесс перехода сайтов будет продолжаться.

Чем HTTPS отличается от HTTP

Главное отличие — HTTPS перед передачей транспортным протоколом шифрует данные, используя криптографические протоколы SSL и TLS.

Протокол SSL (Secure Sockets Layer) нужен для защиты данных, он гарантирует безопасное соединение браузера пользователя и сервера. Для него требуется установка SSL-сертификата.

А TLS (
Transport Layer Security ‒ безопасность на транспортном уровне) обеспечивает информации три уровня защиты:

1.Шифрование. Данные шифруются, чтобы злоумышленники не смогли узнать, какую информацию передают посетители, и перехватить ее.

2.Сохранность. Все намеренные или ненамеренные изменения данных фиксируются.

3.Аутентификация. Пользователи попадут именно на тот сайт, который им нужен,и будут защищены от
атаки посредника.

Зачем нужен HTTPS-протокол

Рекомендуем переход на HTTPS, потому что это даст преимущества перед HTTP:

  • Мошенники не смогут получить доступ к данным, которые передаются через сайт.
  • Google Chrome помечает сайты с HTTP как небезопасные, поэтому их репутация ниже.
  • Пользователи больше доверяют безопасным сайтам.
  • В 2018 HTTPS становится стандартом.
  • В перечне факторов ранжирования есть наличие HTTPS.

Обязательно переходить на HTTPS нужно в первую очередь сайтам, на которых вводятся личные данные: платежные реквизиты, регистрационные данные и так далее. Это нужно, чтобы обезопасить данные пользователей от перехвата мошенниками.

HTTPS делает пользование сайтом безопаснее и влияет на ранжирование, к тому же все ресурсы постепенно переходят на этот протокол, а поисковики это поощряют. Значит, пора переводить и свой сайт.

Подготовительный этап

Для начала нужно заменить абсолютные ссылки на сайте на относительные ссылки. Давайте рассмотрим оба вида подробнее:

  • Абсолютная ссылка. В начале ссылки прописывается протокол, используемый сайтом. Пример ссылки:
  • В относительной ссылке протокол не используется. Пример:

Согласно рекомендациям поисковых систем, требуется заменить внутренние и внешние ссылки сайта на относительные. То есть ссылки на картинки с сайта, статьи, опубликованные в нём. Проделав эти манипуляции, вы получите следующее:

  • Все ссылки на ваш сайт будут корректно работать при любом протоколе, будь то http или https;
  • Очищаете сайт от лишнего кода, следовательно, делаете его более оптимизированным. На скорость загрузки это никак не повлияет, но зато поисковые системы будут более лояльны к вашему ресурсу;
  • Выполните рекомендации поисковых систем, что должно положительно сказаться на продвижении сайта.

Владельцы сайтов на WordPress могут использовать специальный плагин, заменяющий ссылки — Search Regex. Для начала нужно установить его:

  1. Зайдите в админку сайта.
  2. Перейдите во вкладку «Плагины».
  3. Нажмите на кнопку «Добавить новый». Она расположена в верхней части окна.
  4. Вы увидите список популярных и рекомендованных плагинов к установке. Из них устанавливать ничего не нужно. Просто введите в поисковую строку наименование Search Regex и нажмите Enter для поиска.
  5. Возможно, что WordPress предложит несколько вариантов для установки. Выбирайте тот, у которого больше всего скачиваний и самые высокие оценки (больше всего звёзд). Чтобы начать установку, воспользуйтесь одноимённой кнопкой.
  6. Теперь осталось лишь активировать плагин. Для этого воспользуйтесь специальной ссылкой, которую можно найти в описании плагина, когда он будет добавлен в список установленных.

Сейчас можно перейти непосредственно к замене ссылок при помощи данного плагина:

    1. В поле «Search pattern» нужно вставить ссылку с действующим протоколом. Например, значение ссылки на изображения будет выглядеть следующим образом: . Обязательно используйте кавычки.
    2. Кликните по кнопке «Search», чтобы увидеть все подобные ссылки, а также их общее количество на сайте.
    3. Изменять вручную каждую обнаруженную ссылку не имеет смысла, так как это очень долго и не факт, что вы сможете корректно внести нужные изменения. Воспользуйтесь строкой «Replace pattern». Сюда нужно ввести относительный вариант ссылки: .
  1. Для производства автоматической замены нажмите на кнопку «Replace & Save». Все ссылки на сайте будут изменены на относительные.

Можно ли получить SSL-сертификат бесплатно?

Да, такая возможность есть, но здесь есть несколько ограничений.

Во-первых, бесплатно можно получить только самый простой вариант сертификата (с проверкой домена DV) без опций Wildcard или Multi-domain.

Во-вторых, такой сертификат будет от центра сертификации второго эшелона (в целом в этом нет ничего плохого, т.к. все современные браузеры отлично распознают их сертификаты).

В-третьих, процесс получения и установки таких сертификатов не всегда прост и понятен обычному владельцу сайта.

Два лидирующих бесплатных центра сертификации:

https://www.startssl.com  (на данный момент, все сертификаты выпущенные этим центром после 21.10.16 не поддерживаются новыми версиями браузеров Google Chrome и Mozilla Firefox. Лучше пока не использовать этот центр сертификации.)

В целом их вполне можно использовать, особенно для не самых важных ваших проектов. Ниже вы найдете видеоуроки по получению сертификатов в этих центрах. Для основных ваших проектов я рекомендую брать самые дешевые SSL-сертификаты от топовых центров сертификации.

Как выбрать тип сертификата?

Выбор конечного типа сертификата зависит от самого проекта, который переходит на защищенный формат передачи данных — HTTPS. Типовые задачи:

  1. Переход на HTTPS одного домена. Если сайт представляет компанию (юридическое лицо), то используется стандартный вариант — Organisation Validation сертификат. Если физическое лицо — Domain Validation, примеры: Thawte SSL123 (недорогой), Geotrust RapidSSL Wildcard.

  2. Перевод на HTTPS для нескольких поддоменов одного сайта (региональные или тематические поддомены, дочерние проекты). Используется сертификат Wildcard, примеры: Geotrust RapidSSL Wildcard, Thawte SSLWildCard и другие.

  3. Для списка доменов / группы проектов. Задачу решают сертификаты SAN, проверяются — список доменов и компания. Примеры: Geotrust True BusinessID SAN. Используется достаточно редко.

  4. Для банка, финансовых учреждений, холдинга, сайта с биллингом. Чаще всего используются сертификаты с расширенной проверкой — Extended Validation, примеры: Thawte SSLWebServerEV, Symantec Secure Site EV.

Цена самого сертификата может варьироваться в зависимости от компании, где вы осуществляете его приобретение (как при покупке доменного имени). Стандартный срок действия — 1 год.

Шаг 3. Объединяем зеркала HTTP и HTTPS

После установки SSL-сертификата ваш сайт будет доступен и через HTTP, и через HTTPS. Вот только в глазах поисковиков — это два отдельных сайта, которые могут конкурировать между собой в выдаче. Поэтому вам нужно объединить две версии сайта, настроив переадресацию с  HTTP на HTTPS. Так поисковики поймут, что вы просто переехали. По мере индексации HTTPS-страниц их HTTP-версии будут выпадать из выдачи и ссылочный вес постепенно перейдет к новой версии сайта.

Перед настройкой редиректа нужно заменить абсолютные ссылки на сайте на относительные. Тогда после настройки переадресации сайт сразу будет работать корректно, и вам не придется тратить кучу времени, исправляя внутреннюю перелинковку и перестраивая путь к картинкам, видео, скриптам, и тд. 

Меняем ссылки на относительные

Относительная ссылка — это ссылка без указания протокола соединения, абсолютная — с ним. 

Например: абсолютная — https://seranking.ru/blog/, относительная — seranking.ru/blog/. 

В относительных ссылках браузер сам добавляет протокол, исходя из текущего адреса страницы. То есть, если после настройки редиректа все страницы сайта будут подгружаться через HTTPS, внутренние ссылки на этих страницах также по аналогии подгрузятся через HTTPS.

Все ссылки нужно заменить на относительные, включая внутреннюю перелинковку, таблицы стилей, скрипты, ссылки на картинки, видео, и тд. В противном случае после внедрения HTTPS вы столкнетесь с ошибкой смешанного контента — это когда некоторые элементы страницы подгружаются через HTTPS, а некоторые по незащищенному HTTP. 

Через элементы, подгружаемые по HTTP, злоумышленники могут перехватить и остальные зашифрованные данные. То есть вы вроде как надежный замок на дверь поставили, а окно закрыть забыли. Естественно, при таком раскладе браузеры будут помечать соединение с вашим сайтом как небезопасное.

Если у вас большой сайт, замена ссылок на относительные может занять много времени, поэтому сделать это стоит еще до покупки SSL-сертификата. Тогда после установки сертификата, вы сможете сразу приступить к настройке редиректа

С настройкой переадресации важно не затягивать, чтобы поисковики не успели проиндексировать обе версии сайта и они не начали конкурировать в выдаче

Настраиваем 301 редирект

Еще пару лет назад вам пришлось бы выбирать какой поисковик у вас в приоритете, так как алгоритм склейки зеркал у Google и Яндекс отличался. Google рекомендовал использовать переадресацию, а Яндекс — сперва директиву Host, а уже после полной склейки зеркал — редирект. Но, к счастью, в 2018 году Яндекс отказался от директивы Host в пользу редиректа, и теперь алгоритм оповещения Google и Яндекса о переезде одинаковый.

Переадресацию можно настраивать сразу после установки SSL-сертификата. Если ваш сайт размещен на сервере Apache, настроить 301 редирект можно добавив несколько строчек кода в файл .htaccess. Находится этот файл в корневой папке сайта. Файл скрытый, поэтому в настройках админ-панели вашего хостинга нужно разрешить показывать скрытые файлы. Обязательно скопируйте найденный файл на случай непредвиденных ошибок. Если файл все-таки не обнаружится, его можно создать в текстовом редакторе.

Дальше добавляем в файл следующие строчки кода, заменив https://example.com на адрес своего сайта:

Если все сработает правильно, вписав HTTP-версию сайта в адресной строке браузера вы все равно попадете на HTTPS-сайт. А значит поисковых роботов и пользователей тоже перенаправит на HTTPS-версию.

Сложен ли переход на HTTPS?

Нет, если вы знаете, что делаете. В прошлом это было дорого и утомительно. Вместе с исследованием «Давайте шифровать» Let’s Encrypt начала предоставлять бесплатные сертификаты TLS. Помимо них появилось множество других хостинговых компаний, предлагающих своим клиентам установку сертификата TLS в два клика. С помощью такой помощи обслуживать сайт на HTTPS стало намного проще.

Трюк в том, что после того, как ваш сайт получает зеленый замочек в адресной строке, игра не заканчивается. Если вы просто оставите все как есть, велик шанс, что вы своим переездом на HTTPS создадите больше проблем в SEO, чем у вас было. Это означает, что любой потенциальный прирост рейтинга из сертификата TLS будет быстро обесцениваться из-за накопленных технических вопросов, которые вы не решили на своем сайте.

Все внутренние абсолютные пути должны быть скорректированы вручную. Вы должны убедиться в том, что настроили редирект с HTTP на HTTPS должным образом, изменили настройки в Analytics, Search Console. И это только верхушка айсберга.

Одна из главных проблем среди тех, с которыми люди сталкиваются после перехода на HTTPS, связана с контентом, который обслуживается третьими лицами – библиотеки JavaScript, изображения и реклама. Если все встраиваемое содержимое не поддерживает надлежащий уровень безопасности, рядом с зеленым замочком в адресной строке ваш сайт будет иметь желтую иконку. Кроме того, переходя на сайт, посетители будут получать оповещение о небезопасности вашего веб-ресурса.

Переводим сайт на HTTPS

Перед началом изменений, обязательно, создайте резервную копию сайта и базы данных. В случае возникновения серьезных проблем, вы сможете вернуть свой сайт в прежнее состояние из резервной копии. Если вы используете на своем сайте плагин безопасности, отключите его на время перехода на https для того, чтобы он не мешал вашим действиям по переводу сайта на защищенный протокол.

Как перевести сайт на HTTPS, и что нужно сделать? Порядок действий следующий:

  1. Подключение SSL сертификата.
  2. Добавление директивы в файл wp-config.php.
  3. Изменение URL сайта в админ-панели.
  4. Изменение URL ссылок на сайте при помощи плагина Velvet Blues Update URLs.
  5. Внесение изменений в файл robots.txt.
  6. Установка 301 редиректа на https в файле htaccess.
  7. Исправление ошибок после перевода сайта на HTTPS.
  8. Настройка сайта в Google Search Console.
  9. Настройка сайта в Яндекс Вебмастер.

Вначале необходимо подключить к сайту SSL сертификат. Я не буду на этом останавливаться, так как на сайтах используется разные способы получения и подключения сертификата.

Подключение бесплатного SSL сертификата от Let’s Encrypt на хостинге Спринтхост занимает всего несколько минут.

После подключения SSL сертификата, сайт станет открываться сразу по двум протоколам «http» и «https». Убедитесь в доступности сайта по HTTP и HTTPS в разных браузерах.

При открытии сайта по протоколу HTTPS, отображение некоторых элементов сайта, возможно, будет некорректным из-за того, что они подгружаются по старому протоколу HTTP.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector