Как установить SSL сертификат.

Sssl_lockSL — это сокращение от Secure Socket Layer — это стандартная интернет технология безопасности, которая используется, чтобы обеспечить зашифрованное соединение между веб-сервером (сайтом) и браузером. SSL сертификат позволяет нам использовать https протокол. Это безопасное соединение, которое гарантирует, что информация которая передается от вашего браузера на сервер остается защищенной от хакеров или любого, кто хочет украсть информацию. Один из самых распространенных примеров использования SSL — это защита клиента во время онлайн транзакции (покупки товара, оплаты).

Как установить SSL сертификат.

Сейчас ни для кого не секрет, что сайт без SSL сертификата не внушает большого доверия ни у пользователя, ни у поисковиков. Почти каждый хостинг оказывает услуги по установке такого сертфиката. Сертификат может быть как платным, так и бесплатным. Например, Timeweb, точно предоставляет такую возможность. Если ваш хостинг не предусмотрел такую услугу, например, ДЖИНО, то вы можете приобрести как платный, так и бесплатный (например, COMODO) сертификат на специальных сервисах.

Шаг 1. Идем на хостинг приобретать сертификат SSL. На TimeWeb (практически на всех остальных хостингах аналогично) Вы находите его во вкладке  "Дополнительные услуги".

dopolnitelnyie-uslugi

Кликаем по ссылке, которую вы видите сейчас  в в верхнем справа прямоугольнике и попадаете в меню выбора сертификата. В  меню выбираем сертификат, который стоит 0 рублей. Для начала  этого хватит. Действует он 90 дней, а потом автоматически продлевается.

zakaz-sertifikata

Далее выбираем домен (стрелочка справа). Соглашаемся с Правилами и кликаем на кнопку "Заказать".

domen00

Далее появится сообщение о принятии заказа и пересылке на Вашу привязанную почту информации об установке сертификата. Ждем письмо. До прихода утвердительного сообщения от хостинга ничего не предпринимайте.

Шаг 2. Подключаем сайт. Для этого идем в раздел " Сайты" на хостинге. Выбираем тот сайт, к которому подключили сертификат и по зеленой шестеренке, заходим в его настройки.

saytyi1

Включаем настройки переадресации для работы сайта по безопасному соединению.

soedinenie1

Шаг3. Вставляем код в файл  .htaccess. Для этого используем редактор файлов хостинга. Если ваш хостинг не предоставляет такой услуги, то используйте любой способ для правки этого файла. Вы его найдёте в корне вашего сайта. И в самый конец файла .htaccess вставьте следующий  код:

Код может изменяться в зависимости от хостинга. Если у вас другой хостинг, обязательно обратите внимание на информацию  службы поддержки. Не забудьте сохранить файл.

Шаг 4. Правим файл robots.txt

Идём в редактор файлов, заходим в файл robots.txt и меняем для робота Yandex директиву host.
Дело в том, что мы создали второй сайт, с другим протоколом. И об этом надо сообщить роботу.

Шаг5. Сообщаем Вебмастеру Яндекса о всех изменениях. Заходим в Вебмастер — Настройки индексирования — Переезд сайтов. Устанавливаем галочку в чекбоксе — Добавить https. Кликаем на — Сохранить изменения и получаем в верхней части окна фиолетовую заставку с информацией:
"В ближайшее время в результатах поиска вместо домена vachsite.ru появится      https:// vachsite.ru"

В сервисе Google в качестве главного зеркала указываем https:// vachsite.ru.

Шаг6. Правим общие настройки блога.

Зайдите в консоль — Настройки — Общие. И поправьте протокол сайта.

Шаг 7.Защищаем вход в админку wordpress

Вход в админку wordpress только через https!

Обязательно защитимся от того, чтобы никто в открытых wifi сетях не смог подслушать ваш пароль при входе в админ панель wordpress.

Открываем файл wp-config.php и прописываем в нем строку:

После всех процедур ( а я очень надеюсь, что Ваш сайт отображается корректно) пройдитесь по страницам сайта. Великолепно, если  адресная строка каждой страницы будет отмечена зеленым замочком. Но, как правило, не всегда установить сертификат удаётся без проблем.

Если зеленый замочек в адресной строке не появился, вам придётся поработать ещё.

Дело в том, что установить сертификат мало, нужно все ссылки на вашем сайте исправить на относительные, а также разобраться со смешанным контентом. Смешанный контент- это ваши размещенные ранее медиафайлы, скрипты, имеющие в своём адресе протокол HTTP.

Переходя на протокол SSL вы, по сути, создаёте другой сайт с адресом  HTTPS. Так вот, ваш новый сайт не в состоянии корректно отобразить, а чаще просто отыскать, ваш медиафайл или скрипт из-за того, что ссылки их расположения содержат в себе http протокол.

Во внутренних ссылках лучше всего использовать относительные адреса, а не абсолютные:

  • абсолютный адрес: https://elims.org.ua/about/
  • относительный адрес: /about/, можно //elims.org.ua/about/

Относительные адреса не только облегчают перенос сайта с одного домена на другой и переход с http на https, но они не так нагружают хостинг, когда служебные процессы обращаются к этим ссылкам. Только не всегда получается придерживаться этого правила.

Очень часто при публикации какого-либо контента во внутренних ссылках используются абсолютные адреса — так быстрей: скопировал ссылку из адресной строки и вставил в текст, без редактирования и вырезания лишней части. В таком случае во всех внутренних ссылках нужно заменить http на https.

Очень часто это делают через SQL запрос в базе данных, но я вам этого не советую, проще воспользоваться услугами плагина, если ваш сайт, конечно, на вордпресс.

  1.  Плагин, который должен быть установлен на Вашем сайте и быть активированным всегда CloudFlare Flexible SSL. Настройки практически не требуются. Активируйте плагин сразу после того, как провели всю работу с ниже указанным плагином Better Search Replace
  1. Плагин для быстрого поиска ссылок с открытым протоколом и их исправления Better Search Replace.

Оба плагина есть в библиотеке WordPress.

Настройки плагина Better Search Replace тоже очень просты. После активации вы найдете плагин у себя в консоли во вкладке «инструменты», открываете. Увидите два поля для ввода информации. В первое окошко вводите адрес своего сайта с протоколом http, а в окошко ниже вводите новый адрес с протоколом https. Ниже в окошке с перечнем таблиц выделяете абсолютно все таблицы сразу и жмите «выполнить». Если хотите полько попробовать плагин в работе, то поставьте чебокс в квадратике чуть выше кнопки «выполнить», плагин сработает, но выполненная им работа не сохранится.

После выполненной работы деактивируйте плагин Better Search Replace и активируйте CloudFlare Flexible SSL.

Теперь проверьте все страницы сайта на наличие зелёного замочка в адресной строке. Очень может быть, что всё уже в порядке. Если нет, идём дальше.

Открывайте свой сайт в браузере Mozilla Firefox.

В адресной строке увидите или зеленый, или серый, или перечеркнутый замочек. Протокол уже должен быть https.

У меня вы видите уже зеленый замочек, а с первого раза был серый. Но суть одна, нам нужно найти причины некорректного отображения сайта в браузере.

При любом замочке нажимаем впереди адреса сайта серенький восклицательный знак(на рис он обведён сиреневым прямоугольником), выскочит окошко, как на рис ниже:

11

 

Будет написано, что сайт или защищён, или не полностью защищён, или вообще не защищён. При любой надписи жмём на уголочек справа окошка (указывает красная стрелка) и видим следующее окно, как на рис ниже:

22

Нажимаем на ссылку «подробнее». Браузер покажет следующее окно:

33

Можете погулять по вкладочкам, тут вы увидите множество сведений о своём сайте. Но нас интересует сейчас вторая слева «мультимедиа». Вы видите множество ссылок на ваши картинки, скрипты и т.д. размещённые на данной конкретной странице. Адреса указаны абсолютные и вы без труда увидите, какой же файл на вашей странице не имеет правильного адреса, то есть имеет адрес с http протоколом. При выделении такого адреса в нижней части формы вы должны увидеть само это изображение.

Вам придется открыть соответствующую публикацию в во вкладке "текст" исправить абсолютную ссылку на относительную, то есть просто убираете открытый протокол с двоеточием, а два слеша и далее оставляете.Если изображение после этого не появляется, вам просто придется удалить такое изображение и загрузить заново такое же или альтернативное.

Очень часто плагины для перевода ссылок  (Better Search Replace) не срабатывают из-за того, что изображение выводилось с помощью внедрённого скрипта. У меня , например, это была иконка сайта, которая выводилась в нужном месте с помощью внедрённого мною скрипта в заголовок сайта. Конечно, в таком случае надо просто открыть редактор, найти файл heder  и исправить ссылку на рисунок:

Было     http://webdohodrus.ru/wp-content/uploads/2015/03/ikon.png

После поправки :      //webdohodrus.ru/wp-content/uploads/2015/03/ikon.png

То есть просто убираем открытый протокол с двоеточием, двойной слеш  не трогаем.

Возможно, когда вы исправите все такие ссылки, у вашего сайта появится зелёный замочек.

Хуже будет обстоять дело, если вы сами внедрили какой –либо скрипт и не записали где его искать, или же на ваш сайт , например, при установке плагина, проник вредоносный скрипт. У меня был такой скрипт и я его обнаружила при поиске открытых ссылок на моих сайтах. А так как сайт внедрился на сайт с незащищённым протоколом, то и прописался он, и отсылал сведения на свой сайт с открытым протоколом. Это как раз и позволило его выявить. Сам зловред имел безобидный вид, но об этом будет отдельная публикация.

Если на вашем сайте всё ещё не появился зелёный замочек- ищите  вредоносносный скрипт! Если вы всё сделали и зелёного замочка нет, откройте сайт в браузере и откройте код, зайдите в консоль и браузер должен вам показать такого зловреда ссылкой с красным кружочком впереди.В заключение, предлагаю внести в файлы вашего сайта следующие коррективы.

Включение HSTS

Мы с вами включили безопасный протокол для сайта. Но если всё еще что-то не так , предлагаю подстраховаться: самостоятельно внести ещё один код в файл .htaccess.

Строгая транспортная безопасность HTTP (HSTS) — это механизм политики веб-безопасности, с помощью которого веб-сервер указывает, что он поддерживает подключения только по протоколу HTTPS. Это позволяет предотвратить атаки типа "злоумышленник в середине" на SSL.

Эта политика передается сервером агенту пользователя в поле заголовка HTTP-ответа "Strict-Transport-Security". Политика задает период, в течение которого у  пользователя будет доступ к серверу только безопасным способом.

Пропишите в файле .htaccess следующий код:

Переадресация 301 с http на https

При помощи 301-го редиректа мы получаем два результата:

  • Сообщаем всем поисковым системам что "http://vachsite.ru.org.ua" и "https://vachsite.ru.org.ua" — это одна и та же страница. А точнее говорим что мы переместили страницу с  "http://vachsite.ru.org.ua" на "https://vachsite.ru.org.ua" и просим перенести весь ссылочный вес .
  • Всех посетителей http-версии страницы автоматически переадресовываем на https-версию страницы.

301-ю переадресацию с http на https можно реализовать тремя способами, через:

  • файл .htaccess
  • php-код
  • плагин

По поводу плагинов позволю себе напомнить, что чем их меньше- тем лучше.

301 редирект с http на https через .htaccess

Вариантов кодов для редиректа с http на https через .htaccess существует большое количество, я для примера приведу три из них:

301 редирект с http на https через php-код

Все просто — открываем файл в шаблоне functions.php и прописываем следующий код

 

 

301 редирект с http на https через wordpress плагин

Более опытные веб-мастеры предпочитают обходимся своим кодом и не использовать плагины в тех случаях, когда можно без них обойтись. Это связано с тем, что в плагинах часто реализован лишний функционал, который не нужен и может создавать лишнюю нагрузку. При этом сами плагины могут некорректно работать.

Просто упомяну три плагина:

  • WordPress HTTPS (SSL): можно активировать принудительный вход в админку через https, настраивать https только для определенных страничек\записей, либо для определенных адресов по регулярным выражениям, удалять со страницы весь не https-контент, изменять исходящие ссылки с http на https версии сайтов и пр. Этот плагин заработал не на всех шаблонах.
  • Easy HTTPS Redirection:можно настроить переадресацию для всех страниц или только для определенных. По сути плагин добавляет в файл .htaccess код для редиректа.  Но этот метод у многих вызывает ошибки "ERR_TOO_MANY_REDIRECTS" — "На этой странице обнаружена циклическая переадресация". При этом после деактивации плагина пришлось вручную удалять его код из файла .htaccess.
  • WordPress Force HTTPS простой плагин, ничего лишнего. Переадресация реализована через php-код.

На этом всё. Надеюсь с вашим сайтом уже всё в порядке.Читайте в следующих публикациях о зловредах, ворующих все наши данные и маскирующихся под  безобидные рабочие файлы плагинов и т.д..  Я думаю, вам будет интересно.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

15 − 13 =

 

https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_bye.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_good.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_negative.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_scratch.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_wacko.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_yahoo.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_cool.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_heart.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_rose.gif 
https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_whistle3.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_yes.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_cry.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_mail.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_sad.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_unsure.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_wink.gif