Защищенный протокол HTTPS — Что это и почему вам нужно его использовать?

Ваш ресурс до сих пор работает на незащищенном соединении http? В самое ближайшее время вам все-таки придется перейти на защищенный протокол HTTPS. Разумеется, если вам не безразлична посещаемость интернет-ресурса, его «привлекательность» для поисковых роботов и так далее.

 Чем отличается http от https?

Давайте представим ситуацию, что вы заказали на Aliexpress в Китае брелок для ключей или зубную щетку. Все это стоит копейки, и вряд ли кто-то захочет украсть такие мелочи из бандероли. Обычное почтовое отправление и есть HTTP.

Теперь представим, что вам нужно выслать бизнес-партнеру контракт о сотрудничестве стоимостью в 200 000 долларов. На такой кейс хочется повесить 3 замка и доставить его самой лучшей, самой надежной службой доставки. Это и есть HTTPS.

Небольшой замок в левой части строки указывает на то, что на ресурсе используется защищенное соединение – протокол https. Простыми словами, это оболочка, шифрующая информацию при ее передаче к серверу и обратно. Вот и ответ на вопрос, зачем нужен https. Протокол предупреждает утечку информации, все данные шифруются по особому криптографическому протоколу.

Есть ли у HTTPS недостатки?

Когда пользователь видит, что шифрование осуществляется по протоколу HTTPS, доверие к такому ресурсу растет. Это особенно важно в бизнесе. Конечно, не все разбираются в значении буквы S в URL веб-странички. Но тех, кто «в теме», она точно расположит к себе.

Помимо защиты от хакеров и утечки ценных данных, есть еще один положительный момент использования защищенного соединения. Такие сайты гораздо лучше ранжируются поисковыми системами, особенно Гуглом. Однако не обошлось и без минусов:

1. Шифрование требует дополнительной траты ресурсов. В результате, замедляется работа сервера. И если его качество оставляет желать лучшего, не исключены «подтормаживания».
2. Хорошие сертификаты безопасности стоят денег, и за них придется платить регулярно.

Впрочем, оба минуса с лихвой компенсируются вполне очевидными плюсами использования шифрования. Планируете принимать платежи? Нацелены на обработку персональной информации? Тогда вам точно стоит перейти на HTTPS.

Зачем необходим цифровой сертификат?

Аналогия с посылками была простой и понятной, не так ли? Хорошо, но что делать, если в соединение неожиданно вклинится третье лицо? Оно может отправить «посылку» под чужим именем, что повлечет за собой дешифровку системы.

Специально для этих целей был придуман цифровой сертификат или электронный паспорт. Это специальный документ, в котором прописана вся нужная информация о сайте. Подделать цифровой сертификат злоумышленник не сможет, так как не знает ключей базы данных. Это существенно повышает безопасность использования веб-ресурса.

Сферы применения протокола HTTPS

Мы с вами выяснили, что такое протокол https, для каких целей он предназначен. С каждым годом число сайтов, которые переходят на защищенное соединение, продолжает расти. Зайдя на такой ресурс, доверие потенциального клиента растет. Гарантия сохранности данных особенно востребована в таких отраслях, как:

• Финансы и экономика. Любой интернет-банкинг работает на HTTPS протоколе. Свои сайты на него перевели практически все финансовые учреждения.
• Персональная безопасность. Оперирующие личной информацией веб-ресурсы также осуществили переход на https. К ним относятся социальные сети, поисковики, государственные учреждения.
• Порталы, которые используют «зеленую адресную строку», чтобы подчеркнуть свой статус.

Как получить SSL сертификат?

Существует несколько разновидностей SSL сертификатов. Они могут поддерживать поддомены, некоторые требуют подтверждения юрлица. Стоимость варьируется от 2 до 5 тысяч, очень приличный разброс цен.

Как быстро получить SSL сертификат? Сделать это можно платно и бесплатно. Во втором случае можно получить бесплатный SSL у Beget. Иногда сертификат предоставляет хостер. В вашем случае лучше остановить свой выбор на Domain Validation или сертификате начального уровня DV.

Распространенные мифы о SSL

Прежде чем перейти к описанию процесса перехода на HTTPS, нам хотелось бы развенчать несколько популярных мифов о сертификатах SSL.

1. Вам понадобится выделенный IP-адрес. Это не так, доплачивать деньги за статический IP адрес не придется.
2. После установки сертификата SSL обнуляется тИЦ. Данная информация далека от действительности. Если сайт был оптимизирован правильно после перехода на HTTPS, вы вовремя сообщили Яндексу свое новое зеркало, уже после первого перехода прежний тИЦ будет восстановлен.
3. SSL нужен только коммерческим сайтам. Снова мимо! Многие браузеры давно отмечают небезопасные сайты красными флагами. Фильтры Google и Яндекс «от небезопасных сайтов» уже давно не кажутся выдумкой.

Как подготовиться к переносу сайта?

Подготовка к переносу сводится к установке сертификата SSL. После этого необходимо вбить адрес сайта в адресной строке, но вместо http прописать https.

• Сайт успешно загрузился? Отлично – можно переходить к другим настройкам.
• Веб-ресурс не открылся? Рекомендуем подождать 10-15 минут и снова выполнить проверку. Не помогло? Проверьте правильность установки сертификата и повторите попытку.
• В строке все равно открывается http-версия? Нужно удалить правила для редиректа из плагинов, htaccess и functions.php.

Рассмотрим перечисленные выше пункты в деталях.

Как перевести сайт на https?

Перевод сайта WordPress на защищенный протокол HTTPS начинается с того, что вы открываете Настройки – Общие и прописываете новый адрес уже с HTTPS. Бывает, что сайт перестал открываться. В этом случае нужно открыть wp-config.php и вписать туда такой код:

define(‘WP_HOME’,’http://yoursite.ru’);

define(‘WP_SITEURL’,’http://yoursite.ru’);

В поисках поломки можно отключить плагины, убрать код из wp-config.php. Иногда помогает смена установленной темы на стандартную.

Как быстро изменить адрес веб-сайта в каждой статье?

В вордпрессе ручной редирект на https каждой статьи – занятие долгое и неблагодарное. Однако эту задачу можно упростить, используя Search-replace.

• Прежде чем приступить к переадресации https redirect на сайте WordPress, стоит сделать бекап.
• В поле Replace вбейте адрес сайта с HTTP, а в поле With – новый адрес уже с HTTPS.
• Нажмите Dry Run.
• Убедитесь, что все работает.
• Нажмите Live Run и проверьте ссылки в статьях.

Как организовать грамотный редирект с HTTP на HTTPS?

Эксперты рекомендуют не спешить с редиректом. Если вам нужен https для сайта, Yandex советует дождаться склейки доменов. И уже потом можно настраивать редирект.

В начале файла .htaccess пропишите следующий код:

RewriteEngine On

RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /(.*)\ HTTP/ [NC]

RewriteCond %{HTTPS} off [NC]

RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI}%{QUERY_STRING} [R=301,QSA,L]

В отдельных случаях перевести сайт на WordPress https не получается. Тогда вам поможет код:

RewriteEngine On

RewriteCond %{HTTPS} =off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L]

Есть и второй вариант – использовать PHP:

add_action(‘init’, ‘redirect_http_to_https’);

function redirect_http_to_https(){

    if( is_ssl() ) return;

    if ( 0 === strpos($_SERVER[‘REQUEST_URI’], ‘http’) )

        wp_redirect( set_url_scheme( $_SERVER[‘REQUEST_URI’], ‘https’ ), 301 );

    else

        wp_redirect( ‘https://’ . $_SERVER[‘HTTP_HOST’] . $_SERVER[‘REQUEST_URI’], 301 );

    exit;

}

Рекомендуется разместить код в плагине или директории mu-plugins, а также в functions.php темы. Это подстраховка на случай смены темы – вы не потеряете свои редиректы.

И первый, и второй варианты имеют право на существование. Но мы советуем отдать предпочтение первому способу. Тогда все запросы будет обрабатывать сервер, а не PHP.

Как перейти на HTTPS с помощью плагина?

Нужно перейти на https – зачем изобретать велосипед? Существуют уже готовые решения в виде плагинов, которые позволяют установить сертификат SSL и корректно настроить защищенное соединение. В качестве примера будем использовать Really Simple SSL. Вам не нужно разбираться, как работает https протокол, какой код использовать и так далее.

• Установите плагин Really Simple SSL и активируйте его.
• На экране появится сообщение с предложением изменить хардкорные ссылки с HTTP на HTTPS. Сделать это можно с помощью PHP скрипта Search Replace DB. Саму настройку можно отложить на потом, а пока заняться активацией плагина.
• Нажмите кнопку с надписью Go ahead – она активирует соединение HTTPS.
• Плагин устанавливает новую серверную переменную, автоматически меняет адрес сайта. То есть, все то, что мы делали «ручками», он выполняет в автоматическом режиме. Без копания в коде и прочих нюансов.
• Таким образом, для перевода Вордпресс сайта на новый защищенный протокол нам с вами понадобилось сделать всего несколько кликов мыши.

Зачем переходить на HTTPS – мнение SEO-специалиста

SEO-специалисты советуют:

• Прописать новый адрес своего ресурса в robots.txt.
• Указать новое зеркало, сделать его главным в панели веб-мастера.
• Не волноваться, если после настройки wordpress с протоколом https позиции сайта просядут, а трафик снизится. Это временное явление.

В настоящий момент Google обещает отдавать предпочтение сайтам wordpress, осуществившим переход на https. Что будет дальше и как поведет себя Яндекс, покажет время.

Рекомендации Яндекса и Google по переезду

Планируя переезд WordPress на https протокол, Яндекс рекомендует:

• Когда https установлен, настраивать сайт WordPress начинаем с его добавления в панель веб-мастера.
• Далее производится настройка директивы Host в файле robots. Важно, чтобы robots.txt совпадал для обоих сайтов.
• Как только оба сайта будут признаны зеркалами, рекомендуется сменить протокол. Сделать это можно прямо в вебмастере, открыв «Настройки редактирования» и перейдя в «Главное зеркало». Для определения главного зеркала придется подождать 1-2 недели.
• Завершающим шагом станет перенаправление (редирект) со старого протокола http WordPress на новый HTTPS.

А вот как выглядят рекомендации Гугла:

1. Обновленный веб-ресурс необходимо добавить в Search Console.
2. Проверяем, что 301 редирект со всех страниц старого сайта идет на новый, с протоколом HTTPS.
3. Запускаем инструмент «Изменение адреса», который находится в настройках, чтобы включить https.

Как перейти на протокол HTTPS и не потерять позиции сайта?

Правильный переезд WordPress сайта на протокол HTTPS сводится к 7 несложным шагам:

1. Проверка страниц на корректность работы с HTTPS.
2. Запись директивы Host в robots.
3. Регистрация веб-сайта с протоколом https в панели Веб-мастера Yandex.
4. Индексация сайта (требует времени).
5. Редиректы 301.
6. Добавление сайта в панель Веб-мастера Google.
7. Замена старого адреса новым.

Подведем итог

Необходимость установки защищенного соединения HTTPS продиктована нынешними реалиями, в которых:

1. Особенно остро стоит проблема конфиденциальности данных.
2. Ежедневно в сети проводятся миллиарды денежных операций (покупка, обмен, переводы).
3. Защищенный протокол повышает доверие к ресурсу – даже если это обычный блог, а не коммерческий портал.

Если вы начинающий пользователь и далеки от коддинга и различных IT-терминов, можно ограничиться установкой плагина. Так вы сэкономите свое время и нервы. Опытным пользователям однозначно придется по вкусу тонкая настройка. Если по мере прочтения статьи у вас возникли вопросы, вы всегда сможете задать их в комментариях. На этом все!