Ultimul ghid pentru HTTPS și SSL pentru WordPress

Probabil ați observat în ultimii ani că multe dintre site-urile dvs. preferate s-au mutat de la adrese HTTP la HTTPS. Scrisoarea adăugată, deși adaugă foarte puțin timp și efort pentru a scrie, adaugă o valoare imensă și securitate acelor site-uri web. Nu numai că deținerea unui site WordPress HTTPS va face afacerea dvs. mai de încredere pentru vizitatori, dar va ocupa, de asemenea, un rang mai ridicat în căutări.

Ce este HTTPS?

Dacă HTTP reprezintă protocolul de transfer hipertext . HTTPS înseamnă protocol de transfer hipertext securizat . Rețeaua de dezvoltatori Mozilla (MDN) are o definiție fantastică și simplă pentru protocol:

HTTPS ( HTTP Secure ) este o versiune criptată a protocolului HTTP. De obicei folosește SSL sau TLS pentru a cripta toate comunicațiile dintre un client și un server. Această conexiune sigură permite clienților să schimbe în siguranță date sensibile cu un server, de exemplu pentru activități bancare sau cumpărături online.

Dacă ați auzit de criptarea end-to-end, aceasta este aceea. Numai cei doi clienți implicați în tranzacție pot citi datele. Oricine ar putea să o intercepteze va vedea o mizerie zgârcită de personaje care sunt teoretic nerecuperabile.

Sună destul de bine, nu? Deci, cum se obține acest câmp de forță digital? Prin SSL.

Ce este SSL?

SSL reprezintă stratul de sockets securizate și încă o dată MDN îl poate explica mai bine decât aproape oricine:

[SSL] este un protocol utilizat de aplicații pentru a comunica în siguranță într-o rețea, prevenind manipularea și interceptarea e-mailurilor, navigării pe web, mesagerie și alte protocoale.

Toate browserele moderne acceptă protocolul TLS, cerând serverului să furnizeze un certificat digital valid care să confirme identitatea acestuia pentru a stabili o conexiune sigură. Este posibil ca atât clientul, cât și serverul să se autentifice reciproc dacă ambele părți furnizează propriile certificate digitale individuale.

Aceste certificate erau odată incredibil de scumpe și nu erau la îndemâna tuturor, în afară de cele mai mari site-uri web. Ați vedea blocarea verde pe site-uri precum Amazon și Twitter, dar site-urile WordPress zilnice (ca majoritatea dintre noi) nu ar putea plăti mii de dolari pe care i-a costat achiziționarea certificatului.

Norocos pentru noi toți, deoarece certificatele SSL au devenit mai necesare atât pentru clasare, cât și pentru desfășurarea activității, prețul nu numai că a scăzut, dar a dispărut direct pentru majoritatea site-urilor. Acum există o serie de servicii care oferă certificate SSL gratuite, inclusiv majoritatea gazdelor. Puteți obține un certificat WordPress SSL destul de ușor și fără probleme.

Cum să obțineți un certificat SSL WordPress gratuit

Abonați-vă la canalul nostru Youtube

Furnizorul principal de certificate SSL gratuite din aceste zile provine dintr-un serviciu numit Let's Encrypt.

Folosind serviciile lor, veți obține toate avantajele de a deține un certificat SSL fără a cheltui niciun ban. Și iată cea mai bună parte: majoritatea furnizorilor principali de găzduire colaborează cu Let's Encrypt pentru ca instalarea unui certificat SSL să fie total nedureroasă.

Puteți obține un certificat SSL gratuit de la Let's Encrypt în unul din cele două moduri.

Opțiunea 1. Instalați certificatul SSL gratuit din contul dvs. de gazdă (acceptat)

După cum am menționat, multe gazde colaborează cu Let's Encrypt pentru a adăuga certificate SSL gratuite direct în tablourile de bord cPanel ale clienților lor sau în tabloul de bord al gazdei. De exemplu, dacă vă găzduiți la SiteGround (așa cum sunt eu), puteți instala un certificat SSL în aproximativ două secunde. De pe site-ul principal de autentificare, accesați fila Conturile mele și în Servicii suplimentare . Ar trebui să vedeți o secțiune numită Să criptăm certificatele și le puteți gestiona și instala oriunde doriți făcând clic pe butonul Vizualizare totală.

În plus, puteți face clic pe butonul Accesați cPanel și găsiți sigla Let's Encrypt sub titlul Securitate . Vă duce la aceeași pagină ca și Vizualizare toate .

De acolo, veți vedea o listă cu toate certificatele instalate. Dacă este prima dată, nu veți vedea nimic. Cu toate acestea, ar trebui să vedeți așa ceva:

Indiferent dacă instalați un Wildcard (pentru toate subdomeniile de pe părinte) sau nu, când apăsați butonul Instalare , certificatul dvs. SSL WordPress este pe cale.

Serverul va procesa noua dvs. instalare a certificatului WordPress SSL. Ușor de țăran. Aproape ai terminat. Totuși, trebuie să-l configurăm. Care este mai jos în secțiunea următoare.

De asemenea, citiți această listă completă de gazde web care oferă asistență directă pentru Let's Encrypt. Procesul pentru majoritatea gazdelor acceptate ar trebui să fie similar cu SiteGround. În plus, unele gazde vă pot percepe pentru utilizarea Criptării. Sincer, este un fel de taxare falsă, iar multe gazde care plătesc reduc taxa, deoarece Google face din SSL standardul web. Dacă al tău nu-l oferă gratuit, poate fi timpul să iei în considerare o altă gazdă, deoarece nu au în vedere interesele tale.

Opțiunea 2. Utilizați „SSL gratuit” pentru a configura manual certificatul Let's Encrypt

Dacă gazda dvs. nu acceptă Let's Encrypt, este posibil să puteți obține certificatul SSL gratuit folosind un site web numit SSL gratuit.

Site-ul vă va ajuta să configurați certificatele Let's Encrypt. Dar, veți avea nevoie de acces la detaliile FTP ale site-ului dvs. și de asistență potențială din partea gazdei. În timp ce această metodă funcționează, este foarte practică și poate fi necesar să vă reînnoiți manual certificatul când expiră. Din această cauză, ar trebui să încercați să găsiți o gazdă care să ofere suport direct Let's Encrypt, deoarece simplifică foarte mult procesul. Dacă nu puteți, dintr-un motiv sau altul, SSL gratuit este cea mai bună a doua opțiune.

În plus, puteți obține certificate SSL gratuite atât din Cloudflare, cât și din FreeSSL. Cloudflare oferă un certificat SSL partajat pe planul lor gratuit. Dacă utilizați deja Cloudflare, aceasta este o modalitate excelentă de a vă pune site-ul în funcțiune cu HTTPS. Apoi, există FreeSSL. Deși nu este încă disponibil public, acesta este un proiect de certificat SSL gratuit de la Symantec. Organizațiile nonprofit sau startupurile pot obține FreeSSL chiar acum. În caz contrar, vă puteți înscrie pentru a fi notificat atunci când acesta devine public.

Dacă alegeți să parcurgeți acest traseu și să instalați manual certificatul, Sucuri are un ghid fantastic care vă va conduce pas cu pas prin procesul de instalare. Rețineți, totuși, instalarea manuală a SSL va necesita utilizarea liniei de comandă, editarea fișierelor WordPress Core și lucrul cu joburile CRON. Dacă asta nu sună ca ideea ta despre o zi distractivă la serviciu, lasă-mă să te trimit înapoi la opțiunea 1 de mai sus.

Cum să vă configurați certificatul SSL gratuit cu WordPress

Indiferent de modul în care alegeți să obțineți certificatul, odată ce acesta este instalat, utilizatorii vor putea vizualiza o versiune sigură a site-ului dvs. accesând https://yoursite.com. Dar simplul fapt că conexiunea dvs. WordPress HTTPS este activă nu înseamnă că ați terminat. (Dar aproape ești.)

Pentru a configura corect WordPress HTTPS pentru a funcționa cu certificatul SSL, trebuie să faceți câteva modificări. Puteți face acest lucru manual ... sau puteți utiliza un plugin minunat care face totul pentru dvs. Se numește SSL Really Simple și se ridică la înălțimea numelui său.

Pluginul gestionează întregul proces. Doar instalați-l și activați-l. Rețineți - în mod firesc veți fi deconectat de la WordPress când rulați pluginul pentru prima dată. Acest lucru se datorează faptului că pluginul modifică adresa URL implicită din „http: //” în „https: //”. Tot ce trebuie să faceți este să vă conectați din nou cu acreditările dvs. normale de autentificare. Nu este nevoie să vă alarmați!

După ce vă conectați din nou, veți vedea că pluginul a făcut deja modificările necesare. Opțiunile implicite sunt adesea suficient de bune. Le găsiți în Setări - SSL .

Și dacă acestea nu sunt suficient de bune și doriți să modificați mai multe, fila Setări este sus.

Opțiunea cu care probabil veți fi cel mai preocupat este prima: înlocuirea automată a conținutului mixt . Caseta trebuie bifată implicit. Dacă nu, verificați-l. Apoi salvați pagina.

Acum, ești bine să pleci. Ați instalat și activat cu succes WordPress HTTPS și WordPress SSL. Felicitări!

Depanarea erorilor HTTPS / SSL obișnuite

Doar pentru că lucrurile sunt instalate și gata nu înseamnă neapărat că funcționează fără probleme. Este posibil să întâmpinați câteva probleme pe site-ul dvs. Totuși, site-urile WordPress HTTPS sunt ușor de depanat. Să parcurgem soluțiile la unele dintre cele mai frecvente probleme.

La un moment dat, după ce ați configurat SSL pe site-ul dvs. și ați trecut la WordPress HTTPS, este posibil să ajungeți să vedeți câteva imagini sparte pe site-ul dvs. Este posibil ca imaginile și conținutul care au apărut perfect pe site-ul dvs. să nu apară ca și cum nu ar exista. Nu-ți face griji. Nu ai făcut nimic rău. Site-ul dvs. crede doar că aceste imagini sunt nesigure (nu sunt), așa că doriți să vă asigurați că WordPress SSL este configurat pentru a afișa conținut mixt.

Există două tipuri diferite de conținut de site web mixt. Unul este cunoscut sub numele de conținut activ mixt și rezultate atunci când HTTPS încarcă un script deasupra HTTP. Acesta este un mare nu, nu, dar nu este ceea ce se întâmplă aici. Celălalt tip de conținut mixt este cunoscut sub numele de conținut de afișare mixt și este atunci când conținutul care utilizează o conexiune HTTP este încărcat pe un site HTTPS. Deși este posibil să nu fi încărcat în mod activ nicio imagine pe site-ul dvs. folosind HTTP, a existat ceva în interiorul WordPress care a făcut ca acestea să fie recunoscute ca atare.

Practic, ceva de pe site-ul dvs. nu-i plăcea că ați accesat HTTPS și forțează automat HTTP pe ele. Ceea ce le redă ... ei bine, nu le redă. Deci, hai să reparăm asta.

Primul și cel mai consistent mod de abordare a conținutului de afișare mixt este utilizarea pluginului WordPress SSL Insecure Content Fixer.

Ori de câte ori instalați și activați pluginul, eroarea dvs. de conținut mixt poate dispărea imediat. În mod implicit, pluginul va fi setat la setul de reguli simple în cadrul setărilor sale (care se găsește în Setări - Conținut SSL nesigur în panoul de administrare WP). Puteți ajusta cât de stricte sunt regulile pe care le urmează, până la forțarea HTTPS la toate apelurile AJAX, dar de cele mai multe ori, Simple va funcționa bine. Din experiența mea cu acest număr special, Simple a funcționat de fiecare dată. Dar kilometrajul dvs. poate varia.

Dacă tot afișați conținut mixt

Deschideți site-ul web, faceți clic dreapta și selectați View Page Source sau apăsați CTRL / CMD - U. Veți vedea codul sursă al paginii la care vă uitați. În acest moment, apăsați CTRL / CMD - F și efectuați o căutare pentru src="http . Da, cu o singură ofertă. Ești bun și poți continua dacă vezi 0.0.

Dacă obțineți rezultate returnate, asta înseamnă că site-ul trage dintr-o sursă HTTP, nu HTTPS. Pentru a remedia acest lucru, trebuie să vă sapați în baza de date (dar acesta este ușor și oricine o poate face).

Pluginul „Căutare și înlocuire mai bună” vă permite practic să lucrați în baza de date prin panoul de administrare WordPress. Nu trebuie să aveți de-a face cu SQL sau PHP sau cu altceva. Este o pagină WordPress standard care funcționează ca o căutare și înlocuire tipică pe care probabil ați folosit-o de zeci de ori în procesoarele de text.

Avem un ghid complet pentru pluginul pe care îl puteți citi aici, dar defalcarea pentru remedierea erorii dvs. de conținut mixt WordPress SSL este destul de simplă.

1. Descărcați, instalați și activați pluginul
2. Faceți o copie de rezervă a site-ului dvs.
3. Navigați la Instrumente - Căutare mai bună Înlocuiți în baza de date WordPress
4. În câmpul Căutare , introduceți adresa URL a site-ului dvs. web cu http: // la început
5. În câmpul Înlocuiți cu , introduceți adresa URL a site-ului dvs. web cu https: //
6. Evidențiați fiecare tabel din baza de date cu CTRL / CMD - A
7. Asigurați-vă că a alerga ca alergare uscată? este bifat. Procedând astfel, vă asigurați că erorile nu vă sparg site-ul și pot fi remediate în prealabil
8. Apăsați butonul Executare căutare / Înlocuire

Dacă totul merge așa cum a fost planificat, cursa uscată va arăta că căutarea și înlocuirea dvs. vor avea succes și o puteți rula cu adevărat.

Redirecționarea HTTP către HTTPS

Acum, asta ar fi trebuit să rezolve problemele de conținut afișat mixte. Cu toate acestea, probabil că doriți să vă asigurați că site-ul dvs. este cât mai HTTPS posibil pentru a preveni orice alte probleme. O astfel de problemă este atunci când un site are un backlink către versiunea HTTP a site-ului dvs., dar de fapt executați noua versiune HTTPS îmbunătățită. Din punct de vedere tehnic, acestea sunt două site-uri , iar vechiul lor link ar putea apărea ca fiind nesigur pentru unii utilizatori. Deci, următorul pas este să vă verificați Setările - Opțiuni generale . Asigurați-vă că adresa site-ului dvs. este setată la HTTPS. Dacă nu, atunci faceți asta și apăsați salvare. (Site-ul vă va deconecta. Este în regulă.)

După aceea, va trebui să intrați în clientul dvs. FTP și să vă deschideți fișierul .htaccess . Acesta va fi localizat în directorul rădăcină pentru instalarea dvs. WordPress.

Veți dori să descărcați o copie a acestuia ca o copie de rezervă, apoi să o deschideți în editorul de cod preferat (al meu este Sublime Text). În partea de sus a fișierului ( nu între etichetele WordPress # BEGIN / END ), adăugați următorul cod. (Mulțumim Dreamhost pentru codul în sine.)

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 

Acest lucru vă va redirecționa vechile adrese URL HTTP către versiunile HTTPS pe măsură ce site-ul dvs. se încarcă. Rețineți că în codul pe care îl introduceți [L, R = 301] , aceasta este o redirecționare permanentă 301 prin fișierul .htaccess . Nu veți avea nevoie de un plugin de redirecționare 301 dacă faceți acest lucru. Cel puțin pentru domeniul primar.

Acum, îți amintești când am spus că se numără ca două site-uri? Acest lucru remediază asta. Ați oferit noului site WordPress HTTPS toate link-urile și clasamentul de căutare pe care le-a avut site-ul dvs. HTTP. Acum, asigurați-vă că o păstrați spunându-i lui Big Daddy G (acesta este numele meu de companie pentru Google în aceste zile) că v-ați mutat într-o locație mai sigură și mai sigură. Acum, este timpul să încărcați Google Search Console.

Chiar dacă aveți deja versiunea HTTP a site-ului dvs. înregistrată la Google Search Console, adăugați noul site WordPress HTTPS ca o proprietate nouă.

Search Console va afișa un mod care solicită adresa URL completă a site-ului. Aici trebuie să vă asigurați că introduceți versiunea HTTPS. Rețineți că chiar și modalul vă spune că sunt proprietăți separate, doar pentru a fi conștienți de cât de important este acest pas.

Apoi veți trece prin procesul de verificare a proprietății ca de obicei. Când ați terminat cu asta, Google va ști că ați blocat site-ul dvs. de la ochii curioși.

După ce ați fost verificat cu Google și ați configurat Search Console cu noua dvs. proprietate, bine ați venit pe noul dvs. site WordPress HTTPS. Ar trebui să fii liber și liber de erori pe care le poți rezolva singur.

Erori WordPress SSL cu pluginuri și teme

Dacă totuși aveți erori în acest moment, există șanse mari să nu mai fie în mâinile voastre. Fie un plugin activ, fie tema dvs. este cel mai probabil vinovat. Pentru a vedea care poate fi, faceți clic dreapta pe pagina dvs. și selectați Inspectați din meniu. De asemenea, puteți apăsa CTRL-SHIFT-I pentru a deschide instrumentele pentru dezvoltatori. Uită-te în jur până când vezi fila etichetată Consolă . Dacă există erori, le veți vedea evidențiate cu roșu.

Când vă uitați la erori, veți putea vedea ce fel sunt. Dacă există etichete de conținut mixt , puteți consulta adresa URL a fișierului furnizat pentru a vedea ce parte din instalare este responsabilă. Îl poți identifica cu ușurință. Va fi fie tema dvs., fie un plugin din ieșirea erorii.

Acum, din moment ce știți ce cauzează eroarea. Cel mai bun lucru pe care îl puteți face este să-l raportați autorului pluginului sau temei. Mulți au forumuri de sprijin sau echipe de chat live din acest motiv. Vă recomand să îl raportați autorilor din câteva motive.

Primul este că amestecul în fișiere de pluginuri și teme poate deveni destul de urât. Mai ales dacă nu ești tu însăși dezvoltator. Deși puteți modifica mai ușor fișierele tematice datorită temelor pentru copii, aveți totuși șansa de a sparge ceva important de care s-ar putea să nu știți. Și când vine vorba de pluginuri ... ei bine, nu vă sugerăm niciodată să vă plimbați în fișierele de pluginuri. Poate deveni și mai urât decât temele uneori.

Al doilea motiv este că nu ești singur în această problemă. Îl aveți. Și alți oameni o au. Așa funcționează aceste lucruri. Deci, dezvoltatorul trebuie să știe despre asta și să ofere o remediere printr-o actualizare. Deci, nu numai că te-ai ajutat cu o problemă, ai contribuit la binele mai mare și te poți simți destul de bine cu tine.

Avertismente de certificat nevalide

Ocazional, un utilizator vă poate spune că site-ul dvs. afișează fie un certificat nevalid, fie un certificat expirat. Nu este mare lucru. Este o soluție ușoară. În general, pentru a remedia un certificat expirat (sau pentru a reînnoi unul), trebuie doar să parcurgeți pașii din secțiunea de mai sus intitulată „Instalați certificatul SSL gratuit din contul dvs. de gazdă (acceptat)”. În majoritatea cazurilor, asta va funcționa. Dacă nu, asigurați-vă că instalați certificatul Wildcard, deoarece este posibil să primiți eroarea din cauza unui nume de domeniu nepotrivit.

Dacă acest lucru nu funcționează, contactați gazda. După cum am spus mai devreme, sunt personal pe SiteGround. Și când am avut această problemă cu SSL-ul meu care nu se reînnoia automat, echipa de asistență a rezolvat-o într-o jumătate de oră. Asta va schimba în mod evident gazdă în gazdă, dar aceștia vor site-ul dvs. online aproape la fel de mult ca dvs.

Eroare „Prea multe redirecționări”

Și doar în cazul în care redirecționarea 301 din fișierul dvs. .htaccess nu ține acest lucru la distanță (ar trebui), s-ar putea să primiți ocazional eroarea în care site-ul dvs. se blochează într-o buclă interminabilă între site-ul dvs. HTTP și site-ul dvs. HTTPS. Din fericire, aceasta este o soluție aproape la fel de ușoară ca și certificatul nevalid. Trebuie doar să vă deschideți clientul FTP și să găsiți fișierul wp-config.php în același folder în care se afla .htaccess-ul dvs. Deschideți-l și în editorul de cod preferat. Adăugați următorul cod în partea de jos a fișierului:

/** Prevent Too Many Redirects Loop **/
define('WP_HOME','https://mywebsite.com');
define('WP_SITEURL','https://mywebsite.com');
$_SERVER['HTTPS'] = 'on';

Salvați și încărcați-l înapoi pe server. Site-ul dvs. ar trebui să se oprească acum acolo unde ar trebui.

Încheierea cu WordPress HTTPS și SSL

Știu că sunt multe de luat în considerare. Dar WordPress HTTPS este foarte important pentru viabilitatea site-ului dvs. în viitor. Utilizatorii au mai multă încredere în tine. Și poate mai important, Google va avea și mai multă încredere în tine. Acum sunteți pregătit să remediați erorile de conținut mixt, să gestionați expirarea și reînnoirea certificatului SSL, să vă editați fișierele .htaccess și wp-config.php și chiar să futz cu baza de date a site-ului dvs. În acest moment, v-ați blocat site-ul. Când ceva se rupe cu WordPress SSL, îl puteți remedia. Bătuți-vă pe spate, mergeți la o băutură și odihniți-vă bine știind că site-ul dvs. este sigur și sănătos.

Ce probleme WordPress SSL ați avut în trecut și cum le-ați rezolvat?

Imagine prezentată de articol de la supercaps / shutterstock.com