Руководство по безопасности сайта на WordPress на уровень HTTPS

/в /от

Руководство по безопасности сайта на WordPress на уровень HTTPS.

В продолжение моей предыдущей статьи в которой я объяснил, почему мы обязаны обезопасить каждый сайт на уровень HTTPS, я решил написать подробное руководство, где шаг за шагом объясню, как правильно защитить сайт на WordPress.

 

Итак, вот подробные шаги:

  1. В самом начале необходимо установить сертификат SSL на сервере, лично я держу свои сайты в компании Jetserver, и я большой их поклонник. Не только из-за продукта, но и за их отношение и обслуживание, но это уже тема для отдельной статьи (и нет, я не получаю от них деньги за рекламу). В любом случае Jetserver работает с самой распространенной системой управления хостингами — CPanel.

Для подключения к системе CPanel необходимо написать адрес вашего домена, далее /cpanel. Предположим, что Ваш домен www.111.com, тогда адрес для входа в CPanel вашего сайта будет www.111.com /cpanel.

В любом случае, когда Вы приобретаете место на сервере, вам высылают адрес для входа в CPanel, а также имя пользователя и пароль для подключения к CPanel. Если у Вас нет этих сведений, обратитесь в компанию, которая предоставляет вам место на сервере и попросите снова отправить вам информацию.

  1. После подключения к CPanel, прокрутите экран вниз до заголовка SECURITY и там нажмите на значок с названием SSL/TLS status, как показано на скриншоте:
  1. Возможно хостинговая компания автоматически установила вам SSL-сертификат, в таком случае, вы получите об этом сообщение рядом с домейном

Что-то вроде:

AutoSSL Domain Validated

Expires on July 18, 2018. The certificate will renew via AutoSSL.

Как на следующем скриншоте:

На этом сайте SLL-серификат действует до 18.07.2018. Затем сертификат будет автоматически обновлен и так далее, пока DNS этого домена направлены на этот сервер.

  1. Если у Вас нет сертификата SLL, нажмите синюю кнопку Run AutoSSL, как показано на следующем скриншоте:
  1. Теперь, когда SLL установлен, Вы можете перейти к управлению сайтом. Войдите в управление сайтом в WordPress, добавив /wp-admin в конце вашего домена, введите имя пользователя и пароль, и вы попадете в панель управления WordPress вашего сайта. скрин
  2. Укажите на расширения в левой панели, откройте плавающее меню и нажмите на новое расширение. скрин
  3. На панели «Поиск расширений» введите SSL, сразу после этого появятся различные расширения SSL, выберете расширение под название Realy Simple SLL от Rogier Lankhorst и нажмите кнопку «Установить сейчас», как показано на следующем рисунке:скрин
  1. После установки расширения, которое занимает несколько секунд на быстром сервере, нажмите кнопку «Включить», как показано на следующем рисунке:
  1. Интерфейс этого плагина постоянно меняется, но в целом, вам просто нужно найти кнопку «Вперед», активировать SSL и нажать на нее. Вот как это выглядит на момент написания статьи:
  1. После этого необходимо обновить страницу, нажав кнопку F5 на клавиатуре. После обновления Вы снова увидите вход в систему. Введите имя пользователя и пароль еще раз и нажмите кнопку «Войти»: скрин
  1. Теперь Вы можете увидеть, что адрес изменился на https, но не обнадеживайтесь, Вы все еще далеки от конца работы.
  2. Теперь Вам нужно вставить строку кода в файл с именем .htaccess.

Есть несколько способов сделать это, обычно это делают через файл-менеджер на сервере или через FTP-соединение, но если Вы используете самый распространенный плагин для seo под названием Yoast — у Вас есть очень простой способ сделать это.

Интерфейс этого плагина также постоянно меняется и снизу представлены скриншоты, которые действительны на конец июня 2018 года. Вам необходимо нажать на боковое меню внутри к админки WordPress, расположенной слева, указать SEO и нажать Tools. скрин

  1. Теперь Вам необходимо нажать на редактор файлов скрин

Прокрутите вниз, пока не дойдете до файла .htaccess. Под заголовком будет текстовая панель. Вам нужно прокрутить текст до конца, чтобы вставить следующую строку кода внизу текста:

Header set Strict-Transport-Security «max-age=31536000» env=HTPPS

После этого сохраните.

Эти действия избавят Вас от головной боли, так как он преобразует многие файлы, такие как картинки на сайте, в https и экономит много времени, связанного с ручной работой в будущем. скрин

  1. Теперь необходимо проверить работает ли весь сайт с конфигурацией https. Есть несколько простых тестов:

а. Просматривая страницы сайта, убедитесь, что URL всех адресов начинаются с https

б. Удалите https в адресе сайта и нажмите на enter на клавиатуре. https должен появиться снова.

в. Зайдите на URL-адрес какой-то картинки из сайта, адрес картинки можно взять в админке WordPress в разделе медиа. Выберете несколько изображений случайным образом, скопируйте URL — адрес изображения в браузер и нажмите на enter на клавиатуре. Если изображение в браузере открывается после ввода адреса с https — это признак того, что все работает. Зайти в медиатеку Вы можете следующим образом:скрин

А так вы получите URL изображения: скрин

г. Убедитесь, что иконка (favicon) не исчезла. Это значок, который появляется на вкладке браузера. Обычно, это логотип сайта, но не обязательно. скрин

Кстати, если по какой-то причине у Вас еще нет иконки, то самое время установить ее.

д. Иногда есть детали, которые добавляются вручную в код сайта. Например, внизу сайта дизайнер размещает свой логотип со ссылкой на свой сайт. Если эти детали были добавлены до перевода сайта на https, скорее всего адрес url будет начинаться с http и возможно логотип исчезнет, а будет отображаться значок отсутствующего изображения. В таком случае, вам нужно будет вручную ввести код и добавить букву s в http, чтобы URL начинался с https.

Что бы мы хотели увидеть? Зеленый замочек в строке URL, адрес URL, который начинается с https и слово «безопасный», которое не всегда отображается. Если все страницы сайта выглядят как на скриншоте — это значит, что вы уже проделали хорошую работу:  скрин

  1. Теперь необходимо изменить настройки адреса сайта в Google Analytics: удалить из сайта старый код Google Analytics и вставить новый.

а. Зайдите в Google Analytics, введя имя пользователя и пароль, обычно это ваш GMAIL, но не обязательно.

б. Если в вашей учетной записи есть несколько сайтов, то выберите нужный сайт и нажмите кнопку админ (если ваш  Google Analytics на английском) скрин

в. В столбце «Property», нажмите «Property settings» и измените Default URL на конфигурацию https скрин 2 шт

г. Теперь те же действия необходимо сделать в столбце «View» скрин 2 шт

д. Теперь необходимо вытянуть новый код из интерфейса Google Analytics. Код берем в столбце «Property» в разделе «Tracking Info» — «Tracking code».

скрин

вот код: скрин

е. Это очень важный шаг и необходимо сделать это правильно, иначе Google Analytics не будет работать на вашем сайте. Вам необходимо найти место, где код Google Analytics встроен на вашем сайте. Может быть несколько вариантов: код может быть встроен с использованием различных плагинов (и их много), код может быть встроен через тему — существуют темы, которые имеют специальную панель для кода Google Analytics.

И также код может быть встроен вручную в файл header. В последних версиях WordPress файлы не всегда можно редактировать с помощью редактора WordPress, поэтому вам необходимо получить доступ к файл-менеджеру на сервере или использовать FTP для редактирования файлов.

К сожалению, из-за множества вариантов я не смогу показать на скриншотах все доступные варианты. Но то что необходимо вам — это просто: сначала удалите старый код, затем вставьте новый. У меня были случаи, когда старый код продолжал работать и предоставлять статистику, а были случаи, что после перевода сайта на https, не заменив код Google Analytiks на новый код в сайте, Google Analytiks просто переставала работать. Поэтому не стоит рисковать и необходимо обязательно заменить старый код Google Analytiks на новый. скрин

ж. Когда настройка аналитики завершена, необходимо убедиться в корректности ее работы. К счастью, это очень простой и быстрый тест. Все, что вам необходимо сделать — это войти в интерфейс Google Analytics и нажать на real-time и после этого нажать на overview , параллельно этому зайти и  посмотреть свой сайт с нескольких устройств, смотрите в Analytics и следите за количеством пользователей, которые находятся онлайн на сайте. скрин

Просмотрите различные страницы своего сайта и проверьте, изменяются ли эти страницы в режиме реального времени в Google Analytics. Если все так — то  Analytics правильно подключена к сайту.

Важно, что переход на https не приводит к удалению предыдущих данных в Google Analytics.

  1. Теперь необходимо добавить свой сайт с https в Google Webmaster Tools или под его новым названием Search Console

Обычно, это очень простая операция, особенно если вы подключены с полными правами к Google Analytics, с тем же gmail, в котором вы подключаете свой сайт к Search Console.

а. Зайдите в Search Console, используя свой аккаунт Google и пароль.

б. Нажмите красную кнопку «Добавить сайт» скрин 

в. Скорее всего Google автоматически подключит ваш сайт к Seach Console, используя код Google Analytics, интегрированный в ваш сайт.   Надеюсь, у вас не будет проблем и все пройдет легко и быстро. Если вы столкнетесь с трудностями, то можете связаться со мной и я с удовольствием помогу вам.

д. Если необходимо, чтобы кроме вас были и другие пользователи, то их нужно добавить повторно.

е. Последнее, что нужно сделать, это добавить релевантные карты сайта в формате XML, после того, как вы просмотрели их и точно знаете, что они должны быть отправлены в Google. Существуют карты, которые нельзя отправлять, чтобы не индексировать мусорные страницы. Такая индексация может значительно навредить продвижению вашего сайта. Если у вас несколько сайтов, то важно убедиться, что Вы находитесь на правильном сайте.

  1. Если у вас есть дополнительные инструменты статистики, подключенные к сайту, возможно из других поисковых систем, необходимо сделать аналогичные процедуры, которые мы только что сделали с Google.
  1. Рекомендуется (но это необязательно, так как произойдет само) отправить сайт на сканирование в Serch Console, в оба поисковика, и мобильный и ПК. Так Google быстрее поймет, что ваш сайт перешел на https.
  1. Также желательно изменить ссылки, которые ведут на ваш сайт с других сайтов, если, конечно, у вас есть к ним доступ, поскольку это чужие сайты. Старые входящие ссылки обращаются к страницам с адресом http или просто www. Если у вас есть доступ и возможность их отредактировать, поменяйте их на ссылки, которые будут начинаться с https. Если эти ссылки не отредактировать, их влияние ослабится.

Если вы хотите прочитать предыдущую статьи и понять, почему важно перевести сайт на https, нажмите сюда

По этим и другим вопросам Вы можете связаться со мной, написав на почту (ссылка на страницу контактов)

или позвонив по номеру

03 976 33 33

P.S. я тяжело работал над этой инструкцией. Это не дается мне легко и быстро. Потребовалось 3 дня, чтобы написать ее. Если вам понравилась эта статья или она была вам полезно, поделитесь со своими друзьями и напишите пару добрых слов в отзыве под статьей. Это дает энергию для создания контента высокого уровня для общего блага.