Настройка https на wordpress: Перевод сайта WordPress на HTTPS: инструкция

Как настроить https на WordPress?

Если вы читайте данную статью, то вы хотите узнать, как правильно подключить протокол HTTPS для сайта на WordPress.

SSL (TLS), HTTPS

SSL (Secure Sockets Layer) — это криптографический протокол, который обеспечивает безопасность и конфиденциальность при обмене информацией между сайтом и устройством пользователя. SSL сертификаты используются для шифрования данных и, как правило, они раньше устанавливались на сайтах, на которых передаются конфиденциальные данные (логины, пароли, данные банковских карт и др.)

Протокол SSL обеспечивает защищённый обмен данных за счёт двух следующих элементов:

• Аутентификация
• Шифрование

Впоследствии на основании протокола SSL 3.0 был разработан и принят стандарт RFC, получивший имя TLS.
TLS (англ. Transport Layer Security — Протокол защиты транспортного уровня[1]), как и его предшественник SSL (англ. Secure Sockets Layer — транспорт защищённых сокетов) — криптографические протоколы, обеспечивающие защищённую передачу данных между узлами в сети Интернет
На веб-страницах, использующих HTTPS, неприкосновенность информации обеспечивается с помощью протокола TLS (Transport Layer Security ‒ безопасность на транспортном уровне).

HTTPS (Hypertext Transport Protocol Secure) протокол защищает данные, которые оставляет посетитель на вашем сайте. HTTPS — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности.

Для перевода сайта на HTTPS вам необходимо купить или получить бесплатный криптографический сертификат. Своим клиентам мы помогаем подключить бесплатный Let’s Encrypt сертификат.

Центр сертификации Let’s Encrypt

Let’s Encrypt — центр сертификации, предоставляющий бесплатные криптографические сертификаты X.509 для TLS-шифрования (HTTPS). Процесс выдачи сертификатов полностью автоматизирован.

Наши хостинг партнеры Active.by и Hoster.by предоставляют возможность получать и устанавливать бесплатные сертификаты от Let’s Encrypt. После подключения, сертификат будет продлеваться автоматически.

Настраиваем HTTPS для WordPress, подробная и понятная инструкция

Безопасно ли пользователь пользуется Вашим сайтом? Используете ли Вы HTTPS-шифрования?

Если нет, тогда самое время заняться бозопасностью как сайта так и его пользователей.

CloudFlare + HTTPS + WordPress

HTTPS – это термин, используемый для безопасных HTTP-соединений. HTTPS обеспечивает безопасное соединение для вас и посетителей вашего сайта. Каждому веб-сайту, использующему соединение HTTPS, выдается сертификат SSL (Secure Sockets Layer). Если сертификат сайта не совпадает с тем сертификатом который фактически установлен на сайте, браузер предупредит посетителя.

Современные браузеры также предупреждают пользователя, если веб-сайт все еще использует старое HTTP-соединение.

Три года назад Google сообщал, что HTTPS будет является фактором ранжирования, и сегодня он, по-видимому, уже является этим фактором.

Таким образом, помимо создания более безопасного веб-сайта, вы также можете увеличить посещаемость сайта и органический трафик, установив соединение HTTPS.

В этом уроке я покажу вам, как вы можете сделать это с помощью Cloudflare.

Ниже вы найдете точные шаги, которые я предпринял для обеспечения безопасности как для своих проектов так и для многих сайтов клиентов. Настоятельно рекомендую выполнять каждый из этих шагов в предоставленном мной порядке.

Пожалуйста, помните о конкретных изменениях, которые вы внесли, и вернитесь к этому руководству, если вы не уверены. Cloudflare иногда требует нескольких минут для внесения изменений (иногда дольше), и вам нужно будет очистить кэш браузера, чтобы внесенные изменения отображались в вашем браузере. Возможно, вам также придется очистить куки браузера.

Само собой разумеется, что я не несу никакой ответственности за временное отключение вашего веб-сайта или за то, что ваш сайт ведет себя странно, но не волнуйтесь, это не повод, чтобы паниковать. Выполнение этих шагов займет у вас около 20 минут времени, и вы можете просто отменить любые внесенные изменения, если не уверены.

Если вы не уверены в этом, отойдите от компьютера и обратитесь за помощью к хостинговой компании, или напишите мне в личку.

Также обратите внимание, что это руководство специально для настройки HTTPS с Cloudflare на WordPress (хотя стоит отметить, что процесс использования SSL-сертификатов Cloudflare, как правило, проще с другими CMS платформами).

Получение сертификата SSL

Многие хостинговые компании взимают плату за предоставление SSL-сертификата, хотя хостинговые компании все чаще предлагают его с планами.

Я лично пользуюсь сервисом производительности и безопасности сайта Cloudflare, поскольку он предлагает бесплатный SSL-сертификат. Их бесплатный план также предлагает множество других фантастических бесплатных инструментов, таких как сеть доставки контента (CDN) для повышения производительности, инструменты безопасности и ряд приложений из популярных интернет-сервисов.

Если вы не используете Cloudflare для предоставления соединения SSL, не вносите никаких изменений, предложенных в этом руководстве. Этот урок не для вас.

Для получения сертификата достаточно зарегистрироваться в сервисе CloudFlare, сертификат будет выдан Вам бесплатно во время настройки которую я описал ниже. Просто читайте дальше.

Как установить на WordPress HTTPS соединение с помощью Cloudflare ?

После регистрации на сервисе, добавьте свой сайт в систему . Как это сделать я подробно описыаал здесь:

CloudFlare – Как добавить сайт в сервис на примере добавления сайта с ukraine.com.ua

Получение и инициализация сертификата от CloudFlare

В пункте меню нажимаем Crypto за тем необходимо выбрать вид сертификата — Flexible.

После того как пункт был выбран, начнется инициализация полученного сертификата (authorizing certificate). В случае успеха, увидим вот такую надпись “Active certificate”:

В основном сертификат готов в течении часа, иногда приходится дожидаться следующего дня. Перед тем как приступить к правкам настроек на вкладке “Page Rules” в начале проверяем сайт на доступность по https. Для это вбейте адрес

Если переход осуществился, значит все отлично и двигаемся дальше. Если нет… В общем скорее всего у Вас прошло все хорошо и сайт доступен и по https и по http протоколам.

Установка плагинов в WordPress для реализации поддержки https от CloudFlare

Создаем резервную копию сайта, для этих целей есть замечательный плагин Duplicator.

Ставим cloudflare-flexible-ssl и cloudflare плагины, после чего смотрим как себя ведет сайт. Убеждаемся кофе был заварен крепким и бодрящим. :).

Замена старых ссылок в базе данных

Так как в базе данных сайта имеется огромное количество внутренних ссылок с http, необходимо все их заменить на https. Для этих целей или устанавливаем plugin Better Search Replace и проводим работу с поиском и заменой внутренних и внешних ссылок, или сохраняем базу данных на хостинге через phpMyAdmin (либо другим образом), сохраняем на ПК и проводим поиск и замену при помощи NotePad++.

Я всегда выбираю первое – (Better Search Replace).

Заменяем ссылки при помощи Better Search Replace

Если делаем поиск и замену через Better Search Replace, придерживаемся четкую последовательность в описанных мной пунктах ниже:

В окне настроек плагина Better Search Replace в начале запускаем холостой запуск для того что бы выявить количество ссылок (или для каких других целей).

За тем перед тем как приступить к следующему шагу НАСТОЯТЕЛЬНО РЕКОМЕНДУЮ СДЕЛАТЬ ЕЩЕ РАЗ БЕКАП!

Вот как выглядит окно при поиске и замене:

Вставляем данные написанные ниже в полся “Искать” и “Заменить”, в пункте “Выбор таблиц” нажимаем сочетание клавиш Ctrl+A (для того что бы выбрать все таблицы базы данных), снимаем галку с чекбокса “Холостой запуск” и жмем “Запустить Поиск/Замену”.

1) Внутренние ссылки src:

В начале произведем поиск и замену внутренних ссылок на изображения, то есть заменяем

src="http://ваш_домен

на

2) Внешние ссылки src:

Найти

и заменить на

3) Всякого рода вариации для JS скриптов и т.п, например

найти

http:\/\/ВАШ_ДОМЕН\/

заменить на

https:\/\/ВАШ_ДОМЕН\/

4) Последняя и самая важная замена

и заменить на

Так же не забываем найти и заменить http://ВАШ_ДОМЕН на https://ВАШ_ДОМЕН в самописных плагинах и файлах темы (поиск и замену можно делать по выше мной описанным пунктам).

На конечном этапе поиска и замены Вас выбросит из окна настроек плагина на страницу входа в WordPress, но не расстраиваемся. Делаем хороший глоток кофе, прописываем логин и пароль, нажимаем войти и попадаем обратно в админку но уже через протокол передачи данных https.

Далее тщательным образом тестируем сайт на наличие оставшихся ссылок с http, для этого ходим бродим по страницам и смотрим в консоль разраба (F12 в помощь).

Когда все тесты были пройдены и Вы убедились что сайт работает нормально, переходим к настройке переадресации с http на https через Page Rules страницу настроек (в сервисе CloudFlare).

Настройка переадресации с http на https через Page Rules CloudFlare

Переходим на данную страницу Page Rules и жмем кнопку “Create Page Rule”:

В появившемся окне в форму ввода с плейсхолдером “Example: www.example.com/*” вводим http: и в выпадающем меню под надписью “Then the settings are:” выбираем Always use https. Далее, жмем “Save and Deplay”.

Теперь пытаемся перейти на сайт по http протоколу, Вас должно автоматически редиректить на https.

Настройка ссылки на сайт в панели WordPress

Вернемся в админ панель WordPress и наведем на пункт “Настройки” далее кликнем на пункт “Общие настройки”. Увидим что домен сайта в полях: Адрес WordPress (URL) и Адрес сайта (URL) прописан не правильно (будет //ВАШ_ДОМЕН или http://ВАШ_ДОМЕН), по этому пропишем его как нужно, а нужно https://ВАШ_ДОМЕН в обоих полях, изменяем и нажмем “Сохранить изменения”.

Проверка редиректа с http на https в redirectdetective.com

Теперь не маловажный момент, проверяем что бы на Вашем ресурсе работал 301 редирект с http на https. Для этого используем отличный ресурс по данной ссылке:

http://redirectdetective.com/

Данный сайт позволяет проверять любые редиректы, очень советую к применению.

Источник записи:

SSL WordPress включен, что дальше: настройка https, mixed content

Вступление

В прошлой статье (Как получить бесплатный SSL сертификат), я обещал рассказать, что нужно сделать, когда сертификат SSL WordPress включен, для устранения ошибки Mixed content. Выполняю данное обещание.

Три этапа сделать ваш сайт SSL WordPress

В Интернет практически не осталось сайтов работающих по протоколу http. Очевидно жесткие ограничения со стороны браузеров для небезопасных сайтов, вплоть до блокировки посещения пользователей сайтов работающих по протоколу http.

Напомню, что переход на безопасный протокол HTTPS для сайта WordPress состоит из трёх этапов:

Этап 1. Установить приобретенный (полученный бесплатно) SSL сертификат на вашем хостинге. Или активировать бесплатный SSL сертификат в панели вашего хостинга.

Для информационных сайтов не собирающих данные клиента и не проводящих платежи, самым простым вариантом будет хостинг с бесплатным SSL сертификатом Let’s Encrypt.

Коммерческим сайтам лучше потратиться на более надежные сертификаты в центрах сертификации. Получить там ключи и перенести их на ваш хостинг.

Этап 2. На сайтах WordPress поменять протоколы URL сайта на вкладке Настройки>>>Общие>>>Адреса.… (два пункта). Сделать это нужно аккуратно (после резервного копирования сайта), чтобы не получить циклическую переадресацию сайта. Результатом этого этапа должна стать доступность вашего сайта по протоку HTTPS.

Этап 3. Сделать переадресацию сайта HTTP на сайт HTTPS. Как это сделать читать в статье тут.

Этого достаточно, чтобы сайт открывался по протоколу HTTPS. Однако этого будет недостаточно, чтобы все ссылки вашего сайта открывались по безопасному протоколу. Медиафайлы сайта останутся с протоколами http и все браузеры и поисковики будут формально фиксировать ошибку под названием «Mixed content». Это плохо, как для отражения вашего сайта, так и для SEO.

Решить проблему «Mixed content» и все другие проблемы перехода на безопасный протокол поможет актуальный плагин «Really Simple SSL».

Плагин Really Simple SSL WordPress

Данный плагин прост в настройках. Он включает (проверяет включение) SSL, устраняет проблему «Mixed content», активирует 301 redirect. Есть отдельные настройки 301-переадресации для серверов ngnx и «чистых» apache.

Важно! При работе с переходом на безопасный протокол обязательно имейте свежую резервную копию рабочего сайта.

Настройка https сторонних фалов

Чтобы устранить «Mixed content» на этих страницах, нужно вручную поменять протокол файлов в редакторе или удалить небезопасные ссылки.

Завершите SSL WordPress переход контролем

Умелый администратор сайта, завершит свою работу контролем и проверкой.

Во-первых, для контроля введите в адресную строку браузера адрес вашего сайта, а после нескольких выборочных страниц, с протоколом HTTP и посмотрите правильность переадресации на HTTPS.

Во-вторых, на этих выбранных страницах сайта откройте инструменты разработчика браузера. В инструментах вкладку «Security». Проверьте отсутствие ошибок «Mixed content».

В-третьих, проскандируйте ссылки вашего сайта и выявите ссылки с протоколом http. Сделать это можно одной из следующих программ:

• Screaming Frog SEO Spider Tool. 500 URL бесплатно.
• Netpeak Spider. Бесплатно 14 дней.
• Xenu’s Link Sleuth. Полностью бесплатно.

Заключение

Настройка SSL WordPress сайта с плагином не представляет сложностей, но не забывайте о резервной копии сайта. При этом помним, что любой плагин «крадёт» время загрузки вашего сайта.

©wpkupi.ru

Еще статьи

Похожие посты:

Бесплатный SSL-сертификат для WordPress | StylemixThemes

Браузер Chrome отображает предупреждение для любого сайта, у которого нет префикса «https» в веб-адресе. Установка бесплатного SSL-сертификата устраняет это предупреждение для вашего сайта WordPress.

SSL-сертификат защищает ваш сайт путем шифрования соединения между сайтом и конечным пользователем.

Поскольку 59,66% пользователей используют браузер Chrome, важно, чтобы ваш веб-сайт WordPress имел защищенный SSL и HTTPS. Это поможет посетителям доверять вашему сайту.

Получить SSL-сертификат можно быстро и бесплатно. Let’s Encrypt является надежным поставщиком бесплатных сертификатов SSL через официально рекомендованного Certbot.

Сегодня мы расскажем подробнее о SSL, HTTPS, Let’s Encrypt и Certbot. И самое главное как вручную установить, управлять и обновлять бесплатный SSL-сертификат на вашем веб-сервере. Это необходимый элемент защиты вашего WordPress-сайта. Сайты с HTTPS-протоколом не дают ошибки в Chrome. Это позитивно отражается на SEO сайта.

Что такое SSL и HTTPS и зачем это нужно?

Сертификат SSL (аббревиатура от Secure Sockets Layer, дословно: протокол безопасных соединений) – это общедоступный цифровой документ, выданный центром сертификации, который связывает криптографический ключ с прикрепленным к нему веб-сайтом. Представляет собой шифрование на основе безопасного и надежного обмена информацией между сайтом и его посетителелями.

Все веб-сайты с действующим SSL-сертификатом используют протокол HTTPS и SSL, которые шифруют связь между сервером веб-сайта и браузером конечного пользователя. Вы замечали, что есть сайты, которые начинаются с http, и те, у которых https? SSL-сертификат и служит для получения этой самой —

Сайты с SSL имеют весомое защитное обозначение:

Сайты, которые не перешли на HTTPS имеют cкучный серый вид информационного знака: 

Наличие действующего SSL-сертификата подтверждает, что ваш сайт заслуживает доверия пользователей. Они могут вводить конфиденциальные данные и быть при этом надежно защищены. Чего нельзя сказать о сайтах, имеющих «http» в своем URL-адресе. А еще SSL сертификат блокирует хакерские атаки и защищает от несанкционированного доступа.

Раньше SSL использовали только для интернет-магазинов, банков и сайтов, где обрабатывается конфиденцальные данные. Однако сейчас сертификат стал доступен всем.

В июле 2018 Google объявил, что абсолютно все сайты без HTTPS будет помечать как «не защищенные». Совсем скоро всем им будет выдаваться вот такой значок:

Что такое Let’s Encrypt?

Одним из главных аргументов Google в защиту политики безопасности и является проект Let’s Encrypt (одно из решений Linux Foundation). Некоммерческая организация бесплатно выдает SSL-сертификаты. Получить сертификат может каждый желающий как вручную на https://www.sslforfree.com/, так и автоматически: запустив процесс верификации и перевыпуска по открытыму протоколу ACME.

Из множества клиентских реализаций под разные веб-серверы, официально рекомендуемый клиент — CertBot (он и развивает Electronic Frontier Foundation). Есть хорошая новость — с февраля 2018 года они стали выдавать wildcard сертификаты.

Let’s Encrypt — это автоматизированный центр сертификации, предоставленный Исследовательской группой Internet Security Research (ISRG), некоммерческой организацией, которая посвятила себя созданию более безопасного интернет-пространства. Это наиболее популярный сервис по созданию бесплатных SSL-сертификатов. Его развивают таких гиганты рынка, как Google, Facebook, Mozilla. Такой сертификат бесплатный, но и такой же надежный, как любой другой SSL-сертификат.

Типы сертификатов

Let’s Encrypt предлагает получить самозаверенный сертификат (domain validaed). Он является сертификатом самого низкого уровня и подтверждает, что веб-сайт владеет доменным именем, на которое претендует. Есть еще один тип сертификата — extended validation. Это проверка личности владельца сертификата специалистами выдачи. Если у вас сайт на WordPress, то вам достаточно получить самозаверенный сертификат.

С января 2018 года Let’s Encrypt педлагает получить подстановочный сертификат, который позволяет вам защищать все поддомены веб-сайта с помощью единого сертификата. Например,

Вы также должны получить протокол ACMEv2 и клиентскую поддержку. Для получения дополнительной информации ознакомьтесь с ACME Client Implementations.

Сертификаты Let’s Encrypt действительны в течение 90 дней без исключений. Рекомендуется продливать сертификаты каждые 60 дней, чтобы у вас было в запасе 30 дней для решения любых возникающих проблем. Хотя в зависимости от вашего сервера можно настроить автоматическое обновление.

Как получить SSL-сертификат

Самый простой способ получить бесплатный SSL-сертификат от Let’s Encrypt — через ваш веб-хостинг.

Let’s Encrypt сотрудничает со многими хостинг-провайдерами, которые позволяют по умолчанию шифровать и перенаправлять на HTTPS. Если вы не знаете, поддерживает ли ваш хостинг Let’s Encrypt, посмотрите список совместимости хостинг-компаний. Ваш хостинг не знает о Let’s Encrypt? Вы можете связаться с техподдержкой и сообщить, что это хороший вариант сотрудничества.

Если ваш хостинг-провайдер не совместим с Let’s Encrypt, одним из самых простых способов установить бесплатный SSL-сертификат является Certbot. Это официально рекомендуемый сервис Let’s Encrypt, который извлекает и развертывает SSL-сертификат на вашем веб-сервере.

Certbot — официально рекомендуемый клиент Let’s Encrypt

Согласно документации Certbot, «Certbot стремится создать безопасную и защищенную от цензуры сеть». Certbot предоставляет простые в применении инструкции на основе вашего программного обеспечения и операционной системы.

Установка Certbot

Certbot работает с различными ОС и серверами. Лучший способ установить Certbot — перейти на сайт и прочитать инструкции по установке. В большинстве случаев для авторизации CertBot вам необходим доступ root или администратора.

Установка обычно происходит через SSH. Это защищенный криптографический протокол, который позволяет передавать файлы по небезопасным сетям. Популярными клиентами SSH являются терминалы для Mac OS X и PuTTY для Windows.

Установка сертификата SSL

В зависимости от ваших настроек и потребностей сайта существует несколько способов установить самозаверенный сертификат. Веб-сайт Certbot проведет вас через весь процесс установки по шагам на основе настроек вашего сервера.

Как уже упоминалось ранее, вы можете установить сертификат автоматически через свой веб-хост. Обратитесь к документации вашего хостинг-провайдера и получите инструкции по настройке, поскольку каждый веб-хост работает по-разному.

Если вы хотите установить подстановочный сертификат, вам придется использовать плагин DNS.

Вы можете ознакомиться с документацией Certbot для получения более подробной информации.

Автономный режим

Если у вас нет серверного программного обеспечения, такого как Apache или Nginx, и вы не заинтересованы в его получении, использование плагина — лучший вариант.

С плмощью плагина необходимо будет привязать веб-сервер к портам 80 (для HTTP) и 443 (для SSL), чтобы проверить домен. Вам может потребоваться освободить эти порты на вашем сервере заранее.

Они оба используются для загрузки вашего сайта, но Certbot может выдавать ошибку доступа. Процесс закрытия и открытия портов зависит от вашего программного обеспечения, поэтому при необходимости обратитесь к инструкциям и документации.

Убедившись, что Certbot установлен и доступен порт 80 или 443, введите эту команду в свой SSH.

Обратите внимание, что в зависимости от того, какой порт вы используете, команда будет немного отличаться.

//For Port 80
certbot certonly --standalone --preferred-challenges http -d example.com

//For Port 443
certbot certonly --standalone --preferred-challenges tls-sni -d example.com

Сertonly получает (или в определенных контекстах, обновляет) сертификат, но не устанавливает его, —standalone сообщает Certbot о запуске автономного веб-сервера для аутентификации, —preferred-challenge обозначает сообщение, которое Certbot будет использовать и -d указывает доменное имя, для которого вы запрашиваете SSL-сертификат.

После запуска команды вам будет предложено ввести свой адрес электронной почты и согласиться с условиями. Вы получите сообщение о завершении процесса, а также о месте расположения вашего сертификата.

Плагин Webroot

Использование Webroot имеет место, если у вас есть доступ к редактированию содержимого на сервере. Здесь вы помещаете файл проверки в определенное место на вашем веб-сервере. Этот метод удобен, потому что вам не нужно переключаться на какие-либо порты и беспокоиться о том, что можно случайно снести свой действующий сайт во время установки.

Для использования плагина Webroot вам необходимо убедиться, что ваш сервер настроен и отображает файлы скрытых каталогов и, в частности, папки /.well-known.

Запустите эту команду в своем SSH, чтобы установить Webroot:

certbot certonly --webroot -w /var/www/example -d www.example.com -d example.com

Команда certonly получает сертификат, —webroot сообщает Certbot о методе, который вы используете, и вам нужно указать -w или -webroot-path, а затем путь к файлу, содержащеу самый верхний каталог, в котором есть файлы, веб-сервер, —webroot-path / var / www / html — общий путь к веб-каналу.

Подробности смотрите в документации Certbot.

Где хранятся ваши сертификаты?

Все ключи и выданные сертификаты можно найти в / etc / letencrypt / live / $domain, который регулярно обновляется.

Вот список файлов в вашем сертификате:

• Privkey.pem – ваши личные ключи хранятся здесь и должны храниться в секрете, даже от разработчиков Certbot. Но вы можете открыть их для сервера только пользователю root,
• Fullchain.pem – все ваши сертификаты хранятся здесь, и если их несколько, первым отображается сертификат сервера,
• Cert.pem – содержит сертификат отдельного сервера, 
• Chain.pem – здесь хранятся все промежуточные сертификаты, а также сертификаты, необходимые для проверки сервера.

Если вы хотите проверить содержимое своего файла в каталоге, используйте команду /etc/letsencrypt/live/example.com в своем SSH, чтобы увидеть весь список.

Обновление SSL-сертификата

Certbot стремится максимально упростить обновление, проверив все установленные сертификаты на предстоящий срок, а затем их обновить.

Приведенная ниже команда проверяет сертификаты на оставшийся срок действия и обновляет их:

certbot renew

Это обновит любой сертификат, у которого состалось менее 30 дней до истечения срока. Опасностей и рисков раннего обноления нет, поэтому вы можете запускать эту команду в любое время.

Если у вас несколько доменных имен, и вы хотите обновить только один домен, эта команда certonly поможет:

certbot certonly -n -d example.com -d www.example.com

Обратите внимание: Certbot рекомендует включать -n или -noninteractive, чтобы предотвратить блокировку ввода пользователем.

Выводы

Установка SSL-сертификата является важной мерой безопасности для любого WordPress-сайта. Let’s Encrypt и Certbot предоставят быстрые и бесплатные способы защиты вашего сайта с помощью HTTPS и SSL-сертификата.

Для получения подробной информации ознакомьтесь с обширной документацией Certbot и форумом сообщества.

У вас получилось установить бесплатный SSL-сертификат с помощью Let’s Encrypt? Поделитесь своим опытом в комментариях ниже. Читайте также наше руководство о том, как появиться в расширенных сниппетах Google и стать дружелюбнее с самым распространненным поисковиком в мире. 

Переезд WordPress сайта на https или как настроить SSL в nginx на A+ : Отзыв

Статья обновлена 16 января 2021 года.

Настала пора переезжать на новый и безопасный протокол HTTPS. Большинство статей об установке SSL сертификатов и интеграции процесса переезда с Яндексом как оказалось устарели, поэтому пишу свою.

В Яндексе переезд проходит плавно, проседания трафика не замечено, ТИЦ остался тем же и на старом и на новом сайте, за две недели почти все страницы были переиндексированы со старого сайта на новый, а еще через 3 дня Вебмастер показал, что сайты склеились.

Если к страницам сайта были подключены комментарии Facebook, то они в результате переезда будут потеряны, так как формально страница будет иметь новый адрес. Комментарии ВКонтакте при этом не учитывают протокол и остаются на месте.

1. Делаем бэкап своим любимым способом:
— базы данных сайта
— файлов сайта
— настроек nginx

2. Рекомендуется обновить все пакеты на сервере. У меня на сервере стоит Centos 7 для неё команда такая:

yum update

3. Разрешим на постоянной основе соединение на SSL порт 443/tcp и перегрузим правила

firewall-cmd --permanent --zone=public --add-port=443/tcp
firewall-cmd --reload

4. Убедимся, что SSL порт 443 открыт:

firewall-cmd --zone=public --list-ports

5. Заходим на сайт https://certbot.eff.org/ Это сайт организации Let’s Encrypt, которая выдаёт SSL-сертификаты бесплатно на 90 дней с возможностью их дальнейшего автоматического продления — так чтобы один раз настроил и забыл. Выбираем там в выпадающих списках nginx и Centos/RHEL 7 — в результате чего внизу появится инструкция на английском.

6. Подключаем репозиторий EPEL (если не подключен, у меня уже подключен) и после этого устанавливаем утилиты

yum -y install yum-utils
yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

7. Устанавливаем сам Certbot — клиент для обновления сертификатов

yum install certbot

7.1 Определим, какие плагины certbot установлены (нам нужен плагин nginx)

certbot plugins

Если плагина nginx нет, то его нужно установить.

7.2 Устанавливаем плагин certbot-nginx (pip3 — это менеджер пакетов Pyton версии 3, так как certbot написан на языке Pyton)

pip3 install certbot-nginx

7.3 Проверим ещё раз, какие плагины certbot установлены

certbot plugins

Плагин nginx должен появиться.

8. Запускаем первоначальную настройку Certbot

certbot --nginx

Запустится программа, которая выдаст несколько диалогов:
8.1. вводим свой email для регистрации на Let’s Encrypt
8.2. читаем и соглашаемся с условиями использования
8. https://site.ru$request_uri? permanent; } # здесь основная конфигурация https://site.ru server { listen 443 ssl; # managed by Certbot ssl_certificate /etc/letsencrypt/live/site.ru/fullchain.pem; # managed by Certbot ssl_certificate_key /etc/letsencrypt/live/site.ru/privkey.pem; # managed by Certbot include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot server_name site.ru; # здесь идут дальнейшие директивы }

Если на сервере несколько сайтов, то для всех кроме одного можно из бэкапа вернуть конфиги nginx на время пока делаются дальнейшие настройки по переезду. И далее настраивать HTTPS только для одного сайта, а остальные пока будут доступны по HTTP. Кстати, несколько https-сайтов на одном сервере могут спокойно работать через один ip-адрес благодаря технологии Server Name Indication (SNI), которую поддерживает nginx и все современные браузеры.

9. После внесения исправлений в конфигурационные файлы nginx для домена, перезагружаем nginx

systemctl restart nginx

10. Вносим дополнения в файл /etc/letsencrypt/options-ssl-nginx.conf который подключается в конфигурации nginx выше. Они нам позволят увеличить SSL-рейтинг сайта с A до A+

# эти директивы задал сам Certbot (здесь стоит только увеличить значение ssl_session_cache до 50m)
ssl_session_cache shared:le_nginx_SSL:50m;
ssl_session_timeout 1440m;
ssl_session_tickets off;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;

ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384";

# эти директивы я добавил
# ssl on; # устарела с версии nginx 1.15.0
add_header Strict-Transport-Security "max-age=31536000;";
resolver 8.8.8.8 8.8.4.4 valid=300s;
ssl_stapling on;
ssl_stapling_verify on;
resolver_timeout 10s;

И вновь перезагружаем nginx. Проверить SSL-рейтинг сайта можно здесь: https://www.ssllabs.com/ssltest/ — там в поле вписать свой домен.

11. Заменим в исходных кодах сайта конструкцию http://site.ru на https://site.ru, где site.ru — наш домен. Для этого можно открыть файл бэкапа базы данных сайта в любимом текстовом редакторе и сделать автозамену http://site.ru на https://site.ru. Затем необходимо импортировать измененный бэкап на сервер БД. После этой манипуляции в WordPress может слететь:
— настройка вывода меню, которая настраивается во Внешний вид — Меню — Управление областями
— фоновое изображение сайта, если оно было назначено средствами WordPress — настраивается во Внешний вид — Фон — Фоновое изображение
— текстовые виджеты в сайдбаре и подвале — они теряются бесследно, поэтому перед импортом изменённой базы данных их лучше где-то сохранить, чтобы потом можно было восстановить как было

12. Аналогично поступаем со всеми файлами сайта, в файлах с расширениями html, php, js, css ищем и заменяем все включения http://site.ru на https://site.ru

13. Заходим в админку WordPress в раздел «Настройки» — «Общие» и проверяем, что там в двух полях указано https://site.ru

14. Если в WordPress используется какой-то плагин для автоматической генерации карты сайта, то перегенерируем карту сайта, чтобы ссылки внутри нее стали с протоколом https.

15. В файле robots.txt нашего сайта в директивах host и sitemap меняем http на https вот так:

Sitemap: https://site.ru/sitemap.xml  
Host: https://site.ru

16. Добавим до тега </head> на страницах сайта нижеследующий код. Он необходим для правильной передачи реферрера сторонним сайтам.

<meta name="referrer" content="origin">

17. Если к сайту подключены скрипты сторонних сервисов:
— ВКонтакте: https://vk.com/apps?act=manage в Настройках приложения для сайта меняем адрес сайта на https
— Facebook https://developers.facebook.com/apps/ в Настройках приложения для сайта меняем адрес сайта на https
— социальные кнопки Share42 http://share42.com/ru — перегенерировать код и заменить его на сайте
— комментарии ВКонтакте для сайта https://vk.com/dev/Comments — перегенерировать код и заменить на сайте
— комментарии FaceBook для сайта https://developers.facebook.com/docs/plugins/comments/?locale=ru_RU — перегенерировать код и заменить на сайте
— виджет группы Одноклассники для сайта https://apiok.ru/ext/group — перегенерировать код и заменить на сайте
— виджет группы Facebook для сайта https://developers.facebook.com/docs/plugins/page-plugin — перегенерировать код и заменить на сайте
— виджет группы ВКонтакте для сайта https://vk.com/dev/Community — перегенерировать код и заменить на сайте

18. Запустим в Вебмастере Mail.ru переезд сайта на https https://webmaster.mail.ru
— зайти в Настройки сайта и отметить галочку Показывать «https»

19. Запустим в Вебмастере Bing переезд сайта на https https://www.bing.com/webmaster/home/mysites
— Заходим в Средства диагностики — Перемещение сайта и выбираем:

• «Я перемещаю URL-адреса из одного места на текущем сайте в другое (site.ru).»
• Область: Каталог
• Исходный: http://site.ru
• Конечный: https://site.ru
  — Заходим в Настройка сайта — Sitemaps и добавляем ссылку на xml-карту сайта: https://site.ru/sitemap.xml

20. Запустим в Яндекс.Вебмастере переезд сайта на https. Где-то с марта 2018 года Яндекс отказался от использования директивы host в файле robots.txt в качестве определяющего фактора при переезде сайта на HTTPS и теперь рекомендует для склейки доменов http и https просто установить 301-й редирект со всех страниц в http на аналогичные им страницы в https. Таким образом теперь механизм переезд сайта на Яндекс аналогичен механизму переезда сайта на Google.
— Заходим в Вебмастер https://webmaster.yandex.ru/ и добавляем новый сайт https://site.ru
— Для сайта https заходим в Индексирование — Файлы Sitemap и добавляем ссылку на xml-карту сайта: https://site.ru/sitemap.xml
— Для сайта http заходим в Индексирование — Переезд сайта, отмечаем галочку Добавить HTTPS и нажимаем Сохранить

21. Запустим в Google Serch Console переезд сайта на https https://www.google.com/webmasters/tools/home?hl=ru&authuser=0
— Заходим в Вебмастер и нажимаем Добавить ресурс, вводим https://site.ru
— Для сайта https заходим в Сканирование — Файлы Sitemap и добавляем ссылку на xml-карту сайта: https://site.ru/sitemap.xml

22. Настроим бэкап папки /etc/letsencrypt Создадим файл le.sh со следующим содержимым:

#!/bin/sh
date_time=`date +"%Y-%m-%d_%H-%M"`
le_dir='/mnt/disk_backup/letsencrypt'
tar -czvf $le_dir/le_$date_time.tar.gz -C /etc/ letsencrypt
/usr/bin/find $le_dir -type f -mtime +30 -exec rm {} \;
#хранить файлы не старше 30 дней

23. Настроим автопродление сертификатов. На сайте производителя рекомендуется запускать обновление сертификатов дважды в сутки, при этом обновятся сертификаты не ранее, чем за 30 дней до окончания срока своего действия, который составляет 90 дней. Добавим в cron строки:

0 0 * * * root /usr/bin/certbot renew --allow-subset-of-names --post-hook 'nginx -s reload'
1 12 * * * root /usr/bin/certbot renew --allow-subset-of-names --post-hook 'nginx -s reload'
# запустит команду в 00:00 и в 12:01
# renew - обновит сертификаты
# --allow-subset-of-names - обновит сертификаты даже если один из доменов был удалён с сервера
# --post-hook 'nginx -s reload' - перезагрузит nginx после обновления сертификатов

0 2 * * * root /backup/le.sh >/dev/null 2>&1
# запустит скрипт бэкапа папки letsencrypt в 02:00 и отработает тихо без лишних сообщений

После каждого запуска обновления сертификатов в каталоге /var/log/letsencrypt создаётся log-файл, количество которых ограничено 100 штуками и не регулируется.

24. Перезагрузим cron

systemctl restart crond.service

P.S.

Со временем нам может понадобиться получить SSL-сертификат для нового домена, для этого:

1. Вновь запускаем настройку Certbot

certbot --nginx

Запустится программа, которая задаст два вопроса:
1.1. программа выведет все домены настроенные в nginx — здесь вводим через пробел номера новых доменов newdomain.ru и www.newdomain.ru и нажимаем Enter

С этого момента сайт работает на HTTPS. Если открыть сайт в браузере http://www.newdomain.ru, то он будет перенаправлен на https://newdomain.ru

2. В конфигурационном файле домена в nginx можно увидеть, какие изменения Certbot внёс в него. Можно подправить его для удобочитаемости аналогично тому, как я сделал это выше в пункте 9. При этом следует обратить внимание на директивы ssl_certificate и ssl_certificate_key — пути до ключей в них будут отличаться от путей для ранее добавленных доменов.

3. Перезагружаем nginx после внесённых изменений

systemctl restart nginx

Обновление сертификата для нового домена будет происходить согласно ранее сделанным настройкам автопродления сертификатов в пункте 23.

P.P.S.

Посмотреть какие SSL-сертификаты установлены в системе и сколько дней они ещё действительны можно такой командой:

certbot certificates

А изменить состав доменов, содержащихся в сертификате или даже заменить домены полностью можно такой командой:

certbot certonly --cert-name site.ru -d site.com,www.site.com

HTTPS для сайта на WordPress под управлением nginx.

В последнее время наблюдается бум перехода на HTTPS не только для интернет магазинов, но и для информационных сайтов, коими по большей части и являются сайты, созданные на популярной платформе WordPress. Двигателем подобного перехода послужило заявление создателей Chromium о маркировке сайтов без HTTPS как небезопасных. Движок Chromium используется во многих популярных браузерах (основной тут конечно Google Chrome). Кроме того, Google заявил об изменении в ранжировании сайтов и приоритизации в выдаче ресурсов, использующих безопасное соединение.

Подобные заявления не остались без внимания веб мастеров и многие крупные ресурсы уже осуществили переход на HTTPS, в то же время проекты поменьше пока в большинстве своем остаются на HTTP, но это вероятно обусловлено потенциальными сложностями перехода и дополнительными расходами.

Данная статья расскажет о том, каким образом осуществить перевод на HTTPS сайтов, использующих WordPress, не потратив денег на SSL сертификат, получить оценку безопасности A+ в популярном тесте, минимизировать накладные расходы на обслуживание HTTPS соединений и выполнить требования Яндекса для успешной индексации картинок.

UPD: В связи с появлением атаки Weak Diffie-Hellman and the Logjam Attack статья обновлена. Проверьте свои сайты на предмет уязвимости к этой атаке!

В статье предполагается, что наш сервер использует nginx в качестве веб сервера. Если ваш сайт все еще использует Apache, советую задуматься о переходе, так как это даст достаточно приличный прирост производительности и позволит использовать последний тренд в оптимизации HTTPS — технологию SPDY. Подробная инструкция по настройке WordPress на nginx доступна по ссылке: Руководство по настройке блога WordPress на nginx.

В качестве тестового стенда я буду использовать блог, настроенный по руководству, указанному выше. Замену внутренних ссылок я осуществлю при помощи wp-cli. Хотя для этих целей существует множество плагинов, но для разовой операции по замене ссылок на мой взгляд их использование не принесет каких либо плюсов, а просто добавит еще один плагин.

Все операции по настройке HTTPS можно разделить на 4 этапа:

1. Получение сертификата.
2. Настройка nginx.
3. Настройка WordPress.
4. Проверка результата.

Получение сертификата.

В данной главе мы поговорим о получении бесплатного валидного сертификата от компании StartSSL. Конечно есть ненулевая вероятность того, что в старых браузерах нет их корневого сертификата, но по итогам установки их сертификата на сервер Admins.SU, не встретилось ни одного клиента с подобной проблемой. Большинство элементов сайта StartSSL.com русифицировано, так что с регистрацией проблем возникнуть не должно, но на всякий случай опишу все шаги.

1. Перейдем на страницу https://www.startssl.com/?app=12

Если мы попробуем сразу зайти в контрольную панель по кнопке Authenticate, то получим ошибку: При соединении с auth.startssl.com произошла ошибка. SSL-узлу не удалось договориться о приемлемом наборе параметров безопасности. (Код ошибки: ssl_error_handshake_failure_alert). Все дело в том, что аутентификация происходит по сертификату, который необходимо получить в результате регистрации.

Так что для начала нажмем на кнопку Sign-up.

2. Заполним все требуемые поля. Пусть вас не вводит в заблуждение отсутствие звездочки напротив телефона. Без него регистрация не пройдет

3. Получим на почту код подтверждения, который и введем на сайте.

4. После завершения регистрации в браузер пропишется сертификат, по которому и будет осуществлен доступ в панель управления StartSSL.

5. Важно этот сертификат забэкапить. Для этого необходимо произвести экспорт вместе с секретным ключом. Так как файл экспорта может попасть в руки сторонним людям, обязательно ставьте пароль.

В Google Chrome:

a. Войдите в настройки Google Chrome. b. На главной странице настроек снизу нажмите «Показать дополнительные настройки». c. В секции HTTPS/SSL найдите кнопку «Настроить сертификаты» и нажмите на нее. d. Во вкладке «Личные» найдите ваш сертификат от StartCom выданный, на вашу почту. e. Выберите этот сертификат и нажмите «Экспорт». f. В меню про экспорт закрытого ключа выберите «Да, экспортировать закрытый ключ». g. В следующем окне отметьте галочками «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства». h. Укажите имя файла, в который вы сохраните сертификат i. После сохранения файла сохраните его в надежном месте.

В Firefox:

a. Войдите в настройки Firefox. b. Перейдите в меню «Дополнительные». c. Откройте вкладку «Сертификаты». d. Нажмите на кнопку «Просмотр сертификатов». e. Перейдите во вкладку «Ваши сертификаты». f. Найдите ваш сертификат на имя почты. g. Нажмите на кнопку «Сохранить копию». h. Укажите имя файла имя файла и нажмите «Сохранить». i. Укажите пароль для сертификата. Нажмите ОК.

Теперь можно зайти на страницу https://auth.startssl.com/

6. На странице https://auth.startssl.com/ нажмем на кнопку «Contol Panel».

7. Перейдем по вкладке «Validations Wizard».

8. В поле Type укажем «Domain Name Validation».Нажмем Continue.

9. На странице «Enter Domain Name» укажем имя домена. Нажмем Continue.

10. На следующей странице необходимо указать email, с помощью которого будет проходить валидация. Это адреса postmaster/hostmaster/webmaster @ ИМЯ_домена или адрес, на который домен зарегистрирован. Выберем любой удобный и нажмем Continue.

11. На почту придет «Authentication Code», который необходимо будет ввести на странице валидации.

12. Перейдем по вкладке «Certificates Wizard».

13. В поле «Certificate Target:» выберем Web Server SSL/TLS Certificate. Нажмем Continue.

14. На странице «Generate Private Key» можно либо создать новый Private Key, либо пропустить этот шаг, нажав Skip, чтобы использовать свой Private Key. Если вы создаете новый, то необходимо ввести пароль (Key Password) от 10 символов, длину ключа (Keysize) и алгоритм (Secure Hash Algorithm). Длина ключа 2048 обычно достаточна, алгоритм SHA1 не подходит для новых браузеров, так что выберем SHA2. После этого нажмем Continue.

15. Выберем наш домен из выпадающего списка и нажмем Continue.

16. Теперь необходимо указать субдомен, обычно это WWW.ИМЯ_ДОМЕНА. После этого нажмем Continue и на следующей странице снова Continue.

17. На следующей странице мы получим код сертификата, который необходимо сохранить. В ряде случаев сервис может сообщить, что для выпуска сертификата требуется время. В этом случае уведомление о выпуске придет на почту, а получить сертификат можно будет на вкладке «Tool Box» по ссылке «Retrieve Certificate».

18. После генерации личного ключа, его можно расшифровать с помощью команды «openssl rsa -in ssl.key -out ssl.key», либо в Tool Box сайта StartSSL по ссылке «Decrypt Private Key». Можно этого не делать, но тогда каждый раз при перезапуске nginx придется указывать этот пароль. С другой стороны это безусловно повысит уровень безопасности.

Настройка nginx.

После получения сертификата, его необходимо подключить к нашему nginx. Все, описанное ниже, предполагает, что настройки nginx выполнены согласно руководству по настройке WordPress для LEMP. Если вы используете свой конфиг nginx, настройки могут отличаться.

1. Сохраним все необходимые сертификаты на сервере с nginx:

1

sudo mkdir /etc/nginx/ssl && cd $_

1.1. Данный пункт появился в связи с новой атакой Weak Diffie-Hellman and the Logjam Attack. Для унификации инструкции, данный пункт обязателен для любой версии Linux, т.к. ниже в конфигах на него идут отсылки.

Исполним данный код:

1
2
3
4
5
6

sudo mkdir -p /etc/nginx/ssl/private
sudo chmod 710 /etc/nginx/ssl/private

cd /etc/nginx/ssl/private
sudo openssl dhparam -out dhparams.pem 2048
sudo chmod 600 dhparams.pem

2. В файл вставим полученный ранее Private key:

1
2

cd /etc/nginx/ssl
sudo nano private.key

3. В файле сохраним полученный сертификат. Вместо %SITENAME% укажите имя своего домена:

1

sudo nano %SITENAME%.pem

4. Скачаем вышестоящий сертификат:

1

sudo wget https://www.startssl.com/certs/sub.class1.server.ca.pem

5. Произведем склейку сертификатов для дальнейшего использования в nginx. Вместо %SITENAME% необходимо указать имя вашего домена:

1

cat %SITENAME%.pem sub.class1.server.ca.pem > %SITENAME%-chain.pem

6. Изменим конфигурационный файл nginx для работы по HTTPS. Вместо %SITENAME% укажите имя своего домена без WWW:

1

sudo nano /etc/nginx/conf.d/%SITENAME%.conf

7. В секции Server найдем параметр listen, исправим порт с 80 на 443, добавим ключи ssl и spdy:

1
2

# listen *:80;
listen *:443 ssl spdy;

8. После строки с параметром index вставим следующее, не забыв сменить %SITENAME% на имя домена без WWW:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

# Включить поддержку ssl.
ssl on;
# Путь до файла, содержащего склеенный сертификат домена и вышестоящего узла
ssl_certificate /etc/nginx/ssl/%SITENAME%-chain.pem;
# Путь до Private Key
ssl_certificate_key /etc/nginx/ssl/private.key;
# Разрешенные протоколы. SSL3 дырявый, SSL2 старый. TLSv1 оставляем только для совместимости со старыми браузерами. Если таких нет, лучше удалить.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# Виды разрешенных шифров. Указаны наиболее распространенные, исключая небезопасные.
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
# Исключаем возможность BEAST-атаки.
ssl_prefer_server_ciphers on;
# Исключаем возможность атаки Weak Diffie-Hellman and the Logjam Attack
ssl_dhparam /etc/nginx/ssl/private/dhparams.pem;
# Время жизни SSL сессии.
ssl_session_cache shared:SSL:10m;
# Таймаут сессии.
ssl_session_timeout 5m;
#Позволяет серверу прикреплять OCSP-ответы, тем самым уменьшая время загрузки страниц у пользователей.
ssl_stapling on;
# Требуется для ssl_stapling.
resolver 8.8.8.8 8.8.4.4;
# HSTS. Механизм, активирующий форсированное защищённое соединение по HTTPS
add_header Strict-Transport-Security max-age=31536000;

9. Теперь перейдем в конец файла и добавим новую секцию Server для настройки переадресации с HTTP на HTTPS с возможностью передачи картинок по HTTP (сделано для нормальной индексации картинок Yandex картинками):

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16

# Не забудьте изменить %SITENAME% на имя домена..+\.(jpg|jpeg|gif|png|ico|bmp)$ {
access_log off; log_not_found off; expires 60d;
}
location / {
# Перенаправим все остальные запросы на HTTPS.
return 301 https://$server_name$request_uri;
}

10. После сохранения файла проверим конфигурационный файл:

Если все сделано правильно, перезапустим nginx:

Настройка WordPress.

Для нормальной работы WordPress по HTTPS необходимо изменить его настройки. Для этого воспользуемся wp-cli.

Скачаем wp-cli:

1
2

cd ~/
curl -L https://raw.github.com/wp-cli/builds/gh-pages/phar/wp-cli.phar > wp-cli.phar

Дадим wp-cli права на выполнение, переместим его в директорию из PATH, проверим работоспособность:

1
2
3

sudo chmod +x /usr/bin/wp-cli.phar
sudo mv /usr/bin/wp-cli.phar /usr/bin/wp
wp --version

Теперь перейдем в директорию с сайтом и выполним команду wp search-replace. Вместо %SITENAME% укажите имя своего домена без WWW:

1

wp search-replace 'http://%SITENAME%' 'https://%SITENAME%'

Поздравляю, настройка завершена. Осталось зайти в административную панель WordPress и удалить кэши.

Проверка результата.

Убедившись, что сайт теперь полностью под властью SSL, можно проверить настройки на стандартные проблемы в безопасности с помощью замечательного ресурса https://www.ssllabs.com

На момент написания статьи сайт с приведенными выше настройками заработал оценку A+.

ВАЖНО: статья не прошла боевого крещения и возможно не учитывает каких либо индивидуальных тонкостей в настройке. Если у вас возникли проблемы с использованием HTTPS и вы следовали выше приведенной инструкции, пожалуйста не стесняйтесь оставлять комментарии, я обязательно помогу.

Смотрите также

SSL в WordPress. Установка сертификата от Let’s Encrypt и настройка https:// на сайте — WordPressify

Первоначально этот пост был опубликован, ещё когда не было бесплатных сертификатов Let’s Encrypt, теперь же, с их появлением, произошли некоторые изменения, как минимум, на каждом сайте с SSL теперь написано «Надёжный»:

Если же у вас есть например форма авторизации на странице и нет https://, то гугл хром соответственно будет указывать «Нанадёжный», а если вы платежи по картам принимаете и нет SSL, то хром вообще с ума сойдет 😂 также все говорят о влиянии SSL на SEO, а потому с начала этого года (2017) все просто активизировались и загорелись установкой SSL-сертификата себе на сайт.

Если вы используете какой-либо хостинг, то на мой взгляд, первый шаг, связанный с заказом, продлением и установкой сертификата Let’s Encrypt должен решаться через панель хостера нажатием одной кнопки, мне нравится как это реализовано у beget, также помню, что у меня абсолютно не возникло никаких проблем с сертификатами на sprinthost.

Вообще, на мой взгляд есть два варианта настройки защищенного соединения на сайте WordPress:

• админка через https, а сайт через http (опять-таки, в 2015 году это ещё было актуально, но теперь прикольно делать весь сайт на https://, поэтому скипайте первую часть поста и переходите сразу ко второй),
• полностью весь сайт через https.

SSL в админке и для страницы wp-login.php 

define('FORCE_SSL_ADMIN', true);

$use_sts = true;
if ($use_sts && isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off') {
    header('Strict-Transport-Security: max-age=31536000');
} elseif ($use_sts) {
    header('Location: https://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'], true, 301);
    die();
}

 $ & nbsp; certbot Renew --dry-run 

 17 & nbsp; 4 * * * certbot Renew --quiet --post-hook "systemctl reload httpd"