В последнее время все больше внимания уделяется вопросу защищенности и анонимности пользователей. А такие поисковики как Google, даже всячески приветствуют введение https на сайтах: из двух абсолютно одинаковых сайтов в поиске будет занимать позиции выше тот, который с https протоколом, сайты же без https могут быть помечены как не надежные. Так что лучше не упускать возможность обогнать конкурентов на этом новом факторе и следовать тренду - вводить на своем сайте поддержку https-протокола.
С вводом https мы:
- улучшаем сайт в плане SEO
- делаем сайт более защищенным - злоумышленники не смогут в незащищенных сетях подслушать какие пароли вводятся на вашем сайте и какие странички посещаются
- вызываем доверие у посетителей:
- выделяющаяся зеленая адресная строка с https
- забота о защите и анонимности посетителей
- некоторая защита от фишинг-атак
Итак какие действия нужно совершить, чтобы перевести wordpress на https?
В первую очередь разобраться какой вам сертификат нужен, купить его и прописать на хостинге - это рассматривается в статье "HTTPS, SSL сертификаты и форматы сертификатов".
После этого приступаем непосредственно к настройке WordPress.
Вход в админку wordpress только через https
Первым делом защитимся от того, чтобы никто в открытых wifi сетях не смог подслушать ваш пароль при входе в админ панель wordpress.
Открываем файл wp-config.php и прописываем в нем строку:
define('FORCE_SSL_ADMIN', true);В настройках адреса сайта меняем http на https
В админке wordpress переходим в "Настройки" - "Общие" и указываем "Адрес WordPress (URL)" и "Адрес сайта (URL)" через https. На моем примере вместо http://elims.org.ua пишем https://elims.org.ua
Если ваш wordpress работает в режиме мультисайта, то в админке нет полей "Адрес WordPress (URL)" и "Адрес сайта (URL)". В таком случае понадобится редактировать базу данных: во всех таблицах wp_X_options (где вместо X цифры) в полях:"home","siteurl" и "fileupload_url" указываем адрес через https.
Меняем во внутренних ссылках http на https
Во внутренних ссылках лучше всего использовать относительные адреса, а не абсолютные:
- абсолютный адрес: https://elims.org.ua/about/
- относительный адрес: /about/
Относительные адреса не только облегчают перенос сайта с одного домена на другой и переход с http на https, но они не так нагружают хостинг, когда служебные процессы обращаются к этим ссылкам. Только не всегда получается придерживаться этого правила.
Очень часто при публикации какого-либо контента во внутренних ссылках используются абсолютные адреса - так быстрей: скопировал ссылку из адресной строки и вставил в текст, без редактирования и вырезания лишней части. В таком случае во всех внутренних ссылках нужно заменить http на https.
Делаем SQL запрос в базе данных, на примере моего сайта:
UPDATE wp_posts SET post_content = REPLACE (post_content, 'http://elims.org.ua', 'https://elims.org.ua');
Или же можно сразу сделать все ссылки относительными:
UPDATE wp_posts SET post_content = REPLACE (post_content, 'http://elims.org.ua/', '/');
Как делаются такие запросы я уже писал в записи "WordPress: как заменить текст в блоге (базе данных)".
Эта замена происходит только по контенту в записях и страницах. В меню и шаблоне ссылки не затрагиваются чтобы случайно ничего не сломать, изменив какие-либо настройки.
Поэтому было бы еще хорошо обнаружить оставшиеся внутренние ссылки с http. В этом может помочь такой инструмент как Xenu (я о нем писал в записи "SEO: Xenu - бесплатный аудит сайта и мертвых ссылок"):
- сканируем при помощи Xenu все страницы нашего сайта
- сортируем адреса по алфавиту и находим внутренние ссылки с http
- анализируем эти ссылки, узнаем где они могут быть прописаны и переделываем их
Канонические ссылки с https
Когда на сайте одна и та же страница доступна по разным адресам, то канонические ссылки указывают которая из страниц является оригинальной и приоритетной. Таким образом мы сообщаем поисковику какую страницу-дубль включать в индекс. Все другие дубли игнорируются.
Например "http://elims.org.ua" и "https://elims.org.ua" - два разных адреса (в одном http, в другом https), но страница одна и та же. Поэтому убеждаемся что все канонические ссылки указывают на https версии страниц.
В этом могут помочь SEO плагины.
Переадресация 301 с http на https
При помощи 301-го редиректа мы получаем два результата:
- Сообщаем поисковым системам что "http://elims.org.ua" и "https://elims.org.ua" - это одна и та же страница. А точнее говорим что мы переместили страницу с "http://elims.org.ua" на "https://elims.org.ua" и просим перенести весь ссылочный вес и прочие "заслуги".
- Всех посетителей http-версии страницы автоматически переадресовываем на https-версию страницы.
301-ю переадресацию с http на https можно реализовать тремя способами, через:
- файл .htaccess
- php-код
- плагин
301 редирект с http на https через .htaccess
Вариантов кодов для редиректа с http на https через .htaccess существует большое количество, я для примера приведу два из них:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.yoursite.com/$1 [R,L]
</IfModule>Или еще один код:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_HOST} ^yoursite.com [NC,OR]
RewriteCond %{HTTP_HOST} ^www.yoursite.com [NC]
RewriteRule ^(.*)$ https://www.yoursite.com/$1 [L,R=301,NC]
</IfModule>
Не всегда такая переадресация работает, у меня например по началу выбивало ошибку "ERR_TOO_MANY_REDIRECTS" - "На этой странице обнаружена циклическая переадресация".
Но после в справочной информации своего хостинга ukraine нашел код, который заработал и позволил отказаться от плагина.
Рабочая версия код для моего wordpress в режиме мультиблога:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
#for SSL
RewriteCond %{HTTP:SSL} !=1 [NC]
RewriteRule ^(.*) https://elims.org.ua/$1 [L,R=301]
301 редирект с http на https через php-код
Все просто - открываем файл в шаблоне functions.php и прописываем следующий код:
function force_https () {
if ( !is_ssl() ) {
wp_redirect('https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'], 301 );
exit();
}
}
add_action ( 'template_redirect', 'force_https', 1 );
или еще один вариант, предложенный читателем - именно такой вариант для читателя был рабочим:
<?php
add_action ( 'template_redirect', 'force_https', 1 );
function force_https () {
if ( !is_ssl() ) {
wp_redirect('https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'], 301 );
exit();
}
}
?>301 редирект с http на https через wordpress плагин
Более опытные веб-мастеры предпочитают обходимся своим кодом и не использовать плагины в тех случаях, когда можно без них обойтись. Это связано с тем, что в плагинах часто реализован лишний функционал, который не нужен и может создавать лишнюю нагрузку. При этом сами плагины могут некорректно работать. Но в данном случае именно этот метод переадресации я предпочел, так, как нашел плагин состоящий всего лишь из нескольких строк php-кода, который опубликован выше. Все-таки активировать и деактивировать плагин более удобней, чем редактировать php-файлы.
Упомяну три плагина:
- WordPress HTTPS (SSL): можно активировать принудительный вход в админку через https, настраивать https только для определенных страничек\записей, либо для определенных адресов по регулярным выражениям, удалять со страницы весь не https-контент, изменять исходящие ссылки с http на https версии сайтов и пр. Этот плагин заработал не на всех шаблонах.
- Easy HTTPS Redirection: можно настроить переадресацию для всех страниц или только для определенных. По сути плагин добавляет в файл .htaccess код для редиректа. Но, как я писал выше, этот метод у меня вызывает ошибки "ERR_TOO_MANY_REDIRECTS" - "На этой странице обнаружена циклическая переадресация". При этом после деактивации плагина пришлось вручную удалять его код из файла .htaccess.
- WordPress Force HTTPS - простой плагин, ничего лишнего. Переадресация реализована через php-код. Именно на нем я остановился.
Рекомендую через некоторое время убедится что поисковики не включают в индекс дубли страниц (http и https версий). Для это возьмите несколько адресов своих страниц и вбейте в гугле запрос подобный моему:
site:elims.org.ua inurl:elims.org.ua/blog/xosting-ukraine-obzor-i-otzyv/
На моем примере я увижу какие версии страницы "elims.org.ua/blog/xosting-ukraine-obzor-i-otzyv/" есть в поисковом индексе. Должна быть лишь одна версия - с https.
Включение HSTS
Строгая транспортная безопасность HTTP (HSTS) — это механизм политики веб-безопасности, с помощью которого веб-сервер указывает, что он поддерживает подключения только по протоколу HTTPS. Это позволяет предотвратить атаки типа "злоумышленник в середине" на SSL.
Эта политика передается сервером агенту пользователя в поле заголовка HTTP-ответа "Strict-Transport-Security". Политика задает период, в течение которого у агент пользователя будет доступ к серверу только безопасным способом.
Пропишите в файле .htaccess следующий код:
<IfModule mod_headers.c> # this domain should only be contacted in HTTPS for the next 12 months Header set Strict-Transport-Security "max-age=31536000" env=HTTPS </IfModule>
Не забывайте перед любыми операциями над сайтом создавать его резервную копию.
Здравствуйте, делаю все по Вашей инструкции, но на этапе: SQL запрос в базе данных, показывает ошибку: #1064 — You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘://compliment.lv’, ‘https://compliment.lv’)’ at line 1
Прописывал запрос так: UPDATE wp_posts SET post_content = REPLACE (post_content, ‘compliment.lv’, ‘https://compliment.lv’);
Подскажите пожалуйста, в чем проблема?
Sergej, здравствуйте. Думаю проблема в кавычках. Попробуйте поставить двойные кавычки (которые на кнопке с буквой э) или одинарную — ` (которая на кнопке с буквой ё и тильдой (~)), не путайте с одинарной, которая на кнопке с буквой э (‘).
Спасибо большое, все получилось. Теперь буду продолжать дальше, надеюсь и дальше все будет хорошо.
И спасибо большое за этот пост!
Спасибо огромное! Очень выручила инструкция!
Здравствуйте!
При переходи на https в файле Robots.txt путь к карте Sitemap надо тоже изменить на https?
Спасибо за ответ!
Сообщаем поисковым системам что «https://elims.org.ua» и «https://elims.org.ua» — это одна и та же страница.
Забавно звучит, учитывая, что это и есть одна и та же страница. И так по всей статье. Видимо при переезде на https ты окончательно заменил все http на https :)
P.s. Поздравляю с возвращением тИЦа))
uglion, да, действительно делал замену через запрос в базе данных и не учел это =) Спасибо
Большое человеческое спасибо! :)
Пане Володимир , на ukraine.com.ua є можливість безкоштовно створити самопідписний сертифікат . Чи варто переходити на такий сертифікат ?
Нет, нету. В таком случае браузеры будут большими красными буквами предупреждать что сертификат самоподписанный и отпугивать этим посетителей.
Якщо не секрет , то де ви замовляли сертифікат для свого сайту , і яка вартість ?
13.15$ на 39 месяцев на https://rus.gogetssl.com/
Здравствуйте.
Спасибо за инструкцию.
Некоторое время назад, свой блог перевел на https, однако, все еще ищу решение вот какой проблемы: XML карта сайта выдает все равно http (Yoast SEO). Ставил Google Sitemap — то же самое, идет как .. Как рещить именно эту проблему? Что нужно сделать, чтобы ссылки в sitemap.xml были https?
Ссылка на блог — в емейле.
Спасибо!
От души! Спасибо :-) А то голову ломал, установил SSL, а браузеры ругались… Поменял в настройках WP и вуаля! :-)
Добрый день, не подскажите, мы перевели сайт на SSL сертификат и теперь перестали отображаться картинки, сайт на WordPress ? я сделал запрос к базе UPDATE wp_posts SET post_content = REPLACE (post_content, ‘my-site.ru’, ‘https://my-site.ru’) но не помогло, в исходном коде страницы картинки указываются так
как победить?
Добрый день. В настройках сайта укажите адрес с https, и рекомендую выкачать всю базу и произвести поиск в текстовом редакторе на вхождения my-site.ru
Здравствуйте, Владимир. На Вас последняя надежда, перерыл уже кучу наших и буржуйских форумов.
После всех этих действий админка в бесконечном цикле переадресаций. Когда прописываю в wp-config $_SERVER[‘HTTPS’]=’on’;
То появляется окно входа, но выдает сообщение «Извините, вам не разрешено просматривать эту страницу.»
Где хоть копать. Вроде люди у себя проблему эту порешали, но никто не отписывал как именно нигде((
И еще, Вы внизу исправьте подписку, а то не понятны первые 2 пункта – они по сути одинаковы))
добрый день.
define(‘FORCE_SSL_ADMIN’, true);
пробовали?
Пробовал(( Вся проблема начинается тогда, когда в настройках ВП меняю путь к сайту. Пробовал менять и вручную в БД, но итог такой же. Сразу после замены в админку не войти.
Теперь еще и забыл, что прописывал в wp-config, что решало проблему со стилями и скриптами, а то без той строчки не все берут правильный путь и сайт выглядит криво((
Добрый вечер!
Подскажите, пожалуйста, существует какой-нибудь универсальный запрос к базе данных для изменения ссылок с http на https ?
Почему спрашиваю: после перехода на https перерастала работать функция keep-alive, на хостинге решения не нашел, думаю все дело в базе данных. В админке все ссылки заменил на относительные, а базу данных не трогал, так как все нормально работает. Может ли быть в этом причина?
П.С.: сервер Apache, не WP (вообще не знаю, какая CMS).
Заранее благодарен за ответ!
С уважением,
Владимир, подскажите:
после активизации плагина WordPress Force HTTPS и получения зеленого замочка, его можно деактивировать?
Плагин супер!
Спасибо за качественную проработку вопроса о переходе на защищенный протокол!
Если переадресация осуществляется только за счет плагина — то после деактивации будут доступны и http страницы.
Деактивируйте плагин и проверьте в анонимном режиме браузера происходит ли переадресация с http на https
Большое спасибо. После деактивации все нормально работает.
Здравствуйте. Вариант редиректа с РНР кодом имеет недостаток. Везде редиректит на https кроме главной странице. Главная по-прежнему доступна по двум адресам: https и http.
Привет,
Использовал запрос UPDATE wp_posts SET post_content = REPLACE (post_content, ‘elims.org.ua’, ‘https://elims.org.ua’);
Но всё равно еще осталось много страниц где url c http остался. Подскажи почему?
Домен свой использовал в запросе?
Скачай базу данных и все файлы, сделай поиск по ним http-ссылок с твоим доменом через notepad++
А вы настраиваете https платно?
Проблема в том, что я не особо в этом разбираюсь. Дала задание программисту, а он уже 2 недели не может сайт в порядок привести( то меню не работает, то все плагины, то все фотографии пропали, то сертификат слетает.
Он говорит, что кривой шаблон, делайте другой сайт. Но мне кажется не только кривой шаблон. И не хочет исправлять ошибки.
Очень нужна профессиональная помощь.
а как сделать наоборот, с https на http при помощи functions.php ?
Помогла Ваша статья, но дополню:
замена ссылок на относительные скриптом не рекомендую, некоторые ссылки в массивах и потом не будет правильно тема работать. Рекомендую поискать php скрипт Search-Replace-DB-master — ним очень просто и надежно менять. Проверено на множестве сайтов…
Спасибо за вашу статью, ваш PHP-код был не полным.
Рекомендую заменить на:
Итог, далой аксес, через него мои сайты работали на обоих протоколах((
Здравствуйте, Владимир!
При настройке файла wp-config.php появилась такая строка — «wp-config.php не может быть изменён, требуются права для записи» и я его случайно удалила. Теперь мой сайт не открывается, вышла вот такая информация:
«Добро пожаловать в WordPress. Перед началом работы нам нужна информация о базе данных. Перед тем, как продолжить, вам нужно знать следующие пункты.
Название базы данных
Имя пользователя базы данных
Пароль базы данных
Хост базы данных
Префикс таблицы (если вы хотите запустить несколько WordPress в одной базе данных)
Мы будем использовать эту информацию для создания wp-config.phpфайла. Если по какой-либо причине это автоматическое создание файлов не работает, не беспокойтесь. Все это заполняет информацию о базе данных в файле конфигурации. Вы также можете просто открыть wp-config-sample.phpтекстовый редактор, заполнить свою информацию и сохранить ее как wp-config.php. Нужна дополнительная помощь? Мы получили его .
По всей видимости, эти предметы были предоставлены вам вашим веб-хостом. Если у вас нет этой информации, вам необходимо связаться с ними, прежде чем продолжить. Если вы все готовы …»
Я тут ничего не пойму. Подскажите пожалуйста, как теперь восстановить это файл. Может у Вас есть видео на эту тему.
Здравствуйте, восстановите wp-config.php из резервной копии. Можете обратиться в техподдержку хостинга, чтобы они Вам дали резервную копию, если Вы их никогда к себе на компьютер не скачивали.
Спасибо за статью!
Пожалуйста, подскажите, можно ли ускорить время переадресации с Http на Https?
Сейчас она составляет 364ms
Заранее благодарен за ответ
Пожалуйста. Смотря как Вы замеряете время и что подразумеваете под временем переадресации, например вот одна и та же страница, первый (276 мс) и второй запрос (63 мс):
https://tools.pingdom.com/#!/eaUfPn/elims.org.ua/blog/wordpress-perexod-na-https/
https://tools.pingdom.com/#!/d7dOvv/elims.org.ua/blog/wordpress-perexod-na-https/
Разница лишь в том, что во втором запросе уже обращение к dns-серверу (214 мс) не происходит, так как хост уже знает по какому ip-адресу находится этот домен.
Здравствуйте,
подскаэите плиз, у меня мультисайт: основной домен и один поддомен.
установили сертификат, но Гуугл пишет, что не подходящий:
Search Console
Сертификат SSL/TLS не соответствует URL вашего сайта https://www.site.info/
Сертификат SSL/TLS сайта https://www.site.info/ выпущен только для URL site.info и не подходит для URL Вашего субдомена. Браузеры интерпретируют домены с www и без www, как разные сайты. Это означает, что сертификат SSL/TLS Вашего сайта выдан для другого домена и в некоторых браузерах Ваш сайт будет считаться небезопасным. Такие браузеры могут заблокировать доступ пользователей к Вашему сайту и показать предупреждение. Это необходимо для защиты пользователей от злоумышленников.
С уважением.
Здравствуйте, проверьте выдан ли сертификат на обо домена, например на этом сайте установлен сертификат который действительный для обоих доменов:
DNS-имя=elims.org.ua
DNS-имя=www.elims.org.ua
Хотя я это при покупке нигде не указывал. Думал что так все продавцы делают.
Если у вас не так, значит либо делайте редирект с одного домена на другой, если в выдаче, тот на который редиректиться считается основным, либо покупайте другой сертификат
Спасибо за ответ.
Подскажите, пожалуйста, а что по поводу покупки сертификата для поддомена?
Или Вы покупали сертификат сразу для мультисайта?
С уважением.
покупал вот тут gogetssl.com за $12 на три года, без уточнения мультисайт это или нет, нужен мне домен www или нет. Они автоматом включили в сертификат без www и с www
Спасибо!
Скажите, а после уже как все перенеслось с ПС, т.е. все старые URL стали https в файле .htaccess нужно убирать редирект? Нужно ли отключать старый http? то как?
Если кто-то, когда-то, на каких-то сайтах проставлял ссылки на Ваш сайт с http в адресе, и эти ссылки еще есть, то при отключении редиректа они перестанут работать.
Подскажите пожалуйста как выудить http которые не получило перевести автоматом. Некоторые медиафайлы остались на старом протоколе. Как их вычеслить и поменять вручную. Если делать через базу сайт перекашивается.
Когда загружается админка, четко стоит зеленый замочек, как только перехожу в риал, на секунду появляется, а после слетает
Привет. Слушай, тут такая ситуация. Нужно, чтобы сайт работал и на http и на https. Попытался прописать в базе адрес сайта вида //site.name, но ссылки на внутренние страниц на http версии всё равно ведут на https. К тому же при попытке входа в админку появилась надпись «отключено». Нарыл плагин Https Switcher Plugin, одна ссылки стали правильными только на главной странице, а на внутренних всё также ведут на https. Уж не знаю что делать, в гуглепо этому поводу информации почти нет, а что есть, то неработает. Не поможешь? :)
Uglion, привет, каким образом прописывал?
Владимир, ну по совету на одном форуме прописал siteurl в таблице options такой: //site.ru Не помогло. :) Так то у меня обе версии сайта работают, редирект я отключил. Вся проблема в ссылках на странице http версии, которые ведут на https.
пройдись в базе по таблице постов и замени site.ru/,https://site.ru/,//site.ru/ на /
Только перед этим сделай бекап базы и будь готов востанавливаться
Это решит проблему в постах. Я у меня проблема в ссылках в виджетах всяких, типа «Последние статьи» и всё такое. если сайт урл заменить на site.ru то все эти ссылки будут вести уже на http версию, даже с https версии сайта)
Здравствуйте. У меня вот какая ситуация — я перевел сайт ( он у меня на ворпдессе) с http на https с помощью правки в базе — не помню на каком сайте советовали уже. Все ссылки стали относительными и начинаются c // Но дело в том, что не только внутренние такими стали, но и ссылки на другие сайты и даже канонические ссылки не начинаются с https а начинаются с //
Начал смотреть код страниц на тех сайтах, на кторых читал статьи про то как переходить с http на https — у них канонические ссылки в порядке и начинаются с hhtps. У вас тоже канонические начинаются как нужно с https. Помогите пожалуйста — не могу найти нигде информацию как вернуть все канонические ссылки в статьях к абсолютным ссылкам — чтобы атносительными сотались только все внутренние. Дело в том, что и ссылки на другие сайты в стаььях и каноническую ссылку я указываю как нужно начиная с https — но после публикации просматривая код — там все до единой
ссылки начинаются с // или с /
рекомендую использовать seo-плагин, например yoast — он сам будет прописывать тэг canonical. Вручную этого делать не нужно.
Владимир, добрый день!
Спасибо за статью, очень доходчиво написано. Перевел свой сайт таким образом на https, но у меня возникла одна проблема (по всей видимости она связана с редиректом). Если в браузере, впервые, открывать сайт по ссылки с http, то отображается уведомление хостера — сайт не настроен… НО, если в этом же браузере открыть страницу через https, то последующие переходы по http будут редиректить на https.
Скажите, пожалуйста, как настроить редирект, чтобы он срабатывал с первого раза. Благодарю!
На хостинге reg.ru помог только(!) код, который вставляется в functions.php. Все остальные, которые находил на каких-либо сайтах не работали и просто вызывали циклическую переадресацию. Огромное спасибо!
Спасибо! Помогло
WordPress Force HTTPS — простой плагин, ничего лишнего. Переадресация реализована через php-код. Привет, а этот плагин только надо актевировать или его еще надо настраивать. Зарание спасибо за ответ.
Большое спасибо за статью. Самая грамотная инструкция по переводу WP на HTTPS из тех, что удалось найти в выдаче.