Нужен ли вашему WordPress-сайту SSL-сертификат?

Дата публикации:Май 22, 2016

Должен ли ваш WordPress-сайт иметь SSL-сертификат? Короткий ответ: да, хотя он и не всегда требуется. Даже если вы не принимаете платежей на сайте, вы все равно должны иметь SSL-сертификат.

ssl_certs

Использование защищенного протокола HTTPS для вашего сайта – важный шаг в поддержании безопасности вашего ресурса, сохранении целостности ваших данных и данных ваших пользователей. Также вы получите определенный прирост в плане SEO и возможность защититься от массового слежения в сети, что является приятным бонусом.

SSL vs HTTPS

Обычно мы говорим об этих двух технологиях так, словно они являются равнозначными. SSL-сертификат – это то, что делает защищенный протокол HTTPS возможным. Буква «S» в HTTPS означает «secure», т.е. защищенный, по аналогии с «S» в SFTP.

SSL предоставляет ключ шифрования, что и позволяет реализовать протокол HTTPS.

Когда мы говорим о том, что «сайт использует SSL», мы подразумеваем, что сайт имеет правильно настроенный SSL-сертификат и принимает соединения только по HTTPS. Это две разные вещи.

HTTPS – обязательное условие для электронной коммерции

Если ваш сайт принимает платежи в каком-либо виде, вы должны обязательно использовать SSL-сертификат. Большинство платежных систем требуют это. Некоторые системы, такие как PayPal Express, которые работают путем перенаправления на другой сайт, не требуют SSL. Однако, поскольку исходная форма не защищена, вы ставите под удар клиентские данные, которые могут быть перехвачены в процессе отправки формы.

SSL-сертификат хорош не только в плане безопасности, но еще и в плане визуального воздействия. Люди все больше беспокоятся о своей безопасности в сети, становятся более осведомленными о том, что такое HTTPS. Обычные пользователи все чаще смотрят на иконку замка в адресной строке браузера.

Другие преимущества, которые дает SSL-сертификат

SSL-сертификат поставляется вместе с некоторыми гарантиями. Изучите эти гарантии. Чем дороже сертификат, тем больше сумма гарантии, которую выплатит компания в случае взлома шифрования, приведшего к финансовым потерям.

Если ваш сайт принимает платежи, и злоумышленники обманным путем получат доступ к данным кредитной карты вашего клиента, вы тоже будете нести ответственность за это. Наличие SSL-сертификата с гарантийным обеспечением – прекрасный способ защиты от таких проблем.

А если мой сайт не имеет форм?

Возможно, вы прочли этот текст и подумали: но ведь у меня нет форм на сайте! В таком случае HTTPS не требуется? Во-первых, устраните этот пробел и добавьте контактную форму на свой сайт.

Во-вторых, любой WordPress сайт имеет формы. К примеру, формы входа, ведущие к огромному набору форм, которые мы именуем панелью администратора WordPress. В панели администратора уже предприняты свои меры безопасности, однако они основаны на случайных числах и cookies. Без HTTPS вы небезопасно передаете их во время каждого редактирования записи или смены настроек плагина.

Не забудьте и про другое направление

Мы обычно рассматриваем HTTPS в контексте защиты отправленных с сайта данных (к примеру, заполненные формы), однако очень важно рассмотреть вопрос и целостности данных, передаваемых с вашего сайта. Без HTTPS страницу с вашей формой можно легко перехватить и модифицировать. Можно изменить URL, куда должна была прийти форма, или поля, которые были в форме.

Такой тип атак, именуемый MITM (Man in the Middle), позволяет злоумышленникам использовать ваш сайт в качестве фишинговой страницы, о чем вы даже не узнаете. К счастью, если такое произойдет, Google пометит ваш сайт в выдаче как небезопасный. Ваши SEO-показатели и ваша репутация будут поставлены под удар. И со временем это станет явным для вас.

Buzzfeed недавно перенес свой сайт на HTTPS именно по этой причине. Владельцы сайта были обеспокоены тем, что некоторые правительства следят за читателями, изменяя контент ресурса. HTTPS решил эту проблему.

Что нужно держать в памяти при переходе к HTTPS

К сожалению, перевод незащищенного WordPress-сайта на HTTPS имеет несколько подводных камней. Мы уже писали о том, на что нужно обратить свое внимание при переходе к HTTPS. Давайте еще раз кратко отметим основные нюансы.

Просто установить SSL-сертификат и сменить URL сайта на https:// недостаточно. Вы должны убедиться в том, что ваш сервер сконфигурирован для перенаправления всех запросов по HTTP к эквивалентным URL-адресам с HTTPS.

Многие браузеры не разрешают выдачу изображений, CSS-стилей и JS-файлов по HTTP на странице, использующей HTTPS. При миграции вам нужно будет убедиться в том, что все изображения в ваших записях используют новый защищенный URL.

Просто сделайте это!

Сегодня можно очень легко приобрести SSL-сертификат. Самые выгодные цены при покупке SSL-сертификата предлагают реселлеры. При выборе реселлера стоит обращать внимание на наличие у компании собственного офиса, а также на время существования компании.

Низкие цены – еще не показатель качества. Магазинов, предлагающих очень низкие цены, довольно много, но зачастую службы поддержки у них попросту нет, в результате чего клиент, покупая сертификат, не знает, что дальше с ним делать. Никто не подскажет, как решать проблемы при установке сертификата на сервер. Все это выливается в лишнюю головную боль, поэтому лучше всего отдавать свое предпочтение проверенным компаниям, которые имеют свои реальные офисы (гарантия того, что компания никуда не пропадет) и работают уже длительное время.

Покупка SSL-сертификата в данном случае будет включать в себя возможность обратиться в поддержку по бесплатному телефонному номеру, где специалисты оперативно решат любые проблемы.

Также в этом случае можно будет легко получить документы для бухгалтерии.

Поделиться

37 комментариев

  1. Андрей says:

    «… защититься от массового слежения в сети»
    Кхм, простите, а от чьего? Того же Google, ФСБ? :)

    За статью спасибо, изложено доступным языком. Наконец-то понял, что и простому блогеру пригодится HTTPS. Хотя и беспокоит момент: TLS и SSL — по сути одно и тоже, только TLS можно считать приемником, верно? Отсюда второй вопрос: не ждет ли нас, после SSL-бума, вторая волна принуждения к сертификату? Но уже TLS.
    И еще…
    Насколько понимаю, HTTP/2 накатывается поверх SSL. Отсюда вопрос: данные «преображения ресурсов» производить разово, т. е. в один день, или необходима очередность и временные интервалы для переиндексации роботами?

    • Дмитрий says:

      Слежение со стороны правительств, к примеру, за действиями пользователей. В некоторых странах это слежение выстроено довольно жестко.

      TLS основан на SSL 3.0, так что беспокоиться не о чем. По сути это одно и то же. Отличия лишь в усиленной безопасности, но и SSL тоже дает защиту с финансовыми гарантиями от центров сертификации. При желании по запросу всегда можно выпустить и TLS-сертификат (это я узнавал в магазине ЛидерТелеком, который приведен сбоку в баннере — они выпускают TLS по запросу от клиента).

      Для большинства браузеров переход на HTTP/2 может быть реализован только с установленным SSL/TLS-сертификатом, это верно. Производить можно как разом, так и периодично. Это особой разницы не имеет, поскольку при переходе на SSL поначалу все равно упадут показатели, а восстановятся примерно через несколько недель/месяц (в зависимости от поисковых систем).

      • Андрей says:

        Спасибо за пояснения, добавил в закладку.

        • Николай says:

          http/2 накатывается поверх https

          http/2 — протокол передачи данных и https — протокол передачи данных,
          а вот SSL-сертификат это два ключа безопасности, (упрощённо — набор символов, а «просто-понятно» — это пароль, такой же как при входе в E-mail, просто набор знаков).

          http/2 — последняя версия протокола передачи данных и полный переход на http/2 лишь вопрос времени.
          Когда-то вели ожесточённые споры нужен ли сайту «www» в домене. Сейчас спорят нужен ли SSL-сертификат.
          Ответ очевиден: SSL-сертификат нужен для перехода сайта на https, а https нужен для перехода на http/2.
          Может быть будет вопрос «а зачем переходить на http/2».
          Ответ: «А зачем переходить с Windows 95 на Windows XP, потом на Windows 10»

  2. Волшебник says:

    Если вы ничего не продаете и не покупаете на сайте, то нет, не нужен.

    • Дмитрий says:

      Есть официальное заявление Google о том, что HTTPS-соединение повышает показатели ранжирования в SERP.

      Насколько сильно повышает — другой вопрос. Если бы были более весомые бонусы от Google, то в таком случае вся сеть бы уже перешла на HTTPS.

  3. Влияет ли https на ранжирование сайта в поисковой выдаче?

    • Дмитрий says:

      Читайте мой комментарий выше. Влияет, но насколько сильно — это уже другой вопрос.

  4. Габриел says:

    Вот давно думаю что перейти на https, только не знаю как именно. Не хочется чтобы ссылки проподали

  5. Габриел says:

    Скажите пожалуйста если перейти на этот новый протокол то сайт будет более защищён ? или это на влияет на защиту прям так значительно ?

  6. Марк says:

    А как быть с OpenSSL вроде бы он должен быть бесплатным. Если можно расскажите коротко об этой штуке

    • Дмитрий says:

      Вы имеете в виду самоподписанный сертификат, который можно самому создать в OpenSSL? От него ноль толку — что в плане безопасности, что в плане привлечения посетителей. На сайте с таким сертификатом всякий раз будет выдаваться предупреждение от браузера о том, что сайт использует недоверенный сертификат, и пользователю всякий раз надо будет принимать сертификат (а многие этого не делают, зная про всякие вирусы и т.д.). Потому практической пользы от него никакой.

  7. А если на сайте был ssl сертификат, а потом его не продлил и он пропал с сайта. Это как то повлияет на позиции?

    • Дмитрий says:

      Он приобретается сразу на год (или сразу на 2 или на 3 года).

      Нужно будет снимать его с сайта, т.к. посетителям будет выдаваться сообщение, что сертификат просрочен. Сам по себе он с сайта никуда не пропадет и не исчезнет магическим образом :)

      Т.е. надо будет запускать обратный процесс — менять все URL обратно на HTTP, ставить 301 редирект, чтобы склейка прошла и тИЦ перенесся.

      Позиции рухнут, потом должны будут восстановиться, но нет гарантий, что останутся такими же высокими, как и раньше. Для бизнеса это — просто крах, потому что это тут же отразится на репутации компании, пользователи это заметят и у них могут появиться определенные подозрения, учитывая, что trust seal (печать доверия) ставится на сам сайт. И если она резко с него пропадает, это, естественно, вызовет массу вопросов (не завладели ли сайтом злоумышленники, на правильном ли вообще сайте я нахожусь, не фишинговая ли это копия и т.д.).

      Лучше не доводить до такого, а вовремя продлевать сертификат (или сразу брать на 3 года, тогда и проблем никаких).

  8. А у меня и так сейчас http

    • Дмитрий says:

      У вас какой сертификат был до этого? Самоподписанный? Или от доверенного центра сертификации — Comodo, RapidSSL и др.?

  9. Мне сертификат сразу дали при регистрации хостинга на REG.ru бесплатно

    • Дмитрий says:

      Понятно, это просто как добавочная ценность для клиента. Дают на год, стоимость его все равно уже включена в цену хостинга. Нигде не нашел, кстати, что за сертификат выдается — от какого центра сертификации (Comodo, RapidSSL или какой-то другой). Потом все равно нужно будет оплачивать, чтобы не потерять позиции и не проводить всякие настройки по переводу обратно на HTTP.

      • Дмитрий says:

        Если вы все правильно подключили, у вас сайт должен быть доступен по протоколу HTTPS.

  10. Спасибо за полезную информацию, можно взимать от сюда!

  11. К сожалению по истечению времени действия сертификата нужно продлевать. А стоимость порой заоблачная для небольших сайтов.

    • Дмитрий says:

      Да не сказал бы, что заоблачная. Для одного сайта Comodo Positive — 1490 р в год. Это получается в месяц примерно 124 рубля. Разве это много?

  12. sonraid says:

    Здравствуйте
    Хотел на вашем сайте попробовать зайти по протоколу HTTPS и браузер Mozilla Firefox пишет что «Владелец oddstyle.ru неправильно настроил свой веб-сайт. Чтобы защитить вашу информацию от кражи, Firefox не соединился с этим веб-сайтом».
    Это значит у вас на сайте не стоит сертификат или он просрочен?

    • Дмитрий says:

      Здравствуйте, чтобы его получить, нужно платить провайдеру. Пока у меня нет HTTPS.

  13. Спасибо за статью. Долго думал ставить на свой сайт или нет. Теперь точно поставлю!

  14. Я слышал то что на данный момент наличие сертификата положительно влияет на продвижение, ну то есть поисковики ставят плюсик если у вас есть ssl.

    • Дмитрий says:

      Есть такое, особенно Google. Да и в плане доверия посетителей онлайн-магазинам не помешает установить себе.

  15. Единственным минусом сертификата является его стоимость. Если есть деньги на постоянное его продление то почему бы и нет

    • Дмитрий says:

      «Постоянное продление» — это оплатить один раз в год. Да и не такие это большие деньги, особенно если это сайт бизнеса.

  16. OmarSK says:

    Смотрю у хостингов пошла мода предоставлять возможность бесплатного подключения ssl. Естественно у таких сертификатов возможностей меньше, но основная защита есть. Для простых сайтов, не магазинов или бизнес, сойдет. Так что сейчас, по-моему, вообще проблем нету прикрутить ssl, причем обычно тех. поддержки отзываются на просьбы помочь перенастроить сайт под https. Пока один сайт перевел на ssl, он новый, поэтому ради эксперимента, как и что делается. Опасности потери позиций или посещалки нету)

    • Дмитрий says:

      В некоторых случаях подойдет и бесплатный сертификат, но он имеет свои ограничения. К примеру, нет никаких страховок и гарантий, нет печатей доверия. Вот тут можно почитать подробнее про минусы таких сертификатов: https://www.leaderssl.ru/articles/331

  17. OmarSK says:

    У меня вообще нет сайтов с приемом платежей, все они не коммерческие. Поэтому мне смысла нету тратить деньги на платный SSL.

  18. А Вы когда переведете свой ресурс на HTTPS?

  19. Ваш ресурс популярен и имеет огромную ссылочную массу. На переход и, главное, качественную настройку нужно потратить массу времени, уж точно.

    • Дмитрий says:

      Да, + нужно будет разбираться с биржами ссылок. Если бы это был новый сайт, то уже давно бы перевел не задумываясь.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Получать новые комментарии по электронной почте. Вы можете подписаться без комментирования.