Как перейти на HTTPS в WordPress

Переход на HTTPS – важный процесс для многих веб-сайтов. Почему это необходимо сделать? Причины следующие:

  • Общая безопасность. Если вы переходите на HTTPS, вы гарантируете, что ценные клиентские данные не будут перехвачены в процессе транзакций. Это очень важно для сайтов, которые имеют систему входа и принимают кредитные карты для оплаты.
  • Сайт, каким он должен быть. Я слышал про случаи, когда WiFi-системы в отелях и даже интернет-провайдеры перехватывали HTTP-трафик и нередко вставляли свой собственный рекламный код. Сделать это по HTTPS не получится.
  • SEO. Google говорит, что сайты будут ранжироваться выше.
  • Необходимое условие. Ссылок, к сожалению, не приведу, но мне кажется, что HTTPS требуется для некоторых/всех вещей по SPDY и HTTP/2.

Получаем SSL-сертификат

ssl_secure

Этот шаг является обязательным, поскольку без этого перевести свой сайт на HTTPS не удастся. Сделать это довольно просто, если следовать инструкциям.

Как только ваш SSL-сертификат будет корректно установлен, вы сможете посетить свой сайт либо по HTTPS, либо по HTTP, и он будет отлично работать. Хотя по HTTPS могут также встречаться ошибки, но мы посмотрим далее, как их исправить.

Начинаем с панели администратора

В WordPress вам также понадобится вначале перенести панель администратора на HTTPS. Обычно с этим не бывает ошибок (когда я говорю «ошибок», я имею в виду уведомления о смешанном контенте – мы еще дойдем до них).

Чтобы включить HTTPS для панели администратора, необходимо поместить следующую строку в wp-config.php, который хранится в корневой папке вашей сборки WordPress:

define('FORCE_SSL_ADMIN', true);

Обязательно протестируйте работоспособность HTTPS. Перейдите по ссылке https://yoursite.com/wp-admin/ для проверки этого. Иначе вы можете столкнуться с нерабочими URL-адресами. Если у вас возникли какие-либо проблемы, просто удалите эту строку из файла.

Все прекрасно, вы имеете защищенное соединение:

secure-connection

Пытаемся перевести одну страницу фронтэнда на HTTPS

Следующий шаг – перенос фронтэнда на HTTPS. Перевести все сразу на HTTPS будет довольно сложно, поэтому лучше всего начать с одной целевой страницы. К примеру, возьмем страницу входа для The Lodge. На этой странице могут приниматься кредитные карты, поэтому она должна передаваться по HTTPS. Это и стало базовой мотивацией для меня по переходу на HTTPS.

Существует плагин, который позволяет это сделать — WordPress HTTPS (SSL). С помощью данного плагина вы получите специальный чекбокс, который выводится для страниц/записей и помогает шифровать их с помощью SSL.

secure_ssl

Избавляемся от уведомлений о смешанном содержимом

В действительности необходимо постараться обойти следующие уведомления:

mixed-content

Хорошая попытка перейти на HTTPS, но зеленого замочка нет!

Если вы откроете консоль, вы увидите следующее:

console-warnings

В данном случае некоторые изображения были встроены с CodePen с помощью HTTP src. Однако такую проблему могут вызвать и другие элементы: к примеру, HTTP в script, HTTP в link CSS, HTTP в Iframe и т.д. Все то, что приводит к выполнению HTTP-запроса, будет выдавать подобную ошибку.

Вам просто нужно исправить URL. Везде.

Относительные URL (относительно протокола)

Вы знаете, это такие URL-адреса, которые начинаются с двух слэшей. Пример:

<img src="//example.com/image.jpg" alt="image">

Они – ваши друзья. Они будут подгружать ресурсы для того протокола, который задан для страницы. Ссылки, которые являются относительными, тоже будут вполне приемлемы:

<img src="/images/image.jpg" alt="image">

У меня практически везде были подобные ссылки. Мне осталось лишь поправить ссылки в произвольных полях:

custom-fields

Проблема сложнее: изображения в старом контенте

На сайте были тысячи страниц и сотни тысяч изображений. Прямо в контенте. Проблема в том, что эти изображения имеют HTTP-ссылки.

Я не стал полагаться на использование фильтров WordPress для контента. Вместо этого я нанял профессионала, который помог мне справиться с URL. Первое, что мы сделали – это выполнили несколько SQL-запросов для исправления URL в базе данных. По большей части мы просто исправили src изображений, сделав их относительными (относительно протокола).

Мы выполнили бэкап базы данных и протестировали работу сайта локально. Все работало великолепно:

UPDATE wp_posts 
SET    post_content = ( Replace (post_content, 'src="https://', 'src="//') )
WHERE  Instr(post_content, 'jpeg') > 0 
        OR Instr(post_content, 'jpg') > 0 
        OR Instr(post_content, 'gif') > 0 
        OR Instr(post_content, 'png') > 0;

И еще один запрос для отлова изображений с одинарными кавычками:

UPDATE wp_posts 
SET   post_content = ( Replace (post_content, "src='https://", "src='//") )
WHERE  Instr(post_content, 'jpeg') > 0 
        OR Instr(post_content, 'jpg') > 0 
        OR Instr(post_content, 'gif') > 0 
        OR Instr(post_content, 'png') > 0;

Произвольные поля мы поправили аналогичным образом:

UPDATE wp_postmeta 
SET meta_value=(REPLACE (meta_value, 'iframe src="https://','iframe src="//'));

Убеждаемся в том, что новые изображения являются относительными (относительно протокола)

Справившись со старым контентом, мы решили убедиться в том, что с новым контентом тоже все будет в порядке. Для этого нам нужно было поправить все вещи, связанные с загрузчиком медиа файлов, чтобы он добавлял изображения с относительными URL (относительно протокола). К счастью, у меня уже была настроена вставка изображений с помощью тегов figure, так что мне пришлось всего лишь их немного откорректировать. Соответствующий код был вынесен в функциональный плагин. Это несколько выходит за рамки статьи, но вы можете самостоятельно разобраться с этим, если хотите:

class CTF_Insert_Figure {

  /**
   * Initialize the class
   */
  public function __construct() {
    add_filter( 'image_send_to_editor', array( $this, 'insert_figure' ), 10, 9 );
  }
  
  /**
     * Insert the figure tag to attched images in posts
     *
     * @since  1.0.0
     * @access public
     * @return string return custom output for inserted images in posts
     */
  public function insert_figure($html, $id, $caption, $title, $align, $url) {
    // remove protocol
    $url = str_replace(array('http://','https://'), '//', $url);
    $html5 = "<figure id='post-$id' class='align-$align media-$id'>";
    $html5 .= "<img src='$url' alt='$title' />";
    if ($caption) {
        $html5 .= "<figcaption>$caption</figcaption>";
    }
    $html5 .= "</figure>";
    return $html5;
  }
}

Ваш CDN тоже должен быть с SSL

Если у вас включен CDN, вам нужно убедиться в том, что все ресурсы передаются с него через HTTPS. К счастью, многие CDN автоматически это обрабатывают.

Запускаем HTTPS везде на сайте

Делается это в .htaccess в корне сборки WordPress:

# Force HTTPS
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Как только этот код будет помещен в файл, вы сможете отключить плагин и удалить код из wp-config.php, поскольку все это будет излишним.

Также вам понадобится сменить параметры URL в общих настройках, сделав их https://. Таким образом, все ссылки в WordPress будут должным образом сформированы:

general-settings

Продолжаем чистку

Даже после перехода на HTTPS везде на сайте вы можете встретить страницы со смешанным контентом. Вам нужно будет исправлять URL ресурсов для этих страниц.

Удачи вам!

Блог про WordPress
Комментарии: 58
  1. Eugene Kopich

    Да, был такой опыт недавно по переводу WordPress на https. В статью Chris Coyier тоже заглядывал по ходу дела. Думаю для обычного блога жирновато платный сертификат. Поэтому использовал бесплатный от CloudFlare. Результат изложил в статье:
    Перевод WordPress на https (CloudFlare)

    1. Дмитрий (автор)

      Бесплатный сертификат — это палка о двух концах. С одной стороны вроде как дешево, с другой стороны скупой платит дважды.

      Раз уж вы дали свою ссылку, то я тоже приведу ссылку на полезный материал по теме бесплатных ssl-сертификатов: https://www.leaderssl.ru/articles/331-besplatnye-sertifikaty-pochemu-ne-stoit-ih-ispolzovat

      1. Eugene Kopich

        И на том же сайте продают сертификаты, ну не удивительно что они страху нагоняют)
        В любое время можно сменить на другой сертификат, так что привязки нет. Пока о let’s encrypt и CloudFlare нормальные отзывы. Но я их не защищаю. Если интернет-магазин, например, тогда наверное стоит задуматься о чем-то посерьезнее

        1. Дмитрий (автор)

          Страху никто не нагоняет. Это действительно те недостатки, которые имеются у бесплатных сертификатов. Поэтому использовать их стоит на свой страх и риск.

          Для серьезных проектов, естественно, бесплатные сертификаты не подойдут, это верно. Тот же Let’s Encrypt не предлагает (и не обещает в будущем выпускать) сертификаты wildcard, code signing или ev, к примеру.

          1. BaNru

            > Смотря для каких проектов и для каких целей

            Дмитрий, ну ты же понимаешь, что проект для которых не подойдёт халявный сертификат будет базироваться на WP с шансом в 0.001% и у таких скорее всего будут специалисты, которые сами всё сделаю и купят где надёжнее, а именно у поставщика, а не посредника?
            А 99.9% бложиков сертификат не нужен. И только 0,099% готовы установить и устанавливают и им бесплатного более чем достаточно.

          2. Дмитрий (автор)

            > Дмитрий, ну ты же понимаешь, что проект для которых не подойдёт халявный сертификат будет базироваться на WP с шансом в 0.001% и у таких скорее всего будут специалисты, которые сами всё сделаю и купят где надёжнее, а именно у поставщика, а не посредника?

            Очень и очень спорное утверждение по поводу базирования на WP. Многие серьезные проекты сейчас строятся на WP, что подтверждается и статистикой: за последние годы крупные ресурсы переехали на WordPress. Могу привести статистику топ 100 самых крупных сайтов по трафику в сети — из CMS там лидирует как раз WP.

            Покупка сертификата у поставщика обходится дороже где-то раза в 2, чем у реселлера, поскольку реселлеры приобретают те же самые сертификаты дешевле на порядок — и продают их соответственно дешевле.

            > А 99.9% бложиков сертификат не нужен. И только 0,099% готовы установить и устанавливают и им бесплатного более чем достаточно.

            Смотря что за бложики. Если в этих бложиках предлагаются какие-либо цифровые продукты, то в таком случае им жизненно важно поставить SSL-сертификат. В будущем в любом случае придется это делать, т.к. все равно все идет к тому, что вся сеть переедет на HTTPS. Сейчас же это помогает получить бонусы в ранжировании, о чем уже неоднократно говорили Google в своем блоге.

            Бесплатные SSL-сертификаты могут выдавать уведомления в браузерах, т.к. не все они поддерживаются так хорошо, как платные сертификаты от известных центров сертификации. Если же брать Let’s Encrypt, то да, за ним стоят крупные инвесторы, и, возможно, он станет хорошей альтернативой платным DV-сертификатам, но в данный момент проект находится в бета-версии, и неизвестно, как он будет развиваться дальше. Многие проекты так и зависали на бета-версии и закрывались со временем, даже получив мощное финансирование. Поэтому загадывать на будущее не нужно. Если проект рассчитан на долгий срок, то лучше побеспокоиться и купить платный сертификат, чем рисковать и прийти к тому, что в определенный момент времени старый сертификат просто перестанет поддерживаться, и все равно придется понести траты. Магазин сертификатов, который я привел по ссылке, существует уже более 6 лет — весомый срок для того, чтобы доверять компании. Да и, как уже было отмечено выше, некоторые типы сертификатов просто невозможно выпустить в Let’s Encrypt.

          3. BaNru

            > Могу привести статистику топ 100 самых крупных сайтов по трафику в сети — из CMS там лидирует как раз WP.

            С удовольствием посмотрел бы этот топ и статистику.

            > Смотря что за бложики. Если в этих бложиках предлагаются какие-либо цифровые продукты, то в таком случае им жизненно важно поставить SSL-сертификат.

            Тоже спорное утверждение. Жили без этого и будут жить. Ну и я остаюсь при «своей статистике» — на WP очень мало таких проектов.

            > В будущем в любом случае придется это делать, т.к. все равно все идет к тому, что вся сеть переедет на HTTPS.

            Эту фразу я слышал ещё лет пять назад :)
            Не многое с тех пор изменилось.
            Но в любом случае конечно потихоньку к этому движется, но очень медленно.

            > Магазин сертификатов, который я привел по ссылке, существует уже более 6 лет — весомый срок для того, чтобы доверять компании.

            У нас и банки закрываются.

            > Да и, как уже было отмечено выше, некоторые типы сертификатов просто невозможно выпустить в Let’s Encrypt.

            А это ещё меньше востребовано. Тем более, повторю, на ВП.

            Я вообще не против всего этого. Я вел разговор к тому, что не стоит рвать и говорить предвзято в отношение проплаченного рекламодателя. Надо оставаться всегда нейтральным. Иначе это может завести не туда.

          4. BaNru

            Кстати, а что же ты сам ещё не на HTTPS от данных ребят?
            Покажи пример, тем более тебе наверное на халяву дадут!

          5. Дмитрий (автор)

            Пример сайтов из топ 100 на WP:

            https://premium.wpmudev.org/blog/top-250-sites-using-wordpress/

            > Но в любом случае конечно потихоньку к этому движется, но очень медленно.

            За пять лет скачок произошел очень даже заметный. Выросла и узнаваемость Trust Seal среди покупателей. Сегодня более 80% юзеров в США узнают Trust Seal от Symantec и верят таким сайтам. У нас пока процент меньше, это да, но в будущем узнаваемость определенно станет выше.

            > У нас и банки закрываются.

            В таком случае и оф. центры сертификации могут закрыться. Тогда вообще нет смысла нигде брать)

            > А это ещё меньше востребовано. Тем более, повторю, на ВП.

            Мультидоменные очень даже востребованы. Да и Wildcard тоже — компании нередко имеют массу поддоменов, и все надо защитить.

            > Я вел разговор к тому, что не стоит рвать и говорить предвзято в отношение проплаченного рекламодателя. Надо оставаться всегда нейтральным. Иначе это может завести не туда.

            Мне никто не платит за это. Я нашел исходник, перевел его и выложил, дополнительно указав ссылку на магазин, которому сам же доверяю. Исходник, к слову говоря, приведен в самом низу статьи. Людям это может быть вполне полезно. Если знаете другие магазины, которые более выгодные или которые позволяют купить SSL по низким ценам — делитесь ссылками. Покупать в оф. центрах сертификации — не вариант, цены там выше и поддержки русской там нет. Даже сами англичане, как показала статистика, не покупают в оф. центрах, а предпочитают брать у реселлеров. Учитывая даже, что Comodo имеет офисы в Великобритании — такой вот парадокс.

            Статья полностью нейтральная. Я не нахваливаю никого просто так — магазин действительно стоящий. Если вы так не считаете, жду ваших предложений магазинов. Если они будут лучше, я заменю ссылку на них. Только вот постарайтесь обосновать, почему они лучше.

            Сам я не перехожу на HTTPS, т.к. я ничего не продаю. Но если мне было бы принципиально, я бы приобрел себе DV и не парился.

          6. Дмитрий (автор)

            Как раз таки если бы мне была доступна такая «халява» в виде сертификатов, это было бы сигналом, что статья проплачены и мне дали плюшки за это. Будет нужно — приобрету и поставлю. Пока не вижу смысла, есть и другой горизонт работ над блогом, который пока не покорен, т.к. нет свободного времени.

  2. Леонид

    А как же Let’s Encrypt? https://ru.wikipedia.org/wiki/Let%27s_Encrypt

    1. Дмитрий (автор)

      Смотря для каких проектов и для каких целей. В некоторых случаях подойдет. Но, опять же, тут потребуются навыки и знания для его установки. Если нет таких навыков, то в таком случае лучше обращаться в магазины, как приведенный по ссылке выше. Русский реселлер = русскоязычная поддержка (и цены на порядок ниже, чем у оф. центров сертификации).

      Если навыки имеются, то тогда можно обойтись и DV от Let’s Encrypt.

  3. Дмитрий Донченко

    Грусть печаль только в том, что после перехода на https, тот же яндекс начинает чудить с сайтом, в моем случае обнулился тИЦ.

    И сами яндексоиды, сообщают что это нормальный процесс пересчета тИЦ после перехода на https ;(

    1. Дмитрий (автор)

      Пересчет ТИЦ потом происходит, просто у кого-то быстрее, у кого-то медленнее. Также могут быть провалы в посещаемости, но со временем все возвращается и затем уже наблюдается стабильный рост.

  4. Дмитрий (автор)

    http://royal.pingdom.com/2013/05/07/wordpress-top-100-blogs/ — вот еще хорошая статистика по CMS. Правда, за 2013 год, но все же.

    1. alex

      Прикольный ты человек! У самого сайт на http, расcказываешь о https, которого у тебя нет! Критикуешь сертификаты (которых у тебя опять же не установлено). Говоришь о том что крупные проекты перебираются на вордпресс. Так вот вордпресс это движек больше для нищебродов и блогеров. Он популярен только из-за того что с ним сможет работать любой чайник. Не один крутой сайт с большой посещаемоcтью переходить на wp не будет, так как его производительность оставляет желать лучшего, поверьте мне, я сайты делаю 7 лет и испытал много движков и самые популярные из них (вордпресс, джумла и друпал) с одной стороны гибкие за счет модулей и кучи шаблонов, а во остальном говно еще то. Бешенные нагрузки на хостинг (при большой посещаемости) и кэширование особо не помогает, а помогает только перезд на нормальный VPS и т.д.

      1. Дмитрий (автор)

        Чтобы детально разбираться в картинах, не обязательно быть художником и рисовать их. Параллели понятны?

        >вордпресс это движек больше для нищебродов и блогеров.

        Ага, только почему-то процент использования WordPress среди топ 100 крупнейших сайтов сети только растет, что показывает статистика. Конечно, в топ 100 только блогеры и домохозяйки, да-да.

        Херовенький ты разработчик сайтов, если за 7 лет простых истин не смог усвоить, что WP уже давно не блоговый движок и на нем что только не делают, вплоть до приложений.

        1. alex

          Да нет Дмитрий, это ты хреновый разработчик раз хвалишь вордпресс) Я в курсе что на нем можно собрать практически все (интернет магазин, подобие соц сети, форум и т.д. и т.п.) Только ты меня походу не услышал, Вордпресс дырявый движек (об том свидетельствует статистика самых взламываемых CMS и регулярные обновления (в которых нет особо допилов самого движка, а основном залатывают дыры в безопасности). Да безопасность можно повысить плагинами но это опять же лишние нагрузки! Это первый кjсяк вордпресса, а их много. 2й минус, скорость сайта — нормальный средне статический сайт на нормальном движке грузиться менее секунды, на вордпрессе пару секунд (частая практика). У меня были заказы переноса сайтов в вордпресса. И все свои сайты с него перенес (остался только блог и сайт визитка (до нее не как руки не дойдут и времени особо нет что бы сменить движек), и не переношу его из-за большого колличества комментариев, и парочки полезных дополнений, которые мне нужны), так вот скорость сайта после смены движка (вордпресса), возрастает как минимум в 3 раза и нагрузки снижаются в раз 20+. По поводу твоего топа, не знаю где ты его отрыл, но там и в правду домохозяйки! И опять же твой топ относителен, так как на вордпресс работает более 50% всех сайтов в интернете, в рунете более 70%, но только вот там 90% обычных смертных, которые не фига не разбираются не в чем абсолютно (в плане сео и веб-разработки), просто начитались статей где расхваливается вордпресс, от таких же чайников как они сами, и вуаля + 1, 2, 1000, 100000 сайтов на вордпресс)

          1. Дмитрий (автор)

            Mashable, TechCrunch, Wired — конечно, сайты домохозяек.

            Думаю, что дальше вести диалог бессмысленно, это напоминает троллинг с твоей стороны. Все эти мифы про WordPress (плохая скорость работы, дыры, бла-бла-бла), которым лет по десять, уже надоело развенчивать.

            p.s. все последующие твои комментарии будут удаляться.

  5. BaNru

    > https://premium.wpmudev.org/blog/top-250-sites-using-wordpress/

    1) Там нет топа 100
    Самый высокий это 111 по алексе

    2) Там не сайты, а только блоговая часть, при чем у того же форбса
    The extent of their current reliance on the platform is unclear.

    Это всё только лишь подтверждает мои слова — у них есть разработчики, которые сами многое могут.

    > В таком случае и оф. центры сертификации могут закрыться. Тогда вообще нет смысла нигде брать)

    Могут, но шансы закрытия в РФ на порядок выше.

    > Статья полностью нейтральная. Я не нахваливаю никого просто так — магазин действительно стоящий. Если вы так не считаете, жду ваших предложений магазинов. Если они будут лучше, я заменю ссылку на них. Только вот постарайтесь обосновать, почему они лучше.

    Про саму статью я ничего не говорил, я вижу что она переведённая. Остальное — это блеф: разумеется я не буду никого приводить в пример. А тем более доказывать почему та контора лучше, это будет ещё более бессмысленно.

    > Сам я не перехожу на HTTPS, т.к. я ничего не продаю. Но если мне было бы принципиально, я бы приобрел себе DV и не парился.

    А как же поисковые показатели? А как же замочек? :lol:

    Последняя ссылка особо ни о чём.
    И снова лишь подтверждает мои слова.
    Эти рейтинговые сайты в списке — лишь капля в море, тот самый 0.01% из всех блогов. Не проверял их, но мне кажется там и не особо рейтинговые.

    Это также и про ЖЖ можно сказать. Там много популярных блогов. Некоторые достигнув потолка переходят на WP на своей площадке и поэтому можно говорить, что WP популярен среди ЖЖ. Но это же не так, таких тоже единицы.

    Поэтому если просуммировать всё сказанное, то получится то, что я сразу и сказал: «что проект для которых не подойдёт халявный сертификат будет базироваться на WP с шансом в 0.001% и у таких скорее всего будут специалисты, которые сами всё сделаю и купят где надёжнее, а именно у поставщика, а не посредника?» С поправкой на твои слова, что часть из них вполне может заказать у посредника, из-за цены.

    Чтобы далеко не прыгать, ты можешь сам проверить мои слова, написав им и спросив:
    — Сколько сертификатов они выдали для WP (этой инфой они могут не располагать)
    — Скольким клиентам они установили сертификат на WP? (эта инфа у них должна быть)
    Я думаю цифры будут в районе сотни, если оптимистически предложить.

    1. BaNru

      Ради интереса вбил в гугл «купить ssl сертификат».

      (по ценам ниже может и ошибаюсь, досконально сравнивать лень)

      Первый же reg.ru.
      Стоит ли говорить почему они (корпорация reg.ru) в разы лучше? Думаю многие и так знают, а кто думает что он хуже — бессмысленно рассказывать.
      А плюсы их — цена ниже и они не посредники (может ошибаюсь), тоже поддержка русская и сертификаты, вероятно, российские.
      И даже первые в гугле.

      Вторые в гугле
      nic.ru
      Тоже дешевле, почему корпорация эта лучше — тоже не имеет смысла рассказывать, из минусов — это бюрократическая машина. Хотя для крупных фирм — это даже плюс, они лучше найдут общий язык. Цена тоже ниже.

      Третий пункт
      comodorus.ru
      Комодо по русски. Цена не знаю.

      Далее по списку идти не имеет смыла. Предлагаемого тобой не видно.

      Седьмая ссылка на тостер с вопросом где купить — там тоже нет предлагаемого тобой.

      Против ЛидерТелеком ничего плохого сказать не хотел и не хочу. Просто смешно местами читать пиарную лапшу на уши.

  6. Дмитрий (автор)

    > Первый же reg.ru.
    Стоит ли говорить почему они (корпорация reg.ru) в разы лучше? Думаю многие и так знают, а кто думает что он хуже — бессмысленно рассказывать.
    А плюсы их — цена ниже и они не посредники (может ошибаюсь), тоже поддержка русская и сертификаты, вероятно, российские.

    Посмотрел их, они такие же посредники. Своих сертификатов они не предлагают.

    Цены у них не ниже, а выше. Сравниваем EV Comodo, к примеру: в ЛидерТелеком — 10 990 руб., в Reg.ru — 12 870. Wildcard в Лидертелеком 9 300 руб., в Reg — 17 550.

    Сравнение корректно только в том случае, когда сравнивают одинаковые бренды. Сравнивать Symantec EV и Comodo EV — это то же самое, что сравнивать Бентли и Ладу.

    Второй магазин аналогичен. Comodorus — портянка текста внизу страницы уже не вызывает доверия. И нет своего SSL-сертификата на сайте. Сапожник без сапог? Ты бы сам стал что-то покупать на таком сайте? Компания себе не поставила SSL, зато продает их. Класс!

    Чем крупнее компания, тем выше будут цены. В таких «комбайнах», которые и хостинг, и домены, и куча доп. услуг, SSL-сертификаты обычно дороже. Это факт. Дешевле у них может быть только по супер-акциям, которые проходят не так уж и часто. И обычно это еще один способ привязать к своим услугам. Обычный маркетинговый прием. Если пользователь уже юзает хостинг, вряд ли он будет покупать сертификат в сторонней компании. Типа — все в одном месте, удобно. Но дороже. А порой и в разы, что доказывает пример с Wildcard Comodo.

    В Гугле первые места в рекламе — как раз ЛидерТелеком (запрос «купить ssl сертификат», сайт instantssl.su отдельно для Comodo).

    Я знаю, о чем пишу, поэтому не нужно меня троллить. Я вправе пиарить тот магазин, который мне понравился. Твои доводы не убедили — крупные «комбайны» по типу reg и nic это совершенно другая категория, и для них SSL-сертификаты не играют решающей доли в продажах. Потому и в плане ценообразования у них иной подход.

    Естественно, доля купивших сертификаты для WP очень мала. Но в перспективе она будет расти. Это 100% и это сейчас активно обсуждается в Automattic на регулярных встречах в Slack. До нас это все равно дойдет с сильным запозданием. У нас даже многие банки до сих пор не поставили SSL EV, о чем уж тут говорить.

    Но стереотипы надо ломать. Потому думаю, что актуальность этой статьи еще проявит себя. Не сейчас, так через год или через два года.

    1. BaNru

      Ну по ценам я привёл первые же в гугле и не сравнивал, о чем и написал. Но даже если бы и привёл дешевле, то начались бы другие «поиски недостатков», о чем я тоже намекнул.

      > В Гугле первые места в рекламе — как раз ЛидерТелеком (запрос «купить ssl сертификат», сайт instantssl.su отдельно для Comodo).

      Ну у меня адблок, рекламу не вижу. Ну и реклама !== топу. МММ тоже был хорош по рекламе и даже по топам.

      > но все же умалять значимость WordPress я бы не стал
      Я лишь умоляю значимость в секторе, где нужны бизнес сертификаты. Ты сам лично подтвердил эти слова на своём сайте и то, что он не нужен тебе.

      Как говорил Станиславский: «не верю!»
      В любом случае, я не верю, что ты не заинтересованное лицо в отношение этой компании. Слишком уж ты много инфы знаешь, которая по идее тебе должна быть глубоко фиолетовой.

      Но это твоё дело, твой блог. Может я заблуждаюсь конечно…остальные читатели твоего блога сами оценят всю правоту нашего диалога. Но помни — ложь очень плохая вещь, даже в интернете.

      1. Дмитрий (автор)

        Даже если я что-то и рекламирую, то это однозначно тщательно мной проверено и протестировано. Просто так всякий шлак я не пиарю. Поэтому и решил ответить на критику, поскольку не совсем понял, почему сразу же столько грязи вылилось, как будто компания тебя обманула :)

        Если будет нужен SSL-сертификат, обращайся.

        1. BaNru

          Я лишь привёл немного цифр. Грязи не было, была констатация фактов, пусть и немного субъективная. В итоге ты не опроверг ничего, но начал писать словами именно этой компании. Думаю не стоит говорить где именно, ты и сам знаешь.

          Именно заинтересованность и предвзятые ответы в комментария, с последующей ложью или уходом и вызвали столько грязи.

          С моей стороны «грязь», если можно так назвать, но правильнее смех вызвало «Вывод замочка». И куда-то этот комментарий пропал, а это очень не хорошо. Будем считать, что этого комментария не было, а не ты его удалил/распубликовал.

          1. Дмитрий (автор)

            Для пользователей лучше объяснять простыми словами, какие преимущества дает SSL. Замочек в адресной строке — один из таких плюсов. Многие пользователи вообще не знают, в чем отличие DV, OV и EV-сертификатов. Лучше объяснять на пальцах, я считаю.

            Ключевых мыслей я не удалял, просто подкорректировал сообщение, поскольку когда прочитал в первый раз, оно мне показалось «наездом» на меня. Слишком жестко звучало. Если бы мне был важен пиарный момент, я бы просто закрыл комментарии и удалял бы все, что мне не нравится. Дискуссии — это всегда хорошо. Поэтому за активное обсуждение спасибо. Покупать или не покупать — дело твое, я не призываю обязательно покупать, тем более я признаю, что сейчас на WP довольно мало магазинов. Но учитывая старания Automattic и Co (покупка WooCommerce и т.д.), этот аспект выглядит перспективным для развития.

            Если чем-то задел, извиняюсь.

  7. Дмитрий (автор)

    > Могут, но шансы закрытия в РФ на порядок выше.

    Так компания имеет два офиса — в Москве и в Гааге. И продажи ведутся не только по России, но и по всему остальному миру. Отсутствие (или закрытие) офиса не мешает вести продажи.

  8. Дмитрий (автор)

    > Эти рейтинговые сайты в списке — лишь капля в море, тот самый 0.01% из всех блогов. Не проверял их, но мне кажется там и не особо рейтинговые.

    Mashable, TechCrunch, Arstechnica, TheNextWeb — вполне себе значительные имена из списка.

    В чем-то ты, конечно, прав, многие крупные сайты все равно сидят на своих самописных CMS, но все же умалять значимость WordPress я бы не стал.

  9. Алексей

    Тоже перешёл на HTTPS, подписавшись на бесплатный TLS-сертификат от StartCom. С переносом особых проблем не было, хотя пытался и через запросы в базу данных поменять всю внутреннюю перелинковку на относительную, и плагины разные ставил. Благо, что записей в блоге было совсем немного, что осталось после всяких ForceHTTPS отредактировал вручную, отыскав ненужные переадресации с помощью плагина «Broken Links Checker».

    Что касается бесплатного сертификата и вашей дискуссии, по мне так главное, чтобы пользователь получал именно то, что я ему показываю на сайте, а перейти на платный сертификат или продлить бесплатный не составит труда. Главное для себя решить — нужно ли вам это, и для чего нужно. Конечно, коммерческим или крупнопосещаемым сайтам ставить бесплатный сертификат не комильфо. А для простого блога платить каждый год по 12-15 тысяч за сертификат — чего ради? ЗамОчка?

    1. Дмитрий (автор)

      Согласен, каждый решает сам. Даже банки еще не все перешли на https, хотя это для них жизненно важно. Причем не только у нас в стране, но и в мире. Есть, конечно, отдельные страны, где практически все банки уже с https (к примеру, Голландия), но вообще применение новых технологий пока отстает.

  10. Олег

    Я уже пол года не могу решится перейти на новый протокол. Боюсь беки потерять. Хоть и поставлю 301.

    1. Алексей

      «Беки» не теряются. Надо просто грамотно «склеить» в Яндекс.Вебмастере HTTP и HTTPS версии сайта, поставив главным зеркалом HTTPS. Пройдёт месяц, и все беки, если вы поставите 301 с HTTP на HTTPS, вернутся на место. А с Гуглом и того проще, там главзеркало указывать не надо, он сам всё поймёт, только добавьте в Инструменты для вебмастеров HTTPS-версию сайта (и https://WWW, если она у вас открывается отдельно, а не редиректит на без-WWW).

  11. Яшка

    перевел.. не все отображается полностью.. :( https://ydalenka.ru/adblock/

  12. anna

    Здравствйте! Установила SSL сертификат, перевела сайт на https, но обойти проблему смешанного контента не могу, я не настолько разбираюсь — ищу платного профессионала! Если у кого-то есть контакты (может того самого упомянутого в изначальной статье специалиста?), буду благодарна!

    1. Дмитрий (автор)

      Здравствуйте, Анна!
      Это проблема с изображениями. Если вы покупали сертификат по ссылке в статье, то можете написать на почту компании или связаться с ней по телефону. Они обязательно подскажут. Даже если покупали в другом месте, напишите.

      Сайт instantssl.su. Контакты там в самом верху страницы приведены. Телефоны:
      8 (495) 225-2235
      8 (800) 555-5737
      Почта: [email protected]

      1. anna

        спасибо! нет, я покупала в другом месте, попробую написать

  13. Олег

    Интересная дискуссия.Вопрос от чайника и нищеброда, сидящего на WordPress. Похоже я что-то намудрил и все ссылки у меня стали относительными. По крайней мере в исходном коде так. Косяк серьезный? Переделывать обязательно или на дальнейшее не будет сильно влиять? Буду рад любому практичному совету.
    С уважением, Олег

    1. Дмитрий (автор)

      Могут быть разные проблемы, о чем предупреждают в том числе и разработчики плагина https://ru.wordpress.org/plugins/relative-url/. Плагин рекомендуют применять только в целях тестирования, но не на рабочем сайте.

  14. Максим

    Как быть с плагинами ВП которые по умолчанию прописывают http, а не https. Как их менять не меняя файлов плагинов.

    1. Дмитрий (автор)

      Менять файлы плагинов, по-другому не получится. Или адресовать этот вопрос разработчикам плагина.

  15. Денис

    Забыли включить HSTS

    Header set Strict-Transport-Security «max-age=31536000» env=HTTPS

    1. Дмитрий (автор)

      Да, спасибо. Уточнение для тех, кто устанавливает SSL:

      Добавить в .htaccess:

      <IfModule mod_headers.c>
      # this domain should only be contacted in HTTPS for the next 12 months
      Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
      </IfModule>

      Также, если возникает циклическая переадресация и ошибка too many redirects, попробуйте поместить строку

      define(‘FORCE_SSL_ADMIN’, true);

      в самый верх wp-config.php. В других расположениях она может не сработать.

  16. Евгений

    Установил плагин указанный в этой статье
    Столкнулся с проблемой:
    Если в wp-config.php прописать define( ‘FORCE_SSL_ADMIN’, true ); или в настройках указать siteurl и home как https то не могу зайти в админку — получаю ERR_TOO_MANY_REDIRECTS

    1. Дмитрий (автор)

      define( ‘FORCE_SSL_ADMIN’, true ); нужно прописывать в самый верх файла wp-config. Попробуйте так сделать, порой помогает.

      1. Евгений

        Не помогает :(

        1. Дмитрий (автор)

          Бывает, что помогает такой трюк: SSL-сертификат часто выдается на домен без www. Поэтому попробуйте прописать в wp-config:

          define(‘WP_HOME’,’https://example.com’);
          define(‘WP_SITEURL’,’https://example.com’);

  17. Саша

    https off?

  18. Алексей

    Перешел на https только потому, что хостер выдавал бесплатные сертификаты Let’s Encrypt, ну я и подумал — раз дают, надо брать. :D
    А если серьёзно, то считаю, что для блогов он не нужен, а вот если на сайте есть регистрация пользователей, то лучше установить, так как тот же браузер Мазила начинает оповещать — мол соединение не является безопасным, ваши данные под угрозой и тому подобное. Ну а если на сайте платежи принимаются, то тогда тем более, сертификат лучше получить.

  19. Busan

    а как происходит устнановка нового сайта на http?? че то этот момент не пойму…с самого начала по шагам объясните пожалуйста….

    1. Дмитрий (автор)

      На HTTP или HTTPS?
      Если HTTPS, то сначала приобретается SSL-сертификат.

  20. Busan

    на https, приобрели сертификат установили в админке хостинга, затем в яндекс вебмастере добавлять site.ru или https://site.ru

    1. Дмитрий (автор)
  21. Сергей

    У меня все было сделано, вот только в .htaccess изменения не вносил и получал 2 сайта. Яндекс ругается если нет переадрессации.
    Спасибо Вам за инструкцию. Теперь все хорошо.
    А для тех у кого в этом файле очень много информации (как у меня почему-то), то ищите строчку «# BEGIN WordPress».

  22. Ольга

    Здравствуйте! Я проделала все, что здесь описано, исправила все ошибки, получила зеленый значок во всех браузерах, однако мой сайт до сих пор доступен и по http:// и по https://. Заменила (проставила https://) в роботс в Host и Карте сайта, сделала переадресацию в .htaccess. Почему же сайт остался доступен по http://? Или надо подождать, пока произойдет склейка?

    1. Дмитрий (автор)

      Да, там еще надо ждать. Почитайте вот тут в оф. рекомендациях Платона от Яндекса: https://yandex.ru/blog/platon/2778

  23. Дмитрий

    Добрый день. На своем сайте я установил https протокол, после этого сайт потерял свои позиции и уже два года я не могу их вернуть. Подскажите в чем причина и что делать? Спасибо

    1. Дмитрий (автор)

      Если все делали по инструкции с редиректами, то должны вернуться. Либо причина не в https, а в других факторах — возможно, у вас контент неуникальный или ссылки на левые сайты. Да много может быть причин, на самом деле.

      Вот тут краткие пункты для грамотного перехода: https://www.leaderssl.ru/move_to_https

  24. Альберт

    Спасибо за статью!

Добавить комментарий

Получать новые комментарии по электронной почте.