Как да създадеш пренасочване от HTTP към HTTPS в cPanel

В това ръководство ще покажа как да настроиш пренасочване на сайт с версия без SSL сертификат към версия със SSL сертификат, т.е. как да създадеш пренасочване от HTTP към HTTPS в контролния cPanel на хостинга чрез файла .htaccess. Обясненията се отнасят за WordPress.

Как да създадеш пренасочване от HTTP към HTTPS в cPANEL
Как да създадеш пренасочване от HTTP към HTTPS в cPanel

SSL сертификат

Най-напред трябва да разполагаш със SSL сертификат. Можеш да го закупиш или да го получиш безплатно от повечето хостинг компании.

Какво е SSL сертификат и защо е необходим:

Secure Sockets Layer (SSL) е протокол за сигурност, използван от уеб браузъри и уеб сървъри за защита на потребителските данни, докато се предават по интернет. Гарантира сигурна връзка между сървъра и браузъра на потребителя. SSL сертификатите са малки файлове с данни, които свързват ключ за криптиране с данни на организация (или на физическо лице). Когато посещаваш сайтове чрез уеб браузър, SSL сертификатът осигурява защитена връзка между уеб сървъра и браузъра, което се вижда от наличието на икона на катинар в адресната лента и префикса „https“, с който започва адресът на страницата. На първо място, SSL сертификатът е необходим за онлайн магазини, банки, платежни системи и други организации, които имат работа с лични данни за защита на транзакциите и предотвратяване на неоторизиран достъп до информация.

И така, вече имаш сертификат. Сега трябва да преминеш автоматично от http://yourdomain.com към https://yourdomain.com. За целта е необходимо да направиш всички настройки и манипулации във файла „.htaccess“, който се намира в главната папка на твоя сайт. (Linux използва .htaccess файлове за обработка на пренасочвания.)

Следвай стъпките по-долу, за да пренасочиш домейн:

Създаване на 301 пренасочване от HTTP към HTTPS адреси

Първо ще трябва да получиш достъп до cPanel на хостинга и да идеш на File Manager.

File Manager
File Manager

Ще се покаже списъкът с файлове на сайта, след което ще трябва да отидеш в папката, където се намира инсталацията на WordPress (в примера в папката Public_html ):

Инсталация на WordPress в папка Public_html
Инсталация на WordPress в папка Public_html

Ако не виждаш файла .htaccess, ще трябва да кликнеш върху Настройки, да поставиш отметка на елемента Показване на скрити файлове (dotfiles) (Show Hidden Files (dotfiles)) и след това да кликнеш върху Запазване.

Показване на .htaccess
Показване на .htaccess

За да промениш файла, ще трябва да кликнеш върху него с десен бутон на мишката и от падащото меню да избереш елемента Редактиране (Edit).

Редактиране на .htaccess
Редактиране на .htaccess файла

Това ще отвори редактируемия файл.

За да създадеш пренасочване от HTTP към HTTPS ще трябва да въведеш следното:

#RewriteEngine On
#RewriteCond %{SERVER_PORT} 80
#RewriteCond %{HTTP_HOST} ^yourdomain.com [OR]
#RewriteRule ^(.*)$ https://yourdomain.com/$1 [R=301,L]

Където трябва да промениш записа „yourdomain.com“ с името на твоя домейн.

За да потвърдиш промяната, кликни върху Запиши промените горе вдясно.

В някои случаи кодът може да бъде заменен с този:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Пример за пренасочване
Пример за пренасочване с .htaccess
Виж още:  Как да промениш потребителското си име в WordPress

Конфигуриране на принудително 301 пренасочване на основния домейн от HTTP към HTTPS

  1. Влез в твоя cPanel.
  2. В секцията Домейни кликни върху иконата Домейни.
  3. Ще се отвори страница, където можеш да активираш или деактивираш HTTPS пренасочване. Ако няма опция за активиране на HTTPS, това е защото домейнът няма инсталиран SSL. Първо се увери, че SSL е зададен и опцията ще се появи сама. Твоят домейн вече ще използва HTTPS.
Принудително 301 пренасочване от HTTP към HTTPS-
Принудително 301 пренасочване от HTTP към HTTPS

Грешки със смесено съдържание – mixed content

Ако след извършване на пренасочване сайтът не се отваря по защитен протокол, причината може да се дължи на появата на така нареченото смесено съдържание – Mixed Content – изтегляне на статични връзки, различни пътища и др. с http вместо с https.

Какво е смесено съдържание?

В някои случаи един HTTPS сайт може също да съдържа някои елементи, които се зареждат с помощта на HTTP протокола за обикновен текст. Това създава състояние, известно като смесено съдържание, понякога наричано „HTTP през HTTPS“.

При смесено съдържание потребителите ще останат с впечатлението, че са в защитена, криптирана връзка, тъй като са на сайт, защитен с HTTPS, но некриптираните елементи на страницата създават уязвимости, отваряйки тези потребители за злонамерена дейност, като неоторизирано проследяване и атаки. Тежестта на уязвимостта зависи от това дали смесеното съдържание е пасивно или активно.

Каква е разликата между пасивно и активно смесено съдържание?

Пасивно смесено съдържание:

В този случай нешифрованото HTTP съдържание е ограничено до капсулирани елементи на сайта, които не могат да взаимодействат с останалата част от страницата. Атакуващият може да блокира или замени изображение, заредено през HTTP, но не би могъл да промени останалата част от страницата.

Всички видове HTTP заявки, които се считат за пасивно съдържание:

  • <img> (src атрибут)
  • <audio> (src атрибут)
  • <video> (src атрибут)
  • <object> подресурси (когато даден <object> изпълнява HTTP заявки)

Активно смесено съдържание:

В този случай елементи или зависимости, които могат да взаимодействат със и да променят цялата уеб страница, се обслужват през HTTP. Те включват зависимости като JavaScript файлове и API заявки.

Активното смесено съдържание представлява по-сериозна заплаха от пасивното; когато е компрометирано, то позволява на атакуващия да поеме цяла уеб страница, да събере чувствителна информация от потребителя, като идентификационни данни за вход, да предостави на потребителя фалшива страница или да пренасочи потребителя към сайта на атакуващ.

Някои видове HTTP заявки, които се считат за активно съдържание:

  • <script> (src атрибут)
  • <link> (href атрибут) (включва CSS стилове)
  • <iframe> (src атрибут)
  • XMLHttpRequest заявка
  • fetch() заявки
  • Всички случаи CSS, където се използва url() стойност.
  • <object> (атрибут за данни)
  • Navigator.sendBeacon (url атрибут)

Повечето съвременни уеб браузъри предоставят предупреждения в конзолата за разработчици за смесено съдържание, както и блокиране на по-опасните видове смесено съдържание. Всеки браузър има свой собствен набор от правила, но обикновено активното смесено съдържание е много по-вероятно да бъде блокирано.

Пример със смесено съдържание в Mozilla
Пример със смесено съдържание в Mozilla, източник Mozilla Developer

Потребителите на остарели уеб браузъри са особено уязвими, тъй като тези браузъри може изобщо да не блокират смесено съдържание.

Коригиране на грешката смесено съдържание

За да коригираш този тип грешка, всички заявки за HTTP съдържание трябва да бъдат премахнати и заменени със съдържание, обслужвано през HTTPS.

Добър инструмент за откриване на всички случаи на смесено съдържание е конзолата за разработчици на Google Chrome. Разработчиците могат също така да проверяват изходния код за ресурси, API извиквания и библиотеки, които се зареждат чрез URL адрес „http://“. В някои случаи решението е просто да се замени URL адреса „http://“ с „https://“. Но първо трябва да се провери дали е налична HTTPS версия на този ресурс. Ако шифрована версия на ресурса не е налична, тя ще трябва или да бъде заменена, или напълно премахната.

Пренасочване на HTTP сайта към HTTPS в Google Search Console и Google Analytics

Пренасочване на HTTP сайта към HTTPS в Google Search Console

Сайтът ти вече е пренасочен към HTTPS. Следваща стъпка е да зададеш новия му адрес в инструментите на Google.

Google Webmaster Tools третира HTTP и HTTPS като отделни сайтове и не можеш да информираш Google чрез Google Search Console, че си преминал от HTTP към HTTPS, тъй като инструментът за преместване на адреси не поддържа промени в протокола.

Можеш обаче да добавиш HTTPS версиите на сайта. След това ще имаш два сайта в Google Webmaster Tools.

Добавяне на собственост в Google Search Console
Добавяне на собственост в Google Search Console

След това в Google Search Console подай картата на новия сайт – sitemap, за да започне индексирането му.

Как да промениш протокола на твоя уебсайт от HTTP на HTTPS в Analytics

Иди на Google Analytics на администратора и настройките на съществуващата собственост, за ​​която искаш да промениш протокола на SSL / HTTPS. Под URL по подразбиране промени протокола от HTTP на HTTPS. Запиши извършените промени.

Промяна на настройките в Google Analytics на https
Промяна на настройките в Google Analytics на https
Exclamation mark

Препоръчани ресурси:

Как да създадеш успешен блог с WordPress: чек лист за спестяване на време

Как да анонимизираме IP адресите и да избегнем споделянето на данни в Google Analytics

Как да свържем сайта си с Google Analytics ръчно

Ако ви е харесала публикацията, споделете я:

Leave a Reply

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.