Блог за уеб технологии, маркетинг и SEO, мотивация и продуктивност
Как да създадеш пренасочване от HTTP към HTTPS в cPanel
В това ръководство ще покажа как да настроиш пренасочване на сайт с версия без SSL сертификат към версия със SSL сертификат, т.е. как да създадеш пренасочване от HTTP към HTTPS в контролния cPanel на хостинга чрез файла .htaccess. Обясненията се отнасят за WordPress.
SSL сертификат
Най-напред трябва да разполагаш със SSL сертификат. Можеш да го закупиш или да го получиш безплатно от повечето хостинг компании.
Какво е SSL сертификат и защо е необходим:
Secure Sockets Layer (SSL) е протокол за сигурност, използван от уеб браузъри и уеб сървъри за защита на потребителските данни, докато се предават по интернет. Гарантира сигурна връзка между сървъра и браузъра на потребителя. SSL сертификатите са малки файлове с данни, които свързват ключ за криптиране с данни на организация (или на физическо лице). Когато посещаваш сайтове чрез уеб браузър, SSL сертификатът осигурява защитена връзка между уеб сървъра и браузъра, което се вижда от наличието на икона на катинар в адресната лента и префикса „https“, с който започва адресът на страницата. На първо място, SSL сертификатът е необходим за онлайн магазини, банки, платежни системи и други организации, които имат работа с лични данни за защита на транзакциите и предотвратяване на неоторизиран достъп до информация.
И така, вече имаш сертификат. Сега трябва да преминеш автоматично от http://yourdomain.com към https://yourdomain.com. За целта е необходимо да направиш всички настройки и манипулации във файла „.htaccess“, който се намира в главната папка на твоя сайт. (Linux използва .htaccess файлове за обработка на пренасочвания.)
Следвай стъпките по-долу, за да пренасочиш домейн:
Създаване на 301 пренасочване от HTTP към HTTPS адреси
Първо ще трябва да получиш достъп до cPanel на хостинга и да идеш на File Manager.
Ще се покаже списъкът с файлове на сайта, след което ще трябва да отидеш в папката, където се намира инсталацията на WordPress (в примера в папката Public_html ):
Ако не виждаш файла .htaccess, ще трябва да кликнеш върху Настройки, да поставиш отметка на елемента Показване на скрити файлове (dotfiles) (Show Hidden Files (dotfiles)) и след това да кликнеш върху Запазване.
За да промениш файла, ще трябва да кликнеш върху него с десен бутон на мишката и от падащото меню да избереш елемента Редактиране (Edit).
Това ще отвори редактируемия файл.
За да създадеш пренасочване от HTTP към HTTPS ще трябва да въведеш следното:
#RewriteEngine On
#RewriteCond %{SERVER_PORT} 80
#RewriteCond %{HTTP_HOST} ^yourdomain.com [OR]
#RewriteRule ^(.*)$ https://yourdomain.com/$1 [R=301,L]
Където трябва да промениш записа „yourdomain.com“ с името на твоя домейн.
За да потвърдиш промяната, кликни върху Запиши промените горе вдясно.
В някои случаи кодът може да бъде заменен с този:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Конфигуриране на принудително 301 пренасочване на основния домейн от HTTP към HTTPS
- Влез в твоя cPanel.
- В секцията Домейни кликни върху иконата Домейни.
- Ще се отвори страница, където можеш да активираш или деактивираш HTTPS пренасочване. Ако няма опция за активиране на HTTPS, това е защото домейнът няма инсталиран SSL. Първо се увери, че SSL е зададен и опцията ще се появи сама. Твоят домейн вече ще използва HTTPS.
Грешки със смесено съдържание – mixed content
(adsbygoogle = window.adsbygoogle || []).push({});Ако след извършване на пренасочване сайтът не се отваря по защитен протокол, причината може да се дължи на появата на така нареченото смесено съдържание – Mixed Content – изтегляне на статични връзки, различни пътища и др. с http вместо с https.
Какво е смесено съдържание?
В някои случаи един HTTPS сайт може също да съдържа някои елементи, които се зареждат с помощта на HTTP протокола за обикновен текст. Това създава състояние, известно като смесено съдържание, понякога наричано „HTTP през HTTPS“.
При смесено съдържание потребителите ще останат с впечатлението, че са в защитена, криптирана връзка, тъй като са на сайт, защитен с HTTPS, но некриптираните елементи на страницата създават уязвимости, отваряйки тези потребители за злонамерена дейност, като неоторизирано проследяване и атаки. Тежестта на уязвимостта зависи от това дали смесеното съдържание е пасивно или активно.
Каква е разликата между пасивно и активно смесено съдържание?
Пасивно смесено съдържание:
В този случай нешифрованото HTTP съдържание е ограничено до капсулирани елементи на сайта, които не могат да взаимодействат с останалата част от страницата. Атакуващият може да блокира или замени изображение, заредено през HTTP, но не би могъл да промени останалата част от страницата.
Всички видове HTTP заявки, които се считат за пасивно съдържание:
<img>
(src
атрибут)<audio>
(src
атрибут)<video>
(src
атрибут)<object>
подресурси (когато даден<object>
изпълнява HTTP заявки)
Активно смесено съдържание:
В този случай елементи или зависимости, които могат да взаимодействат със и да променят цялата уеб страница, се обслужват през HTTP. Те включват зависимости като JavaScript файлове и API заявки.
Активното смесено съдържание представлява по-сериозна заплаха от пасивното; когато е компрометирано, то позволява на атакуващия да поеме цяла уеб страница, да събере чувствителна информация от потребителя, като идентификационни данни за вход, да предостави на потребителя фалшива страница или да пренасочи потребителя към сайта на атакуващ.
Някои видове HTTP заявки, които се считат за активно съдържание:
<script>
(src
атрибут)<link>
(href
атрибут) (включва CSS стилове)<iframe>
(src
атрибут)XMLHttpRequest
заявкаfetch()
заявки- Всички случаи CSS, където се използва
url()
стойност. <object>
(атрибут за данни)Navigator.sendBeacon
(url
атрибут)
Повечето съвременни уеб браузъри предоставят предупреждения в конзолата за разработчици за смесено съдържание, както и блокиране на по-опасните видове смесено съдържание. Всеки браузър има свой собствен набор от правила, но обикновено активното смесено съдържание е много по-вероятно да бъде блокирано.
Потребителите на остарели уеб браузъри са особено уязвими, тъй като тези браузъри може изобщо да не блокират смесено съдържание.
Коригиране на грешката смесено съдържание
За да коригираш този тип грешка, всички заявки за HTTP съдържание трябва да бъдат премахнати и заменени със съдържание, обслужвано през HTTPS.
Добър инструмент за откриване на всички случаи на смесено съдържание е конзолата за разработчици на Google Chrome. Разработчиците могат също така да проверяват изходния код за ресурси, API извиквания и библиотеки, които се зареждат чрез URL адрес „http://“. В някои случаи решението е просто да се замени URL адреса „http://“ с „https://“. Но първо трябва да се провери дали е налична HTTPS версия на този ресурс. Ако шифрована версия на ресурса не е налична, тя ще трябва или да бъде заменена, или напълно премахната.
Пренасочване на HTTP сайта към HTTPS в Google Search Console и Google Analytics
(adsbygoogle = window.adsbygoogle || []).push({});Пренасочване на HTTP сайта към HTTPS в Google Search Console
Сайтът ти вече е пренасочен към HTTPS. Следваща стъпка е да зададеш новия му адрес в инструментите на Google.
Google Webmaster Tools третира HTTP и HTTPS като отделни сайтове и не можеш да информираш Google чрез Google Search Console, че си преминал от HTTP към HTTPS, тъй като инструментът за преместване на адреси не поддържа промени в протокола.
Можеш обаче да добавиш HTTPS версиите на сайта. След това ще имаш два сайта в Google Webmaster Tools.
След това в Google Search Console подай картата на новия сайт – sitemap, за да започне индексирането му.
Как да промениш протокола на твоя уебсайт от HTTP на HTTPS в Analytics
Иди на Google Analytics на администратора и настройките на съществуващата собственост, за която искаш да промениш протокола на SSL / HTTPS. Под URL по подразбиране промени протокола от HTTP на HTTPS. Запиши извършените промени.
Препоръчани ресурси:
Как да създадеш успешен блог с WordPress: чек лист за спестяване на време
Как да анонимизираме IP адресите и да избегнем споделянето на данни в Google Analytics