Должен ли ваш WordPress-сайт иметь SSL-сертификат? Короткий ответ: да, хотя он и не всегда требуется. Даже если вы не принимаете платежей на сайте, вы все равно должны иметь SSL-сертификат.

Использование защищенного протокола HTTPS для вашего сайта – важный шаг в поддержании безопасности вашего ресурса, сохранении целостности ваших данных и данных ваших пользователей. Также вы получите определенный прирост в плане SEO и возможность защититься от массового слежения в сети, что является приятным бонусом.

SSL vs HTTPS

Обычно мы говорим об этих двух технологиях так, словно они являются равнозначными. SSL-сертификат – это то, что делает защищенный протокол HTTPS возможным. Буква «S» в HTTPS означает «secure», т.е. защищенный, по аналогии с «S» в SFTP.

SSL предоставляет ключ шифрования, что и позволяет реализовать протокол HTTPS.

Когда мы говорим о том, что «сайт использует SSL», мы подразумеваем, что сайт имеет правильно настроенный SSL-сертификат и принимает соединения только по HTTPS. Это две разные вещи.

HTTPS – обязательное условие для электронной коммерции

Если ваш сайт принимает платежи в каком-либо виде, вы должны обязательно использовать SSL-сертификат. Большинство платежных систем требуют это. Некоторые системы, такие как PayPal Express, которые работают путем перенаправления на другой сайт, не требуют SSL. Однако, поскольку исходная форма не защищена, вы ставите под удар клиентские данные, которые могут быть перехвачены в процессе отправки формы.

SSL-сертификат хорош не только в плане безопасности, но еще и в плане визуального воздействия. Люди все больше беспокоятся о своей безопасности в сети, становятся более осведомленными о том, что такое HTTPS. Обычные пользователи все чаще смотрят на иконку замка в адресной строке браузера.

Другие преимущества, которые дает SSL-сертификат

SSL-сертификат поставляется вместе с некоторыми гарантиями. Изучите эти гарантии. Чем дороже сертификат, тем больше сумма гарантии, которую выплатит компания в случае взлома шифрования, приведшего к финансовым потерям.

Если ваш сайт принимает платежи, и злоумышленники обманным путем получат доступ к данным кредитной карты вашего клиента, вы тоже будете нести ответственность за это. Наличие SSL-сертификата с гарантийным обеспечением – прекрасный способ защиты от таких проблем.

А если мой сайт не имеет форм?

Возможно, вы прочли этот текст и подумали: но ведь у меня нет форм на сайте! В таком случае HTTPS не требуется? Во-первых, устраните этот пробел и добавьте контактную форму на свой сайт.

Во-вторых, любой WordPress сайт имеет формы. К примеру, формы входа, ведущие к огромному набору форм, которые мы именуем панелью администратора WordPress. В панели администратора уже предприняты свои меры безопасности, однако они основаны на случайных числах и cookies. Без HTTPS вы небезопасно передаете их во время каждого редактирования записи или смены настроек плагина.

Не забудьте и про другое направление

Мы обычно рассматриваем HTTPS в контексте защиты отправленных с сайта данных (к примеру, заполненные формы), однако очень важно рассмотреть вопрос и целостности данных, передаваемых с вашего сайта. Без HTTPS страницу с вашей формой можно легко перехватить и модифицировать. Можно изменить URL, куда должна была прийти форма, или поля, которые были в форме.

Такой тип атак, именуемый MITM (Man in the Middle), позволяет злоумышленникам использовать ваш сайт в качестве фишинговой страницы, о чем вы даже не узнаете. К счастью, если такое произойдет, Google пометит ваш сайт в выдаче как небезопасный. Ваши SEO-показатели и ваша репутация будут поставлены под удар. И со временем это станет явным для вас.

Buzzfeed недавно перенес свой сайт на HTTPS именно по этой причине. Владельцы сайта были обеспокоены тем, что некоторые правительства следят за читателями, изменяя контент ресурса. HTTPS решил эту проблему.

Что нужно держать в памяти при переходе к HTTPS

К сожалению, перевод незащищенного WordPress-сайта на HTTPS имеет несколько подводных камней. Мы уже писали о том, на что нужно обратить свое внимание при переходе к HTTPS. Давайте еще раз кратко отметим основные нюансы.

Просто установить SSL-сертификат и сменить URL сайта на https:// недостаточно. Вы должны убедиться в том, что ваш сервер сконфигурирован для перенаправления всех запросов по HTTP к эквивалентным URL-адресам с HTTPS.

Многие браузеры не разрешают выдачу изображений, CSS-стилей и JS-файлов по HTTP на странице, использующей HTTPS. При миграции вам нужно будет убедиться в том, что все изображения в ваших записях используют новый защищенный URL.

Просто сделайте это!

Сегодня можно очень легко приобрести SSL-сертификат. Самые выгодные цены при покупке SSL-сертификата предлагают реселлеры. При выборе реселлера стоит обращать внимание на наличие у компании собственного офиса, а также на время существования компании.

Низкие цены – еще не показатель качества. Магазинов, предлагающих очень низкие цены, довольно много, но зачастую службы поддержки у них попросту нет, в результате чего клиент, покупая сертификат, не знает, что дальше с ним делать. Никто не подскажет, как решать проблемы при установке сертификата на сервер. Все это выливается в лишнюю головную боль, поэтому лучше всего отдавать свое предпочтение проверенным компаниям, которые имеют свои реальные офисы (гарантия того, что компания никуда не пропадет) и работают уже длительное время.

Покупка SSL-сертификата в данном случае будет включать в себя возможность обратиться в поддержку по бесплатному телефонному номеру, где специалисты оперативно решат любые проблемы.

Также в этом случае можно будет легко получить документы для бухгалтерии.