Повысить безопасность сайта и защитить данные пользователей поможет установка HTTPS, что можно сделать как за деньги, так и без оных. Коммерческому сайту сертификат SSL обязателен, боюсь что скоро защищённые протоколы станут необходимы для всех, поэтому не томите долго яйца в кипятке, если не любите крутой отвар.
Алгоритм телодвижений
Давайте заглянем под ковер и посмотрим какие телодвижения делают на веб-сайте Joomla, для примера, на хостинге Спайс Веб.
Вот основные движухи для установления HTTPS:
- Подключение на хостинге.
- Включение SSL на сайте.
- Редирект на HTTPS.
- Настройка Яндекс и Google.
Идти надо в такой последовательности, иначе горькие слёзы неудачи будут долго щипать небритые мужские или розовые женские щёчки. Сразу устанавливаете сертификат на хостинге, потом делаете подключение в админке и последний штрих художника-авангардиста – это установка редиректа с HTTP и настройка в панелях веб-мастера Google и Яндекс.
Подключаем SSL на хостинге
Заходите для старта в админку Спайс Веб или другого хостинга и ищите там вкладку SSL. Там можно установить свой сертификат или воспользоваться бесплатным вариантом Let’s Encrypt:
- Загрузить сертификат для домена (.crt).
- Загрузить приватный ключ (.key).
- Загрузить корневой или промежуточный сертификат (.crt / .ca-bundle).
- Let’s Encrypt.
Последний вариант даёт меньшую защиту, но если сайт не слишком богат и главная цель убрать в браузере предупреждение о опасности ресурса, то он подойдёт. Let’s Encryp предоставляется на 90 дней, но на Sweb.ru он автоматом продлевается дальше. Времени на подключение надо минут 10-20, после чего отправляемся в админку Joomla 3.
Включаем SSL на сайте
Тут всё просто, не сложнее первого поцелуя под воздействием пива. Идите по пути:
Система -> Общие настройки - Включить SSL - Весь сайт
И истина обретётся за пару минут. Можно включить SSL только для веб-сайта, оставив для административной панели HTTP, но особого смысла в этом не вижу.
Остаётся сделать редиректы.
Редирект с HTTP на HTTPS
Возвращаетесь в панель любимого хостинга и ищите на дороге:
Хостинг - файлоый менеджер
Файл .htacces, который находится в корне сайта. В него надо внести код:
RewriteEngine on
SetEnvIf X-Forwarded-Proto https SERVER_PORT=443
SetEnvIf X-Forwarded-Proto https HTTPS=on
RewriteCond %{HTTP:HTTPS} !=on [NC]
RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
После этого проверьте переадресацию и можно переходить к финальному этапу.
Настройки для Яндекс и Google
В Google после вышеупомянутых манипуляций надо просто добавить новый web-сайт, например, https://www.zegeberg.ru/. Гоша сам поймёт и склеит ресурсы.
В Яндексе тоже нет особых хлопот. Идите по:
Индексирование – переезд сайта.
Там надо только поставить галочку на:
Добавить HTTPS
И сохранить данные. Если появится уведомление типа:
В ближайшее время в результатах поиска вместо домена www.zegeberg.ru появится https://www.zegeberg.ru.
То всё АГА и остаётся подождать.
П. С. На финише не забудьте просканировать сайт на предмет битых ссылок и обратите внимание на Sitemap.xml, если он сделан сторонним ресурсом, то придётся заменить HTTP на защищённый протокол вручную или пересканировать веб-сайт заново.
Короткие ответы
На все ли сайты надо устанавливать HTTPS?
Сейчас это требуется тем сайтам, которые сохраняют информацию о пользователях и используют онлайн-оплату. Также это позволит никому не всунуть вам на сайт свою рекламу. Однако SSL – это перспектива и, скорее всего, скоро всем придётся повеситься перейти на защищённый протокол.
Почему такие дорогие HTTPS?
Это не к блогу Zegeberg вопрос, хотя и присоединяюсь, от 3 К – это больно для мелкого сайта. Как вариант, используйте бесплатный протокол от Let’s Encrypt, он практически ничего не защищает, но формально в адресной строке будет отсвечиваться HTTPS. Также многие хостинги дарят SSL бесплатно в виде бонусов.