Joomla! Community Magazine™. Joomla настройка https
Как настроить HTTPS для сайта на CMS Joomla
Рассмотрим преимущества и недостатки перевода сайта на HTTPS:
Преимущества:
- Конфиденциальность/Безопасность. Когда вы применяете HTTPS, вы гарантируете, что никакая информация, передаваемая между сервером и клиентом, не может быть перехвачена и украдена или испорчена каким-либо образом
- Целостность. В сети масса примеров, описывающие как система WiFi для отелей и даже интернет-провайдеры, которые работают с HTTP-трафиком и делают такие вещи, как вставка собственного рекламного кода. Невозможно сделать это через HTTPS.
- Подлинность. Например, тот же самый владел ец точки доступа WiFi мог бы отправлять поддельный сайт. HTTPS гарантирует, что веб-сайт, который представляется как enjoyweb.net, действительно является enjoyweb.net
- SEO. НTTPS является положительным фактором ранжирования в поисковой системе Google.
- Доверие. При открытии страниц на которых есть формы, по протоколу HTTP, браузеры Chrome и Firefox помечают их как небезопасные ресурсы. Этот факт никак не внушает доверия к сайту.
Недостатки:
- Время. Работает медленнее, чем обычный HTTP протокол, так как приходится тратить время на установление защищенного соединения и шифрование данных, но в большинстве случаев разница не заметна.
Рассмотрим процедуру настройки.
1. Получение и установка сертификат SSL.
Рассмотрение данного процесса выходит за рамки статьи, рекомендую просмотреть FAQ вашего хостера и просмотреть там инструкции, большинство хостеров помогают с установкой SSL и предоставляют возможность покупки или генерации бесплатного сертификата.
Проверить корректность установки SSL и какой именно сертификат был установлен, можно при помощи замечательного ресурса SSL Shopper.
2. Изменение протокола в админке Joomla.
В Панели администратора необходимо перейти в раздел ⇒ Система ⇒ Общие настройки (в некоторых вариантах перевода – Глобальная конфигурация).
Переходим во вкладку «Сервер». Выбираем вариант включения SSL для всего сайта.
Сохраняем изменения и в этом варианте шифрование будет включено как для админки, так и непосредственно для сайта.
3. Перенаправление запросов.
Сайт доступен и по протоколу HTTP и по протоколу HTTPS, для того, чтобы перенаправить все запросы с HTTP на HTTPS, пропишите в .htaccess следующие строкиRewriteCond %{HTTPS} !=onRewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
После выполнения данного этапа, настройка сайта для работы по HTTPS завершена.
Если у вас возникли трудности с настройкой HTTPS, оставьте комментарий и я обязательно вам отвечу и/или постараюсь помочь.
enjoyweb.net
Инвестирование в HTTPS важно для чистоты Вашего веб-сайта
Когда Вы присаживаетесь в [своем] местном кафе или бесплатном публичном Wi-Fi пятачке, входите в один из своих излюбленных веб-сайтов и начинаете бродить по интернету, то Вы, возможно, в то же самое время раздаете находящимся вокруг Вас свои визитные карточки со своими именами пользователя и паролями. Это [происходит] из-за того, что те веб-сайты, которые не имеют шифрования HTPPS, не предоставляют защиты [своим] конечным пользователям. Вместо этого, они оставляют Вас открытыми и уязвимыми. Вы бы хотели чтобы на таком месте оказались посетители Вашего веб-сайта?
Автор: John Rampton | Впервые опубликовано на английском языке: среда, 01 октября 2014, 01:00
Что такое HTTPS?
Вы вероятно, знакомы с HTTPS больше чем Вы думаете. HTTP - это сокращение от "Hyper Text Transfer Protocol" и является формой защиты веб-сайтов. Вы можете узнать эти буквы в начале URL веб-ссылок веб-сайтов. HTTPS - это сокращение от "Hyper Text Transfer Protocos with Secure Cockets Layer". Эта форма защиты спроектирована для предоставления безопасных и защищенных транзакций в интернете, которые содержат [в себе] личную информацию или обмен деньгами.
Когда на веб-сайте имеется HTTPS, то он лучше защищен от сторонних атак. По существу, это доказательство того, что Вы вовлечены в безопасный сеанс пользователя и защищены от любопытных глаз. Хотя на многих веб-сайтах нет практической необходимости в HTTPS, он определенно необходим на других. Особая необходимость в HTTPS имеется у веб-сайтов электронной коммерции.
Как установить и настроить HTTPS на Joomla
Настроить HTTPS на Joomla очень просто. Это, однако, требует внимания к мелким деталям. Удостоверьтесь в том, что Вы последовали [указаниям по] этим шагам и прежде чем начинать что-то что Вы не понимаете, спросите.
- Купите какой-либо сертификат. Для начала, Вам нужно приобрести какой-либо сертификат "Secure Socket Layer (SSL)". Он зашифрует информацию на Вашем веб-сайте и обеспечит ее безопасное и защищенное перемещение по интернету. Эти сертификаты могут быть дорогими, в зависимости от того, у кого Вы его приобритете, и обычно стоят в пределах от 20 до 200 долларов США.
- Установите этот сертификат. Дальше Вам нужно, чтобы Ваш веб-хост установил этот сертификат на Вашем выполненном на] Joomla веб-сайте. [Начиная] отсюда, Вы сможете управлять предпочитаемыми [настройками] на свой выбор (через административную панель).
- Войдите и подстройте. После того, как Вам предоставили доступ к Вашему SSL-сертификату, щелкая на различные начальные настройки Вы можете установить разные правила шифрования. Например, [настройки] Вас спросят предпочитаете ли Вы шифровать весь веб-сайт, только веб-форму входа [на сайт] и так далее.
- Подстройте компоненты. В заключении, если у Вас имеются дополнительные компоненты и добавленный функционал на своем веб-сайте, то для обеспечения безопасности SSL Вам будет нужно индивидуально подстроить [и] их параметры.
- Безопасность. Главенствующей выгодой от [применения] HTTPS является шифрование данных [обрабатываемых Вашим веб-сайтом] и значительно уменьшенный риск атак с прослушиванием. Когда кто-либо посещает Ваш веб-сайт, то [это] уверяет их в том, что их информация будет защищена и безопасна.
Выгоды от HTTPS
После установки и настройки свего SSL-сертификата Вы откроете много выгод [от применения] HTTPS. Некоторые из главных включают [в себя]:
Уверенность. Когда люди знают, что Ваш веб-сайт безопасен, то они конечно будут покупать [на нем] с большей уверенностью. Это увеличивает посещаемость Вашего веб-сайта, конвертирование и базу покупателей в общем. Это также неплохая игра для улучшения своего брэнд-имэджа.
Никакой истории. Для тех, кого беспокоит то, что серверы сохраняют их историю [посещения веб-сайта], HTTPS - это желанная картина. Никакая история не собирается. Фактически, после того, как соединение [между покупателем и Вашим веб-сайтом] закончено, история [визитов] удаляется.
Игнорируйте на свой собственный риск
Главным недостатком для некоторых является то, что HTTPS считается медленнее чем HTTP. В то время как это возможно так и есть, для большинства разница [в скорости соединения] не заметна. Вероятно, лучшей мыслью будет инвестировать в безопасность в сравнении с незначительной разницей в скорости. Если Вы решите игнорировать HTTPS на своем веб-сайте, то Вы, возможно, окажитесь в беде. Если данные пользователей будут похищены, то начнутся вопросы и тыканье пальцем. Лучше полностью избежать этих ситуаций, инвестируя в HTTPS своего веб-сайта на Joomla.
Журнал сообщества Joomla!
Настройка HTTPS на Вашем веб-сайте не должна быть трудной. Существует множество ресурсов, которые проведут Вас через этот процесс. Для дополнительной информации по созданию веб-сайтов, дизайну и всему другому относящемуся к сообществу Joomla познакомтесь с этими Журнал сообщества Joomla. Некоторые из наиболее полезных материалов включают "Мощь Twitter" и "Легкие к использованию команды операций поиска".
magazine.joomla.org
[SSL часть 2] Особенности установки SSL сертификата на Joomla
Добрый день, дорогой коллега!
В прошлой статье мы с вами рассмотрели для чего нужен SSL сертификат.
Сегодня мы рассмотрим какие особенности существуют при установке SSL сертификата на Joomla и что нужно учесть, чтобы ваш сайт работал корректно по протоколу https.
Начнем по порядку.
1. Покупка SSL сертификата.
Какой купить SSL сертификат мы рассмотрели здесь.
Важные моменты по покупке.
- Если вы покупаете стандартный сертификат, то он генерируется автоматически после оплаты и подтверждения вами доменного имени.
- Доменное имя подтверждается по почте. Т.е. вам на е-маил отправляется автоматическое письмо со ссылкой для подтверждения.
Для подтверждения можно указать е-маилы следующего вида:
Никакие другие почтовые ящики вы указать не сможете, поэтому если у вас еще на домене не заведен один из указанных е-маилов, то заведите. Пригодится только один раз.
2. Установка SSL сертификата
После покупки вам придут данные, которые нужно отправить хостеру, а именно:
- сертификат (начинается со слов begin sertificate),
- приватный ключ,
- цепочки сертификатов, если есть (не обязательно).
Всю установку сертификата к домену проделает хостинг компания.
3. Выделенный IP адрес
Устанавливать SSL и переводить сайт на https можно как на прежнем ip адресе, так и на выделенный (отдельный).
Т.е. можно остаться на прежнем ip адресе, можно получить новый.
Преимущества нового ip адреса, в том, что он закреплен только за вашим доменом, как следствие у него по умолчанию хорошая карма и в случае с рассылками с сайта вероятно попасть в спам в ненужный момент сильно уменьшается.
Выделенный ip, как правило, платный. Стоимость уточняйте у своего хостера.
После установки SSL сертификата ваш сайт будет открываться как по протоколу http, так и по протоколу https. Протокол по умолчанию всегда http, если принудительно не назначен https.
Что нужно сделать для нормальной работы сайта по https:
- Нужно, чтобы при переходах по ссылкам сайта у нас прописывался соответствующий протокол.
- Файлы стилей и иные подгружаемые файлы должны загружаться так же по протоколу https.
- Ссылки на все изображения должны быть прописаны с https.
- Данные всех форм должны отправляться по https.
- Проверить принудительные 301 редиректы в сторонних расширениях (RSSeo, ReDj).
Что такое нормальная работа по https? Это когда сайт загружается корректно и у названия сайта горит зеленый значок (во всех браузерах кроме Safari, в этом браузере просто серый замок).
Если же на вашем сайте не все изображения загружаются по протоколу https или найдены другие, вышеперечисленные ошибки, то будет вот такой значок.
Поэтому сейчас переходим к настройке джумла для соблюдения всех необходимых условий.
Настройка Joomla
4. Файл конфигурации
Открываем файл configuration.php, находим директиву live_site и прописываем https://site.ru
Важно! Урл без слэша на конце.
Далее, в этом файле находим опцию force_ssl и ставим значение 2. Это означает, что админка и фронтенд будут открываться по https. Если поставим 1, то по защищенному протоколу будет открываться только админка.
Данную опцию не обязательно изменять напрямую в конфиге, можно зайти в настройки сайта и выбрать соответствующее значение. Разницы где назначать нет.
У некоторых расширений в настройках также может быть опция по включению SSL. Из знакомых мне расширений опция есть только Virtuemart.
Благодаря этой настройке мы указали по какому протоколу у нас должны загружаться изображения и дополнительные файлы (в частности, файлы шаблона).
5. Особенность joomla (не для всех сайтов)
Добавляем в конец файла configuration.php следующую строчку $_SERVER['HTTPS'] = 'on';
Получится вот так:
6. Редирект главной страницы
Открываем файл .htaccess и прописываем следующий код для главного редиректа при запросе вашего сайта через строку браузера.
Код размещаем после строки RewriteEngine On
RewriteCond %{HTTPS} off RewriteRule ^(abc/def|ghi)(.*)/?$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,NC,L]Сейчас ваш сайт всегда будет открываться по протоколу https и будет загружаться со всеми стилями, ява скриптами и изображениями.
Но! Осталось проделать еще 2 важных пункта.
7. Пути к изображениям и формам (нужно будет не всем, но важно).
Если на странице вашего сайта будут найдены изображения, которые загружаются не по протоколу https, то зеленого значка около названия вашего сайта не видать. Сам сертификат при нажатии на него будет говорить, что не все элементы грузятся по безопасному протоколу. В этом случае проверяем и исправляем.
По умолчанию, все картинки, которые вы вставляете через формы вставок картинок или через визуальный редактор автоматически меняют свой протол загрузки и за них переживать не стоит.
Но есть изображения, путь которые вставлены в html код и к ним указан абсолютный путь. Вот у таких изображений нужно в пути вместо http:// написать https://.
Изображения могут быть как в текстах, модулях, так и неправильно прописаны, например, в файлах стилях вашего шаблона.
На будущее, если вы хотите указать абсолютный путь (полный) к файлу, то прописываем без указания протокола, например, ://site.ru/images/photo.jpg
И остались формы. Если на вашем сайте есть формы на подписку, то в коде формы меняем урл на который будут передаваться данные.
В результате нам нужно проверить все страницы сайта и, при необходимости дописать букву у обозначения протокола.
Как искать изображения, которые загружаются не по https?
1. Открываем браузер Google Chrome
2. Заходим на проблемную страницу
3. Нажимаем просмотреть код
4. Открываем консоль и видим список всех элементов, использующих небезопасный протокол.
5. Исправляем
Важно!
Если часть страниц вашего сайта будет загружаться правильно, а часть неправильно, то у вас возникнут проблемы с авторизацией. Т.е. авторизовавшись на правильной странице и перейдя на неправильную, авторизация сбрасывается и наоборот. В определенных случаях вы не сможете добавлять материалы.
8. Говорим поисковым системам, что наш сайт переехал на https.
Заходим в яндекс веб-мастер, ставим соответствующую галочку
Заходим в robots.txt и указываем в директиве host https:/site.ru
9. Проверить карту сайта
Обязательно следует проверить карту сайта на то, что все ссылки стали c https.
Дополнительно рекомендуется загрузить обновленную ссылку на карту сайта в google и яндекс вебмастер.
10. Проверить все старые редиректы
Если вы делали редиректы через Redj или RSseo, то проверьте и подправьте, чтобы конечный адрес был с https.
Теперь, можно праздновать, купить чашечку кофе и взять кусочек торта, ваш сайт отныне заслуживает доверия.
alex-kurteev.ru
