Блог безопасности сайта Joomla



Установка SSL сертификата на Joomla сайт. Переходим на https протокол

 

Вступление

Я не знаю, зачем нужен SSL сертификат на Joomla сайте вам. Может у вас Интернет магазин и/или посетители оставляют на сайте свои платежные реквизиты, или вы, как я, заинтересованы в более высоких позициях в выдаче. Причина получить зеленый замок лояльности в адресной строке браузера рядом со своим сайтом может быть любая. Она влияет только на тип вашего сертификата и не важна для этой статьи. Для этой статьи считаем, что вы получили SSL сертификат для вашего домена, на котором создан сайт Joomla.

Как дела обстоят на практике

На практике:

Есть 4 типа сертификатов SSL для сайтов:

  • Проверка домена (DV). Выдаются частным лицам, есть бесплатные варианты;
  • Проверка домена и собственника домена (IV);
  • Проверка домена и фирмы (OV);
  • Расширенная проверка организации (EV). Лучший вариант для интернет-магазина.
  • Для кириллического домена нужно искать сертификат типа IDN.

Чтобы получить или купить SSL сертификат, можно воспользоваться следующими практическими вариантами:

  1. Бесплатно. Если ваш хостер настолько хорош, что работает с бесплатным центром сертификации Let’s Encrypt и предлагает бесплатно получить SSL сертификат от этого центра.
  2. Бесплатно. Зарегистрировавшись и получить сертификат DV Free на сайта SmartSSL.
  3. Платно, через, панель своего хостинг провайдера. Если ваш хостер настолько предусмотрителен, что создал дополнительную услугу, по покупке сертификата. Стоимость таких сертификатов от 500 рублей в год, на домен+www, и его покупка прописана на хостинге.
  4. Платно на стороне. Вы можете купить сертификат SSL в специальных центрах сертификации и обратиться к хостеру для его подключения. Лучше сначала спросить у хостера, а потом покупать.

SSL Jomla 3x scrin2

SSL Jomla 3x scrin3

Примечание: Так называемые самоподписные сертификаты не являются для браузеров безопасными. При их использовании и переходе на протокол HTTPS вы сами «пометите» свой сайт, красной меткой, как ненадежный.

Подготовительные работы перехода на https протокол на Joomla сайте

Итак, у вас есть сертификат безопасности SSL, отличный от самоподписного. Не важно, подключили вы его бесплатно на хостинге или имеет два ключа безопасности, для перевода сайта Joomla на безопасный протокол HTTPS нужно:       

  • Сделайте резервную копию сайта (сайт+ база данных);
  • Включите для домена SSL кодирование и подключите к домену сертификат безопасности. Пока, не делайте переадресацию с протока http на https;
  • Проверьте доступность сайта по протоколам http и https. По https вы должны видеть сайт, а не пустую заставку.

Настройка Joomla сайта для работы с SSL

Что значит корректный переход на новый протокол https? Это значит, что все страницы вашего сайта, включая все ссылки, картинки, ссылки сторонних расширений, формы должны быть доступны и по протоколу https.

Во-первых, в настройках сайта Joomla, есть кнопка активации SSL режима. Её нужно включить. Вкладка административной панели: Общие настройки >>Сервер.

SSL Jomla 3x scrin1

Во-вторых, если вы вставляли на сайт картинки используя «Медиа менеджер» сайта, то в нем картинки вставляются с относительным адресом и переход на протокол https их не закроет.

В-третьих, все внутренние ссылки, должны быть также относительными или прописанными с протоколов https.

В-четвертых, все внешние ссылки должны поддерживать протокол https и вам нужно прописать в них, вместо протокола http протокол https. Если внешний источник их не поддерживает, их нужно убрать или не обращать внимание на предупреждение браузера.

В-пятых, во всех сторонних расширениях сайта нужно включить режим поддержки SSL (если есть такой режим).

  • Велика вероятность (для примера), что ваш шаблон подгружает через скрипты сторонние стили, а значит в скрипте, указан такой вызов:     

<script src="http://ajax.googleapis.com/ajax/libs/jquery/x.xx.x/jquery.min.js"></script>

  • Доложно быть так

<script src="//ajax.googleapis.com/ajax/libs/jquery/x.xx.x/jquery.min.js"></script>

После выполнения всех перечисленных настроек, открываем сайт по протоколу https. Это значит, в адресной строке браузера пишем полностью:

https://site.exe

Что делать если браузер показывает сайт ненадежным

Если вам удалось, открыть свой сайт по протоколу https, но вы видите, предупреждение браузера о ненадежности сайта или браузер блокирует часть скриптов сайта, это значит, что браузер видит «Mixed content», смешанное содержание на странице сайта.

Для проверки «Mixed content» лучше использовать браузер Chrome. На странице сайта правой кнопкой открываете вкладку «Посмотреть код». Вверху вкладка «Security», под предупреждением Mixed content ссылка на список ошибок или значок ошибок в правом верхнем углу.

Mixed Content SSL Jomla 3x     

В списке ошибок видим ошибки в url, которые нужно исправить. Велика вероятность, что под смешанное содержание попадут: некоторые видео, некоторая реклама, сторонние картинки, и другие коды включающие сторонние, небезопасные url.  

Примечание: Все вышеперечисленные настройки можно отнести к технической части перехода на протокол https. Есть вторая часть перехода, SEO настройка сайта после перехода на https.

Оптимизация перехода на протокол HTTPS Joomla сайта

По SEO переход на протокол https сродни переезду на новый домен. Меняя протокол сайта, вы меняет все его ссылки. Это значит, что все страницы вашего сайта, которые были в выдаче, по протоколу http, из индекса выпадут.

Минимизировать потери выдачи, можно, сделав следующие шаги оптимизации:

301 redirect

Если сайт работает на сервере в режиме Apache, то в файле .htaccess, который должен быть у вас в корне сайта, пишем две директивы переадресаций.

Если сайт работает на сервере в режиме Nignx, то ищем кнопку переадресаций из директивы HTTP в директиву HTTPS. Если такой кнопки нет, пишем хостеру с просьбой помощь.

Если не помогают директивы в файле .htaccess, пишем в техподдержку хостера.

Для поисковиков Google и Bing

Для этих поисковиком, в панелях инструментов для вебмастеров, добавляем новый сайт с https и сообщаем о новой карте сайтов с https. Если вы предварительно включили 301 redirect в этих поисковиках больше ничего делать не нужно.

Для поисковика Яндекс

Сначала, в файле robots.txt вашего сайта, меняем директиву Host и пишем новое основное зеркало сайта, полностью: https://site.exe или https://www.site.exe.

В инструментах вебмастера Яндекс, на вкладке «Инструменты» проверяем файл robots.txt, ошибок быть не должно.

Там же, отправляем новую карту сайта sitemap с https.

yandex ssl nastroyka joomla3x scrin4

Там же, на вкладке «Переезд сайта», сообщаем о начале использования протокола HTTPS. Это можно не делать, если вы прописали новую директиву Host (лучше сделать).

yandex ssl nastroyka joomla3x scrin1

yandex ssl nastroyka joomla3x scrin2

yandex ssl nastroyka joomla3x scrin3

Примечание: если у вас крутой трафик и вам «ну очень жаль» трафик, вам можно попробовать следующую схему оптимизации безопасного протокола:

  • Не делайте переадресации http на https нигде. Сайт будет доступен по двум адресам.
  • Добавьте на Яндекс новый сайт с https.
  • Ждите его полной индексации (4-6 месяцев).
  • Теперь сделайте переадресацию http на https.

Есть мнение, что на новом интерфейсе Яндекс (новом алгоритме) можно сразу сделать переадресацию, и трафик плавно перетечет на новый протокол.  Похоже это так, я не вижу потери трафика, скорее наоборот. Зато что вы точно прострёте, с переходом на https это ТИЦ. С 301 редиректом, он обнулится на обеих сайтах, до следующего апдейта ТИЦ.

Выводы

Установка SSL сертификата на Joomla сайт и переход на https протокол, дело серьезное, в некоторых вариантах затратное. Поэтому, начать переход на безопасный протокол, серьезного проекта, лучше с общения с техподдержкой вашего хостера. Если они не могут вам помочь, искать альтернативный хостинг с вразумительной поддержкой SSL сертификации.

Связанные материалы

 

 

Рекомендуем