Веб-сайты часто подвергаются хакерским атакам. Отчасти это обусловлено открытостью среды, в которой они работают, отчасти беспечностью владельцев сайтов. Даже если ваш сайт не является интернет-магазином, он может стать целью злоумышленников для таких действий как: модификация контента на сайте, внедрение вредоносного кода, размещение спам-ссылок, перенаправление пользователей на другие ресурсы и многих других действий.
Если же ваш сайт собирает и хранит пользовательскую информацию, позволяет осуществлять оплату с сайта, содержит формы авторизации, то нужно проявить особенную заботу о защите своего сайта. В этой статье мы расскажем о настройке работы вашего сайта по протоколу HTTPS, которая позволит вам существенно повысить уровень защиты вашего сайта.
HTTPS-протокол это безопасная версия HTTP — базового протокола обмена гипертекстовой информацией в сети интернет.
Его главным отличием является шифрование данных, передаваемых от клиента на сайт и обратно. Если при работе вашего сайта по протоколу HTTP данные могут быть перехвачены и/или заменены достаточно просто, то при работе по HTTPS сделать подобное будет гораздо сложнее.
Дополнительным преимуществом при использовании защищенного протокола является приватность. Никто из тех, кто участвует в передаче данных между вашим сайтом и клиентом, не сможет узнать, какой контент получает ваш пользователь. Конечно это будет справедливо в том случае, если у них нет ключей для дешифрации трафика.
Для настройки работы сайта по протоколу HTTPS владельцу сайта необходимо купить один из сертификатов SSL и установить его на сервер, где размещен его сайт.
После чего необходимо произвести некоторые настройки на самом сайте. При этом со стороны посетителей сайта никаких дополнительных усилий для перехода на безопасный протокол не требуется.
Стоимость сертификата зависит от его типа, платежного цикла и центра, который его выпускает.
Отдельно следует отметить, что использование даже самого простого SSL-сертификата позволит вам существенно повысить безопасность вашего сайта.
Установка сертификата на сервер требует специальных знаний, поэтому лучше обратиться к администраторам сервера, размещающего сайт.
После установки сертификата сам сайт тоже необходимо подготовить для работы по протоколу HTTPS. Для этого надо выполнить несколько шагов:
- Все внутренние ссылки на вашем сайте должны использовать протокол HTTPS. Лучше всего в данном случае все абсолютные ссылки заменить относительными.
- Видео, картинки или скрипты, загружаемые с внешних ресурсов, необходимо запрашивать по протоколу HTTPS. Если по какой-то причине внешний ресурс не отдает контент по защищенному протоколу, нужно обратиться к владельцу ресурса или подумать о том, чтобы загружать аналогичный контент с другого ресурса.
- После установки сертификата на сервер необходимо проверить, что сайт доступен по протоколу HTTPS. Сайт должен открываться и работать без ошибок.
- Установить 301 перенаправление со старого адреса http://... на новый https://...
- Отредактировать директиву Host в файле robots.txt, заменив http на https.
- Сгенерировать новый файл sitemap.xml, чтобы обновился протокол в ссылках на страницы сайта.
- Сообщить о переходе на HTTPS своим seo-специалистам, чтобы они выполнили необходимые процедуры в панелях для вебмастеров Яндекс и Google.
Мы разрабатываем сайты и готовые решения на базе CMS «1С-Битрикс», которая имеет в своем составе специальный раздел, посвященный настройке сайта на работу по HTTPS-протоколу — в системе администрирования это раздел «Настройки» -> «Настройка HTTPS», доступный также по ссылке /bitrix/admin/promo_https.php?lang=ru.
Позаботиться о работе сайта на протоколе HTTPS лучше сразу при запуске сайта для обеспечения безопасности передачи данных и повышения доверия со стороны пользователей. Это также позволит в дальнейшем избежать ожидания переиндексации в поисковых системах из-за изменения адреса вашего сайта в части протокола.