Włączasz stronę w przeglądarce Chrome i widzisz komunikat „Niezabezpieczona” obok pola, w którym znajduje się adres? Następnie sprawdzasz ją w Firefox i tym razem dowiadujesz się, że połączenie z witryną nie jest bezpieczne? Sprawdź, co się stało i jak możesz naprawić ten problem.
Strona niezabezpieczona – co się dzieje?
Przeglądarka Chrome zaczęła oznaczać strony jako niezabezpieczone w 2018 roku, od wdrożenia 68. wersji tego oprogramowania. Google chciało w ten sposób zachęcić właścicieli witryn do korzystania z certyfikatu SSL. Co to jest? Jeśli Twoja strona ma poprawnie zainstalowany certyfikat, połączenie z witryną jest szyfrowane. Oznacza to, że przesyłane dane pomiędzy serwisem a urządzeniem użytkownika nie mogą być zmienione ani przejęte. To ważny krok w stronę zwiększenia bezpieczeństwa osób korzystających z sieci. Google długo przygotowywało użytkowników do wdrożenia nowych rozwiązań, ale oczywiście nie wszyscy po nie od razu sięgnęli. Z danych Google’a wynika, że zainteresowanie szyfrowanymi połączeniami rosło dynamiczne nawet przed ogłoszeniem aktualizacji wyszukiwarki Chrome. Zwróć uwagę, że w 2016 roku niewiele ponad 20% stron japońskich korzystało z SSL, ale już w Meksyku było to blisko 50%.
A jak sytuacja wygląda obecnie? Otóż według W3techs z szyfrowanego połączenia korzysta ponad 80% stron na całym świecie.
Czy warto korzystać z SSL? Bezdyskusyjnie tak. To czynnik rankingowy wyszukiwarki Google, co oznacza, że jest brany pod uwagę przy ustalaniu pozycji w wynikach. Do tego dochodzi kwestia braku oznaczenia jako niezabezpieczona. Oto inne zalety tego rozwiązania:
- Pozytywny wpływ na konwersję – jeśli, np. strona sklepu WWW będzie oznaczona jako niezabezpieczona, raczej wątpliwe, aby osiągała wysoką sprzedaż. Zmieni to instalacja certyfikatu.
- Dbanie o bezpieczeństwo użytkowników – budujesz pozytywny wizerunek w oczach użytkowników korzystających z serwisu.
- SSL jest rekomendowane przez GIODO – nie jest to powiedziane w proste, ale przepisy wymagają stosowania zabezpieczenia kryptograficznego.
Czy SSL rzeczywiście wpływa na pozycję w Google? Obecnie ciężko w ogóle znaleźć stronę bez SSL, która zajmowałaby wysokie pozycje. Stało się to standardem. Niemniej, jakiś czasu temu, kiedy SSL nie było tak popularne, Ahrefs opublikowało następujący wykres:
Ewidentnie na najwyższych pozycjach znajdowały się strony z zabezpieczeniem. Nie oczekuj jednak, że jeśli włączysz SSL, Twoja witryna zyska nagle dużo wyższe pozycje. Owszem, widoczność może ulec poprawie, ale miej na uwadze, że certyfikat jest obecnie standardem i prawie każda strona WWW korzysta z tego rozwiązania. Jeśli Ty tego nie robisz, pozostajesz w tyle za konkurencją. Dlatego, w przypadku gdy zastanawiasz się, czy SSL w ogóle ma sens, przejdź do działania. To niezbędne!
Strona niezabezpieczona – jak rozwiązać problem?
Jeśli witryna ma zainstalowany certyfikat SSL, jej adres zaczyna się od https:// zamiast http://. W przypadku gdy Chrome wyświetla komunikat niezabezpieczona, to u Ciebie tak nie jest. Żeby rozwiązać problem, zainstaluj certyfikat SSL. Jak podmienić adres i ile to będzie kosztować? W KRU masz bardzo popularny i darmowy Let’s Encrypt. Kiedyś korzystanie z tego rozwiązania było kłopotliwe, ale obecnie Twoim zadaniem jest tylko instalacja, a certyfikat będzie odnawiać się automatycznie. Zastanawiasz się, czy darmowy SSL jest na pewno dobrym wyborem? Nie ma powodów do obaw. Z tego rozwiązania korzysta ponad 300 mln stron na świecie.
Możesz również zainwestować w certyfikat komercyjny. W tym przypadku poziom weryfikacji jest wyższy. Przy Let’s Encrypt wystarczy, że aktywujesz SSL w panelu zarządzania usługą hostingową. Jeśli chodzi o komercyjne certyfikaty, wygląda to inaczej. Nawet w przypadku najniższego stopnia walidacji, mianowicie DV (Domain Validation), należy potwierdzić dostęp do e-maila utworzonego w danej domenie. Wystarczy kliknięcie linka wysłanego na ten adres. W OV (Organization Validation) i EV (Extended Validation) weryfikowane są dokumenty firmowe. Jest to potwierdzenie, że dana firma rzeczywiście ma prawa do danej domeny i działa legalnie.
Warto wybrać płatny certyfikat, jeśli prowadzisz instytucję finansową bądź duży sklep i zależy Ci na zapewnieniu jak największego bezpieczeństwa danych. W przypadku gdy zarządzasz blogiem lub stroną informacyjną wystarczy, że skorzystasz z darmowego certyfikatu.
Jak zainstalować Certyfikat SSL w Kru.pl?
Zaloguj się do panelu zarządzania stroną. Następnie wybierz sekcję „Zarządzanie kontami”, a dalej pozycję „Certyfikaty SSL”.
W nowym oknie, które Ci się pojawi, zaznacz opcję Darmowy i automatyczny certyfikat od Let`s Encrypt, a ponadto pozycje, które znajdują się niżej. Dzięki temu szyfrowane będzie również połączenie z serwerem FTP oraz pocztą. Na koniec kliknij „Zapisz” i zabezpieczenie jest włączone. To jednak nie wszystko.
Wymuś przekierowanie na wersję szyfrowaną
W kolejnym kroku musisz wymusić korzystanie z wersji z https://. W tym celu dodaj odpowiedni kod do pliku .htaccess. Plik ten znajdziesz w katalogu głównym strony WWW – tam, gdzie zapisany jest index.php. Możesz to zrobić, korzystając z opcji „Zarządzania plikami”, którą masz w panelu zarządzania. Wystarczy, że odszukasz ten plik i skorzystasz z możliwości edycji. Innym sposobem jest zalogowanie się na serwer przez FTP, pobranie pliku, edycja na dysku, a następnie upload.
Sprawdź: jak zalogować się na konto FTP za pomocą programu FileZilla
Jeśli udało się znaleźć plik .htaccess, umieść na jego początku następujący kod:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
Zapisz zmiany, lub uploaduj plik, jeśli edytujesz po pobraniu pliku na dysk.
Podmień adresu URL w bazie danych
Włączenie SSL to nie wszystko. W dalszym ciągu na Twojej stronie znajdują się adresy w wersji z http:// – w serwisie pozostały wcześniejsze odnośniki. Musisz podmienić adres do wszystkich zasobów – zdjęć, arkuszy stylów, podstron serwisu, aby zaczynały się od https://. Jak to zrobić?
Zdecydowana większość stron bazuje na systemie WordPress, zatem pokażę Ci, jak to wykonać – bez wiedzy technicznej – za pomocą pluginu. Zainstaluj wtyczkę Better Search Replace. Jest popularna, często wybierana i bardzo dobrze oceniana.
Po instalacji znajdziesz ją w panelu administracyjnym systemu WordPress w menu „Narzędzia”.
Przejdź do pluginu. W polu Search for dodaj adres strony z http:// – wtyczka będzie go szukać, a kiedy znajdzie, podmieni na zawartość pola Replace with, czyli adres z https://. Kliknij jedną z widocznych w Select tables nazw, a następnie wybierz kombinację klawiszy CTRL+A, aby zaznaczyć wszystkie. Opcje widoczne poniżej wybierz identycznie, jak widzisz na screenie:
Teraz kliknij „Run Search/Replace” i po chwili zadanie będzie wykonane. Teraz wszystkie adresy WWW na stronie powinny być w wersji szyfrowanej.
Jeśli masz dodaną mapę strony w Google Search Console, zaktualizuj w niej adresy na te z https://. W przypadku gdy zależy Ci na widoczności strony w Google, postaraj się zmienić adresy w linkach zewnętrznych. Jeśli w danym serwisie masz odnośnik, który prowadzi do wersji z http://, podmień go na https://. W momencie, kiedy linki nie prowadzą do strony docelowej tylko przekierowanej, tracą część mocy SEO, tzn. mają mniejszy wpływ na widoczność witryny w Google.