Если вы хотите защитить свой WordPress-сайт от злоумышленников и обеспечить безопасность данных пользователей, вам необходимо получить SSL-сертификат и включить HTTPS на своем сайте.
Хотя лично я предпочитаю настраивать HTTPS вручную, а не использовать WordPress плагины для SSL, но у плагина есть свои преимущества. Например, он предлагает более простой способ правильно настроить ваш сайт на использование SSL/HTTPS и избежать предупреждений о смешанном содержимом.
Если ваш хостер не предлагает бесплатные SSL-сертификаты, некоторые SSL-плагины станут хорошей альтернативой и помогут установить бесплатный SSL-сертификат от Let’s Encrypt. А это — серьезная экономия бюджета.
В этом посте я собрал шесть лучших плагинов WordPress SSL, основываясь на своем 10-летнем опыте использования WordPress. Для каждого из вариантов я расскажу, что мне в нем нравится и как он может помочь вам внедрить SSL/HTTPS на своем сайте.
Что такое SSL-плагин?
WordPress SSL-плагин — это инструмент, который помогает настроить сайт для включения HTTPS и использования сертификата SSL (англ. Secure Sockets Layer). По этой причине их также можно назвать плагинами HTTPS, где буква «S» означает «безопасный».
Некоторые SSL-плагины помогают установить бесплатный SSL-сертификат от Let’s Encrypt на ваш WordPress-ресурс. Это может быть полезно, если ваш хостинг еще не предлагает опцию установки бесплатного сертификата.
Но если у вашего хостера есть такая возможность, я рекомендую просто установить SSL-сертификат через панель управления хостингом, так как это упростит дальнейшие действия. Но даже в этой ситуации использование SSL-плагина поможет вам настроить ваш сайт на использование полученного сертификата.
Вот ключевые функции, которые вы найдете в лучших плагинах SSL:
- Установка бесплатного SSL-сертификата от Let’s Encrypt. Некоторые плагины также могут помочь вам вручную или автоматически обновить SSL-сертификат, что очень важно, поскольку срок действия бесплатных SSL-сертификатов истекает каждые 90 дней.
- Заставьте весь трафик на вашем сайте использовать HTTPS (который более безопасен, чем HTTP). Это гарантирует, что все данные будут зашифрованы при их передаче между вашим сайтом и веб-браузерами посетителей.
- Обнаружьте на сайте смешанный контент (который все еще загружается по HTTP) и устраните эти проблемы, чтобы обеспечить безопасность сайта. Если на вашем сайте есть проблемы со смешанным содержимым, он не будет отмечен зеленым замком в Chrome и других браузерах. Это означает, что ваши данные не будут полностью зашифрованы.
- Проверьте свой SSL-сертификат, чтобы убедиться, что все работает правильно.
Вот пример с моего личного тестового сайта, который показывает интерфейс самого популярного бесплатного плагина Really Simple SSL:
Лучшие SSL-плагины для WordPress
Я покажу вам шесть лучших плагинов SSL, все из которых имеют бесплатную версию и доступны из репозитория WordPress.org.
Но прежде чем перейти к более подробному описанию, я хочу предупредить, основываясь на своем личном опыте обновления многих сайтов WordPress до SSL/HTTPS.
Когда вы активируете один из этих плагинов, это нормально, что вы выходите из своей панели WordPress. Это происходит потому, что плагин переключает ваш сайт с HTTP на HTTPS.
Не паникуйте! Все, что нужно сделать — это снова войти в систему, используя свои учетные данные. Нет ничего страшного в том, что вас перенаправляют на экран входа в систему после активации функции HTTPS-перенаправления в плагине.
С этим предостережением давайте перейдем к рассмотрению плагинов.
1. Really Simple SSL
Активно используемый на более чем 5 миллионах сайтов (самый высокий показатель на WordPress.org), Really Simple SSL является самым популярным плагином для установки SSL и лидирует с большим отрывом.
Он был одним из первых и со временем оброс множеством функций, которые помогут вам повысить безопасность сайта.
Когда вы активируете плагин, он предлагает одним кликом активировать SSL, а также ознакомиться с некоторыми другими потенциальными проблемами безопасности на вашем сайте.
Как только вы активируете SSL на своем сайте, вы можете использовать область настроек, чтобы настроить его работу.
Помимо функций SSL, плагин также предлагает ряд других возможностей по укреплению безопасности. Наличие этих функций может быть полезно для многих вебмастеров. Однако если вы уже используете другой плагин безопасности (например, Wordfence или Sucuri), эти дополнительные функции утяжелят сайт. В такой ситуации я рекомендую не включать их, чтобы избежать конфликтов с плагином безопасности.
Я рекомендую начать с этого плагина, поскольку он обладает всеми функциями, необходимыми большинству сайтов, и имеет репутацию как надежное решение. Причем для большинства сайтов подойдет бесплатная версия.
2. WP Force SSL
WP Force SSL — еще один популярный бесплатный SSL-плагин, доступный из официального репозитория WordPress. Но, в отличие от вышеупомянутого плагина Really Simple SSL, WP Force SSL не предоставляет возможность установки фактического SSL-сертификата.
Если вы уже установили SSL-сертификат у своего хостера (например, бесплатный от Let’s Encrypt), этот плагин поможет правильно обновить ваш сайт для использования HTTPS.
Плагин сфокусирован исключительно на функциональности SSL/HTTPS, что, на мой взгляд, делает его немного более оптимизированным, чем вышеупомянутый плагин Really Simple SSL (который также добавляет опции для усиления безопасности).
Плагин начинает работать, как только вы его активируете. Вы можете быстро просмотреть статус внедрения SSL на вашем сайте с помощью приборной панели плагина.
Воспользуйтесь вкладкой «Настройки», чтобы включить или отключить различные функции. Хотя для отдельных опций требуется PRO-версия, я не думаю, что большинству сайтов эти функции понадобятся.
3. SSL Insecure Content Fixer
SSL Insecure Content Fixer — хороший плагин, который поможет правильно использовать SSL на сайте и включить HTTPS-трафик. Как и предыдущее решение WP Force SSL, этот модуль не поможет установить фактический SSL-сертификат — придется сделать это через панель управления хостингом.
Но после установки SSL-сертификата этот плагин поможет убедиться, что все содержимое сайта загружается по HTTPS.
Плагин начинает работать сразу после активации, и настройки по умолчанию должны подойти для большинства сайтостроителей. Для большего контроля над ситуацией в интерфейсе есть область настроек.
4. WP Encryption
WP Encryption — полнофункциональный плагин для установки SSL сертификата на CMS WordPress через Let’s Encrypt, который поможет правильно настроить ваш сайт на использование HTTPS.
В бесплатной версии вы можете вручную установить сертификат в cPanel, в то время как премиум-версия поддерживает автоматическую установку.
Важно отметить, что бесплатная версия плагина не поддерживает автоматическое продление SSL-сертификата. Вам придется вручную продлевать SSL-сертификат через 90 дней (это стандартный период продления для бесплатных сертификатов Let’s Encrypt).
Если вы не хотите беспокоиться о продлении, я рекомендую перейти на премиум-версию, которая поддерживает автоматическое продление SSL-сертификата за 30 дней до истечения срока действия.
Плагин также включает в себя функции настройки сайта на использование HTTPS и принудительного перевода всего трафика на HTTPS-версии страниц. Кроме того, содержит инструмент для исправления смешанного содержимого, позволяющий найти потенциальные проблемы, которые могут помешать получить зеленый замок.
Вы также можете быстро просмотреть состояние SSL вашего сайта на отдельной странице в админке.
5. SSL Zen
SSL Zen — еще один полнофункциональный плагин WordPress для работы с SSL, который поможет вам как установить бесплатный сертификат для вашего сайта, так и настроить его для правильного использования HTTPS.
После активации он запустит простой мастер настройки, который проведет вас через процесс создания и установки бесплатного SSL-сертификата от Let’s Encrypt. В бесплатной версии вы можете проверить свой сайт, загрузив файл на свой сервер или добавив TXT-запись в DNS-записи вашего домена.
Для автоматической установки и продления SSL-сертификата вам понадобится премиум-версия плагина. В бесплатной версии вам придется делать это вручную, добавляя файл на свой сервер. Хотя большинство вебмастеров смогут справиться с этим, вам придется делать это каждые 90 дней.
Кроме того, только в премиум-версии можно автоматически перенаправлять весь трафик на HTTPS-версию вашего онлайн-ресурса. Я думаю, что это отрицательный момент, потому что большинство других SSL-плагинов предлагают эту функцию бесплатно.
Наконец, SSL Zen не поддерживает сертификаты Wildcard SSL, так что это не лучший вариант, если вы создаете мультисайтовую сетку на WordPress.
Плюсом является очень хорошо продуманный интерфейс, что, на мой взгляд, может сделать его хорошим вариантом для технически неподкованных пользователей, готовых заплатить немного денег за удобство и простоту.
6. Flexible SSL for CloudFlare
Как следует из названия, for CloudFlare отличается от предыдущих SSL плагинов в этом списке. В то время как другие WordPress модули являются универсальными этот инструмент создан специально, чтобы помочь вам использовать функцию Flexible SSL, которую предлагает Cloudflare.
Если говорить точнее, плагин предотвращает распространенную проблему, с которой сталкиваются WordPress-сайты, использующие функцию Flexible SSL от Cloudflare, — бесконечный цикл редиректов.
Flexible SSL не имеет никаких настроек — его достаточно просто установить и активировать.
Разработчик рекомендует добавить правило Cloudflare Page Rule, чтобы заставить весь трафик использовать HTTPS-версию вашего сайта.
Рассмотрите этот плагин только в том случае, если ваш сайт отвечает трем условиям:
- Вы подключили свой сайт к Cloudflare.
- Вы включили функцию Flexible SSL в настройках Cloudflare.
- У вас возникли проблемы с этой функцией, например, бесконечные циклы редиректов на сайте.
Если вы не используете Cloudflare, вам не следует выбирать этот плагин.
Нужен ли SSL плагин для движка WordPress?
В большинстве случаев вам не нужен плагин WordPress SSL, чтобы использовать SSL-сертификат. Основное их преимущество — они упрощают процесс включения HTTPS на вашем сайте. Но для более опытных пользователей, которым удобно вручную решать некоторые технические задачи, я рекомендую не использовать SSL-плагин и включить HTTPS вручную.
Так вы избавитесь от необходимости устанавливать еще один плагин на свой сайт. Это снижает вероятность возникновения проблем с совместимостью.
Как вручную включить HTTPS:
- Установите SSL-сертификат у вашего хостинг-провайдера, если вы еще не сделали этого. Большинство хостеров предлагают бесплатные SSL-сертификаты через Let’s Encrypt, и обычно вы можете установить его всего за несколько кликов.
- Настройте адрес (URL) WordPress и адрес (URL) сайта на использование HTTPS (Настройки → Общие). После сохранения настроек вам будет предложено снова войти на сайт. Не волнуйтесь — это абсолютно нормально.
- Выполните поиск/замену в базе данных вашего сайта HTTP-ссылок на HTTPS (также убедитесь, что ваш сайт загружает изображения по HTTPS). Это можно сделать с помощью плагина Better Search Replace, но перед этим я настоятельно рекомендую сделать резервную копию вашего сайта.
- Установите перенаправление, чтобы заставить весь HTTP-трафик переходить на HTTPS-версию вашего сайта. Я советую сделать это через .htaccess на уровне сервера, если ваш хостер поддерживает такую реализацию. В крайнем случае можно настроить PHP-перенаправление.
- Устраните предупреждения о смешанном содержимом, вызванные сторонними скриптами (например, вставками из сторонних сервисов). Вы можете найти потенциальные проблемы с помощью бесплатного инструмента JitBit для проверки предупреждений о смешанном контенте по всему сайту.
С помощью плагинов из этого списка вы сможете установить SSL-сертификат вручную (если ваш хостер еще не предлагает такую опцию бесплатно) и/или правильно настроить ваш сайт на использование HTTPS без необходимости вручную проставлять редиректы.
Если не знаете, с чего начать, я рекомендую плагин Really Simple SSL, поскольку он обладает широким бесплатным функционалом и имеет заслуженную репутацию надежного WordPress модуля.