Czy Google oznacza Twoją witrynę jako „Niezabezpieczoną”? (& Jak to naprawić)

Zobaczenie komunikatu „Niebezpieczne” na własnej stronie internetowej jest przerażającym doświadczeniem. Kiedy to przytrafiło się jednej z moich stron WordPress, przez chwilę myślałem, że moja strona została zhakowana.

Jednak ta strona była zbyt stara i zapomniałem przenieść ją do bezpiecznego połączenia HTTPS, które jest obecnie standardowym wymogiem dla wszystkich przeglądarek.

Na szczęście naprawienie tego ostrzeżenia „Niebezpieczne” jest w rzeczywistości dość proste.

W tym przewodniku przeprowadzę Cię przez proste kroki, aby ponownie uzyskać ten uspokajający symbol kłódki i upewnić się, że Twoja strona jest bezpieczna dla każdego.

Dlaczego Google wyświetla komunikat „Niezabezpieczone” na Twojej stronie?

Kiedy widzę komunikat „Niezabezpieczone” na stronie, wiem, że zazwyczaj oznacza to jedno: strona nie jest w pełni zaszyfrowana. Google wyświetla to ostrzeżenie, gdy strona internetowa nie używa HTTPS lub gdy coś jest nie tak z jej certyfikatem SSL.

Dla przypomnienia, HTTPS (Hypertext Transfer Protocol Secure) to bezpieczna wersja HTTP. Wykorzystuje ona coś, co nazywa się certyfikatem SSL/TLS do szyfrowania połączenia między Twoją stroną internetową a odwiedzającymi.

Pozwól, że przedstawię Ci cztery najczęstsze powody, dla których widziałem to ostrzeżenie na stronach WordPress:

• Twoja strona internetowa nie ma certyfikatu SSL. Certyfikaty SSL szyfrują połączenie między Twoją stroną internetową a odwiedzającymi. Bez niego przeglądarki zakładają, że Twoja strona jest niebezpieczna, ponieważ wszelkie dane wprowadzane przez użytkowników, takie jak dane osobowe, mogą zostać przechwycone. Jest to najczęstszy powód ostrzeżenia.
• Twój certyfikat SSL wygasł lub jest nieprawidłowy. Certyfikat SSL może być zainstalowany, ale mógł wygasnąć lub nie został poprawnie skonfigurowany. Jest to jedna z pierwszych rzeczy, które sprawdzam. Zazwyczaj można zauważyć ten problem z SSL, klikając ikonę kłódki na pasku adresu przeglądarki.
• Twoja strona internetowa ma problemy z mieszaną zawartością. Nawet z ważnym certyfikatem SSL Twoja strona nadal może wyświetlać się jako „Niebezpieczna”, jeśli ładuje treści (takie jak obrazy lub skrypty) przez HTTP. Dzieje się tak często, gdy strona jest przełączana na HTTPS, ale stare linki nie są aktualizowane.
• Twoja witryna ma adresy URL HTTP w ustawieniach WordPress. Zawsze sprawdzam adres WordPress i adres witryny w sekcji Ustawienia » Ogólne. Jeśli nadal są ustawione na HTTP, witryna może nadal wyświetlać ostrzeżenia o bezpieczeństwie, nawet jeśli SSL działa poprawnie.

Teraz, gdy omówiłem, co powoduje ostrzeżenie „Niebezpieczne”, przyjrzyjmy się, jak je naprawić i zapobiec jego ponownemu pojawieniu się.

Jak naprawić ostrzeżenie „Niezabezpieczone” w Google Chrome

Naprawienie ostrzeżenia „Nie bezpieczne” obejmuje cztery kluczowe kroki: zainstalowanie certyfikatu SSL, zaktualizowanie adresów URL WordPress, naprawienie błędów mieszanej zawartości i przekierowanie całego ruchu z HTTP do HTTPS.

Na szczęście rozwiązanie zazwyczaj nie jest skomplikowane. W większości przypadków sprowadza się to do włączenia certyfikatu SSL, zaktualizowania kilku ustawień WordPressa lub usunięcia tzw. mieszanej zawartości.

Przeszedłem przez ten proces rozwiązywania problemów na kilkudziesięciu stronach – zarówno moich własnych, jak i dla innych – i pokażę Ci dokładnie, co zrobić, aby zabezpieczyć swoją witrynę i raz na zawsze pozbyć się tego ostrzeżenia.

Oto kroki, które omówię:

• Krok 1. Uzyskaj darmowy certyfikat SSL dla swojej witryny
• Krok 2. Zaktualizuj adresy URL WordPress, aby używać protokołu HTTPS
• Krok 3. Napraw problemy z mieszaną zawartością w WordPressie
• Krok 4. Skonfiguruj przekierowanie z HTTP do HTTPS w WordPressie
• Krok 5. Przetestuj konfigurację SSL pod kątem problemów z bezpieczeństwem
• Często zadawane pytania dotyczące błędów SSL i WordPress
• Dodatkowe zasoby dotyczące bezpieczeństwa WordPress

Krok 1. Uzyskaj darmowy certyfikat SSL dla swojej witryny

Pierwszą rzeczą, którą robię, naprawiając ostrzeżenie „Niezabezpieczona”, jest sprawdzenie, czy zainstalowany jest certyfikat SSL. Ta niewielka technologia bezpieczeństwa szyfruje dane między Twoją witryną a odwiedzającymi – i to ona umożliwia HTTPS.

Lata temu certyfikaty SSL mogły być drogie. Niektóre firmy nadal pobierają wysokie opłaty, ale dobra wiadomość jest taka, że nie musisz za nie płacić, zwłaszcza jeśli dopiero zaczynasz.

Większość dostawców hostingu WordPress oferuje obecnie darmowe certyfikaty SSL w ramach swoich planów. Korzystałem z tej opcji na kilkudziesięciu stronach internetowych, a w większości przypadków jego włączenie zajmuje tylko kilka kliknięć z panelu hostingowego.

Jeśli korzystasz z Bluehost, po prostu zaloguj się na swoje konto i przejdź do ustawień swojej witryny. Następnie kliknij zakładkę „Bezpieczeństwo”.

Stamtąd zobaczysz opcję włączenia bezpłatnego certyfikatu SSL. Po prostu włącz ją i gotowe.

Uwaga: Proces jest podobny dla innych hostów. Jeśli korzystasz z innego dostawcy, ustawienie SSL znajduje się prawie zawsze w sekcji bezpieczeństwa panelu hostingowego.

W przypadku hostów korzystających z cPanel, musisz uruchomić go z panelu hostingowego. Przewiń w dół do zakładki „Bezpieczeństwo” i kliknij ikonę SSL/TLS.

A jeśli Twój hosting nie oferuje darmowego SSL, nie martw się – nadal możesz go uzyskać przez Let’s Encrypt.

Mamy szczegółowy poradnik, który dokładnie pokazuje, jak to zrobić: Jak dodać darmowy SSL w WordPressie z Let’s Encrypt.

Krok 2. Zaktualizuj adresy URL WordPress, aby używać protokołu HTTPS

Nawet z certyfikatem SSL Twoja witryna może nadal ładować się jako „Niezabezpieczona”, jeśli ustawienia WordPress są nieprawidłowe. Możesz to naprawić, aktualizując adres URL swojej witryny.

Po prostu przejdź do strony Ustawienia » Ogólne w swoim panelu WordPress.

Następnie upewnij się, że oba pola „Adres WordPress (URL)” i „Adres witryny (URL)” używają https:// zamiast http://.

Nie zapomnij kliknąć przycisku „Zapisz zmiany”, aby zachować swoje ustawienia.

WordPress zacznie teraz używać https:// dla wszystkich adresów URL w Twojej witrynie. Jednak niektóre adresy URL HTTP mogą nadal być przechowywane w Twojej bazie danych WordPress, co może powodować problemy w przyszłości.

Następnie pokażę Ci, jak łatwo naprawić te adresy URL.

Krok 3. Napraw problemy z mieszaną zawartością w WordPressie

Jednym z powodów ostrzeżenia „Niebezpieczne” są problemy z mieszaną zawartością. Dzieje się tak, gdy niektóre części Twojej witryny ładują się przy użyciu adresu URL HTTP (niezabezpieczonego).

Prawie wszystkie te adresy URL są przechowywane w Twojej bazie danych WordPress i dodawane przez Twój motyw lub wtyczki WordPress. Możesz również mieć adresy URL http:// w swoich postach i stronach blogowych.

Aby to naprawić, potrzebujesz wtyczki do wyszukiwania i zastępowania, aby znaleźć adresy URL http i zastąpić je przez https://. Najlepszą wtyczką do tego zadania jest Search & Replace Everything.

Używam Search and Replace Everything, ponieważ jest szybki, wydajny i opracowany przez zespół WPCode, tych samych ekspertów stojących za najpopularniejszą wtyczką fragmentów kodu dla WordPress. Co ważniejsze, jest bardzo łatwy w użyciu nawet dla początkujących.

Wskazówka💡: Istnieje również darmowa wersja Wyszukaj i zamień wszystko, której możesz użyć.

Najpierw musisz zainstalować i aktywować wtyczkę Search and Replace Everything. Szczegółowe informacje znajdziesz w tym przewodniku na temat jak zainstalować wtyczki WordPress.

Po aktywacji wtyczki przejdź do strony Narzędzia » Szukaj i zamień, aby zacząć korzystać z wtyczki.

W polu „Szukaj” musisz wpisać http://, a w polu „Zamień na” dodaj https://.

Następnie musisz kliknąć „Zaznacz wszystko”, aby upewnić się, że wszystkie tabele w Twojej bazie danych WordPress są uwzględnione w wyszukiwaniu.

Na koniec kliknij przycisk „Podgląd wyszukiwania i zamiany”.

Wtyczka następnie przeprowadzi wyszukiwanie i pokaże Ci podgląd wyników. Pozwala to na przejrzenie danych przed ich trwałym zmienieniem.

Dokładnie przejrzyj wyniki, a gdy będziesz zadowolony, kliknij przycisk „Zamień wszystko”.

Wtyczka dokona wtedy zmian w Twojej bazie danych WordPress i zastąpi wszystkie adresy URL HTTP adresami HTTPS.

Więcej szczegółów znajdziesz w tym przewodniku na temat naprawiania błędu mieszanej zawartości w WordPress.

Krok 4. Skonfiguruj przekierowanie z HTTP do HTTPS w WordPressie

Po przełączeniu strony na HTTPS, jednym z kroków, których nigdy nie pomijam, jest skonfigurowanie przekierowania z HTTP na HTTPS. Bez tego ludzie mogą nadal trafiać na niezabezpieczoną wersję Twojej witryny za pośrednictwem starych linków lub zakładek.

Najbardziej niezawodnym sposobem na utworzenie przekierowania jest dodanie reguły do pliku .htaccess.

Oto fragment, którego używam na większości stron WordPress:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Plik .htaccess znajduje się w głównym folderze witryny. Może być konieczne włączenie opcji „Pokaż ukryte pliki” w menedżerze plików hostingu lub kliencie FTP, aby go zobaczyć.

Szczegółowe informacje znajdziesz w tym przewodniku na temat naprawiania pliku .htaccess WordPress.

Jeśli Twoja witryna działa na Nginx zamiast na Apache, będziesz musiał inaczej skonfigurować przekierowanie.

Zamiast edytować plik .htaccess, musisz zaktualizować swoją konfigurację Nginx.

Oto kod, który dodałbym, aby przekierować cały ruch HTTP do HTTPS w Nginx:

server {
    listen 80;
    server_name yoursite.com www.yoursite.com;
    return 301 https://yoursite.com$request_uri;
}

Będziesz chciał umieścić ten blok powyżej istniejącego bloku serwera HTTPS w pliku konfiguracyjnym Nginx Twojej witryny – zazwyczaj znajduje się on w /etc/nginx/sites-available/ lub /etc/nginx/conf.d/.

Ważne: Pamiętaj, aby zastąpić „yoursite.com” w powyższym kodzie swoją rzeczywistą nazwą domeny.

Po dodaniu przekierowania nie zapomnij przeładować Nginx, aby zmiany weszły w życie:

sudo nginx -s reload

Jeśli nie masz pewności, gdzie dokonać zmiany, dobrym pomysłem jest skontaktowanie się z dostawcą hostingu.

Krok 5. Przetestuj konfigurację SSL pod kątem problemów z bezpieczeństwem

Po wprowadzeniu tych zmian powinieneś przetestować swoją witrynę, aby upewnić się, że wszystko działa poprawnie.

Możesz użyć SSL Labs SSL Test, aby sprawdzić swój certyfikat. Zapewnia on dogłębną analizę techniczną i ocenę (od A+ do F) konfiguracji SSL, co jest świetne do dokładnego sprawdzenia.

Innym alternatywnym narzędziem, którego często używałem, jest Why No Padlock? Podoba mi się, ponieważ daje prosty, łatwy do zrozumienia raport, który jest idealny do szybkiego identyfikowania wszelkich pozostałych problemów z mieszaną zawartością.

Na koniec spróbuj odwiedzić swoją witrynę w trybie Incognito. Jeśli nadal widzisz ostrzeżenie „Niebezpieczna witryna”, musisz wyczyścić pamięć podręczną WordPress lub poczekać kilka minut, aż zmiany zaczną obowiązywać.

Często zadawane pytania dotyczące błędów SSL i WordPress

Ile kosztuje certyfikat SSL?

Chociaż niektórzy dostawcy pobierają za nie opłaty, można uzyskać darmowy certyfikat SSL. Większość najlepszych firm hostingowych WordPress zawiera jeden za darmo w swoich planach. Można również uzyskać darmowy SSL od organizacji non-profit wydających certyfikaty, takich jak Let’s Encrypt.

Czy mogę zignorować ostrzeżenie „Nie bezpieczne” na mojej stronie internetowej?

Ignorowanie ostrzeżenia „Nie bezpieczne” nie jest zalecane. Podkopuje zaufanie odwiedzających, co może prowadzić do wyższych współczynników odrzuceń i utraty sprzedaży. Wyszukiwarki takie jak Google również używają HTTPS jako sygnału rankingowego, więc jego brak może negatywnie wpłynąć na Twoje SEO.

Ile czasu zajmuje naprawienie ostrzeżenia „Nie bezpieczne”?

W przypadku większości witryn WordPress można naprawić ostrzeżenie „Nie bezpieczne” w mniej niż 30 minut. Proces obejmuje włączenie certyfikatu SSL u hosta, aktualizację adresów URL w ustawieniach WordPress i skonfigurowanie przekierowania. Użycie wtyczki może przyspieszyć proces naprawy starych linków HTTP w treści.

Dodatkowe zasoby dotyczące bezpieczeństwa WordPress

Stosuję ten przewodnik po bezpieczeństwie WordPress na wszystkich stronach, nad którymi pracuję. Ten przewodnik krok po kroku oferuje łatwy plan działania, aby odpowiednio zabezpieczyć Twoją witrynę WordPress.

Oto kilka dodatkowych zasobów, które moim zdaniem okażą się pomocne:

• Jak odnowić certyfikat SSL (krok po kroku dla początkujących)
• TLS vs SSL: Którego protokołu należy używać dla WordPress?
• Wskazówki dotyczące bezpieczeństwa e-commerce: Jak zabezpieczyć swój sklep WordPress
• Jak dodać nagłówki bezpieczeństwa HTTP w WordPress (przewodnik dla początkujących)
• Najczęstsze błędy WordPress i jak je naprawić

Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.