7 способів виправити проблеми безпеки на веб-сайтах WordPress [SSL, HTTPS]

Безпека є важливою частиною довіри, яку відвідувачі надають веб-сайту. Це ще більш актуально під час роботи з конфіденційною інформацією, як-от медичні картки або дані про спосіб оплати. Ті, у кого сайт WordPress не захищений, отримають велику користь від прочитання цієї статті.

Чим більше заходів можуть вжити власники веб-сайтів, щоб захистити свій веб-сайт, тим краще. Поки є способи обійти попередження, пов’язані з безпекою роздратування псує досвід користувача під час відвідування веб-сайту. На щастя, є багато кроків, які можна зробити, щоб виправити свою шкоду, безкоштовно.

Пошукові системи також почали приділяти більше уваги безпечним веб-сайтам, вирішуючи рейтинг останніх. Проблеми безпеки часто викликають у власників веб-сайтів відчуття паніки. Однак продовжуйте читати, щоб дізнатися, як виправити такі проблеми на веб-сайті WordPress.

Чому мій сайт WordPress не захищений?

Будучи гнучкою та багатофункціональною CMS, WordPress є прибутковою метою для хакерів, оскільки існує багато вразливостей і кінцевих точок.

Відвідувачі можуть побачити попередження про те, що сайт WordPress не захищений з різних причин. Одне з них - відсутній сертифікат SSL. Іноді неправильно налаштований або прострочений сертифікат також призводить до попереджень, виданих браузером.

Не всі такі сертифікати поновлюються автоматично. Отже, якщо хтось забуде поновити їх вручну, термін їх дії закінчиться та призведе до попереджень.

Як зробити мій сайт WordPress безпечним?

Веб-сайт WordPress часто містить сторонній код, який використовується у вигляді тем, мовних пакетів і плагінів. Вони є на додаток до основних файлів CMS. Власники веб-сайтів повинні підтримувати все це в актуальному стані. Нові версії плагінів і тем часто містять виправлення, які усувають лазівки в безпеці.

Існує також багато доступних інструментів, які можуть сканувати веб-сайт на предмет проблем, пов’язаних із безпекою, та запропонувати заходи щодо їх усунення.

Чому мій сайт WordPress є HTTP, а не HTTPS?

Недостатньо просто встановити сертифікат SSL. Натомість потрібно змусити HTTP-трафік використовувати HTTPS. Дії для цього будуть відрізнятися залежно від основного програмного забезпечення.

Однак існують також плагіни, які можуть допомогти швидко налаштувати необхідне переспрямування. Використання звичайного HTTP зробить трафік веб-сайту більш схильним до підслуховування з боку хакерів.

Як виправити небезпечний сайт WordPress?

1. Встановіть сертифікат SSL

Якщо на веб-сайті ще не встановлено сертифікат SSL, його можна отримати, подавши заявку на нову реєстрацію. Багато постачальників доменних імен і веб-хостингу також пропонують цифрові сертифікати.

Також доступні безкоштовні сертифікати SSL із таких джерел, як Let’s Encrypt, GoGetSSL, ZeroSSL, Sectigo тощо. Зазвичай хостинг-провайдери мають кращу підтримку платних сертифікатів.

2. Поновіть встановлений сертифікат SSL

Безкоштовні сертифікати SSL зазвичай закінчуються через 90 днів, а платні – приблизно через рік, залежно від терміну дії, вибраного під час покупки. Не всі хостинг-провайдери підтримують автоматичне оновлення сертифікатів.

3. Примусово завантажити весь трафік через HTTPS

Якщо очікується, що браузер автоматично використовуватиме HTTPS, але замість цього використовує лише звичайний HTTP, браузер вважатиме сайт WordPress небезпечним.

У цьому випадку дуже імовірно, що трафік не направляється через HTTPS, залишаючи відвідувачам можливість використовувати звичайний HTTP, якщо вони бажають. Це можна виправити, перенаправивши весь HTTP-трафік через HTTPS.

4. Переконайтеся, що сертифікат встановлено для правильної адреси

Якщо є невідповідність між адресою, зазначеною в сертифікаті, та адресою веб-сайту, на якому він встановлений, браузер сприйме це як попередження.

Багатодоменні сертифікати та сертифікати підстановки можна використовувати для охоплення кількох адрес за один прийом.

5. Отримайте сертифікат від надійного постачальника

Якщо веб-сайт мав цифровий сертифікат Symantec, Chrome більше не буде вірити. Подумайте про отримання сертифіката SSL від іншого постачальника.

Навіть Mozilla Firefox не розгляне такі сертифікати як надійні, включаючи інші бренди Symantec, такі як Thawte, GeoTrust і RapidSSL.

6. Налаштуйте годинник системи

Якщо системний годинник неточний, швидше за все, браузер вважатиме дійсний сертифікат SSL недійсним. Щоб виправити це, встановіть правильні дату та час у системному годиннику.

Це стосується навіть портативних пристроїв. Якщо годинник на телефоні/планшеті налаштовано неправильно, браузер в ОС також може не розпізнати дійсний сертифікат SSL.

7. Оновіть операційну систему та/або браузер

Нові версії операційних систем і браузерів містять код, який може розпізнавати надійні сертифікати SSL більш надійним способом.

Навіть якщо відвідувачі використовують браузер із повільним циклом оновлення, наприклад Firefox ESR, краще переконатися, що це найновіша доступна версія.

Чи сайт WordPress не захищений навіть за допомогою SSL?

Навіть якщо SSL активний на веб-сайті, відвідувачі все одно можуть отримати a Не безпечно попередження в браузері. Однією з основних причин цього є вміст на сторінці, який сервер отримує із зовнішніх джерел. Якщо ці дані отримані без шифрування, браузер вважатиме їх небезпечними.

Відвідувачі, як правило, дратуються, коли бачать помилку на веб-сайті. Помилки, пов’язані з безпекою, можуть навіть викликати відчуття паніки.

Вибираючи сертифікат SSL, він допомагає перевірити, який рівень перевірки він передбачає. Деякі сертифікати просто перевіряють, хто є власником домену, тоді як деякі інші вимагають документи про бізнес.

Якщо ви впевнені, що на веб-сайті налаштовано дійсний і правильно налаштований сертифікат SSL, але все ще стикаєтесь із проблемами, перегляньте цю статтю про те, як захистити свій сертифікат, коли Chrome каже, що він недійсний.

Повідомте нам, яке рішення спрацювало для вас в області коментарів нижче.