הוספת SSL במספר צעדים פשוטים

מה זה https ו-ssl?

בחלק מהסיטואציות בהן אנו גולשים באתרים, עובר מידע רגיש בינינו (הדפדפן) ובין השרת. דוגמאות לכך יכולות להיות כניסה עם שם משתמש וסיסמא לאתר מנויים, רכישה של מוצר והזנת פרטים אישיים ופרטי תשלום ועוד.
https זוהי שיטת תעבורת נתונים מוצפנת בה המידע עובר באופן מוצפן בין שתי נקודות הקצה, כך שגם אם גלוי, אינו ניתן לפענוח.
Ssl זוהי תעודה (זיהוי ייחודי) המותקנת עבור הדומיין (כתובת האתר) ואשר מהווה זיהוי ייחודי עבור דומיין זה בלבד. זהו בעצם האישור עבור השרת שאומר לו כי אכן הוא רשאי להתחיל בתהליך בסופו יועבר המידע המוצפן אל הדפדפן.
כאשר ננסה להקיש כתובת אתר עם https בתחילתו (לדוגמא https://mydomain.com), ושלא מותקן עליו ssl, נקבל הודעה כי החיבור אינו פרטי, מכיוון שהשרת לא קיבל את האישור הרצוי.

מדוע בכלל צריך https ו-ssl

יש לכך 4 סיבות עיקריות:

• במידה וברשותכם אתר מסחר, אתם חשופים לתביעה במידה ויגנבו פרטי לקוחות ואמצעי תשלום, לכן ssl מספק את ההגנה הנדרשת (בנוסף להגנות נוספות).
• חלק מאמצעי הסליקה מחייבים שימוש ב-ssl כתנאי להתקנתם באתר.
• גוגל הכריזה כבר לפני תקופה כי https באתר הינו אחד הפרמטרים אשר משפיעים לחיוב על דירוג הדומיין במנוע החיפוש.
• זה זול מאוד (כ-12$ לשנה בממוצע) ואף חלק מהאחסונים נותנים אותו בחינם כחלק מחבילת האחסון כגון האחסון הידוע לטובה siteground.

איך מתקינים ומגדירים https/ssl באתר

• במידה ואנו לא מקבלים ssl כחלק מהחבילה, ניתן לרכוש (חלק גדול מחברות האחסון מוכרות גם ssl).
• לאחר הרכישה, יש לבקש מחברת האחסון להתקין את ה-ssl בשרת האחסון.
• כעת יש לעדכן את ה-site url, על מנת שכתובת הדומיין תפעל גם עם https בתחילתה, כלומר https://mydomain.com.
  לצורך כך נכנס לממשק הניהול של וורדפרס תחת הגדרות >> כללי, ונחליף את תחילית הדומיין מ-http ל-https כפי שמופיע בדוגמא.
  
• כעת יש לבצע הפנייה (redirect) כך שכל מי שיקיש את כתובת הדומיין עם http בתחילתה, יופנה לכתובת האתר עם תחילית של https (זה נכון גם לגבי אובייקטים באתר כגון תמונות).
  ניתן לבצע זאת בשתי דרכים:
  אפשרות ראשונה היא ע"י הכנסת הפנייה בקובץ htaccess בשרת האחסון. יש להוסיף את קטע הקוד הבא לקובץ:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.yoursite.com/$1 [R,L]
</IfModule>

אם שרת האחסון הוא מסוג nginx, יש להכניס לקובץ htaccess את הקוד הבא במקום הקוד הקודם:

server {
listen 80;
server_name yoursite.com www.yoursite.com;
return 301 https://yoursite.com$request_uri;
}

** יש להחליף את הכתובת yoursite.com בכתובת האתר שלכם.
אפשרות שנייה היא להשתמש בפלאגין wp force ssl שיבצע את ההפניה עבורנו. הפלאגין הינו פשוט ביותר ואינו מכביד או דורש הגדרות מיוחדות. ניתן להורידו מכאן.

כיצד בודקים ש-SSL/https הותקן בהצלחה

• הקלדת כתובת הדומיין עם http ולוודא כי אתם מופנים לכתובת הדומיין עם https.
• כניסה ל-security tab בדפדפן ע"י כפתור ימני: inspect element < security, ובדיקה כי קיים certificate בתוקף כפי שמופיע בתמונה הבאה.
  
• במידה וקיבלנו כי קיים valid certificate אך קיים mixed content (כפי שמופיע למעלה), המשמעות היא שעדין קיימת פניה בחלק מהמקרים לדפים פנימיים או מדיה (תמונות) המכילים לינק http ולא https.
  במקרים אלו מומלץ לנקות cache, ולהשתמש בפלאגין search and replace על מנת להחליף קישורים אלו לקישורי https.
• לחילופין, ניתן להיכנס לאתר הבא https://www.sslshopper.com/ssl-checker.html, להקליד לתוכו את הדומיין ולהריץ בדיקה ע"י הקלקה על כפתור "check ssl":
  לאחר מספר שניות נקבל דוח מפורט על סטטוס ה-ssl באתר (סוג התעודה ותוקפה):

בהצלחה, דייזי עיצוב גרפי www.daisydesign.co.il