Strona niezabezpieczona – dlaczego Chrome tak ją oznaczyło?

Włączasz stronę w przeglądarce Chrome i widzisz komunikat „Niezabezpieczona” obok pola, w którym znajduje się adres? Następnie sprawdzasz ją w Firefox i tym razem dowiadujesz się, że połączenie z witryną nie jest bezpieczne? Sprawdź, co się stało i jak możesz naprawić ten problem.

Strona niezabezpieczona – co się dzieje?

Przeglądarka Chrome zaczęła oznaczać strony jako niezabezpieczone w 2018 roku, od wdrożenia 68. wersji tego oprogramowania. Google chciało w ten sposób zachęcić właścicieli witryn do korzystania z certyfikatu SSL. Co to jest? Jeśli Twoja strona ma poprawnie zainstalowany certyfikat, połączenie z witryną jest szyfrowane. Oznacza to, że przesyłane dane pomiędzy serwisem a urządzeniem użytkownika nie mogą być zmienione ani przejęte. To ważny krok w stronę zwiększenia bezpieczeństwa osób korzystających z sieci. Google długo przygotowywało użytkowników do wdrożenia nowych rozwiązań, ale oczywiście nie wszyscy po nie od razu sięgnęli. Z danych Google’a wynika, że zainteresowanie szyfrowanymi połączeniami rosło dynamiczne nawet przed ogłoszeniem aktualizacji wyszukiwarki Chrome. Zwróć uwagę, że w 2016 roku niewiele ponad 20% stron japońskich korzystało z SSL, ale już w Meksyku było to blisko 50%.

Źródło: https://transparencyreport.google.com/https/overview

A jak sytuacja wygląda obecnie? Otóż według W3techs z szyfrowanego połączenia korzysta ponad 80% stron na całym świecie.

Źródło: https://w3techs.com/technologies/details/ce-httpsdefault

Czy warto korzystać z SSL? Bezdyskusyjnie tak. To czynnik rankingowy wyszukiwarki Google, co oznacza, że jest brany pod uwagę przy ustalaniu pozycji w wynikach. Do tego dochodzi kwestia braku oznaczenia jako niezabezpieczona. Oto inne zalety tego rozwiązania:

  • Pozytywny wpływ na konwersję – jeśli, np. strona sklepu WWW będzie oznaczona jako niezabezpieczona, raczej wątpliwe, aby osiągała wysoką sprzedaż. Zmieni to instalacja certyfikatu.
  • Dbanie o bezpieczeństwo użytkowników – budujesz pozytywny wizerunek w oczach użytkowników korzystających z serwisu.
  • SSL jest rekomendowane przez GIODO – nie jest to powiedziane w proste, ale przepisy wymagają stosowania zabezpieczenia kryptograficznego.

Czy SSL rzeczywiście wpływa na pozycję w Google? Obecnie ciężko w ogóle znaleźć stronę bez SSL, która zajmowałaby wysokie pozycje. Stało się to standardem. Niemniej, jakiś czasu temu, kiedy SSL nie było tak popularne, Ahrefs opublikowało następujący wykres:

Źródło: https://www.poweredbysearch.com/blog/does-your-website-need-ssl-certificate/

Ewidentnie na najwyższych pozycjach znajdowały się strony z zabezpieczeniem. Nie oczekuj jednak, że jeśli włączysz SSL, Twoja witryna zyska nagle dużo wyższe pozycje. Owszem, widoczność może ulec poprawie, ale miej na uwadze, że certyfikat jest obecnie standardem i prawie każda strona WWW korzysta z tego rozwiązania. Jeśli Ty tego nie robisz, pozostajesz w tyle za konkurencją. Dlatego, w przypadku gdy zastanawiasz się, czy SSL w ogóle ma sens, przejdź do działania. To niezbędne!

Strona niezabezpieczona – jak rozwiązać problem?

Jeśli witryna ma zainstalowany certyfikat SSL, jej adres zaczyna się od https:// zamiast http://. W przypadku gdy Chrome wyświetla komunikat niezabezpieczona, to u Ciebie tak nie jest. Żeby rozwiązać problem, zainstaluj certyfikat SSL. Jak podmienić adres i ile to będzie kosztować? W KRU masz bardzo popularny i darmowy Let’s Encrypt. Kiedyś korzystanie z tego rozwiązania było kłopotliwe, ale obecnie Twoim zadaniem jest tylko instalacja, a certyfikat będzie odnawiać się automatycznie. Zastanawiasz się, czy darmowy SSL jest na pewno dobrym wyborem? Nie ma powodów do obaw. Z tego rozwiązania korzysta ponad 300 mln stron na świecie.

Źródło: https://letsencrypt.org/

Możesz również zainwestować w certyfikat komercyjny. W tym przypadku poziom weryfikacji jest wyższy. Przy Let’s Encrypt wystarczy, że aktywujesz SSL w panelu zarządzania usługą hostingową. Jeśli chodzi o komercyjne certyfikaty, wygląda to inaczej. Nawet w przypadku najniższego stopnia walidacji, mianowicie DV (Domain Validation), należy potwierdzić dostęp do e-maila utworzonego w danej domenie. Wystarczy kliknięcie linka wysłanego na ten adres. W OV (Organization Validation) i EV (Extended Validation) weryfikowane są dokumenty firmowe. Jest to potwierdzenie, że dana firma rzeczywiście ma prawa do danej domeny i działa legalnie.

Warto wybrać płatny certyfikat, jeśli prowadzisz instytucję finansową bądź duży sklep i zależy Ci na zapewnieniu jak największego bezpieczeństwa danych. W przypadku gdy zarządzasz blogiem lub stroną informacyjną wystarczy, że skorzystasz z darmowego certyfikatu.

Jak zainstalować certyfikat SSL w KRU?

Zaloguj się do panelu zarządzania stroną. Następnie wybierz sekcję „Zarządzanie kontami”, a dalej pozycję „Certyfikaty SSL”.

W nowym oknie, które Ci się pojawi, zaznacz opcję Darmowy i automatyczny certyfikat od Let`s Encrypt, a ponadto pozycje, które znajdują się niżej. Dzięki temu szyfrowane będzie również połączenie z serwerem FTP oraz pocztą. Na koniec kliknij „Zapisz” i zabezpieczenie jest włączone. To jednak nie wszystko.

Wymuś przekierowanie na wersję szyfrowaną

W kolejnym kroku musisz wymusić korzystanie z wersji z https://. W tym celu dodaj odpowiedni kod do pliku .htaccess. Plik ten znajdziesz w katalogu głównym strony WWW – tam, gdzie zapisany jest index.php. Możesz to zrobić, korzystając z opcji „Zarządzania plikami”, którą masz w panelu zarządzania. Wystarczy, że odszukasz ten plik i skorzystasz z możliwości edycji. Innym sposobem jest zalogowanie się na serwer przez FTP, pobranie pliku, edycja na dysku, a następnie upload.

Sprawdź: jak zalogować się na konto FTP za pomocą programu FileZilla

Jeśli udało się znaleźć plik .htaccess, umieść na jego początku następujący kod:

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

</IfModule>

Zapisz zmiany, lub uploaduj plik, jeśli edytujesz po pobraniu pliku na dysk.

Podmień adresu URL w bazie danych

Włączenie SSL to nie wszystko. W dalszym ciągu na Twojej stronie znajdują się adresy w wersji z http:// – w serwisie pozostały wcześniejsze odnośniki. Musisz podmienić adres do wszystkich zasobów – zdjęć, arkuszy stylów, podstron serwisu, aby zaczynały się od https://. Jak to zrobić?

Zdecydowana większość stron bazuje na systemie WordPress, zatem pokażę Ci, jak to wykonać – bez wiedzy technicznej – za pomocą pluginu. Zainstaluj wtyczkę Better Search Replace. Jest popularna, często wybierana i bardzo dobrze oceniana.

Po instalacji znajdziesz ją w panelu administracyjnym systemu WordPress w menu „Narzędzia”.

Przejdź do pluginu. W polu Search for dodaj adres strony z http:// – wtyczka będzie go szukać, a kiedy znajdzie, podmieni na zawartość pola Replace with, czyli adres z https://. Kliknij jedną z widocznych w Select tables nazw, a następnie wybierz kombinację klawiszy CTRL+A, aby zaznaczyć wszystkie. Opcje widoczne poniżej wybierz identycznie, jak widzisz na screenie:

Teraz kliknij „Run Search/Replace” i po chwili zadanie będzie wykonane. Teraz wszystkie adresy WWW na stronie powinny być w wersji szyfrowanej.

Jeśli masz dodaną mapę strony w Google Search Console, zaktualizuj w niej adresy na te z https://. W przypadku gdy zależy Ci na widoczności strony w Google, postaraj się zmienić adresy w linkach zewnętrznych. Jeśli w danym serwisie masz odnośnik, który prowadzi do wersji z http://, podmień go na https://. W momencie, kiedy linki nie prowadzą do strony docelowej tylko przekierowanej, tracą część mocy SEO, tzn. mają mniejszy wpływ na widoczność witryny w Google.