Поиск по сайту

Поводом для статьи послужил привет от Гугла о том, что с 2017 года поисковик начнет отдавать приоритет сайтам, работающим через защищенный протокол https (соответственно имеющий сертификат безопасности), сайты не перешедшие на https будут понижены в поисковой выдаче а посетителю сайта, при его открытии в браузере будет показываться прискорбное сообщение типа: ВАШЕ СОЕДИНЕНИЕ НЕ ЗАЩИЩЕНО! Злоумышленники могут пытаться похитить ваши данные с сайта (например пароли, сообщения или номера банковских карт!) Всё это не на пользу сайту как в плане поисковой выдачи, так и в плане доверия посетителей к информации, размещенной на сайте. Инструкция по переезду на HTTPS Для начала следует купить и установить на хостинг сертификат безопасности, активировать при этом на хостинге протокол SSL (в настройках домена) и подключить сертификат к домену. Самоподписанный сертификат не подойдет, поскольку его безопасность никто не подтвердит. В нашем случае подойдет любой, самый дешевый сертификат безопасности, которые предлагает практически любой хостинг-провайдер в ассортименте. Цена сертификата варьируется от бесплатно на год при регистрации хостинга, например на reg.ru, или при отдельной покупке - от 1350 р. до 2700 р. в год. Установка происходит автоматически или ручками - по этому поводу у каждого хостинг провайдера есть понятный help, да и их поддержка сделает это быстро, по ваше просьбе. PS: Можно приобрести сертификат и на стороне, причем дешевле, о чем несколькими постами ниже... Далее, пошагово: Смиряемся с тем, что на некоторое время сайт просядет в поисковой выдаче, но из двух зол выбираем меньшее. Сомневаюсь, что кому-то срочно понадобится купить апараменты в Новый год. Для начала никаких редиректов с http не настраиваем. В Админке CMS переходим в Настройки-Общее и в позиции Работать через https (work_on_https) ставим 1 и сохраняем. Открываем файл robots.txt и прописываем директиву host с протоколом https User-Agent: * Disallow: /admin ... Disallow: /ipotekaorder/ Host: https://you-site.ru Sitemap: https://you-site.ru/sitemap.xml Внимание! директива Host: прописывается сразу под последней строкой, не должно быть между ними пустой строки. Далее переходим в Яндекс.Вебмастер с подтвержденными правами на сайт. Если такого нет, то подтверждаем права (следуя инструкции сервиса). Далее переходим в раздел Настройка индексирования – Переезд сайта. И выставляем чекбокс (галочку) напротив «Добавить HTTPS», после этого нажимаем «Сохранить». После этого ждем пока изменения вступят в силу. Как правило, этот срок составляет 2 недели (до Нового года успеваем!). Настраиваем 301 редирект со страниц http на https, при этом избегайте цепочек переадресации. Меняем все ссылки, имеющиеся в коде сайта, на https или делаем их относительными (про картинки тоже не забываем). Смотрим, чтобы в карте сайта .xml присутствовал только протокол https. Добавляем карту в Вебмастер.Яндекса. Добавляем все версии сайта в Google Search Console. Переходим в настройки сайта и выбираем Основной домен (если этого не было сделано раньше). Переносим все настройки (если такие имелись) с версии сайта http на https. Инструмент изменения адресов не используем. Сразу после переноса сайта стараемся обновить все входящие ссылки, в том числе: внешние ссылки, ссылки на профили - например в Google+, Facebook, Twitter, Vk и т.д. И не забываем обновить ссылки карт Гугл и т.п. с протокола http на https (ковыряемся в коде). В результате танцев с бубном, при открытии любой страницы сайта, ссылка страницы в адресной строке браузера должна начинаться с https, а рядом со ссылкой располагаться зеленый замок и надпись Надежный (в Хроме). Если https перечеркнут - ищите недоработки, ваше соединение не защищено, возможно неправильно установлен сертификат (например со старым алгоритмом шифрования SHA-1, надо переустановить с SHA-2 или попросить поддержку сделать это). Если вместо замочка показывается восклицательный знак, значит передается смешанный контент - по протоколам https и http, обычно это старые ссылки, ссылки на переходах с картинок или пунктов меню (если ссылки прямые), загрузка картинок производится с сервера по старому адресу с http и т.п. При клике на восклицательный знак в ссылке обычно сообщается, какая ссылка не безопасна, переходим в админку или в нужные шаблоны и правим их. Совет: Если что-то не получается, стучимся к Диме

Вопрос наверное больше в курилку, однако из-за технических особенностей решил написать сюда. Сайты агентств недвижимости в последнее время становятся все более комплексными, зачастую собирают и хранят персональную информацию, которую необходимо защищать, в свете закона о защите персональных данных. К тому-же на форуме уже поднимался вопрос в какой форме предпочтительнее вести риэлтерский бизнес - в качестве ООО или ИП (к кому больше доверия?). В современном мире, для клиента, агентство недвижимости начинается с сайта и вопрос доверия к этому агентству уже начинается с захода на сайт агентства, впечатлений от его посещения, юзабилити, богатства выбора, сервиса и прочих сопутствующих моментов, включая и защищенность информации (хотя о себе доверяют в основном имя и телефон), отсутствие спама, не говоря о вирусах, троянах и прочей усложняющей жизнь обоих сторон дряни. Частично решить этот вопрос нам обещает SSL-сертификация сайта. Вот например, что пишет нам по этому поводу REG.ru: Создание сертификата SSL Для того чтобы стать обладателем SSL-сертификата достаточно выбрать наиболее подходящий для Вас, указать доменное имя, для которого он будет установлен, и следуя инструкциям автоматической системы заказа осуществить покупку. Компания REG.RU предлагает своим клиентам самые популярные SSL-сертификаты от ведущих компаний мира, таких как Symantec (VeriSign), GeoTrust, Thawte, Comodo и TrustWave. Только у нас можно подобрать и приобрести именно такой, который будет идеально подходить для Вашего бизнеса: простой, средний уровень, мультидоменный, EV с расширенной проверкой и другие. Почти для всех из них доступна цифровая или электронная «Печать доверия», которая динамически отображает информацию о надёжности и защищённости Вашего сайта. Что такое SSL-сертификат? SSL-сертификат — это цифровое удостоверение Вашего сайта, которое подтверждает то, что обмен данными между сайтом и Вашим компьютером производится по доверенному защищённому каналу. Защита сайта с помощью SSL позволяет шифровать всю информацию, передаваемую между сайтом и клиентскими программами. Важнейшим преимуществом является то, что они подтверждают не только технологическую безопасность сайта с которым работает пользователь, но и гарантируют юридическую чистоту. При его выдаче удостоверяющий центр проверяет право администрирования доменным именем, юридические регистрационные документы, работу офиса, контактные телефоны компании. Проведение подобной комплексной аттестации позволяет гарантировать пользователю, что компания, которая обладает данным SSL, работает легально и не является сайтом-однодневкой. SSL-сертификат позволяет пользователю просматривать следующую подтверждённую удостоверяющим центром информацию: доменное имя, на которое оформлен сертификатюридическое лицо — владелец сайтафизическое местонахождение (город, страна)срок действияреквизиты компании-поставщика сертификатa Отсюда вопрос к гуру сайтостроения: насколько это практично, улучшит рейтинг сайта и как следствие агентства в глазах посетителей, улучшит защищенность информации на сайте да и вообще - надо-ли оно нам?

Сегодня Wordfence (система безопасности сайтов на Wordpress) распространила информацию о проблемах безопасности у пользователей облачного сервиса Clousflare. Отмечается, что на протяжении последних 5 месяцев у пользователей сервиса происходили утечки персональных данных, куки, реквизитов доступа, ключей аутентификации и сведений сертификатов безопасности, в т.ч. с сайтов, работающих по защищенному протоколу и имеющих сертификаты безопасности. Утечки коснулись все сайты и их посетители, работающие через Cloudflare. Посетители сайтов могли видеть информацию других сайтов, адресованную другим пользователям, а так-же смешанные данные - ответы сервера со своими данными + чужими данными. Полный текст отчета здесь. Владельцам сайтов на Wordpress рекомендуется сменить соли (ключи безопасности) в файле wp-config.php. Относительно ситуации с CMS Sitebill, если у кого-то сайт работает через Cloudflare, наверняка могли утечь сведения файла /inc/db.inc.php, содержащего сведения доступа с базе SQL. Наверное не лишним будет перестраховаться и сменить пароль доступа к базе с внесением изменений в указанном файле. Ну и попутно, предложить пользователям сайта сменить свои пароли. Относительно сертификата безопасности сайта, можно заявить его как скомпрометированный и обновить сертификат. Рекомендуется так-же очистить куки, кэши, сессии и т.п. (CCleaner поможет) Утечки специалистами Cloudflare и Google отмечались еще на 18 февраля 2017 г.

Добрый день! Установил SSL-сертификат на домен. При входе на сайт https://domkma.ru стали некорректно отображаться шрифты google. Поменял http://fonts.googleapis.com/css?family=...... на //fonts.googleapis.com/css?family=.......(то есть убрал протокол) Шрифты стали отображаться нормально. o`k Захожу в инструменты разработчика и вижу ещё кучу ошибок, связанных с google. Причем часть из них находится в файле /apps/system/js/jquery/lquery.js Как то не хочется лезть в системные файлы и править их. Как быть?