מדריך לאבטחת אתר וורדפרס לרמת https

אחרי המאמר הקודם שלי בנושא, בו הסברתי למה חייבים לאבטח כל אתר לרמת https, החלטתי לכתוב מדריך מפורט של שלב אחרי שלב לאיך מאבטחים אתר וורדפרס באופן תקין. אז הנה השלבים.

  1. ראשית עליכם להתקין את תעודת הssl בשרת, אני אישית עובד עם חברת אחסון אתרים בשם Jetserver ואני מעריץ גדול שלהם, גם בגלל המוצר ובעיקר בגלל היחס והשרות, אבל זה כבר נושא למאמר נפרד. (ולא, אני לא מקבל מהם עמלות 🙂 ), בכל אופן, Jetserver עובדים עם המערכת הנפוצה ביותר לניהול חבילות אחסון בשרת, עם מערכת בשם Cpanel. כדי להתחבר למערכת הcpanel, ניתן לכתוב את כתובת הדומיין שלכם, סלש cpanel. אם נניח שהדומיין שלכם הוא www.111.com, כתובת הכניסה לcpanel של האתר שלכם תיהיה: www.111.com/cpanel.
    בכל מקרה, כשרכשתם את חבילת האכסון, קיבלתם מחברת האחסון שלכם את הכתובת לכניסה לcpanel וכן את שם המשתמש והסיסמה להתחברות לcpanel. אם אין לכם את הפרטים הללו – צרו קשר עם חברת האכסון שלכם ותבקשו שישלחו לכם את הפרטים שוב.
  2. אחרי שהתחברתם לcpanel, תגללו למטה את המסך, עד לכותרת SECURITY ושם לחצו עם האייקון בשם SSL/TLS Status, כפי שמופיע בתמונה הבאה:
    בדיקת סטטוס ssl בcpanel
  3. אם חברת האחסון הגדילה ראש (כמו שעושים החברה בJETSERVER, כבר אמרתי שאני מעריץ שלהם?) והפעילה לכם באופן אוטומטי את תעודת הssl, אתם תקבלו על כך הודעה ליד הדומיין. משהו בסגנון של:
    AutoSSL Domain Validated
    Expires on July 18, 2018. The certificate will renew via AutoSSL.
    כפי שמופיע בתמונה הבאה:

תעודת ssl פעילה

באתר הזה תעודת הssl פעילה עד לתאריך ה18.07.2018. לאחר מכן התעודה תחודש באופן אוטומטי וכך חוזר חלילה, כל עוד הDNSים של הדומיין הזה מפנים לשרת זה.

4. אם אין לכם תעודת ssl פעילה, תלחצו על הכפתור הכחול בשם Run AutoSSL, כפי שמופיע בתמונה הבאה:

הפעלת תעודת ssl

5. כעת, כשתעודת הssl מותקנת, ניתן לעבור לניהול האתר. כנסו לניהול אתר הוורדפרס שלכם על ידי הוספת wp-admin/ בסוף הדומיין שלכם, הכניסו את שם המשתמש והסיסמה לניהול האתר שלכם ותגיעו למערכת הניהול של אתר הוורדפרס שלכם.

מסך התחברות למערכת הניהול של וורדפרס

6. הצביעו על תוספים בסרגל הימני (אם האתר שלכם בעברית), יפתח לכם תפריט צף, לחצו על תוסף חדש.

התקנת תוסף חדש בוורדפרס

7. בחלונית "חיפוש תוספים" הקלידו ssl, מייד לאחר מכן יופיעו תוספי ssl שונים, בחרו בתוסף בשם Realy Simple SSL מאת Rogier Lankhorst ולחצו על הכפתור "התקן עכשיו" כפי שמופיע בתמונה הבאה:

התקנת תוסף ssl בוורדפרס

8. לאחר התקנת התוסף, שתיקח מספר שניות בשרת מהיר, לחצו על כפתור "הפעלה", כפי שמופיע בתמונה הבאה:

הפעלת התוסף לאחר התקנתו

9. הממשק של התוסף הזה משתנה כל הזמן, אבל בגדול, אתם צריכים למצוא את הכפתור בשם Go ahead, activate SSL וללחוץ עליו. כך זה נראה נכון ליום כתיבת המאמר (21.06.2018):
Go ahead, activate SSL

10. עכשיו, תרעננו את המסך על ידי לחיצה על כפתור F5 במקלדת. לאחר רענון העמוד, אתם תקבלו שוב את מסך הכניסה למערכת הוורדפרס. תקלידו שוב את שם המשתמש והסיסמה ולחצו על כפתור "התחבר":

מסך התחברות למערכת הניהול של וורדפרס

11. כבר תוכלו לראות שכתובת האתר השתנתה לhttps אבל אל תתבלבלו. אתם עדיין רחוקים מאוד מסוף העבודה.

12. עכשיו עליכם להכניס שורת קוד לקובץ בשם htaccess.
יש מספר דרכים לעשות זאת, הדרך המקובלת לעשות זאת דרך מנהל הקבצים בשרת או דרך התחברות לFTP, אבל אם יש לכם את התוסף הכי פופופארי לקידום אתרים בשםם יואסט – יש לכם דרך מאוד קלה ופשוטה לעשות זאת. גם הפעם אגיד שהניראות הויזואלית של התוסף משתנה כל הזמן וצילומי המסך נכונים לסוף יוני 2018. עליכם לגשת לסרגל הניהול של הוורדפרס שנמצא בצד ימין (אם האתר שלכם בעברית), להצביע על SEO ומתחת לזה ללחוץ על Tools.

עריכת קבצים עם יואסט

13. עכשיו עליכם ללחוץ על File editor
file editor

לגלול למטה עד שתגיעו ל.htaccess file
מתחת לכותרת, תיהיה חלונית עם טקסט. צריך לגלול את הטקסט עד הסוף למטה על מנת להכניס בתחתית הטקסט את שורת הקוד הבאה:
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
בסיום, יש לשמור. פעולה זו תחסוך לכם המון כאב ראש. היא תהפוך הרבה קבצים דוגמת תמונות שיש באתר לhttps ותחסוך לכם המון עבודה ידנית בהמשך.
הכנסת קוד לקובץ htaccess

14. עכשיו עליכם לבדוק האם כל האתר עובד עם תצורת https בלבד. ישנן מספר בדיקות פשוטות:
א. תגלשו למספר עמודי האתר באופן אקראי, תבדקו שכתובת הURL של כל העמודים מתחילה בhttps.
ב. תמחקו בכתובת הURL את https ותלחצו על enter במקלדת. https אמור לחזור בחזרה.
ג. תגלשו לכתובות הURL של התמונות, ניתן לקחת כתובות URL של תמונות בתוך הסרגל של וורדפרס במדיה, ספרייה, לחצו על מספר תמונות באופן אקראי ותעתיקו לדפדפן את כתובת הURL של התמונה ולחצו enter במקלדת. אם הכתובת URL של התמונה בדפדפן נפתחת אחרי הenter עם https – סימן שזה עובד. כך תגיעו לתמונות בספריית המדיה בוורדפרס:

ספריית המדיה בוורדפרס

כאן תיקחו את כתובת הURL של כל תמונה:

כתובת url של תמונה בספריית המדיה

ד. תבדקו שהפאביקון (favicon) לא נעלם. favicon זה האייקון שמופיע בלשונית של הדפדפן. בדרך כלל זה הלוגו של האתר אך לא חובה.
favicon
אגב, אם עדיין מאיזושהי סיבה אין לכם favicon באתר – זה הזמן להגדיר.

ה. לפעמים ישנם דברים שהוכנסו ידנית לקוד האתר. למשל בתחתית האתר המעצב של האתר שם את הלוגו שלו עם קישור לאתר שלו. אם זה בוצע לפני אבטחת האתר, הקישור יהיה http ויכול להיות שהלוגו יעלם ויראו סמל של תמונה חסרה. במקרים כאלה צריך יהיה להיכנס ידנית לקוד ולהוסיף לhttp את האות s כדי שהכתובת URL תתחיל בhttps.

מה נרצה לראות? מנעול ירוק בשורת הURL, כתובות UTL שמתחילות בhttps ואת המילה "מאובטח" שלא תמיד מופיעה. אם כל העמודים באתר נראים כך – סימן שעשיתם עבודה טובה עד כה:
סימן שהאתר מאובטח

15. עכשיו עלינו לשנות את ההגדרה של כתובת האתר בגוגל אנליטיקס, להסיר את קוד האנליטיקס הישן מהאתר ולהטמיע לאתר את הקוד החדש של גוגל אנליטיקס.
א. כנסו לממשק גוגל אנליטקס עם שם המשתמש והסיסמה שלכם לכלי – בדרך כלל זה הGMAIL שלכם אך לא מחייב.
ב.אם יש לכם מספר אתרים בחשבון גוגל אנליטיקס שלכם – בחרו את האתר הנכון, לחצו על כפתור הadmin (אם האנליטיקס שלכם באנגלית)
גוגל אנליטיקס - אדמיןג. בעמודת Property, לחצו על Property settings ותשנו את הDefault URL לתצורת https
Property Settings in Google Anaytics
שינוי תצורה לhttps בגוגל אנליטקס

ד. עכשיו את אותה הפעולה יש לבצע בעמודת view
View in Google Analytics

שינוי תצורת האתר לhttps בעמודת view בגוגל אנליטיקס

ה. עכשיו עלינו לקחת את הקוד החדש של גוגל אנליטקס מתוך ממשק הגוגל אנליטקס. את הקוד לוקחים בעמודת Property, תחת Tracking Info, Tracking code:
קוד גוגל אנליטיקס

זה הקוד:
קוד אנליטיקס חדשו. זהו שלב קריטי וחשוב לעשות אותו כמו שצריך, אחרת גוגל אנליטיקס פשוט לא יעבוד לכם. כעט עליכם לאתר את המקום בו מוטמע  הקוד של  גוגל אנליטיקס באתר שלכם. ישנן מספר אפשרויות: הקוד יכול להיות מוטמע באמצעות תוספים כאלה ואחרים (ויש הרבה), הקוד יכול להיות מוטמע דרך ערכת העיצוב – ישנן ערכות עיצוב שבהן יש חלונית ייעודית עבור הקוד של גוגל אנליטיקס ששם שותלים את הקוד. ויש אפשרות שהקוד מוטמע ידנית בתוך קובץ header של ערכת העיצוב. בגרסאות האחרונות של הוורדפרס אגב, לא תמיד ניתן לערוך את הקבצים דרך העורך של הוורדפרס ולכן יש צורך לגשת למנהל הקבצים בשרת או להשתמש בFTP על מנת לערוך קבצים.

לצערי, בגלל ריבוי האפשרויות, לא אוכל לתעד בצילומי מסך את כל האפשרויות הקיימות. אך מה שעליכם לעשות זה דבר פשוט: קודם להסיר את הקוד הישן, אחר כך להדביק את הקוד החדש. היו לי מקרים בהם הקוד הישן המשיך לעבוד ולספק סטטיסטיקה והיו לי מקרים שאחרי אבטחת האתר לרמת https ללא החלפת קוד אנליטקס לקוד החדש באתר, אנליטיקס פשוט הפסיק לעבוד. לכן פעולה זו היא בגדר חובה על מנת לא לקחת סיכונים.

ז. בסיום ההטמעה יש לבדוק שאנליטיקס מוטמע באופן תקין באתר. למזלנו, זו בדיקה מאוד פשוטה ומהירה. כל מה שצריך זה להיכנס בממשק הגוגל אנליטיקס לREAL-TIME, ללחוץ על Overview, בו זמנית תגלשו באתר שלכם ותראו באנליטיקס האם יש גולשים אונליין באתר:
זמן אמת בגוגל אנליטיקס
תעברו בין העמודים השונים באתר ותראו האם עמודים אלו משתנים בזמן אמת בממשק של גוגל אנליטיקס. אם כן – האנליטיקס מחובר באופן תקין לאתר. אגב: אל תדאגו. פעולה זו לא תמחק את הנתונים הקודמים של האתר שלכם שהיו לגוגל אנליטקס לפני המעבר לhttps.

16. עכשיו עליכם להוסיף את האתר שלכם בתצורה החדשה עם https לכלי מנהל האתרים של גוגל, או בשמו החדש, הsearch console

לרוב זו תיהיה פעולה מאוד פשוטה, במיוחד אם אתם מחוברים עם זכויות מלאות לגוגל אנליטיקס עם אותו חשבון גוגל עימו אתם מחברים את כלי מנהל האתרים של גוגל לאתר שלכם.
א. כנסו לכלי מנהל האתרים עם חשבון הגוגל והסיסמה שלכם.
ב. לחצו על הכפתור האדום בשם "הוסף נכס":
הוספת אתר בכלי מנהל האתרים של גוגל

ולאחר מכן תגיעו למסך הבא:

הוספת אתר עם https לכלי מנהל האתרים של גוגל
ג. כשתתבקשו לאמת את הכלי באמצעות אחת השיטות, בחרו לאמת באמצעות גוגל אנליטיקס. לרוב זה יעבוד נהדר ויקח לכם בדיוק שנייה אחת. אם זה לא יעבוד, אפשר להטמיע שורת קוד באתר, שוב, ניתן לעשות זאת בתוך תוסף היואסט. דרך נוספת היא להעלות לתיקייה הראשית של האתר קובץ קטן אותו תורידו מתוך הממשק של כלי מנהל האתרים של גוגל. מקווה שלא תסתבכו עם זה וזה ילך בקלות ובמהירות. אם תתקלו בקשיים – אתם מוזמנים לפנות אלי ואעזור לכם באהבה.

ד. עכשיו עליכם להוסיף מחדש את הבעלים והמשתמשים בכלי, במידה ואתם רוצים בעלים ומשתמשים נוספים מלבד עצמכם בכלי.
ה. בשלב האחרון, יש להוסיף את מפות האתר הרלוונטיות בפורמט XML אחרי שעברתם על המפות אחת אחת ואתם יודעים בוודאות שאת המפות הללו יש להגיש לגוגל. ישנן מפות שבמפורש אסור להגיש לגוגל על מנת לא לאנדקס דפי זבל בגוגל, אינדוקס כזה יכול לפגוע באופן משמעותי בקידום האתר שלכם בגוגל. גם כאן, אם יש לכם מספר אתרים בכלי מנהל האתרים של גוגל, שימו לב שאתם נמצאים באתר הנכון.
הוספת מפות אתר בפורמט xml בכלי מנהל האתרים של גוגל

17. אם יש לכם כלי סטטיסטיקה נוספים שמחוברים לאתר, אולי של מנועי חיפוש נוספים, יש לעדכן גם בהם שכל כתובות האתר שלכם השתנו ועכשיו הן מתחילות בhttps.

18. מומלץ (לא חובה כי זה יקרה גם לבד עם הזמן) לשלוח את האתר לסריקה יזומה בגוגל באמצעות כלי מנהל האתרים של גוגל, לשני מנועי החיפוש, גם למוביילי וגם לדסקטופי. כף גוגל יבין מהר יותר שהאתר שלכם עבר לhttps.

19. מומלץ גם לשנות את הקישורים הנכנסים מאתרים אחרים אל האתר שלכם, אם יש לכם גישה אליהם כמובן, כיוון שמדובר באתרים אחרים ולא באתר שלכם. הקישורים הנכנסים הישנים מפנים לאתר בתצורה של http או רק www. אם יש לכם גישה לאותם הקישורים, מומלץ לשנות אותם כך שיפנו לגרסת הhttps של האתר. אחרת הכוח של הקישורים הנכנסים אל האתר שלכם נחלש.

לכתבה הקודמת בנושא על החשיבות של הפיכת האתר לhttps לחצו כאן

בבדיקות נוספות של האתר שלכם ניתן לבצע באמצעות הצ'ק ליסט קידום אתרים שלי

לכל שאלה בנושא זה ובנושאים אחרים
צרו איתי קשר

או צלצלו אלי בשעות העבודה:
03-9763333

נ.ב. עבדתי ממש קשה על המדריך הזה. הכתיבה לא באה לי בקלות ובמהירות. לקח לי 3 ימים לכתוב את המדריך כדי שיצא כפי שיצא. אם אהבתם את המדריך, אם המדריך הועיל לכם, שתפו ותנו מילה טובה. זה נותן המון אנרגיות ליצירת תכנים ברמה גבוהה לטובת הכלל 🙂