Бесплатный SSL для WordPress — Cloudflare или Let's Encrypt

Хотя можно купить SSL-сертификат у центра сертификации (CA) и установить его на сайт WordPress, это требует затрат и ежегодного продления. В этом руководстве описаны два бесплатных способа включить SSL для WordPress: через Cloudflare и через Let’s Encrypt.

Почему стоит поставить бесплатный SSL для WordPress

SSL (Secure Sockets Layer, ныне чаще упоминают TLS) защищает соединение между браузером пользователя и сервером. Это предотвращает перехват и изменение передаваемых данных злоумышленниками. Браузер отображает замок рядом с адресом сайта — это подтверждение защищённого соединения.

Преимущества бесплатного SSL:

• Защита данных пользователей и форм.
• Улучшение доверия и поведенческих факторов (пользователи реже покидают сайт).
• Отсутствие расходов на сертификат.
• Совместимость с большинством современных браузеров.

Важно: SSL — часть общей безопасности сайта. Комбинируйте его с обновлениями, защитными плагинами и надёжными бэкапами.

Какие варианты описаны в этой статье

• Быстрая настройка через Cloudflare (рекомендуется большинству пользователей).
• Прямая установка на сервер с помощью Let’s Encrypt (End-to-end, для тех, кто управляет сервером).

В разделе «Как выбрать» приведена матрица решений, чеклисты и возможные проблемы с рекомендациями.

Как настроить бесплатный SSL на WordPress через Cloudflare

Настройка через Cloudflare проста и подходит, если вы хотите минимизировать изменения на сервере. Cloudflare действует как прокси между посетителем и вашим хостингом: посетитель видит HTTPS, а Cloudflare — общается с вашим сервером.

Важное: при использовании Cloudflare трафик между Cloudflare и вашим сервером может быть незашифрован. Для end-to-end шифрования используйте также сертификат на сервере (например, Let’s Encrypt) или включите опцию Full, если у вас есть сертификат на сервере.

Шаг 1 — добавьте сайт в Cloudflare

1. Зарегистрируйтесь на Cloudflare, подтвердите почту.
2. В панели выберите «Websites» или «Сайты» и нажмите «Add Site» (Добавить сайт).
3. Введите домен и продолжите.
4. Выберите бесплатный план (Free). Cloudflare просканирует DNS.
5. Скопируйте предоставленные nameserver и замените их у регистратора домена.
6. Дождитесь обновления DNS (обычно секунды — минуты, в редких случаях до 24 часов).
7. В разделе DNS Cloudflare добавьте A-запись для домена и CNAME для www при необходимости. Для A-записи в поле Name введите @ и укажите IP сервера.

Подсказка: держите проксирование (оранжевый облачок) включённым, если хотите, чтобы трафик проходил через Cloudflare.

Шаг 2 — включите SSL в Cloudflare

После добавления записей откройте раздел SSL/TLS и выберите режим:

• Flexible — Cloudflare будет принимать HTTPS-запросы от клиентов, а к вашему серверу будет обращаться по HTTP. Проще всего, но нет end-to-end шифрования.
• Full — облачный прокси будет использовать HTTPS к вашему серверу, но не проверяет валидность сертификата. Подходит, если на сервере есть самоподписанный сертификат или старый.
• Full (strict) — требует действительного сертификата на сервере. В этой статье мы рекомендуем Full, если есть сертификат на сервере, и Flexible, если нет возможности поставить сертификат.

Не выбирайте Full (strict), если на сервере нет корректного сертификата.

Шаг 3 — включите HTTPS в WordPress

1. Войдите в WordPress под администратором.
2. Плагины → Добавить новый. Установите и активируйте плагин Really Simple SSL.
3. Настройки → Общие: обновите адреса WordPress Address (URL) и Site Address (URL), заменив http:// на https://.
4. Перейдите в настройки плагина SSL и включите «Mixed Content Fixer», «Enable WordPress 301 redirect» и опцию для .htaccess-редиректа.
5. Сохраните настройки.

Проверьте сайт по адресу https://ваш-домен. Если сайт грузится с зелёным замком — всё настроено.

Отладка и распространённые ошибки при Cloudflare

• Ошибка «Too many redirects»: отключите плагин редиректов или проверьте, не стоят ли лишние 301-редиректы в .htaccess. В Cloudflare попробуйте сменить режим SSL на Flexible и затем обратно.
• Смешанный контент (mixed content): найдите ресурсы, загружаемые по http://, и замените на // или https://. Плагин Really Simple SSL помогает автоматически исправлять многие случаи.
• DNS не обновился: проверьте у регистратора, правильно ли вы заменили nameserver. Используйте команду dig или онлайн DNS-проверку.

Как настроить бесплатный SSL на WordPress с помощью Let’s Encrypt

Let’s Encrypt выдаёт бесплатные сертификаты и поддерживает автоматическое обновление. Этот путь даёт end-to-end шифрование, потому что сертификат ставится прямо на ваш сервер.

Подходит если:

• Вы администрируете сервер (SSH-доступ).
• У вас VPS или выделенный сервер, либо хостинг поддерживает установку сертификатов вручную.

Важно: если вы на управляемом хостинге, сначала спросите поддержку — многие хосты предлагают поддержку Let’s Encrypt в панели (cPanel, Plesk и т. п.).

Предварительные требования

• SSH-доступ к серверу (Putty/Terminal).
• Домен, указывающий на IP сервера.
• Права sudo на сервере.

Шаги для Apache на Ubuntu/Debian

1. Подключитесь к серверу по SSH.
2. Установите Certbot и плагин для Apache:

sudo apt update
sudo apt install certbot python3-certbot-apache

3. Откройте конфигурационный файл сайта и убедитесь, что указаны ServerName и ServerAlias:

sudo nano /etc/apache2/sites-available/My_domain.conf

И внутри конфигурации должны быть строки вида:

ServerName mydomain.com
ServerAlias www.mydomain.com

4. Сохраните файл (CTRL+X, Y, Enter). Проверьте конфиг и перезапустите Apache:

sudo apache2ctl configtest
sudo systemctl reload apache2

5. При необходимости откройте порт в брандмауэре:

sudo ufw allow 'Apache Full'
sudo ufw status

6. Запустите Certbot для Apache:

sudo certbot --apache

Следуйте подсказкам: подтвердите e-mail, согласитесь с условиями, выберите домены, для которых выпустить сертификат, затем выберите опцию перенаправления трафика на HTTPS (рекомендуется выбрать автоматический редирект).

7. Сертификат действителен 90 дней. Можно включить автоматическое продление с помощью systemd timer или cron:

sudo systemctl status certbot.timer
sudo certbot renew --dry-run

Если dry-run проходит успешно, реальное автообновление сработает по расписанию.

Проверка и отладка

• Проверить дату и статус сертификата:

sudo certbot certificates

• Если при получении сертификата Certbot не может пройти валидацию, убедитесь, что:
  • DNS указывает на ваш сервер.
  • Порт 80 открыт и на нём нет переадресаций, которые мешают HTTP-валидации.

Альтернативы для Nginx и других конфигураций

Для Nginx используйте python3-certbot-nginx и sudo certbot --nginx — команды и логика аналогичны.

Сравнение: Cloudflare vs Let’s Encrypt (краткая матрица)

• Простота внедрения: Cloudflare > Let’s Encrypt
• End-to-end шифрование: Let’s Encrypt > Cloudflare (Flexible)
• Управление сертификатами: Cloudflare автоматизирует; Certbot требует проверки автообновления
• Влияние на производительность: Cloudflare добавляет CDN и кеширование
• Подходит для новичков: Cloudflare

Решение:

• Если хотите быстро и безопасно без прав на сервер — используйте Cloudflare.
• Если вам нужно шифрование до самого хоста и вы контролируете сервер — используйте Let’s Encrypt.

Когда один метод не подойдёт: контрпримеры и ограничения

• Cloudflare может не подойти, если вы обязаны иметь доказанный сертификат до сервера (закрытые требования безопасности), либо если политика организации запрещает внешние прокси.
• Let’s Encrypt не подходит, если у вас нет доступа к серверу или если ваш хостинг блокирует автоматическое обновление (в этом случае спросите поддержку хостера).

Практический чеклист для разных ролей

Роль: Владелец сайта

• Выбрать стратегию (Cloudflare / Let’s Encrypt).
• Сделать бэкап сайта.
• Убедиться в корректности DNS.
• Проверить работу после включения HTTPS.

Роль: Системный администратор / DevOps

• Проверить конфигурацию виртуального хоста (ServerName/ServerAlias).
• Установить Certbot и настроить автообновление.
• Настроить firewall (80 и 443).
• Настроить логи и мониторинг сертификатов.

Роль: Веб-разработчик

• Исправить смешанный контент в шаблонах (http:// → https://).
• Проверить внешние скрипты и ресурсы (CDN, API).
• Обработать редиректы и канонические URL.

Мини-методология: безопасное внедрение SSL на рабочем сайте

1. Сделайте полную резервную копию сайта и базы данных.
2. Активируйте SSL на тестовом поддомене или в staging при возможности.
3. Настройте и проверьте перенаправления 301 с http на https.
4. Планируйте окно технических работ, если меняете DNS.
5. После включения SSL проверьте работу форм, входа и внешних API.
6. Мониторьте сертификат и автоматическое продление.

Риски и смягчение

• Риск: потеря доступности при смене nameserver. Смягчение: заранее уведомите пользователей, настройте TTL DNS на малое значение за несколько часов до операции.
• Риск: смешанный контент и ошибки загрузки. Смягчение: тестирование в staging, использование плагинов для исправления mixed content.
• Риск: проблемы автообновления Let’s Encrypt. Смягчение: настроить certbot renew --dry-run и мониторинг почты на уведомления о продлении.

Критерии приёмки (после внедрения SSL)

• Сайт открывается по https://ваш-домен без предупреждений браузера.
• Все основные страницы и формы работают, нет ошибок смешанного контента.
• Редиректы с http на https корректно возвращают 301.
• Сертификат отображается верно (действителен, имя совпадает с доменом).
• Автообновление сертификата настроено и проверено через dry-run.

Часто задаваемые вопросы

Q: Нужно ли покупать сертификат, если у меня Cloudflare?
A: Нет — Cloudflare предоставляет HTTPS для посетителей бесплатно. Покупать сертификат имеет смысл только при специальных требованиях к сертификату или при желании end-to-end шифрования без Cloudflare.

Q: Как проверить, что сертификат действительно установлен на сервере?
A: Используйте sudo certbot certificates или онлайн проверку SSL (например, SSL Labs). Для Cloudflare проверьте, какой режим SSL активирован.

Q: Как часто нужно обновлять сертификат Let’s Encrypt?
A: Сертификат действует 90 дней. Настройте автоматическое обновление; обычно Certbot делает это автоматически.

Q: Что делать при ошибке Too many redirects?
A: Проверьте плагины WordPress, отключите повторяющиеся редиректы и проверьте настройки Cloudflare (режим SSL). Часто помогает временно отключить проксирование в Cloudflare.

Однострочная глоссарная справка

• SSL/TLS — протоколы шифрования соединения.
• Certbot — клиент для получения сертификатов Let’s Encrypt.
• CDN — сеть доставки контента, ускоряет сайт; Cloudflare включает CDN.
• Mixed content — загрузка ресурсов по незашифрованному HTTP на странице HTTPS.

Короткое объявление для команды (100–200 слов)

Мы внедрили бесплатный SSL на WordPress. Доступны два варианта: быстрый — через Cloudflare (рекомендуется для большинства сайтов), и полный — через Let’s Encrypt, который даёт шифрование до сервера. Cloudflare минимизирует риск и запускается за минуты, но шифрование от Cloudflare до сервера может быть незашифрованным в режиме Flexible. Let’s Encrypt устанавливается на сервер, требует SSH и базовых навыков администрирования, зато обеспечивает end-to-end шифрование. Перед внедрением обязательно сделайте бэкап и согласуйте окно работ. Инструкции по настройке, чеклисты и рекомендации по отладке находятся в этом документе.

Краткий план действий на одну страницу (SOP)

1. Решить стратегию (Cloudflare / Let’s Encrypt).
2. Сделать бэкап.
3. Если Cloudflare: добавить сайт, сменить nameserver, включить SSL/TLS (Full или Flexible), включить проксирование, активировать Really Simple SSL в WordPress.
4. Если Let’s Encrypt: подключиться к серверу, установить Certbot, получить сертификат, включить автообновление, активировать редирект на HTTPS в WordPress.
5. Тестирование: функциональность, mixed content, редиректы.

Заключение

Бесплатный SSL для WordPress — это базовый этап в защите сайта. Cloudflare даёт быстрое и удобное решение, а Let’s Encrypt предоставляет полную защиту между клиентом и сервером. Оба варианта совместимы с WordPress и с минимальными усилиями позволяют закрыть большинство угроз, связанных с незашифрованным трафиком. Выберите подходящий вариант в зависимости от контроля над сервером, требований безопасности и возможностей команды.