WordPress поддерживает 43% веба. Добавление SSL/HTTPS включает три шага: получить сертификат, установить его на сервер и настроить WordPress на использование HTTPS-адресов. Это руководство охватывает все три шага.
Шаг 1: Получите сертификат
Большинство хостингов для WordPress включают бесплатный SSL — проверьте сначала:
| Тип хостинга | Как проверить |
|---|---|
| Управляемый WordPress (SiteGround, Bluehost, WP Engine) | Панель управления → раздел Security/SSL — часто включён автоматически |
| Виртуальный хостинг с cPanel | cPanel → SSL/TLS Status — ищите AutoSSL |
| VPS/выделенный сервер | Встроенного SSL нет — нужно установить самостоятельно |
Если ваш хостинг не предоставляет SSL, получите бесплатный сертификат от GetHTTPS и установите его через cPanel, Nginx или Apache.
Шаг 2: Обновите URL-адреса WordPress
После установки сертификата на сервер укажите WordPress использовать HTTPS:
Способ A: Настройки WordPress (самый простой)
- Перейдите в Settings → General
- Измените оба URL с
http://наhttps://:- WordPress Address (URL):
https://yourdomain.com - Site Address (URL):
https://yourdomain.com
- WordPress Address (URL):
- Нажмите Save Changes
Вы будете разлогинены — войдите снова по новому URL https://.
Способ B: wp-config.php (если нет доступа к панели управления)
Добавьте перед /* That's all, stop editing! */:
define('WP_HOME', 'https://yourdomain.com');
define('WP_SITEURL', 'https://yourdomain.com');
define('FORCE_SSL_ADMIN', true);
Шаг 3: Исправьте смешанный контент
WordPress хранит абсолютные URL в базе данных (содержимое записей, изображения, текст виджетов). После перехода на HTTPS старые ссылки http:// вызывают предупреждения о смешанном контенте.
Быстрое исправление: плагин Really Simple SSL
- Установите плагин Really Simple SSL
- Активируйте его — он определит ваш сертификат и автоматически исправит большую часть смешанного контента
- Он добавляет заголовок
upgrade-insecure-requestsи динамически перезаписывает URL
Постоянное исправление: поиск и замена в базе данных
Для чистого решения без зависимости от плагина:
# Using WP-CLI (recommended)
wp search-replace 'http://yourdomain.com' 'https://yourdomain.com' --all-tables
Или используйте плагин Better Search Replace:
- Искать:
http://yourdomain.com - Заменить на:
https://yourdomain.com - Выберите все таблицы
- Запустите (сначала сделайте пробный запуск)
Ручной SQL (продвинутый)
UPDATE wp_options SET option_value = REPLACE(option_value, 'http://yourdomain.com', 'https://yourdomain.com') WHERE option_name IN ('home', 'siteurl');
UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');
Шаг 4: Настройте перенаправление HTTP → HTTPS
Убедитесь, что все посетители получают HTTPS, даже если вводят http://:
.htaccess (Apache — наиболее распространённый для WordPress)
Добавьте в начало файла .htaccess (перед правилами WordPress):
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Nginx
server {
listen 80;
server_name yourdomain.com www.yourdomain.com;
return 301 https://$host$request_uri;
}
Смотрите наше полное руководство по перенаправлению.
Шаг 5: Обновите внешние сервисы
После миграции на HTTPS обновите URL-адреса в:
- Google Search Console — добавьте ресурс
https:// - Google Analytics — Settings → Default URL → измените на
https:// - Карта сайта — пересгенерируйте с URL-адресами
https://(Yoast/Rank Math делают это автоматически) - Социальные профили — ссылки на ваш сайт в Facebook, Twitter
- CDN — если используете CDN, убедитесь, что он работает через HTTPS
Проверка
- Откройте
https://yourdomain.com— должен появиться значок замка - Откройте DevTools (F12) → Console — проверьте предупреждения о смешанном контенте
- Протестируйте несколько внутренних страниц и записей блога
- Проверьте Google Search Console на наличие ошибок сканирования
Устранение неполадок
Цикл перенаправлений после включения HTTPS
Часто возникает за прокси (Cloudflare, балансировщик нагрузки). Прокси отправляет HTTP в WordPress, который перенаправляет на HTTPS, который прокси снова отправляет как HTTP. Исправление:
// Add to wp-config.php if behind a proxy
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
$_SERVER['HTTPS'] = 'on';
}
“Your connection is not private” после установки SSL
Возможно, сертификат не установлен правильно на уровне сервера. Проверьте конфигурацию сервера (Nginx или Apache) перед устранением неполадок WordPress.
Некоторые изображения/ресурсы по-прежнему загружаются через HTTP
Выполните поиск и замену в базе данных (Шаг 3). Проверьте файлы темы и пользовательский CSS на наличие захардкоженных URL http://. Используйте CSP-заголовок upgrade-insecure-requests в качестве страховки.
Часто задаваемые вопросы
Нужен ли плагин для SSL в WordPress?
Нет. Плагин вроде Really Simple SSL упрощает переход (особенно при смешанном контенте), но он не обязателен. Вы можете обновить URL вручную и добавить перенаправления в .htaccess. Плагин добавляет небольшую нагрузку при каждой загрузке страницы.
Повлияет ли переход на HTTPS на SEO?
Временно возможны незначительные колебания позиций, пока Google пересканирует ваш сайт. В долгосрочной перспективе HTTPS улучшает SEO — это фактор ранжирования Google. Используйте перенаправления 301 с HTTP на HTTPS для передачи ссылочного веса.
Можно ли использовать бесплатный сертификат Let’s Encrypt с WordPress?
Да. Сертификаты Let’s Encrypt работают с любым сайтом, включая WordPress. Получите его от GetHTTPS и установите на сервер или через cPanel. Сертификат не знает и не заботится о том, что за ним работает WordPress.
Как обновить сертификат для WordPress?
Сертификат устанавливается на уровне сервера, а не в WordPress. Обновите его, получив новый сертификат и заменив файлы на сервере. Сам WordPress не управляет сертификатами.
А как насчёт WooCommerce / электронной коммерции на WordPress?
Бесплатного DV-сертификата Let’s Encrypt достаточно для WooCommerce. PCI DSS не требует OV или EV сертификатов — он требует шифрования, которое обеспечивает DV. Ваш платёжный шлюз (Stripe, PayPal, Square) в любом случае обрабатывает наиболее чувствительные данные платёжных карт.
Можно ли использовать WordPress Multisite с SSL?
Да. Для WordPress Multisite с поддоменами (например, site1.example.com, site2.example.com) используйте wildcard-сертификат (*.example.com). Для Multisite с подкаталогами (например, example.com/site1/) достаточно сертификата для одного домена.
Мой хостинг говорит, что предоставляет бесплатный SSL — мне всё равно нужен GetHTTPS?
Если ваш хостинг предоставляет бесплатный SSL (через AutoSSL или аналогичную систему), используйте его — это самый простой путь. GetHTTPS предназначен для случаев, когда хостинг не предлагает бесплатный SSL, вам нужен определённый тип сертификата (wildcard, мультидоменный) или вы хотите контролировать закрытый ключ самостоятельно.