Jak wymusić HTTPS przy użyciu .htaccess?

Opublikowany: 2022-01-04

HTTPS to standard bezpieczeństwa, który chroni poufne informacje przesyłane z komputera na serwer. Wymuszanie stosowania protokołu HTTPS w witrynie jest ważne, ponieważ uniemożliwia hakerom przechwytywanie i odczytywanie prywatnych danych, takich jak hasła czy numery kart kredytowych.

W tym poście na blogu pokażemy, jak wymusić HTTPS przy użyciu plików .htaccess! Pod koniec dowiesz się, jak zmusić odwiedzających do korzystania z SSL i przekierować cały ruch z niezabezpieczonych żądań.

Jak wymusić HTTPS przy użyciu .htaccess?

Podzielmy tę odpowiedź na cztery sekcje. To pozwoli Ci znaleźć najlepsze metody dla Twoich konkretnych potrzeb.

Wymuś HTTPS dla każdego rodzaju ruchu

Jeśli chcesz zmusić cały ruch w witrynie do korzystania z bezpiecznego połączenia, możesz skonfigurować przekierowania 301 w pliku .htaccess. Oto jak wymusić HTTPS:

  • Aby edytować plik .htaccess panelu hostingowego, znajdź Menedżera plików na swojej stronie i otwórz go w public_html
  • Znajdź RewriteEngine On, a następnie dodaj RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  • Nie zapomnij zapisać

Ważne jest, aby upewnić się, że wiersz: RewriteEngine On nie jest powtarzany dwa razy. Jeśli już istnieje, skopiuj wszystko inne bez tej części, na wypadek gdyby był jakiś błąd!

Wymuszanie HTTPS na domenach dodatkowych

Przekierowanie drugiej domeny na HTTPS jest łatwe dzięki temu jednemu fragmentowi kodu:

RewriteEngine On RewriteCond %{HTTP_HOST} ^yourdomain2.com [NC] RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

W powyższym kodzie zawsze zamień „twojadomena2.com” na rzeczywistą nazwę domeny. To tylko przykład.

Użycie powyższego kodu zapewni, że wszelki ruch przechodzący do twojadomena.com będzie przekierowywany do bezpiecznej wersji Twojej witryny, która jest identyfikowana przez „s” w adresie URL.

Wymuszanie HTTPS na folderach

Plik .htaccess jest ważną częścią Twojej witryny, której możesz użyć do wymuszenia HTTPS w dowolnym folderze, który chcesz, ale po włączeniu tej opcji powinien zawsze znajdować się tylko w jednej lokalizacji.

RewriteEngine Wł. RewriteCond %{HTTPS} wył. RewriteRule ^(folder1|folder2|folder3) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Wyczyść pamięć podręczną przeglądarki i sprawdź, czy możesz połączyć się z naszą witryną przez HTTP. Jeśli to zadziałało, gratulacje! Masz teraz dostęp do bezpiecznej wersji tej strony HTTPS.

Wymuszanie HTTPS na WordPress

Możliwe jest wprowadzenie bezpośredniego adresu URL HTTP w witrynie WordPress, nawet jeśli masz certyfikat SSL. Aby to wymusić, zmień plik .htaccess w WordPressie, wpisując następujący wiersz kodu:

  • Przepisz silnik włączony
  • RewriteCond %{HTTPS} !=wł.
  • Przepisz regułę ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]
  • Nagłówek zawsze ustawia Content-Security-Policy „upgrade-insecure-requests;”

Spowoduje to, że WordPress będzie ładował strony tylko za pośrednictwem bezpiecznego połączenia, nawet jeśli użytkownik wpisze niezabezpieczony adres URL

Co to jest HTTPS?

HTTPS to standard bezpieczeństwa, który chroni poufne informacje przesyłane z komputera na serwer. Oznacza HyperText Transfer Protocol Secure i służy do ochrony informacji, takich jak hasła lub numery kart kredytowych.

Szyfruje wszystkie dane przesyłane między Twoim komputerem a witryną za pomocą szyfrowania SSL/TLS. Utrudnia to hakerom odczytanie przesyłanych informacji, takich jak hasła, numery telefonów itp., ponieważ nie będą mogli złamać kodu.

Rozwiązywanie problemów

Czasami sprawy nie idą zgodnie z planem. Aby upewnić się, że Twoje zmiany są prawidłowe, spróbuj wyczyścić pamięć podręczną swoich przeglądarek. Jeśli nadal nie możesz wymusić HTTPS, rozważ następujące kwestie:

Cloudflare

Twój plik .htaccess nie powinien zawierać żadnych przekierowań do innej wersji Twojego adresu URL. Jeśli tak i jeśli używasz Cloudflare, w Twojej przeglądarce pojawi się „błąd zbyt wielu przekierowań”.

WordPress

WordPress jest często przyczyną tego problemu, ponieważ wymaga, aby adresy URL zawierały „www” lub nie. Porozmawiaj ze swoim gospodarzem, aby upewnić się, że Twoja witryna używa właściwego formatu.

Dlaczego protokół HTTPS jest ważny?

Posiadanie strony internetowej korzystającej z szyfrowanego połączenia ma znaczenie, aby uniemożliwić hakerom przechwytywanie i odczytywanie prywatnych danych. Niezabezpieczona witryna ułatwia każdemu w tej samej sieci, co Ty lub każda inna osoba, która może przeglądać Twój ruch, dowiedzieć się, jakie informacje przesyłasz w Internecie.

Ponadto ludzie nie ufają witrynom internetowym korzystającym z niezabezpieczonych połączeń, ponieważ informacje nie są prywatne. Na przykład, gdybyś wypełnił formularz na niezabezpieczonym połączeniu, dane te byłyby widoczne dla innych osób podłączonych do tej samej sieci co Ty.

W rzeczywistości widok HTTP zamiast zielonej kłódki w pasku adresu przeglądarki może oznaczać, że Twoje dane nie są chronione tak, jak powinny. Może to doprowadzić do utraty zaufania klientów do Twojej witryny i odejścia, co będzie miało negatywny wpływ na Twój biznes.

Jeśli Twoja witryna korzysta z certyfikatów SSL i zmusza użytkowników do przechodzenia na bezpieczne strony, odwiedzający poczują się bardziej komfortowo, wprowadzając swoje dane osobowe w Twojej witrynie. Dzieje się tak, ponieważ użytkownik będzie wiedział, że jego dane są zaszyfrowane i nie mogą być przeglądane przez inne osoby, które mogą węszyć w tej samej sieci.

Wniosek

Podsumowując, możesz użyć pliku .htaccess, aby zmusić cały ruch w Twojej witrynie do korzystania z bezpiecznego połączenia. Pomoże to uniemożliwić hakerom przechwytywanie i odczytywanie prywatnych danych, takich jak hasła czy numery kart kredytowych.

Korzystanie z witryny bez szyfrowanego połączenia będzie miało negatywny wpływ na Twój biznes ze względu na utratę zaufania klientów. Dlatego używanie certyfikatów SSL i zmuszanie użytkowników do przechodzenia na bezpieczne strony może być niezwykle cenne dla każdej witryny internetowej, która chce chronić poufne informacje, takie jak dane osobowe.

Jeśli żaden z tych kroków nie zadziała, skontaktuj się ze swoim gospodarzem, aby sprawdzić, czy może pomóc w rozwiązaniu tego problemu. Większość dobrych hostów będzie w stanie pomóc Twojej witrynie na bezpiecznej stronie.

Mamy nadzieję, że ten artykuł pomógł Ci zrozumieć, jak zmusić witrynę do korzystania z bezpiecznego połączenia. Jeśli masz jakieś pytania lub wątpliwości, nie wahaj się z nami skontaktować! Chętnie pomożemy.