RHCk

инструкция
Руководство для перехода на SSL (HTTPS)

400 сообщений в этой теме

Здравствуйте!

Такая проблема, протокол https отражается, но на некоторых страницах подсвечен серым цветом.
Парочка ссылок на картинки отображаются без https(проверил в консоли в гугл хроме):

Пример ссылки: http://mysite.ru/image/catalog/Photo Blog/razmery.png 

Не могу понять, где это надо исправить или картинки удалять и снова загружать?

Помогите разобраться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
14 минуты назад, Gerik сказал:

Такая проблема

Если используете Fix, вроде как он должен это решать.

Если не используете, проверьте конфиги (их два), там везде должен быть https.

SSL должен быть включен в настройках магазина.

Ну и корректно должен быть настроен редирект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, RHCk сказал:

Если используете Fix, вроде как он должен это решать.

Ну и корректно должен быть настроен редирект.

 

Эти два пункта не делал.
Фикс сейчас установлю, а с редиректом не получается.

Столько вариантов перепробовал. Сайт перестаёт отображаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
17 минут назад, Gerik сказал:

Сайт перестаёт отображаться.

Если в ПУ хостинга включен редирект, его нужно выключить (ну или не добавлять редирект в .htaccess).

Редирект возьмите из пункта 7.3.2, причем если вам нужен только редирект HTTP -> HTTPS, используйте конструкцию без первых двух строк (в них редирект с "с www" на "без www"), поместив её в следующей строке после RewriteEngine On файла .htaccess.

Также не забывайте про включение SSL в настройках движка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 08.01.2017 at 15:41, RHCk сказал:

Если в ПУ хостинга включен редирект, его нужно выключить (ну или не добавлять редирект в .htaccess).

Редирект возьмите из пункта 7.3.2, причем если вам нужен только редирект HTTP -> HTTPS, используйте конструкцию без первых двух строк (в них редирект с "с www" на "без www"), поместив её в следующей строке после RewriteEngine On файла .htaccess.

Также не забывайте про включение SSL в настройках движка.

установка фикса должных результатов не дало...

подскажите, где ещё можно изменить ссылку картинки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, Gerik сказал:

установка фикса должных результатов не дало...

подскажите, где ещё можно изменить ссылку картинки?

Картинка в css значит ;)
Меняйте в css протокол картинки, в ручную

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, markimax сказал:

Картинка в css значит ;)
Меняйте в css протокол картинки, в ручную

скажите, а удаление и снова закачать картинку даст результат?

вы ткните пальцем где менять для несведущего :wall:

СПАСИБО

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
6 минут назад, Gerik сказал:

скажите, а удаление и снова закачать картинку даст результат?

вы ткните пальцем где менять для несведущего :wall:

СПАСИБО

Я еще только записался на курсы телепатов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, markimax сказал:

Я еще только записался на курсы телепатов

написал в личку

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 19.07.2016 at 00:34, RHCk сказал:

 

8. Проверка. Чтобы проверить корректность работы произведенных изменений необходимо сделать следующее:

8.1 Если у вас настроен редирект с "с www" на "без www"

  • идём на сайт по HTTP с WWW, должны получить HTTPS без WWW;
  • идём на сайт по HTTP без WWW, должны получить HTTPS без WWW;
  • идём на сайт по HTTPS с WWW, должны получить HTTPS без WWW.

8.2 Если у вас настроен редирект с "без www" на "с www"

  • идём на сайт по HTTP с WWW, должны получить HTTPS с WWW;
  • идём на сайт по HTTP без WWW, должны получить HTTPS с WWW;
  • идём на сайт по HTTPS без WWW, должны получить HTTPS с WWW.

8.3 Отдельно можно проверить как после всех изменений ваш сервер отдает статические файлы, например, фото товаров.

Зайдите на страницу товара, скопируйте ссылку на фото товара, вставьте её в строку браузера и поэкспериментируйте согласно пунктов 8.1 - 8.2, и посмотрите по какому протоколу будет отдаваться статика. 

 

По поводу пункта 8.3 

У меня статика отдается по всем возможным комбинациям, без редиректа. А со страницами все нормально, строго по идут https без www передаются, как надо.

это плохо? нужно исправлять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
19 минут назад, LehaLebed сказал:

По поводу пункта 8.3 

У меня статика отдается по всем возможным комбинациям, без редиректа. А со страницами все нормально, строго по идут https без www передаются, как надо.

это плохо? нужно исправлять?

И по www  отдает ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, LehaLebed сказал:

это плохо? нужно исправлять?

Нужно чтобы не было одновременной доступности с www и без www.

А если статика доступна и по HTTP, это не критично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, нужно ли добавлять https версию сайта в яндекс вебмастер или достаточно поставить галочку "переезд на https"

Если не добавлять сай то, то нельзя добавлять страницы в аддурл.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
14 часа назад, markimax сказал:

И по www  отдает ?

Сами страницы грузиться только по https без www

а вот если взять статичный элемент (например картинку у продукта) и скопировать в адресную строку и менять с www без www, по http и т.д, то отдается по всем комбинациям, без редиректа на https

Ваш модуль HTTPS FIX PRO кстати стоит, думал он исправит ситуацию.

.htaccess имеет такой вид

Скрытый текст

php_flag display_startup_errors off
php_flag display_errors off
php_flag html_errors off
php_flag log_errors on
php_flag ignore_repeated_errors off
php_flag ignore_repeated_source off
php_flag report_memleaks on
php_flag track_errors on
php_value docref_root 0
php_value docref_ext 0
php_value error_log /home/a/alexle6h/profipart.ru/public_html/PHP_errors.log
php_value error_reporting 2047
php_value log_errors_max_len 0
php_flag register_globals on 

<Files PHP_errors.log>
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

Options +FollowSymlinks

# Prevent Directoy listing 
Options -Indexes

# Prevent Direct Access to files
<FilesMatch "(?i)((\.tpl|\.ini|\.log|(?<!robots)\.txt))">
 Order deny,allow
 Deny from all
</FilesMatch>

# SEO URL Settings

RewriteEngine on


#@ Обрезаем  //////////// 
#@ Нужны дополнительные тесты
#@ RewriteCond %{THE_REQUEST} ^[A-Z]{3,}\s/{2,} [NC]
#@ RewriteRule ^(.*) $1 [R=301,L]
#@ Обрезаем  ////////////

RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /index\ HTTP/ 
RewriteRule ^index\.html$ / [R=301,L] 
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /index\.php\ HTTP/ 
RewriteRule ^index\.php$ / [R=301,L] 

RewriteCond %{HTTP_HOST} ^www.profipart.ru$ [NC]
RewriteRule ^(.*)$ https://profipart.ru/$1 [R=301,L]
RewriteCond %{HTTPS_HOST} ^www.profipart.ru$ [NC]
RewriteRule ^(.*)$ https://profipart.ru/$1 [R=301,L]

RewriteCond %{SERVER_PORT} !^443$ 

RewriteCond %{HTTPS} off 
RewriteRule ^(.*)$ https://profipart.ru/$1 [R=301,L]

RewriteBase /

RewriteRule ^googlebase.xml$ index.php?route=feed/google_base [L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !.*\.(ico|gif|jpg|jpeg|png|js|css)
RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA]

 

 

Изменено пользователем RHCk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добавил описание мотивации и результата мотивации Яши в пункт 11.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фикс нужен для существующего сайта, чтобы с наименьшей просадкой в выдаче перейти на HTTPS.

Для нового сайта он как лёгкая страховка от рукожопоголовых пейсателей модулей.

 

Если говорить обо мне, я не ставил его ни на работающие сайты, ни на новые.

На новых сайтах не вижу смысла, на старых просадка не была критична, да и экспериментов хотелось:)

Затеивалась вся движумба дабы Яшу не обидеть.

Но если не сидеть попой на диване, а хотя бы немного шевелиться, получается что вовсе он не обидчивый, а просто ленивый))

 

P.S. C Новым годом вас, Друзья (по старому стилю)! И пусть всё содержимое индекса будет в поиске:Koshechka_08:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

Помогите советом, как бороться с ненужным циклом...

Цитата

" На главной странице вашего сайта https://sportstart.com.ua/ стоит тег Rel Canonical, который указывает на http-версию сайта (незащищённую) → http://sportstart.com.ua/
А на странице http://sportstart.com.ua/ стоит 301 редирект обратно на httpS-версию → https://sportstart.com.ua/. Таким образом, и поисковые системы, и наш краулер Netpeak Spider попадет в бесконечный редирект. Эту проблему необходимо решать, убрав неверный Canonical. "

Скрин: http://joxi.ru/n2Y50zKsoo3nl2

Заранее спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Kot Matvey сказал:

Добрый день.

Помогите советом, как бороться с ненужным циклом...

Скрин: http://joxi.ru/n2Y50zKsoo3nl2

Заранее спасибо.

Fix ставили ?

Рекомендую PRO

SEO HTTPS FIX PRO

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, markimax сказал:

Fix ставили ?

Рекомендую PRO

SEO HTTPS FIX PRO

Марк, еще не ставил.

В нем выставить "Отдавать ссылки как HTTPS (принудительно)" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 минут назад, Kot Matvey сказал:

Марк, еще не ставил.

В нем выставить "Отдавать ссылки как HTTPS (принудительно)" ?

Да. Тогда плевать он будет на кривожопые модули которые вам "такое" чудят

Он будет выдавать только HTTPS ссылки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас

  • Похожие публикации

    • Автор: RHCk
      UPD ПРАВИЛА ТЕМЫ:
       
      Тема создана для описания основ безопасности CMS Opencart.
      Если что-то упустил, пишите.
       
      0. ВАЖНО! Перед началом любых экспериментов делаем бэкап файлов и базы сайта!!!
      1. Установка
      1.1 При установке меняем префикс базы данных на другой - например "ос_" на "sn_" (и помним об этом).
      1.2 Логин для админки НЕ должен быть admin! Пароль админки должен быть сложным, который содержит как минимум заглавные, строчные символы и цифры. Для этого пользуем генераторы паролей (они есть практически в любом менеджере паролей, также бывают отдельными программами). Онлайн генераторы от @savage4pro - тут и здесь.
      1.3 После установки или обновления CMS обязательно удаляем каталог install.
      1.4 Очень часто взлом и заражение ИМ происходит через соседей (устаревшие или не обновленные CMS в одном аккаунте с ИМ). Важно помнить - в одном аккаунте один магазин.
       
      2. Настройка CMS
      2.1 После установки отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Безопасность -> Ключ шифрования -> С помощью генераторов из п-та 1.2 генерируем новый (длина 1024).
      2.2 Там же отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Обработка ошибок -> Показывать ошибки -> НЕТ). Включать вывод ошибок нужно по необходимости - установка нового модуля, изменение функционала и т.д. (помним про п-кт 0).
      2.3 Часто, перед покупкой или установкой модулей, разработчики предлагают проверить соответствие вашего хостинга требованиям модуля. В корневой каталог сайта копируется info.php, заходим по адресу <сайт>/info.php видим инфу, определяемся с модулем и удаляем файл info.php, дабы не оставлять подсказку разным негодяям.
      2.4 Пользователям, на сайтах которых настроен обмен, следует проверить недоступность снаружи следующих адресов:
      domain.com/system/storage/cache/exchange1c/import.xml domain.com/system/storage/cache/exchange1c/offers.xml domain.com/system/storage/cache/exchange1c/orders.xml 2.5 ВАЖНО! Присутствующие на сайте тяжелые скрипты (если имеются), такие как парсеры, генераторы карт и прайс-листов, и т.д., не должны быть доступны всем подряд извне.
       
      3. Настройка хостинга
      3.1 Средствами .htaccess можно ограничить доступ в админку вводом дополнительных логина и пароля (.htpasswd) и возможностью входа только с определенного IP-адреса. Перед этим важно не забыть получить статический IP-адрес у своего интернет-провайдера. Если будет интерес, можно сделать подробное описание этого метода.
      Видел модуль, добавляющий капчу от Гоши в форму авторизации админки. Штука полезная, ибо усложняет процесс сбручивания пароля разными кулхацкерами.
      3.2 При установке CMS, добавлении функционала, установке модулей (предоставления доступа к файлам CMS разработчикам модулей и т.д.) требуется доступ к хостингу по FTP (SFTP). Для таких случаев создаем отдельные учётные записи на хостинге, с доступом только к необходимым ресурсам. Требования к учётной записи те же, что и в пункте 1.2.
      ВАЖНО! После проведения работ обязательно отключаем доступ по FTP. Об этом забывают 90% будущих Рокфеллеров.
      3.3 В .htaccess должен присутствовать запрет на чтение файлов/каталогов(папок) с "." (точкой) в начале имени:
      RedirectMatch 403 /\..*$  
      4. Периодические мероприятия
      4.1 ВАЖНО! Необходимо регулярно делать бэкапы. Чем чаще делаются бэкапы, тем меньши информации будет потеряно в случае форс-мажора. Есть шутка "Админы делятся на две группы - на тех, кто не делает бэкапы и тех, кто уже делает".
      Бэкап файлов делаем с помощью FileZilla (или архивируем хостингом, а забираем ей же). Бэкап базы делаем с помощью Sypex Dumper 2.
      4.2 ВАЖНО! Категорически нельзя складывать бэкапы в каталог (папку) сайта! Поэтому все бэкапы (архивы бэкапов) забираем с хостинга. Место для хранения бэкапов подбирается из расчета хранения 10 архивов: 1 ежемесячный, 3 еженедельных, 6 ежедневных.
      4.3 ВАЖНО! Регулярно меняйте пароли (не реже раза в три месяца) ко всем учётным записям (админка, ftp и т.д.) и базам данных! Пароль к базе данных хранится в двух файлах config.php (из корня и в папке admin) в следующей записи:
      define('DB_PASSWORD', '7EJCE9vIAEfGExueZ3vn'); где 7EJCE9vIAEfGExueZ3vn - есть пароль. 4.4 ВАЖНО! Регулярно проверяем кроневой каталог и папки cache и download на предмет посторонних файлов. Особое внимание уделяем файлам, в которых присутствуют закодированные base64 элементы.
      В коренвом каталоге сайта должны быть только следующие файлы:
       
      В планах:
       
      P.S. Данная инструкция была написана при поддержке @savage4pro и @Yoda.
      P.P.S. #opencartsecurity #безопасностьвопенкарт #хуйнаныр
       
    • Автор: Serg-24
      Есть вопрос. Пишут так о HTTPS (и при общении с админами хостланд.ру - они то же говорили про допоплату) - 
      Купить и установить сертификат на сервер. Цены начинаются примерно от 2500 рублей в год. Можно, конечно, и не покупать, но тогда пользователей будут постоянно предупреждать, что используется недоверенный сертификат. Сам сертификат состоит из двух частей: открытый и закрытый ключ (public и private). Первый используется для шифрования данных от клиента к серверу, а второй для расшифровки этих данных уже на сервере. Установка сертификата также зависит от сервера, плюс от операционной системы.
       - Это для тех кто хочет безопасное соединение сделать...
       Так, как получается? Платить хостерам (домена где находится сайт 2500 руб.)  за такое соединение или оно будет образованно автоматически и платить за сертификат не нужно? 
       
      - Так как получается? Разъясните пожалуйста...
      1) Будет ли работать сайт (опенкарта) на сертификате своем?
      2) Что нужно для того что бы сертификат (если сайт его может сам генерировать) - заработал?
      3) Если п. 1 и 2 - позволяют работать без платного сертификата - Разясните порядок действий, как его ставить. 
       Поставьте точку в этой дилемме. Спасибо!!!
       
       
    • Автор: Yoda


      Просмотреть файл HTTPS Fix для Opencart v2.X
      Небольшой мод, который заставляет Opencart работать корректно с обоими протоколами одновременно.
      Как того требует Яндекс какое то время, при переезде на HTTPS. Для правильной работы фикса у вас должны отличаться HTTP_CATALOG и HTTPS_CATALOG  в config.php.

      Также мод фиксит проблемы определения протокола, при нестандартных настройках связки nginx => apache.
       
      Кроме вашего покорного слуги решению приложили руки @markimax и @savage4pro.
       
      Если кто захочет заслать благодарности - куда слать у них в профилях.
      Автор Yoda Добавлен 24.10.2016 Категория Прочее  
    • Автор: Aleks
      Добрый день!
      Попутно с переездом домена решил сразу настроить SSL на новом домене, чтобы 2 раза не кормить новое зеркало поисковикам.
      Инструкцию по переезду на https для версии 1.5 использовал с yoda блога. http://ocshop.info/kostyli-dlya-normalnogo-pereezda-na-https-pod-opencart-1-5-x-dlya-togo-chtoby-ne-vypast-iz-indeksa-yandex/.

      Все сделал, перепроверил не один раз. Кеши чистил и руками и модулями, браузеры чистил, проблема следующего рода осталась:
       
      Mixed Content: The page at 'https://mysite.ru/' was loaded over HTTPS, but requested an insecure stylesheet 'http://mysite.ru/image/seocms.css'. This request has been blocked; the content must be served over HTTPS. 
       
      response.hph выглядит следующим образом
       
       
      Может есть у кого нибудь решение? Может не правильно что-то поправил?
      Подскажите, пожалуйста!
       
    • Автор: Jarama
      Здравствуйте, господа!
       
      Кто может помочь переехать маленькому магазинчику на ocstore 2.1.0.1 на https? 
      Можно в скайп писать: max_nexus
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу