WordPress · אבטחה

תיקון אזהרת "Not Secure" - SSL מלא + HSTS

הדפדפן מציג "Not Secure" ליד כתובת האתר שלכם. התעודה פגה. יש Mixed Content - תמונות שעדיין נטענות ב-HTTP. כל אחת מהבעיות האלה גורמת לגוגל להוריד דירוג ולגולשים לעזוב. אני מתקן את כולן ומגדיר חידוש אוטומטי שיחזיק שנים.

שלחו הודעה בוואטסאפ ראו את חבילות ה-SEO

למה תיקון מקצועי שווה את העלות

Mixed Content נראה תקין בדף אחד אבל שובר 50 דפים אחרים - סקירה מלאה של האתר היא חובה.
התקנת Let's Encrypt עם cron auto-renewal פותרת חידוש לעולם, לא רק לשנה הקרובה.
הגדרת HSTS preload נכונה מונעת מהדפדפן בכלל לנסות HTTP - שכבת הגנה שגוגל מתגמלת.
Search & Replace ידני ב-DB מתקן URLs ישנים שתוסף "Really Simple SSL" לא תופס בכלל.

למה הדפדפן מציג Not Secure

הדפדפן מציג "Not Secure" כשהאתר שלכם משתמש ב-HTTP במקום HTTPS, או כש-HTTPS שבור באחת מארבע דרכים. הראשונה - אין תעודה כלל בשרת. השנייה - יש תעודה אבל היא פגה (Let's Encrypt תקפה ל-90 ימים בלבד; אם החידוש האוטומטי נשבר - אזהרה תוך 90 יום). השלישית - יש תעודה תקפה אבל הדף טוען תמונה, סקריפט או iframe מ-HTTP (Mixed Content). הרביעית - התעודה לא תואמת לדומיין (למשל תעודה ל-www.example.com בעוד שמשתמשים ב-example.com).

ההשלכות חורגות הרבה מעבר לאזהרה הוויזואלית. גוגל הוריד את HTTPS לגורם דירוג ב-2014, ומאז הסיגנל התחזק. דפדפנים מסמנים דפים לא-מאובטחים בולט יותר משנה לשנה - היום אזהרה נראית כמו אתר נטוש או מסוכן. אם יש טופס איסוף נתונים בדף לא-מאובטח, Chrome מציג אזהרה אדומה עוד יותר. ב<a href="/ecommerce-seo/">חנויות אונליין</a>, חוקי PCI-DSS דורשים HTTPS על דפי תשלום - אזהרה שם פירושה הפרת תקנות.

תיקון לבד נכשל ב-Mixed Content. מנהל האתר מפעיל "Really Simple SSL" וחושב שגמר. הדף הראשי באמת נטען ב-HTTPS - אבל פוסטים ישנים עדיין מכילים URLs ישנים של תמונות ב-HTTP. תוסף ה-SSL לא מתקן את ה-DB - הוא רק מציג HTTPS בפרונט-אנד. נדרש Search & Replace ידני בטבלאות wp_posts, wp_postmeta, wp_options - וזו פעולה שדורשת לדעת איך לעבוד עם serialized arrays של PHP בלי לשבור אותם.

מה אתם מקבלים

התקנה ושחזור Let's Encrypt

תעודה חדשה, חידוש אוטומטי דרך cron, monitoring שיתריע אם החידוש נשבר.
תיקון Mixed Content מלא

Search & Replace ב-DB לכל URL ישן, סקירת תמונות, סקריפטים ו-iframes. אזהרה נעלמת מכל הדפים.
HSTS + HTTPS Redirect

הפניה אוטומטית מ-HTTP ל-HTTPS, header HSTS, חתימה על preload list להגנה מקסימלית.
בדיקה ב-SSL Labs

דירוג A או A+ ב-SSLLabs.com - הסטנדרט המקצועי. דוח לפני ואחרי.

איך אני מתקן

1
בדיקת SSL Labs

סריקה של מצב נוכחי - תעודה, ciphers, mixed content, headers. דוח התחלה.
2
התקנה/חידוש תעודה

Let's Encrypt חדש דרך cPanel/Certbot, הגדרת auto-renewal, וידוא שהשרת משלים TLS 1.3.
3
תיקון Mixed Content

Search & Replace ב-DB עם wp-cli, סריקת קבצי תֶמה לקישורים hardcoded, תיקון media library.
4
HSTS + Redirect

הפניה ב-htaccess מ-HTTP ל-HTTPS, header Strict-Transport-Security, רישום ל-HSTS preload.
5
אימות

SSL Labs מחדש (יעד A/A+), בדיקה ידנית של 10 דפים, אישור שהאזהרה נעלמה בכל דפדפן.

תמחור לפי תקלה

350-1,200 ₪ לתקלה

התקנת SSL + redirect - 350-650 ₪. תיקון Mixed Content מלא + HSTS - 850-1,200 ₪. תוצאה תוך 2-6 שעות.

מחיר מותאם לכם

קבלו הצעת מחיר לתקלה שלכם

קחו 30 שניות וחשבו את המחיר לפי הצרכים שלכם - לא צריך להזין פרטים.

שאלות נפוצות

כמה זמן זה לוקח?

התקנת תעודה חדשה - שעה. תיקון Mixed Content מלא + HSTS - 4-6 שעות נוספות. ב-90% מהמקרים האזהרה נעלמת תוך אותו יום.

האם אאבד תוכן?

לא. Search & Replace בטבלאות מבוצע על copy של ה-DB עם גיבוי מוקדם. אם משהו לא ייראה תקין, אני מחזיר את הגיבוי תוך דקות. הפעולה משנה רק קישורים מ-http:// ל-https://, לא תוכן.

מה אם התעודה תפוג שוב?

אחרי הגדרת auto-renewal דרך cron + monitoring, החידוש פועל אוטומטית כל 60 ימים. אני מקבל התראה (ואתם גם) אם החידוש נכשל - מתערב לפני שהתעודה פגה. אצל לקוחות בתחזוקה <a href="/web-design/wordpress-troubleshooting/">חודשית</a> זה כלול.

איך מתחילים?

שולחים כתובת האתר ופרטי FTP/cPanel. אני סורק ב-SSL Labs ושולח דוח + הצעת מחיר מדויקת תוך 30 דקות.

אפשר תיקון מרחוק?

כן, כולו מרחוק דרך cPanel/SSH. לא נדרשת גישה פיזית לשרת.