SSL (HTTPS) כבר לא אופציה — זה חובה. גוגל מוריד דירוג לאתרים ב-HTTP. דפדפנים מציגים "לא מאובטח" לגולשים. ושום ספק תשלומים לא יעבוד ב-HTTP.
החדשות הטובות: SSL בחינם לגמרי, ורוב ספקי האחסון מגדירים אותו אוטומטית.
מה זה SSL בפשטות?
SSL (Secure Sockets Layer) / TLS (התחליף שלו) הוא פרוטוקול הצפנה שמגן על התקשורת בין הגולש לשרת.
בלי SSL (http://):
- נתונים מועברים בטקסט פתוח
- ספק אינטרנט (ISP) יכול לקרוא/לשנות תוכן
- גולש יכול להיות מוקש (MITM attack)
- גוגל מוריד דירוג
עם SSL (https://):
- כל התקשורת מוצפנת
- גולש רואה מנעול ירוק בדפדפן
- אי אפשר לשנות תוכן בדרך
- גוגל מעדיף את האתר
Let's Encrypt — SSL בחינם
Let's Encrypt הוא Certificate Authority (CA) שמנפיק אישורי SSL בחינם לכל אתר. הוקם ב-2014 על ידי Mozilla, Cisco, ו-EFF, ותומך בו עכשיו מעל 300 מיליון דומיינים.
השלב שרוב הספקים עושים בשבילכם: רוב ספקי האחסון המודרניים (SiteGround, Hostinger, uPress, Cloudways, Kinsta) מגדירים Let's Encrypt אוטומטית. אם עשיתם אחסון חדש ב-2024–2026, ה-SSL כבר פועל.
בדיקה: נכנסים לאתר שלכם. האם ב-URL כתוב https:// עם מנעול? אם כן — יש SSL.
הגדרת SSL ידנית — לפי ספק
ב-Hostinger:
hPanel → Hosting → SSL → Install SSL → בוחרים Let's Encrypt → Install
ב-SiteGround:
cPanel → Security → Let's Encrypt → Install certificate
ב-Cloudways:
Application → SSL Certificate → Let's Encrypt → Domain → Issue Certificate
ב-uPress:
פאנל ניהול uPress → SSL → הפעלה (בדרך כלל אוטומטי)
בשרת Nginx עצמאי (Hetzner/DigitalOcean):
# התקנת certbot
apt install certbot python3-certbot-nginx
# הנפקת אישור
certbot --nginx -d yoursite.com -d www.yoursite.com
# חידוש אוטומטי (כבר מוגדר ע"י certbot)
systemctl enable certbot.timer
חיוני: Redirect מ-HTTP ל-HTTPS
SSL מותקן לא מספיק. צריך להפנות כל בקשת HTTP ל-HTTPS:
ב-וורדפרס — דרך .htaccess (Apache):
# הוסיפו לתחילת .htaccess
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
ב-Nginx:
server {
listen 80;
server_name yoursite.com www.yoursite.com;
return 301 https://$server_name$request_uri;
}
ב-Cloudways: Application → Domain Management → Force HTTPS → On
ב-Cloudflare: SSL/TLS → Edge Certificates → Always Use HTTPS → On
Mixed Content — בעיה נפוצה אחרי הפעלת SSL
תסמין: יש מנעול ב-URL אבל עם אזהרה, או חלק מהעמוד לא נטען.
הסיבה: אחרי מעבר ל-HTTPS, חלק מהתמונות/CSS/JS עדיין מוטענים ב-HTTP.
פתרון ב-וורדפרס:
-
התקינו תוסף Really Simple SSL — מטפל ב-90% מבעיות mixed content אוטומטית.
-
לבעיות עקשניות:
# ב-SSH / WP-CLI
wp search-replace 'http://yoursite.com' 'https://yoursite.com' --all-tables
SSL vs Cloudflare Flexible — הטעות הנפוצה
Cloudflare Flexible SSL = Cloudflare מתחבר ל-HTTPS לגולש, אבל מתחבר ב-HTTP לשרת שלכם.
זה לא בטוח ולא מספיק. נתונים בין Cloudflare לשרת שלכם לא מוצפנים.
תמיד בחרו Cloudflare SSL mode: Full (Strict)
Cloudflare → SSL/TLS → SSL/TLS encryption mode → Full (strict)
תוקף אישור SSL ו-חידוש אוטומטי
Let's Encrypt מנפיק אישורים ל-90 יום. חידוש אוטומטי מוגדר ב:
- ספקי אחסון מנוהלים: אוטומטי לחלוטין
- Certbot על שרת עצמאי: אוטומטי דרך systemd timer
- Cloudflare: אין פג תוקף — Cloudflare מנהל אישורים ללא הגבלת זמן
לא צריך לעשות כלום אם הכל מוגדר נכון. האישור יתחדש לפני שיפוג.
אם SSL פג: הדפדפן מציג "Your connection is not private". הגולשים לא ייכנסו. בדקו שהחידוש האוטומטי פועל:
certbot renew --dry-run
האם צריך SSL בתשלום?
לא, עבור 99% מהאתרים.
Let's Encrypt מספיק לכל אתר תוכן, WooCommerce, ועסקים. ההבדל בין Let's Encrypt לאישורים בתשלום:
| סוג אישור | מחיר | מה הוא מאמת |
|---|---|---|
| Let's Encrypt (DV) | חינם | שהדומיין שלכם |
| Paid DV | $10–$50/שנה | שהדומיין שלכם (זהה ל-LE) |
| OV (Organization Validation) | $50–$200/שנה | שהארגון שלכם קיים |
| EV (Extended Validation) | $150–$600/שנה | פרטי חברה מאומתים |
אישורי OV ו-EV משמשים בעיקר בנקים ומוסדות פיננסיים. לאתר עסקי רגיל — Let's Encrypt מושלם.