Оптимизация SSL/TLS в WordPress: настройка шифров и заголовков безопасности

Автор: Алина Фролова | Опубликовано: 19.01.2026

В этой статье мы подробно рассмотрим, как оптимизировать SSL/TLS на WordPress-сайте, уделяя внимание настройке поддерживаемых шифров, протоколов и заголовков безопасности. Правильная конфигурация SSL/TLS не только повышает безопасность, но и улучшает производительность и совместимость сайта с современными браузерами.

Почему важна оптимизация SSL/TLS в WordPress

SSL/TLS обеспечивает безопасность передачи данных между клиентом и сервером. Однако по умолчанию серверы и хостинги могут использовать устаревшие протоколы и слабые шифры, что снижает уровень защиты и замедляет работу сайта из-за неэффективных алгоритмов. Оптимизация позволяет:

Улучшить безопасность, отключив уязвимые протоколы (например, TLS 1.0, 1.1) и слабые шифры
Повысить скорость установления соединения благодаря использованию современных алгоритмов и HTTP/2 или HTTP/3
Снизить нагрузку на сервер и повысить стабильность работы сайта

Для WordPress это особенно актуально, так как CMS активно использует AJAX, REST API и множество внешних вызовов, где безопасность обмена данными важна.

Настройка поддержки современных протоколов TLS на сервере

Первый шаг — проверить, какие версии протоколов поддерживает ваш сервер. Для современных сайтов рекомендуется использовать только TLS 1.2 и TLS 1.3. TLS 1.3 значительно быстрее и безопаснее, но поддерживается не всеми хостингами.

Пример настройки Nginx для поддержки TLS 1.2 и 1.3:

ssl_protocols TLSv1.2 TLSv1.3;

Для Apache в конфигурации SSL:

SSLProtocol -all +TLSv1.2 +TLSv1.3

Если ваш хостинг не поддерживает TLS 1.3, обязательно отключите TLS 1.0 и 1.1, так как они имеют известные уязвимости.

Оптимизация набора шифров (cipher suites) для безопасности и производительности

Набор шифров определяет алгоритмы шифрования, которыми сервер и клиент будут обмениваться данными. Использование современных и надежных шифров снижает риск взлома и ускоряет обмен.

Рекомендуемый список шифров для Nginx:

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

В Apache настройка:

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256

Важно: порядок шифров влияет на приоритет, ставьте более сильные выше.

Проверка и тестирование

После настройки рекомендуется проверить сайт на сервисах SSL Labs (https://www.ssllabs.com/ssltest/), чтобы убедиться в правильности конфигурации и получить рекомендации.

Настройка заголовков безопасности для HTTPS в WordPress

SSL/TLS защищает канал связи, но дополнительные заголовки HTTP повышают общую безопасность сайта. Рассмотрим наиболее важные заголовки и примеры их включения.

Strict-Transport-Security (HSTS)

Этот заголовок заставляет браузеры использовать только HTTPS для вашего домена в течение заданного времени. Пример настройки в Nginx:

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

Для Apache:

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Рекомендуется включать только если вы уверены, что HTTPS работает корректно на всех поддоменах.

Content-Security-Policy (CSP)

Заголовок CSP ограничивает загрузку контента только с доверенных источников, предотвращая XSS-атаки. Пример простой политики:

add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.cdn.com; style-src 'self' 'unsafe-inline';";

Настройка CSP требует тестирования, так как слишком строгие правила могут ломать сайт.

Другие полезные заголовки

X-Frame-Options: SAMEORIGIN — защита от Clickjacking
X-Content-Type-Options: nosniff — предотвращение MIME-тип сниффинга
Referrer-Policy: no-referrer-when-downgrade — контроль отправки реферера

Добавить их можно в конфигурацию сервера или через WordPress с помощью плагинов, например, Clearfy Pro, который позволяет удобно настраивать заголовки безопасности без прямого редактирования конфигураций.

Как настроить заголовки безопасности через functions.php в WordPress

Если нет доступа к настройкам сервера, можно добавить заголовки через код в теме:

function wpssl_add_security_headers() {
    header('Strict-Transport-Security: max-age=63072000; includeSubDomains; preload');
    header("Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com; style-src 'self' 'unsafe-inline';");
    header('X-Frame-Options: SAMEORIGIN');
    header('X-Content-Type-Options: nosniff');
    header('Referrer-Policy: no-referrer-when-downgrade');
}
add_action('send_headers', 'wpssl_add_security_headers');

Обратите внимание, что некоторые хостинги или плагины могут блокировать установку заголовков этим способом, поэтому предпочтительнее конфигурировать сервер.

Резюме: ключевые рекомендации по SSL/TLS оптимизации

Используйте TLS 1.2 и 1.3, отключайте устаревшие версии
Настройте приоритет сильных шифров с поддержкой ECDHE и AEAD
Добавьте заголовок HSTS с долгим сроком и опцией includeSubDomains
Настраивайте Content-Security-Policy для защиты от XSS, тщательно тестируя
Используйте дополнительные заголовки защиты (X-Frame-Options, X-Content-Type-Options и Referrer-Policy)
Для удобства и расширенной настройки безопасности можно использовать плагин Clearfy Pro

Оптимизация SSL/TLS — обязательный шаг для любого современного WordPress-сайта, особенно если он обрабатывает личные данные или электронную коммерцию. Тщательная настройка улучшит доверие пользователей и повысит рейтинг сайта в поисковых системах.