Zielona kłódka bezpieczeństwa

Jak zainstalować certyfikat ssl w WordPressie

Certyfikat SSL to narzędzie, które potwierdza bezpieczeństwo szyfrowania danych przesyłanych pomiędzy użytkownikiem a serwerem. Jest gwarantem zachowania poufności danych i całej komunikacji. Jest zatem bardzo ważnym elementem bezpiecznej strony, dlatego pokażę Ci, jak zainstalować certyfikat ssl w WordPressie.

Jak zatem wygląda certyfikat ssl? W zależności od przeglądarki internetowej może prezentować się inaczej. W przeglądarce Google Chrome będzie to czarna kłódka, natomiast Mozilla Firefox pokazuje go jako zieloną kłódkę.

Możliwości uzyskania certyfikatu ssl dla domeny jest kilka. Ja podam dwie, z których osobiście korzystam. Możesz skorzystać z płatnego lub darmowego zabezpieczenia strony certyfikatem. Oba rozwiązania posiadają swoje plusy i minusy.

Płatny certyfikat możesz zakupić w wielu firmach hostingowych. Plusem takiego rozwiązania jest to, że otrzymujesz go na cały rok oraz w przypadku złamania zabezpieczenia, otrzymujesz rekompensatę pieniężną. Cena płatnych certyfikatów wynosi około 100 zł. Po zakupie musisz certyfikat ssl skonfigurować, więc jeśli nie potrafisz zrobić tego samodzielnie, to zadzwoń do firmy, gdzie go zakupiłeś. Po prawidłowej konfiguracji Twoja domena będzie zabezpieczona certyfikatem ssl.

Drugim sposobem zabezpieczenia Twojej strony internetowej jest skorzystanie z darmowego certyfikatu Let’s Encrypt. Plusem korzystania z takiego rozwiązania jest oczywiście to, że jest on darmowy. Do minusów trzeba zaliczyć fakt, że taki certyfikat musisz instalować co 3 miesiące. Certyfikat Let’s Encrypt znajdziesz na oficjalnej stronie.

Nadal nie widzę certyfikatu ssl na mojej stronie

Jeśli po wejściu na stronę nadal nie widzisz kłódki przed nazwą domeny, to prawdopodobnie Twoja strona została zabezpieczona, ale certyfikat nie został „wymuszony” przez przeglądarkę. Możesz łatwo sprawdzić wymuszenie, wpisując w pasku URL przed nazwą domeny przedrostek https:// – jeśli pojawi się kłódka, to znaczy, że domena jest zabezpieczona przez certyfikat, ale jest on ukryty.

Wymuszenie certyfikatu ssl

Jak zainstalować certyfikat ssl w WordPressie, aby strona była całkowicie bezpieczna? Pokażę Ci dwa sposoby na „wymuszenie” certyfikatu ssl w przeglądarce internetowej.

Sposób zalecany

Zaloguj się do panelu administracyjnego WordPressa Twojej strony -> przejdź do Ustawienia -> Ogólne. Następnie zmień adresy URL Twojej witryny na https:// w polach: Adres WordPressa (URL) i Adres witryny (URL). W obu miejscach wpisz pełny adres swojej witryny, np. https://mojastrona.pl , po czym zapisz zmiany.

Przejdź do Ustawienia -> Bezpośrednie odnośniki, upewnij się, że widzisz tam adresy https://, a następnie Zapisz zmiany, ta czynność wymusi przebudowanie struktury linków w bazie danych na https.

Następnie zaloguj się do swojego konta FTP, w katalogu z plikami strony internetowej edytuj plik .htaccess, zawierający regułę przekierowania z http na https, np.

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ważne! Powyższa reguła ma charakter ogólny i może nie uwzględniać specyfiki Twojej strony internetowej. Przed wprowadzeniem zmian skopiuj w bezpieczne miejsce plik .htaccess i przywróć ją w przypadku nieprawidłowego działania witryny.

Zmiana odnośników w bazie danych

Ostatnim krokiem, jaki musisz wykonać, jest sprawdzenie, czy w bazie danych strony nie widnieją jeszcze zapisane url do plików z http://. Jest kilka dobrych wtyczek, które mogą w tym pomóc. Ja polecam Ci wtyczkę Better Search Replace.

Aby zmienić adresy url z http:// na https:// zaloguj się do panelu WordPress, przejdź do menu Narzędzia, odszukaj Better Search Replace. Następnie w polu Search for wpisz adres starej nazwy domeny a w polu Replace with wpisz nowy adres.

Ostatnim krokiem jest zaznaczenie wszystkich tabel w sekcji “Select Tables”.

Wtyczka Better Search Replace pozwala na tzw. „dry run”, co oznacza, że przed uruchomieniem możesz najpierw sprawdzić, ile zmiennych zostanie podmienionych. Jeśli jesteśmy pewni, że chcemy by wtyczka podmieniła wszelkie stare URL na nowe to odznaczamy opcję “Run as dry run?” i naciskamy przycisk “Run.

Po wykonanej operacji, wtyczka nie będzie już potrzebna i można ją spokojnie usunąć.

Jeśli uważasz, że nie poradzisz sobie samodzielnie z konfiguracją, instalacją lub wymuszeniem certyfikatu ssl, to skontaktuj się ze mną.

Sposób raczej niezalecany

Istnieje znacznie prostszy sposób „wymuszenia” certyfikatu ssl i aby z niego skorzystać, potrzebujesz zainstalować wtyczkę Really Simple SSL. Następnie po instalacji kliknij przycisk Dalej Aktywuj ssl. Na koniec pozostaje jeszcze tylko zmienić odnośniki w bazie danych z http:// na https:// . Aby to zrobić, proponuję skorzystać z wtyczki Better Search Replace. Jak używać tej wtyczki pisałem już w tym artykule (akapit wyżej).

Sposób uruchomienia certyfikatu ssl za pomocą wtyczki Really Simple SSL nie jest zalecany, ponieważ wpisy http:// nie są zmieniane na https:// na stałe. Protokół zmienia się „w locie” przez co przy każdym zapytaniu strony powoduje dodatkowe obciążenie serwera.