Włączanie certyfikatu SSL w WordPressie
Jeśli stoisz przed przejściem działania swojej strony na bezpieczne połączenie, lub sposób który stosujesz nie działa w pełni, zachęcam do zapoznania się z tym poradnikiem.
Bezpieczne, szyfrowane połączenie wykorzystujące certyfikat SSL oraz protokół https to pożądana cecha strony, na którą uwagę zwracają coraz częściej użytkownicy strony, ale również przeglądarki i wyszukiwarki internetowe. Warto zatem poświęcić chwilę na dostosowanie swojej strony do obecnych trendów.
Artykuł krok po kroku pokazuje, co należy zrobić, aby strona na WordPressie wykorzystywała certyfikat SSL zainstalowany na serwerze. Jeżeli chcemy, aby pokazywała się zielona kłódka w przeglądarce, konieczne są: zainstalowany certyfikat SSL na serwerze (np. bezpłatny Let’s Encrypt lub Comodo/cPanel) oraz ustawienie, aby WordPress wyświetlał strony z wykorzystaniem protokołu https.
Przygotowaliśmy dwa różne rozwiązania. Pierwsze jest prostsze, jednak może wpłynąć na wydajność naszej strony. Drugie natomiast jest trochę bardziej zaawansowane, jednak dzięki temu poradnikowi wprowadzisz je dla swojej strony w 7 punktach.
I. WERSJA ZALECANA – ręczne poprawienie (jedyna poprawna wersja włączenia SSL w WordPress):
Najlepszym sposobem przejścia na bezpieczne połączenie SSL jest jednorazowa poprawa wszystkich wpisów w bazie z http na https.
Dzięki zastosowaniu tego sposobu, poprawa na https będzie trwała, a więc wystarczy taką zmianę wykonać raz i cieszyć się bezpiecznym połączeniem.
Kolejną zaletą zastosowania tej metody jest zmiana tworzenia nowych wpisów w przyszłości – każdy nowy wpis będzie się tworzył z prawidłowym linkiem w bazie danych.
1. Przechodzimy do zaplecza WordPress -> Ustawienia -> Ogólne i zmieniamy w naszych adresach http na https:
Zapisujemy zmiany:
3. Przechodzimy do Ustawienia -> Bezpośrednie odnośniki, sprawdzamy czy w linkach jest https zamiast http i klikamy Zapisz zmiany. Przebuduje to linki w bazie na bezpieczne, z https.
Przechodzimy do cPanel -> Menedżer plików, przechodzimy do katalogu głównego naszej strony i klikamy Ustawienia, następnie zaznaczamy Pokaż ukryte pliki (dotfiles):
5. Otwieramy plik .htaccess klikając na niego prawym przyciskiem myszy i wybierając opcję Edytuj. Dopisujemy następujące linijki na początku pliku. Resztę zawartości pliku zostawiamy poniżej dodanych przez nas wpisów:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteCond %{REQUEST_URI} !^/[0-9]+\..+\.cpaneldcv$
RewriteCond %{REQUEST_URI} !^/[A-F0-9]{32}\.txt(?:\ Comodo\ DCV)?$
RewriteCond %{REQUEST_URI} !^/\.well-known/acme-challenge/[0-9a-zA-Z_-]+$
RewriteCond %{REQUEST_URI} !^/\.well-known/pki-validation/[A-F0-9]{32}\.txt(?:\ Comodo\ DCV)?$
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Powyższe wpisy przekierują odwiedzających stronę na bezpieczne połączenie, w przypadku gdy wejdą za pomocą linku http zamiast https.
6. Aby mieć pewność, że nie używamy http, użyjemy wtyczki Better Search Replace, aby podmienić linki w bazie na https.
Instalujemy ją (a następnie włączamy):
7. Przechodzimy do wtyczki i wpisujemy dotychczasowy adres z http w pierwszym polu, a w drugim adres z https.
Jeśli strona działała z przedrostkiem www, wpisujemy go w obu polach (a więc adresy w przykładzie wyglądałyby tak: http://www.domena-klienta.pl i https://www.domena-klienta.pl).
Zaznaczamy trzymając przycisk CTRL tabele naszej bazy danych WordPress (punkt z numerem 3. na obrazku poniżej).
Upewniamy się, że nie wpisaliśmy adresów z literówką i klikamy Run Search/Replace.
Od teraz nasza strona będzie działać poprzez https. Do dalszej pracy z włączonym SSL nie będzie już potrzebna żadna wtyczka, nasz WordPress będzie poprawnie skonfigurowany i wchodząc na naszą stronę zobaczymy zieloną kłódkę.
Pamiętajmy również, aby wstawiając zawartość z zewnętrznej domeny np. tła strony, również pamiętać o umieszczeniu https zamiast http w odnośniku do tej zawartości. Dzięki temu przeglądarka nie wyświetli ostrzeżenia o tak zwanym mixed content, a więc wczytywaniu elementów http na stronie z włączonym https. Przeglądarki zazwyczaj informują o takich elementach poprzez „konsolę” dostępną pod przyciskiem F12.
II. UWAGA: WERSJA NIEZALECANA, choć często rekomendowana – przedstawiona tylko dla celów dydaktycznych
(w punkcie II. znajdziesz inny sposób – zalecany)
Uwaga: ten sposób może negatywnie wpłynąć na szybkość działania strony, ponieważ przepisuje on linki „w locie”. Zalecamy skorzystanie ze sposobu opisanego w punkcie II.
Aby włączyć certyfikat SSL oraz udostępnić możliwość łączenia się z witryną przez https (zielona kłódka) możemy wykonać poniższe czynności:
Logujemy się do „zaplecza” naszej witryny (www.domena-klienta.pl/wp-admin, gdzie domena-klienta zamieniamy na nazwę naszej domeny).
1. Przechodzimy do zakładki „Wtyczki”
2. „Dodaj nową”
3. Szukamy wtyczki „Really Simple SSL” – do tego celu możemy wykorzystać wyszukiwarkę po prawej stronie
4. Instalujemy wtyczkę przyciskiem „Zainstaluj teraz”
5. Po instalacji klikamy przycisk „Włącz”
6. Przechodzimy ponownie do zakładki „Wtyczki”
7. Klikamy „Go ahead, activate SSL!” (jeśli nie widzimy tego przycisku należy wybrać wtyczkę „Really Simpe SSL” z listy poniżej
Dodatkowo możemy zaznaczyć w ustawieniach wtyczki, aby zastąpić tzw. mixed content, tj. zastąpić wszystkie odnośniki http na https.
Na koniec pozostaje nam sprawdzenie ścieżek dostępowych dla WordPressa.
1. Przechodzimy do zakładki „Ustawienia”
2. Klikamy „Ogólne”
3. Sprawdzamy czy obie ścieżki dostępu (Adres WordPressa oraz Adres witryny) zawierają protokół https. Jeśli nie, zmieniamy http na https.
Zapisujemy zmianę. Teraz nasza strona powinna w pełni działać poprzez https.
IT systems administrator at Smarthost. He likes gadgets and new technology. In free time, he rides on rollers.
- DMARC – zmiana ustawień - 6 grudnia, 2023
- Limity zasobów – szczegółowe informacje - 11 października, 2023
- Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej – zmiany w branży hostingowej - 25 września, 2023