Dodaj SSL do WordPressa i przejdź z HTTP na HTTPS

Jeśli Twoja witryna WordPress nie ma certyfikatu SSL, wszyscy odwiedzający otrzymają komunikat „witryna niezabezpieczona".
W najgorszym przypadku odwiedzający natychmiast opuszczą Twoją witrynę w tym momencie i będą szukać gdzie indziej. W tym artykule przenosimy Twoją witrynę WordPress z HTTP na HTTPS, aby uzyskać lepsze wyniki wyszukiwania i chronić dane Twoich odwiedzających przed wyłudzeniem przez atakujących.

Wideo: Jak dodać SSL do WordPressa

Jeśli wolisz obejrzeć wideo zamiast czytać ten artykuł o tym, jak dodać SSL do WordPressa, możesz obejrzeć cały ten artykuł w formie wideo:

Odwiedzając Twoją witrynę WordPress, odwiedzający udostępniają Ci różne dane, niezależnie od tego, czy dokonują zakupu i podają dane płatnicze, czy po prostu logują się na Twojej witrynie. Aby chronić przesyłane dane, musi zostać nawiązane bezpieczne połączenie między serwerem Twojej witryny a przeglądarką odwiedzającego.

Tutaj wkraczają SSL i HTTPS.

Definicja terminów HTTP, SSL i HTTPS

Ponieważ wiele osób nadal ma trudności z rozróżnieniem między HTTP, HTTPS i SSL, chciałbym krótko wyjaśnić te terminy przed aktywacją i instalacją certyfikatu SSL.

Możesz przejść bezpośrednio do następnego rozdziału, jeśli już to znasz.

HTTP oznacza Hypertext Transfer Protocol, protokół do przesyłania danych. Jest używany głównie do ładowania witryn z World Wide Web, takich jak Twoja witryna WordPress, do przeglądarki internetowej odwiedzającego.

SSL oznacza Secure Sockets Layer; jest to protokół szyfrowania zabezpieczający transmisję danych w Internecie. Unikalny certyfikat SSL może identyfikować każdą witrynę.

HTTPS oznacza Hypertext Transfer Protocol Secure i łączy dwa poprzednie protokoły. Za pomocą certyfikatu SSL w protokole HTTPS odbywa się chroniona identyfikacja i uwierzytelnianie dwóch partnerów komunikacji, A. Twojej witryny WordPress i B. przeglądarki odwiedzającego. Protokół wymienia następnie klucz sesji. HTTPS używa następnie tego klucza do szyfrowania danych użytkownika. W ten sposób Twoja witryna WordPress i przeglądarka odwiedzającego mogą bezpiecznie przesyłać dane.

Dlaczego potrzebujesz certyfikatu SSL

Powinieneś zainwestować swój czas w aktywację i używanie certyfikatu SSL z dwóch prostych powodów.

1. Chroń dane swoich odwiedzających przed kradzieżą, za którą możesz zostać pociągnięty do odpowiedzialności w zależności od lokalnej sytuacji prawnej.
2. Optymalizacja pod kątem wyszukiwarek, znana również jako SEO, to proces dostarczania najsurowszych i najbardziej odpowiednich wyników wyszukiwania. Ponieważ Google chce dostarczać najtrafniejsze i najodpowiedniejsze wyniki wyszukiwania, klasyfikuje witryny bez certyfikatu SSL znacznie niżej.

OK, dość teoretycznej wiedzy podstawowej, zacznijmy od wdrożenia.

Sprawdź, czy dostępny jest certyfikat SSL

Pierwszym krokiem jest ustalenie, czy certyfikat SSL jest dostępny dla Twojej witryny.

Szybkim sposobem na sprawdzenie tego jest wpisanie https://your-site.com zamiast oryginalnego adresu HTTP, http://your-site.com. Powinieneś zobaczyć kłódkę po lewej stronie paska URL, która po kliknięciu pokazuje więcej informacji o certyfikacie.

Certyfikat SSL jest dostępny

Jeśli ten proces działa, masz już aktywny certyfikat SSL, ale Twoja witryna WordPress go nie używa. Działa tylko wtedy, gdy ktoś wyraźnie wywołuje Twoją stronę za pośrednictwem linku https://.

W następnym kroku dowiesz się, jak prawidłowo skonfigurować certyfikat SSL na swojej witrynie WordPress.

Certyfikat SSL nie jest dostępny.

Jeśli ten proces nie zadziałał i nadal trafiasz na link http:// i otrzymujesz komunikat o błędzie „niezabezpieczone", istnieją dwa kroki, które możesz wykonać przed skonfigurowaniem WordPressa przez https:

Krok 1: Niektórzy dostawcy hostingu oferują certyfikat SSL dla Twojej domeny, ale musisz go najpierw ręcznie aktywować.

Procedura aktywacji certyfikatu SSL różni się w zależności od dostawcy. Najpierw przejdź do panelu dostawcy hostingu (często cPanel) i wyszukaj pozycję SSL.

W zależności od dostawcy można teraz uruchomić opcję Auto SSL pod statusem SSL, która sprawdza i aktywuje certyfikat SSL.

Inni dostawcy obsługują certyfikat SSL od organizacji non-profit Let’s Encrypt, która zapewnia bezpłatne certyfikaty SSL.

Wyszukaj „Let’s Encrypt".

Krok 2: Jeśli nie możesz znaleźć podpunktu SSL, Twój dostawca hostingu nie zapewnia bezpłatnego certyfikatu SSL.

Skontaktuj się z pomocą techniczną swojego dostawcy hostingu i zapytaj o koszty certyfikatu SSL. Wielu dostawców hostingu pobiera do 60 $ rocznie za certyfikat SSL. W takim przypadku zdecyduj, czy zmiana dostawcy może mieć sens.

Jak dodać SSL do WordPressa

Ręczne skonfigurowanie połączenia https jest stałym i zoptymalizowanym pod kątem wydajności rozwiązaniem. Stosujemy tę samą metodę na wp-staging.com, więc jest to zalecana metoda zamiast używania wtyczki SSL WordPress. Jednak w tym artykule pokażę Ci również rozwiązanie z wtyczką, jeśli nadal chcesz spróbować.

Najpierw przejdź do Ustawienia > Ogólne. Stamtąd zaktualizuj pola adresów URL WordPress i witryny, zastępując http:// przez https://.

Po zapisaniu ustawień WordPress może Cię wylogować i poprosić o ponowne zalogowanie.

Korekty w pliku .htaccess

Następnie dostosuj plik .htaccess, aby skonfigurować regułę przekierowującą cały ruch z HTTP na HTTPS. Możesz uzyskać dostęp do tego pliku za pośrednictwem panelu dostawcy hostingu, który często jest oparty na cPanelu, lub za pośrednictwem narzędzia FTP, takiego jak FileZilla.

Aby to zrobić, otwórz plik .htaccess i dodaj do niego wiersze kodu.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Korekty w pliku Nginx.conf

Jeśli korzystasz z serwerów Nginx, dodaj ten kod do pliku konfiguracyjnego Nginx.conf:

server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}

Nie zapomnij zastąpić https://your-site.com nazwą swojej domeny.

Korekty w pliku wp-config.php

Jeśli chcesz wymusić SSL i HTTPS w obszarze administracyjnym WordPress lub na stronach logowania, musisz skonfigurować SSL w pliku wp-config.php.

Wystarczy dodać następujący kod powyżej wiersza, który mówi „That’s all, stop editing!" w pliku wp-config.php:

define('FORCE_SSL_ADMIN', true);

Twoja witryna jest teraz w pełni skonfigurowana do korzystania z SSL / HTTPS.

Naprawianie błędów mieszanej zawartości w bazie danych WordPress

Mimo że osiągnęliśmy nasz pośredni cel, konfigurując certyfikat SSL i kierując cały ruch przez HTTPS, na Twojej witrynie WordPress mogą wystąpić tzw. błędy mieszanej zawartości.

Źródła takie jak obrazy, skrypty lub arkusze stylów nadal ładowane z http powodują te błędy mieszanej zawartości.

Jeśli tak jest, w pasku adresu Twojej witryny nie wyświetla się symbol bezpiecznej kłódki, a przeglądarka automatycznie blokuje niezabezpieczone skrypty i zasoby, co może uniemożliwić dostęp do Twojej witryny. Dlatego pokazuje symbol kłódki z ostrzeżeniem.

Google Developer Tools

Możesz użyć narzędzi dla programistów, aby określić, która zawartość jest nadal dostarczana przez niezabezpieczony protokół http. Możesz uzyskać dostęp do tych narzędzi w Chrome, naciskając F12 lub klikając prawym przyciskiem myszy i wybierając „Zbadaj". Następnie wywołaj zakładkę „Konsola" w górnym menu. Zakładka Konsola wyświetli błędy mieszanej zawartości jako ostrzeżenie.

Jak wspomniano, większość tych komunikatów o błędach opiera się na obrazach, ramkach iframe i galeriach obrazów. Możesz jednak również otrzymywać komunikaty o błędach dotyczące skryptów i arkuszy stylów, za które odpowiadają wtyczki i motywy WordPress.

Wtyczka Better Search Replace

Większość tych błędów można naprawić za pośrednictwem bazy danych WordPress. Aby to zrobić, musisz znaleźć wszystkie wzmianki o starym adresie URL Twojej witryny, który zaczynał się od http w bazie danych i zastąpić je nowym adresem URL Twojej witryny, który zaczyna się od https.

Najprostszym narzędziem do zastępowania wszystkich tych ciągów jest wtyczka Better Search Replace. Otwórz menu boczne WordPress, kliknij Wtyczki i Dodaj nową.

Po aktywacji przejdź do zakładki Narzędzia i wybierz Better Search Replace.

W polu Szukaj wprowadź stary adres URL swojej witryny, w tym http://. W polu Zamień wprowadź nowy adres URL swojej witryny z https://.

Poniżej zobaczysz listę tabel bazy danych WordPress. Wybierz wszystkie, aby zapewnić pełną aktualizację.

Ostatnim krokiem jest odznaczenie pola obok opcji „Uruchom jako próbny przebieg?" i kliknięcie przycisku „Uruchom wyszukiwanie / zamianę".

Wtyczka skanuje Twoją bazę danych w poszukiwaniu adresów URL http:// i zastępuje je przez https://. Czas przetwarzania zależy od rozmiaru bazy danych. Po zakończeniu błędy mieszanej zawartości powinny zostać rozwiązane.

Naprawianie błędów mieszanej zawartości dotyczących motywów i wtyczek

Jeśli w tym momencie znajdziesz inne błędy w konsoli narzędzi programistycznych, oznacza to, że te błędy mieszanej zawartości znajdują się w plikach motywu lub wtyczki WordPress, zwykle jako ciągi zakodowane na stałe, i nie mogły zostać zastąpione przez wtyczkę wyszukiwania i zamiany w bazie danych.

Warto zauważyć, że porządny motyw lub wtyczka WordPress, który/a stosuje standardy kodowania WordPress, zwykle nie powoduje takich problemów, więc jeśli nadal otrzymujesz takie błędy mieszanej zawartości, zastanów się, czy wprowadziłeś jakieś ręczne zmiany w kodzie. Jeśli tak jest, musisz się tym zająć i zmienić wszystkie wystąpienia http:// na https:// w bazie kodu konkretnego pliku wtyczki lub motywu.

Utwórz bezpieczne środowisko do rozwiązywania problemów za pomocą WP STAGING

Aby rozwiązać pozostałe błędy bez psucia niczego w witrynie produkcyjnej i przetestować, czy wszystko działa, spójrz na bezpłatną wtyczkę WP STAGING, która może utworzyć kopię Twojej witryny do celów programistycznych.

Zainstaluj i aktywuj wtyczkę z repozytorium. W WP Staging przejdź do Witryny stagingowe i kliknij Utwórz witrynę stagingową.

Następnie wprowadź nazwę swojej witryny stagingowej i pomiń wszelkie tabele lub pliki, których nie chcesz. Sprawdź Ustawienia zaawansowane w celu dodatkowych korekt, a następnie kliknij „Rozpocznij klonowanie", aby zakończyć.

Na koniec pojawi się wyskakujące okienko informujące, że Twoja witryna stagingowa jest gotowa do użycia.

Wróć do swojej witryny produkcyjnej, a następnie zainstaluj i aktywuj wtyczkę Really Simple SSL z repozytorium.

Po aktywacji przejdź do Ustawienia > SSL. Wtyczka automatycznie rozpoznaje Twoje połączenie https i naprawia błędy mieszanej zawartości. Wtyczka wykorzystuje technikę buforowania wyjściowego. Ta technika może negatywnie wpłynąć na wydajność i szybkość Twojej witryny WordPress, ponieważ zastępuje zawartość HTTP podczas ładowania witryny. Ten efekt występuje tylko podczas ładowania pierwszej strony i powinien być minimalny, jeśli używasz wtyczki pamięci podręcznej.

Chociaż wtyczka mówi, że można ją wyłączyć bez problemów, to stwierdzenie nie jest w 100 % dokładne. Musisz pozostawić wtyczkę aktywną przez cały czas, ponieważ jej dezaktywacja ponownie doprowadzi do błędów mieszanej zawartości. Jest to więc tylko rozwiązanie tymczasowe.

Upewnij się, że nie ma już więcej błędów

Wróć do swojej witryny stagingowej. Spróbuj rozwiązać problem, przeglądając i edytując komunikaty o błędach z konsoli narzędzi programistycznych Google. Jeśli to nie zadziała, zmień motyw WordPress i sprawdź, czy komunikat o błędzie nadal się pojawia. Jeśli to nie pomoże, dezaktywuj wszystkie wtyczki na witrynie stagingowej, aktywuj je wtyczka po wtyczce i sprawdź, kiedy komunikat o błędzie pojawi się ponownie.

Po naprawieniu błędów powtórz te same kroki na swojej witrynie produkcyjnej.

Teraz możesz dezaktywować wtyczkę „Really Simple SSL" i sprawdzić w konsoli, czy błędy mieszanej zawartości zniknęły.

Dość rozwiązywania problemów na dziś.

Gratulacje, pomyślnie przeniosłeś swoją witrynę WordPress z protokołu HTTP do protokołu HTTPS!

Powiązane artykuły

• Jak ręcznie wykonać kopię zapasową witryny WordPress za pomocą cPanel
• Jak naprawić typowe problemy z SSL w WordPress, takie jak NET::ERR_CERT_INVALID?
• 5 metod naprawiania błędów bezpiecznego połączenia w WordPress
• Jak naprawić błąd mieszanej zawartości w WordPress?
• Przewodnik dla początkujących dotyczący odnawiania certyfikatu SSL (automatyczne & ręczne)