Jednym z najważniejszych elementów strony internetowej, którą zbudowałeś/aś za pomocą WordPressa jest certyfikat SSL, który oferuje szyfrowane połączenie z użyciem protokołu https. WordPress ze względu na swoją elastyczność umożliwiał aktywację takiej funkcji na kilka sposobów. Począwszy od wersji 5.7, użytkownicy mogą już korzystać z wbudowanej w ten CMS opcji uruchamiania bezpiecznego protokołu. Jak to zrobić?
Certyfikat SSL w WordPressie – co jest potrzebne?
Certyfikat SSL dla strony internetowej to dzisiaj niezbędny element każdej witryny, która pełni rolę firmowej wizytówki oraz serwisu do pozyskiwania klientów. Dlatego też bezpieczne połączenie z użyciem protokołu https:// traktuj jako warunek konieczny do udanego startu w e-biznesie. Jest to o tyle ważne, że przeglądarki internetowe coraz śmielej informują o niezabezpieczonej witrynie, a to z pewnością wpływa na doświadczenie użytkownika. Jeżeli myślisz dopiero o swojej stronie internetowej, ale nie wiesz, od czego zacząć – wystarczy, przejść przez cały proces:
- Zamów wydajny i bezpieczny hosting, z którego korzysta co druga strona internetowa w Polsce,
- Zarejestruj własną domenę internetową, czyli adres pod którym wyświetlać się będzie Twoja strona internetowa,
- Zainstaluj na hostingu WordPressa np. za pomocą autoinstalatora, który wykona za Ciebie całe zadanie. Wszystkie niezbędne kroki opisaliśmy w naszej instrukcji dot. instalacji WordPressa na serwerach home.pl,
- Wykonaj pierwsze logowanie do kokpitu WordPressa i sprawdź, czy wszystko działa poprawnie.
Drugi proces wiąże się z rejestracją i zamówieniem certyfikatu SSL dla własnej domeny internetowej. Zapewne zauważyłeś/aś, że aktualnie Twoja strona internetowa wyświetla się pod adresem http://przykladowadomena.com – jest to jak najbardziej prawidłowe, bo nie posiadasz jeszcze zainstalowanego certyfikatu SSL. Jak go zdobyć?
- Zamów usługę certyfikatu SSL (np. homeSSL). Na tym etapie jeszcze nie wskazujesz domeny, która będzie podlegać certyfikacji.
- Po opłaceniu zamówienia zaloguj się do Panelu Klienta i załóż na swoim hostingu skrzynkę e-mail, która będzie miała adres admin@certyfikowana-domena.com (po znaku @ musi być widoczna Twoja domena!).
- Przejdź do zakładki Certyfikaty SSL i rozpocznij proces zamówienia certyfikatu dla wybranej domeny. Certyfikacja domeny w formacie www.domena.com oznacza, że szyfrowane połączenie będzie dostępne dla adresu www.domena.com oraz domena.com. Jeżeli nie zaznaczysz opcji certyfikacji z www – połączenie szyfrowane będzie możliwe tylko dla adresu domena.com.
- Po wybraniu domeny zaloguj się na skrzynkę e-mail admin@certyfikowanadomena.com i kliknij w link wysłany przez centrum certyfikacji.
- Tak wydany certyfikat jest już dostępny do instalacji. Możesz aktywować SSL na hostingu home.pl.
Aktywacja SSL z wtyczką Really Simple SSL – na co trzeba uważać?
Wtyczka Really Simple SSL stała się w ostatnich latach bardzo popularna wśród użytkowników WordPressa, ponieważ upraszcza ona cały proces aktywacji szyfrowanego połączenia do jednego kliknięcia. Ma to jednak swoje dobre, jak i złe strony. Duża część użytkowników WordPressa korzysta z niej w nieprawidłowy sposób, zakładając, że rozwiąże ona wszystkie wyzwania dotyczące włączenia SSL w WordPressie.
- Po pierwsze – wtyczka sama z siebie nie instaluje certyfikatu SSL, a jedynie wymusza na WordPressie używanie adresu z https://. Są to 2 osobne zagadnienia i nie warto korzystać z wtyczki przed wydaniem certyfikatu dla swojej domeny.
- Po drugie – Really Simple SSL wymusza szyfrowanie https:// w całej witrynie, jak również w odnośnikach wewnątrz kodu strony. Jeżeli zdjęcie dodane z zewnętrznego serwera nie będzie działać z adresem https – na Twojej stronie pojawią się błędy, które tylko wydłużą Twoją pracę nad budową witryny.
- Po trzecie – pamiętaj, że Really Simple SSL to wciąż wtyczka, a więc zewnętrzny dodatek, którego aktualizacje są uzależnione od twórcy. Każda wtyczka w WordPressie to mniejsze bezpieczeństwo. Chcesz zwiększyć ochronę witryny? Skorzystaj z darmowej funkcji WAF w home.pl.
- Użycie tej wtyczki to oczywiście spore ułatwienie dla użytkownika, ale przystępność nie idzie tutaj w parze z wydajnością. Na samym forum WordPressa natrafisz na kilka przykładów jak Really Simple SSL wydłuża czas ładowania strony nawet o 200%.
Ważne – jeżeli Twój WordPress działał na protokole https:// bez wtyczki Really Simple SSL już wcześniej (np. w wyniku modyfikacji wpisów w bazie danych) to poniższe kroki nie będą dla Ciebie przydatne. Możesz korzystać z WordPressa na obecnych warunkach.
Jak aktywować SSL w WordPressie bez wtyczki?
Dzięki nowej wersji WordPressa aktywacja SSL jest nie tylko łatwa, ale również bezpieczniejsza i bardziej logiczna, nie wymaga ona również instalacji dodatkowych wtyczek zmniejszających bezpieczeństwo lub spowalniających witrynę.
Z domyślnej opcji aktywacji szyfrowanego połączenia w WordPressie warto skorzystać już na etapie budowania strony, po świeżej instalacji na hostingu. W pierwszej kolejności upewnij się, że oprogramowanie zostało zaktualizowane do najnowszej wersji. Dowiesz się tego w zakładce Kokpit – Aktualizacje.
Jeżeli Twój WordPress nie jest aktualny to oczywiście warto wykonać aktualizację. Pamiętaj o backupie, ponieważ kopia zapasowa plików strony jest ważnym elementem każdego biznesu. Do tego celu zalecamy np. użycie Acronis Backup, w którym w łatwy sposób skonfigurujesz automatyczny harmonogram wykonania kopii zapasowej lub wykonasz całość ręcznie po uruchomieniu procesu z poziomu panelu.
Backup gotowy? Czas na aktualizację WordPressa do wersji 5.7. Po zakończeniu zadania ujrzysz odpowiedni komunikat informujący o poprawnej instalacji paczki:
W tym momencie Twój WordPress wzbogacił się o opcję dodania szyfrowanego połączenia poprzez https:// (co wymaga oczywiście opisanego wyżej certyfikatu SSL). Jak włączyć tę opcję? Możliwe rozwiązania są 2.
Włączenie certyfikatu SSL w WordPressie przy aktywnej wtyczce Really Simple SSL
Jeżeli korzystasz z szyfrowanego połączenia https:// w wyniku użycia wtyczki Really Simple SSL – musisz wyłączyć szyfrowanie i wyłączyć wtyczkę. Aby to zrobić:
- Przejdź do zakładki Ustawienia – Ogólne i w sekcji Ustawienia Witryny oraz Ustawienia WordPressa zmień adres na taki, który używa protokołu http:// zamiast https:// i zapisz ustawienia.
- Po tym działaniu nastąpi wylogowanie z panelu – należy zalogować się do niego ponownie poprzez adres strony z przedrostkiem http://. Przejdź do sekcji 'Wtyczki” i z listy pluginów zaznacz i wyłącz Really Simple SSL.
- Przejdź do zakładki Kokpit – Strona Główna i kliknij na kafelek Stan Witryny, aby przejść do analizy swojej strony internetowej. Wśród zalecanych usprawnień pojawi się wskazówka dotycząca zabezpieczenia strony certyfikatem SSL.
Kliknij na przycisk „Zaktualizuj swoją witrynę, aby korzystała z HTTPS”.
- Ostatni krok to przejście do ustawień poprzez menu Ustawienia – Ogólne. W sekcji Ustawienia Witryny oraz Ustawienia WordPressa przywróć protokoły https://. Po zapisaniu zmian nastąpi ponowne wylogowanie i od tej pory Twój WordPress oraz panel będzie działał na szyfrowanym połączeniu https:// bez użycia wtyczki.
Włączenie certyfikatu SSL w WordPressie bez wtyczki
Jeżeli Twój WordPress jest świeżą instalacją lub nie skonfigurowałeś wcześniej protokołu https:// to cały proces zamyka się wykonaniu 2 ostatnich kroków, a więc przejścia do Stan Witryny i kliknięciu w odpowiedni przycisk. Zakończenie tego zadania zostanie wyraźne zasygnalizowane komunikatem:
Po aktualizacji ustawień w czwartym kroku nastąpi wylogowanie i od tego momentu Twój WordPress będzie działać przy szyfrowanym połączeniu https://. Zaloguj się ponownie z użyciem adresu https://twojadomena/wp-admin.
Dlaczego użycie domyślnej opcji aktywacji SSL w WordPressie jest lepszym rozwiązaniem?
Wbudowana opcja, która służy do uruchomienia protokołu https:// w WordPressie jest z pewnością bezpieczniejsza, niż zewnętrzna wtyczka, który ma za zadanie zrobić wszystko za pomocą jednego kliknięcia. Plugin działa poza kontrolą użytkownika, jest elementem, który może posiadać luki programistyczne wpływające na stabilność i podatność witryny na ataki cyberprzestępców.
Nie bez znaczenia jest również fakt, że wtyczka Really Simple SSL wpływa na wydajność strony. Jeżeli więc cały proces można zakończyć za pomocą wbudowanych narzędzi od twórców oprogramowania – warto to zrobić.
Jeżeli Twój certyfikat SSL działa prawidłowo to koniecznie zapoznaj się z naszym poradnikiem o zabezpieczaniu WordPressa.