Przestań martwić się o swoją stronę!
SSL w WordPressie

SSL w WordPressie? Nawet nie wiesz, jakie to proste.

Tak, dopadło i mnie. I tak. Dopadło mnie późno. Bo zmobilizowałam się dopiero po otrzymaniu pewnego wkurzającego komentarza. Ale się zmobilizowałam. I to ważne jest. No. A teraz opiszę ci, jak zainstalować SSL w (prawie) 10 minut w WordPressie. Oczywiście najpierw kilka podstaw.

Po co SSL w WordPressie?

Kojarzysz stare zamki do rowerów? Takie z szyfrem numerycznym? Miały trzy małe pokrętła i każde dotyczyło konkretnej cyferki. Trzeba było ustawić trzy prawidłowe cyfry, by otworzyć zapięcie. Szybko okazało się jednak, że wystarczał dobry słuch i świetne czucie w palcach, a można było otworzyć każde tego typu zapięcie! My w rodzinie zawsze więc korzystaliśmy z takich zapięć na kluczyk. Podobnie niebezpiecznie jest w Internecie. Niektórzy nawet twierdzą, że coś takiego, jak bezpieczeństwo nie istnieje, że jeśli ktoś chce się gdzieś w nim włamać, to przy dostatecznej cierpliwości i wytrwałości osiągnie swój cel. Za specjalnie nie chciałam się nigdy przekonać na własnym przykładzie, więc nie miałam nigdy problemu stosować dodatkowego logowania do bloga, które oferuje mój hosting. Do zeszłej niedzieli… Bo ostatniej niedzieli z rana komentarzach we wpisie o polecanym przeze mnie hostingu dla WordPressa pojawił się taki egzemplarz:  

komentarz o hostingu

  Pomyślałam sobie – dość! Trzeba ten SSL w końcu ogarnąć. A później, zdziwiona, jak szybko ogarnęłam, postanowiłam opisać proces tej zmiany. Ale! Ale! Zanim o samej instalacji, to dla nieprzekonanych jeszcze jeden argument…

SSL w WordPressie – naprawdę warto go mieć…

Niedawno Google rozesłało mailing. Nie ma w tym nic dziwnego. Google co jakiś czas pisze do swoich użytkowników całego świata jakieś nieprzydatne wiadomości o tym, jak lepiej wykorzystywać G+ promować się w sieci 😉 Tym razem jednak była to ważna wiadomość. Bo dotyczyła bezpieczeństwa właśnie. Wszystkim, którzy mają swoje strony/blogi i nie posiadają wdrożonego na nich SSL, Google wysłało informację następującej treści:  

ostrzeżenie Google

  Tłumacząc z polskiego na “nasz” Google informuje o tym, że na podstronach w mojej domenie, na których są miejsca, gdzie użytkownicy wpisują swój adres email lub inną treść (takim miejscem jest np. strona Skontaktuj się i formularz kontaktowy) w niedługim czasie będzie wyświetlana informacja o niezabezpieczeniu strony. To nowość. Do tej pory taka informacja była wyświetlana jedynie w miejscu logowania do jakiegoś serwisu bez SSL (np. do kokpitu WordPressa). Niedługo – jeśli nie będziesz mieć SSL – informację taką zobaczy każdy, kto będzie chciał wypełnić formularz kontaktowy na twojej www.

To jak? Wdrażamy ten SSL?

Do instalacji protokołu bezpieczeństwa SSL w WordPressie potrzebujesz 3 rzeczy: SSL, WordPressa i jednej wtyczki. No, może nie do końca tylko tych trzech, ale o tym za chwilę. SSL to protokół i nie, nie wiem, jak inaczej ci to opisać. Umówmy się może, że SSL to taka Gerda dla twojego roweru twojej strony internetowej, ok? Ale taka wiesz – Gerda Gerd – coś, czego nie ma technicznej możliwości złamać, przepiłować i otworzyć wytrychem. Skąd go wziąć? Do niedawna trzeba było zakupić. Od jakiegoś czasu jednak większość dobrych firm hostingowych (w tym Atthost – link jest afiliacyjny) oferuje SSL Lets Encrypt za darmo. Więcej. W Atthost dodatkowo samodzielnie go włączysz. Wystarczy w panelu wejść w Strony -> SSL i włączyć:  

SSl w WordPressie

Jeśli twój hosting nie ma darmowego SSL to zawsze możesz zakupić certyfikat, albo zmienić hosting 🙂 Kolejna sprawa to wtyczka. Po co? Bo widzisz, Google widzi domenę z SSL i domenę bez niego jako dwie RÓŻNE domeny. Dlatego wdrożenie SSL w WordPressie to tak naprawdę zmiana domeny na stronie/blogu. Normalnie trzeba by było jeszcze grzebać w bazie danych, żeby wszystko działało. Na szczęście zmianę tę niesamowicie ułatwia wtyczka Really Simple SSL. Co z nią? Zainstaluj, włącz, a dalej wtyczka sama cię pokieruje. Do zmiany wszystkich linków na stronie/blogu na takie, które mają “https” na początku, trzeba będzie kliknąć jeden (słownie: jeden!) przycisk. I później ponownie zalogować się do kokpitu już na adresie (domenie) z “https”. Na koniec wejdź jeszcze w Kokpit -> Ustawienia -> Ogólne i jeśli nie zrobiła tego wtyczka – zmień oba adresy  WordPressa na takie, które zawierają na początku “https” i kliknij Zapisz. Ja na wszelki wypadek sprawdziłam później jeszcze linki we wpisach – nimi też zajęła się wtyczka 🙂 Wtyczka robi jeszcze jedną dobrą robotę. Przekierowuje w przeglądarce adres bez “https” na taki, który “https” zawiera. Oznacza to, że jeśli gdzieś w sieci (np. na Facebooku) masz umieszczone stare linki do strony/bloga, to każdy, kto kliknie taki link, zostanie automatycznie przekierowany pod nowy adres zawierający “https”.

I tyle?

Nie. Yyyy. Znaczy samo wdrożenie SSL to już. Koniec. Zrobione. Jednak strona czy blog to nie tylko adres w przeglądarce i WordPress. Prawdopodobnie (i to też podpowie ci wtyczka) masz zainstalowane zewnętrzne narzędzia. Zacznijmy od Google Analytics. Tu w miarę łatwo. Wejdź w dolnym lewym rogu w narzędzia i zmień domenę w ustawieniach.  

analitycs
analitycs

Następnie Google Search Console. Tu już sprawa wygląda bardziej skomplikowanie, bo trzeba dodać nową witrynę.

GSC

  W następnym oknie wpisz jej adres.  

GSC

W kolejnym kroku GSC podpowie ci, jak potwierdzić jej własność. Jeśli masz podpięte Google Analytics wybierz metodę wykorzystującą GA. Jeśli nie – wybierz tą, która dla ciebie jest najprostsza. Przejdźmy do Disqus. Wejdź do panelu admina Disqus -> Community -> Migration Tools, i skorzystaj z Start URL Mapper lub Start Crawler. Ja niedawno zrezygnowałam z Disqus, więc ten krok mogłam spokojnie pominąć.  

disqus

Co dalej? Dwie sprawy jeszcze. Po pierwsze – jeśli masz pod wpisami chmurki z ilością lajków, plusów i innych, to cyferki te znikną. Wprawdzie Bartosz na swoim blogu we wpisie o przejściu na SSL opisuje, jak “oszukać” Facebooka (ja nie używam liczników, więc nawet nie uczyłam się tego robić), jednak nie wiem, jak z pozostałymi licznikami. I po drugie – przypomnij sobie, z jakich jeszcze zewnętrznych narzędzi korzystasz. System do newslettera? Heat mapa? Systemy śledzące? Bloglovin? Do każdego z nich się zaloguj i sprawdź, czy działają, czy i w nich trzeba pozmieniać adresy. Ja w zasadzie więcej nie miałam. Dlatego cały proces zajął mi naprawdę 10 minut.

Edit i uzupełnienie.

Okazuje się, że wtyczka Really simple SSL nie jest najlepszym wyjściem. Przepraszam za jej polecanie! Dziś, jeśli chcecie dobrze wdrożyć SSL, koniecznie skorzystajcie z tego nagrania. Maciek w przystępny sposób wszystko pokazuje.

baner postawienia kawy w podziękowaniu

O autorce...

Kasia Aleszczyk

Znana jestem z tego, że pomagam innym zaprzyjaźniać się z WordPressem. Na co dzień uczę również, jak żyć w necie, by przeżyć. Cieszę się, że jesteś i zapraszam częściej!

32 thoughts on “SSL w WordPressie? Nawet nie wiesz, jakie to proste.

  1. Kurde, w moim hostingu certyfikat jest dostępny za darmo, ale żeby go włączyć, trzeba grzebać w pliku htaccess… Czyli wtyczka tego nie rozwiąże, bo żeby zadziałała, to strona z SSL musi być najpierw wywołana, a bez modyfikacji w htaccess nie będzie wywołana?

    1. O takich szczegółach to już z hostingiem bym rozmawiała. Jeśli ktoś wprowadza u siebie możliwość wdrożenia SSL, powinien mieć również instrukcję, jak krok po kroku to zrobić! 🙂

      1. Próbowałem uzyskać taką instrukcję. Coś tam napisali o ścieżkach dostępu.
        Zrezygnowany pozmieniałem adresy w panelu WP i zainstalowałem polecaną przez Ciebie wtyczkę. Okazało się, że działa! Tak że wielkie dzięki za pomoc, dobra kobieto!

  2. Świetny wpis, tak bardzo merytoryczny, że zachęciłaś mnie do wstawienia na bloga SSLa. Jeszcze do niedawna nie sądziłam, że to będzie wręcz obligatoryjne nie tylko w e-commercach, ale też w zwykłym wysłaniu wiadomości w zakładce Kontakt. Dzięki! 🙂

  3. Mój dostawca hostingu oferuje tylko płatne certyfikaty.:/ Czy to oznacza, że jeśli chcę mieć darmowy to muszę zmienić dostawcę czy mogę wykupić sam certyfikat np. w Atthost i wszystko będzie działało?

    1. Ewelina, to zależy. Są hostingi, które pozwalają na wdrożenie bezpłatnego, zewnętrznego SSL u siebie. Są takie, które nie. Najlepiej pytaj bezpośrednio w hostingu 🙂

  4. Wspaniały i bardzo przydatny wpis. A do tego napisany w tak przystępny sposób. Tego mi właśnie było trzeba. Bardzo Ci dziękuję. Robisz naprawdę dobrą robotę!

  5. Świetny wpis. Miałem napisać podobny, ale gdy zobaczyłem Twój, to już mi się nie chce 😉 Gdyby ktoś pytał jak to zrobić, to odeślę go do Ciebie. Naprawdę super – samo “mięso”.

    1. Nie jestem pewna, czy określenie “tani” to najlepszy weryfikator hostingów 😉 Najlepiej przeklikaj sobie i porównaj oferty z tabelki powyżej 😀

  6. Dziękuję bardzo !!! Udało mi się samodzielnie dzięki temu artykułowi zainstalować Lets Encrypt i moja nowo tworzona strona ma już https 🙂

  7. Zmotywowałaś mnie tym wpisem do zmiany i ten krok już mam za sobą.
    Mam jednak pytanie o wtyczkę: czy ona już musi pozostać czy raz zrobiła swoją robotę i można ją usunąć?
    Dziękuję i pozdrawiam

  8. Bardzo się cieszę, że trafiłam na ten artykuł. Prosto i treściwie. Bardzo dziękuję. Kończę właśnie robić swoją stronę i chciałabym ją od razu odpowiednio zabezpieczyć. Podpowiedz mi, proszę, jaka jest różnica między płatnymi certyfikatami SSL (w Zenboxie są płatne), a bezpłatnym Let’s Encrypt? Czy ten Let’s Encrypt wystarczy do małej stronki z blogiem i kursami? Czy przy instalacji Let’s Encrypt będzie mi potrzebna wtyczka, o której piszesz w artykule?

    1. Więc tak. Z tego, co się orientuję, to każdy hosting inaczej opisuje swoje płatne SSL, więc ja nie nadążam. Natomiast we wpisie: https://stara.kasiaaleszczyk.pl/certyfikat-ssl-wordpress-zobacz-oferty-polskich-hostingow/ Mateusz mi wyszczegółowił, że:
      Wartobyłoby go uszczegółowić i dodać rozróżnienie typów certyfikatów SSL na:
      DV – domain validated (wystawca sprawdza czy jesteśmy właścicielem domeny i tylko informacje o domenie umieszcza w certyfikacie – tutaj również znajduje się Let’s Encrypt) (Przeglądarka oznacza jako Bezpieczna)
      OV – organization validated (wystawca sprawdza dokumenty rejestracyjne organizacji/firmy i w certyfikacie zawarte są informacje o firmie) (Przeglądarka oznacza jako Bezpieczna)
      EV – extended validation (wystawca sprawdza dokumenty i weryfikuje telefonicznie tożsamość osoby ubiegającej się o wystawienie certyfikatu) (Zielony pasek z nazwą firmy – coś takiego zobaczymy na stronie każdego banku)

      Ufam, że wystarczy?

      Natomiast odnośnie wtyczki – nie musisz wcale jej używać, jeśli wiesz, jak ustawić przekierowanie 301 z http na https podmienić wszystkie linki w bazie danych na takie z nową końcówką. Jeśli chcesz to zrobić prosto i sympatycznie, to właśnie za pomocą wtyczki 🙂 I ona (przekierowanie i zmiana linków) będzie Ci potrzebna niezależnie, czy korzystasz z LE, czy z płatnego SSL.

      1. Bardzo dziękuję! Nie zauważyłam tego Twojego wpisu na blogu o ssl-ach 🙂 Ale widzę, że na razie Let’s Encrypt wystarczy. Pozdrawiam i wszystkiego dobrego.

  9. Super artykuł i super prosta wtyczka, pomijając dosyć długi proces instalacji SSL w hostingu. Zrobiłam wszystko jak należy tylko wyskoczyl mi jeden błąd i nie wiem co z tym zrobić: The mixed content fixer is active, but was not detected on the frontpage. Moja strona mimo, że certyfikat aktywny, a wtyczka zmieniła wszedzie https, to nadal zamiast kłódki (bezpieczny), mam “i” w kółeczku. Pomóżcie proszę.

    1. Prawdopodobnie jednak nie wszystkie linki w bazie danych masz zmienione… Spróbuj jakąś wtyczką do zmiany linków w bazie danych.

  10. Duży plus za artykuł 🙂

    Jedna uwaga ode mnie:
    “Jeśli twój hosting nie ma darmowego SSL to zawsze możesz zakupić protokół, albo zmienić hosting”

    SSL to faktycznie nazwa protokołu (Secure Socket Layer), natomiast narzędzie poświadczające wiarygodność domeny to certyfikat SSL – warto byłoby to uściślić w zacytowanym zdaniu.

  11. Hej, właśnie wdrażam w życie Twój wpis. Tylko kurcze kilka zdjęć nie chce się pojawić… – analitys disqus GSC, pomozesz cos?

    1. Hej Ania, łatwiej będzie Ci pomóc na grupie WordPress (nie tylko) dla blogerów na Facebooku, jak podasz tam link 🙂 Prawdopodobnie nie masz wszystkich linków zmienionych w bazie. Stawiam na to, że sa to linki wstawiane ręcznie we wpisach lub widgetach. Powinna wystarczyć ich podmiana na https.

  12. Kasiu! Super to opisałaś! Właśnie wzięłam się za protokół ssl i mam go w ovh za darmo, ale muszę zrobić przekierowanie sama. W ovh powiedzieli że mam sobie coś tam w bazie danych zmienić. Chciałam spróbować Twoim sposobem ale nie mogę, bo w panelu “dodaj wtyczkę” wyswietla mi się “nieoczekiwany błąd”, który, jak sobie przypominam, widziałam już kilka miesięcy temu ale olałam sprawę, brzydko mówiąc. Nooo… i tak nie wiedziałam co z tym zrobić. Masz może jakiś pomysł co to może być? Czy mam pisać na priv?
    Dziękuję z góry za pomoc!

  13. A mi ta wtyczka zrobila cos takiego
    Jeżeli chcesz zmienić tę stronę, wgraj własny plik index.html do katalogu private_html
    I strony nie mam i zaraz cos zrobie takiego ze beda pisac w gazetach!!!!
    Bzdury! kompletan nieodpoweidzilnosc. Jak mozna tak pisac, zeby ktos p[ozniej mial klopoty!

    1. Hej Mariusz, widzę, że problem na stronie zażegnany. Cóż, niestety nie mogę wziąć odpowiedzialności za inne wtyczki, które masz zainstalowane w WP oraz czy i która z którą się pogryzie ani za ustawienia Twojego hostingu (być może za niską wersję PHP?). Wtyczka, którą polecam ma ponad milion działających instalacji i generalnie działa. Serdeczności!

Skomentuj Kate Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Sięgnij po więcej!