Kompletny przewodnik po HTTPS i SSL dla WordPress

Czy zauważyłeś, że większość Twoich ulubionych witryn ma adres URL zaczynający się od HTTPS? Bardziej prawdopodobne jest, że zauważysz brak litery S, która wskazuje, że adres URL jest bezpieczny. Dzieje się tak, ponieważ Google oznacza teraz witryny bez certyfikatu SSL — ważnego elementu bezpiecznej witryny. Ponieważ bezpieczeństwo witryny jest tak ważne, ważne jest, aby zrozumieć HTTPS i SSL dla WordPress.

Jeśli prowadzisz witrynę WordPress, będziesz chciał, aby miała ona SSL i HTTPS, aby zapewnić większe bezpieczeństwo i zaufanie odwiedzających. Jako dodatkowy bonus Twoja witryna będzie miała wyższy ranking wyszukiwania SEO. Jeśli więc chcesz dodać dodatkową warstwę zabezpieczeń i ochrony zarówno dla swojej witryny, jak i użytkowników, którzy ją odwiedzają, czytaj dalej.

Co to jest HTTPS i SSL?

HTTPS i SSL dla WordPressa idą w parze. Sam HTTP (pierwotny prefiks adresu URL) oznacza protokół przesyłania hipertekstu. Zainstalowanie certyfikatu SSL (secure sockets layer) na swojej stronie internetowej to zabezpiecza. Gdy masz zainstalowany odpowiedni certyfikat SSL lub TLS w swojej witrynie, prefiks adresu URL przełącza się z HTTP na HTTPS: bezpieczny protokół przesyłania hipertekstu.

Przyjrzyjmy się bliżej, czym są HTTPS i SSL oraz jak działają. Według sieci programistów Mozilla (MDN):

HTTPS (HyperText Transfer Protocol Secure) to zaszyfrowana wersja protokołu HTTP. Używa SSL lub TLS do szyfrowania całej komunikacji między klientem a serwerem. To bezpieczne połączenie umożliwia klientom bezpieczną wymianę poufnych danych z serwerem, na przykład podczas wykonywania czynności bankowych lub zakupów online.

Zasadniczo HTTPS oznacza, że ​​Twoja witryna jest całkowicie zaszyfrowana. Oznacza to, że tylko dwóch klientów na każdym końcu transakcji jest w stanie odczytać dane. Jeśli złośliwy użytkownik lub podmiot przechwyciłby komunikację, otrzymaliby tylko bałagan losowych, zniekształconych znaków.

Przejdźmy teraz do definicji SSL w MDN:

Secure Sockets Layer lub SSL to stara standardowa technologia bezpieczeństwa służąca do tworzenia zaszyfrowanego łącza sieciowego między serwerem a klientem, zapewniająca, że ​​wszystkie przesyłane dane są prywatne i bezpieczne. Obecna wersja SSL to wersja 3.0, wydana przez Netscape w 1996 roku i została zastąpiona przez protokół Transport Layer Security (TLS).

Jeśli chodzi o TLS vs. SSL, TLS jest zasadniczo kontynuacją SSL. Podobnie jak SSL, TLS ustanawia szyfrowane połączenie między serwerem a klientem. Te dwa protokoły zapewniają lepsze bezpieczeństwo Twojej witryny WordPress.

Potrzebujesz HTTPS i SSL?

Krótka odpowiedź brzmi: tak: potrzebujesz HTTPS i SSL. Oprócz budowania zaufania wśród odwiedzających, bezpieczeństwo witryny jest jednym z kompetencji solidnego SEO. W 2018 roku Google rozpoczął oznaczanie witryn bez certyfikatu SSL lub TLS. Zniechęca to użytkowników do przechodzenia do witryn, które nie mają certyfikatu SSL.

Wiele lat temu certyfikaty SSL były drogie – w rzeczywistości tysiące dolarów. Duże witryny, które generowały przychody, takie jak Facebook i Amazon, wyświetlały ikonę kłódki w oknie przeglądarki użytkownika. To dlatego, że mieli budżet na zakup certyfikatu. Z drugiej strony, witryna WordPress przeciętnego użytkownika miała po prostu prefiks HTTP. W dzisiejszych czasach certyfikaty SSL są zarówno niezbędne, jak i niedrogie.

Chociaż WordPress teraz automatycznie instaluje certyfikaty SSL w każdej nowej witrynie, możesz mieć starszą domenę lub witrynę o długiej tradycji, która wymaga zabezpieczenia. Istnieje możliwość uzyskania bezpłatnego certyfikatu SSL dla swojej witryny WordPress, jeśli jeszcze go nie masz. Większość hostów oferuje również bezpłatny lub zdyskontowany certyfikat SSL w ramach swoich pakietów hostingowych. Ponieważ HTTPS i SSL dla WordPressa są teraz tak dostępne, nie ma powodu, aby Twoja witryna była podatna na ataki.

Jak zainstalować SSL dla WordPress

Zastanawiasz się, jak zainstalować SSL dla WordPressa? Przeprowadzimy Cię przez kolejne etapy i pokażemy, jak to się robi.

Korzystanie z wtyczki

Zacznijmy od zainstalowania SSL dla WordPress za pomocą wtyczki. W tym samouczku używamy Really Simple SSL. Ta wtyczka automatycznie przenosi Twoją witrynę WordPress na SSL. Jeśli więc Twój adres URL nadal wyświetla HTTP, a nie HTTPS, ta wtyczka rozwiąże problem i pomoże zabezpieczyć Twoją witrynę.

Weźmy się za to.

1. Przejdź do strony wtyczki Really Simple SSL i kliknij Pobierz. Zapisz plik .zip wtyczki na swoim komputerze.

2. Otwórz nową kartę przeglądarki, zaloguj się do pulpitu WordPress i kliknij Wtyczki.

3. Na ekranie Wtyczki kliknij Dodaj nowe.

4. Na stronie Dodaj wtyczki kliknij Prześlij wtyczkę.

5. Następnie prześlij plik .zip powiązany z Twoją wtyczką. Wybierz plik, a następnie kliknij Zainstaluj teraz.

6. WordPress wyświetli stronę, która pokazuje postęp przesyłania. Po przesłaniu wtyczki wystarczy kliknąć Aktywuj wtyczkę.

Możliwe poprawki wtyczek

7. Jak widać, na stronie, nad którą pracuję, wykryto już certyfikat SSL. Ale gdybyśmy nie mieli jeszcze SSL, kolejnymi krokami, które musielibyśmy omówić, byłyby:

• Zmiana wszelkich odwołań do http:// w plikach .css i .js na https://
• Usuwanie wszelkich skryptów, arkuszy stylów lub obrazów pochodzących z domeny bez SSL
• Zaloguj się ponownie (ponieważ po aktywacji wtyczki WordPress Cię wyloguje)

Kiedy będziesz gotowy, kliknij Aktywuj SSL, aby sfinalizować instalację. Ta wtyczka zmieni domyślny adres URL na HTTPS.

8. Teraz SSL jest aktywowany. Okno wtyczki pokazuje mi, jakie kroki należy podjąć, aby jeszcze bardziej zabezpieczyć witrynę. Really Simple SSL zawiera artykuły i zasoby, które pomogą mi dostosować ustawienia bezpieczeństwa do optymalnego poziomu. Mogę przeglądać je jeden po drugim, aby zoptymalizować swoje bezpieczeństwo.

Czy korzystasz z Divi na swojej witrynie WordPress? Niektórzy użytkownicy Divi mają problemy z mieszaną zawartością podczas instalacji Really Simple SSL. W takim przypadku pamięć podręczna Divi musi zostać wyczyszczona, aby rozwiązać problem. Przeczytaj więcej o tym, jak rozwiązać ten problem tutaj.

Sprawdź ustawienia wtyczki SSL

Teraz nadszedł czas, aby przejść do głównej strony wtyczek i sprawdzić ustawienia wtyczki SSL. Po prostu kliknij Ustawienia, aby rozpocząć. Zobaczysz tę samą listę kontrolną zasobów, co wcześniej. Po prostu przewiń stronę w dół, aby zobaczyć, gdzie możesz przełączać ustawienia.

Domyślne ustawienia wtyczki powinny być odpowiednie, ale zawsze możesz dokonać zmian. Przede wszystkim chcesz się upewnić, że naprawianie mieszanej zawartości jest zaznaczone. Najprawdopodobniej ten zostanie już wybrany. Jeśli nie, sprawdź to i zapisz stronę.

Przed zmianą ustawień zapoznaj się z załączoną dokumentacją.

Otóż ​​to! Zainstalowałeś SSL dla WordPress za pomocą wtyczki.

Instalacja ręczna

Teraz spójrzmy, jak ręcznie zainstalować SSL dla WordPressa. Zaczniemy od otwarcia nowej karty przeglądarki i przejścia do SSL za darmo (ZeroSSL).

1. Na stronie głównej wprowadź adres URL swojej witryny w pasku tekstowym i kliknij Utwórz bezpłatny certyfikat SSL.

2. Zostaniesz poproszony o utworzenie konta. Gdy to zrobisz, witryna przekieruje Cię na stronę główną ZeroSSL. Stamtąd kliknij Nowy certyfikat.

3. Na następnej stronie możesz wpisać swoją domenę w polu tekstowym, a następnie kliknąć Następny krok.

4. Możesz wybrać, czy chcesz utworzyć certyfikat 90-dniowy za darmo, czy roczny (płatny). Jeśli wybierzesz taki, który działa przez 90 dni, będziesz musiał wracać i ponownie generować co 90 dni. Po wybraniu opcji, z której chcesz skorzystać, kliknij Następny krok.

5. Następnie, jeśli chcesz, możesz automatycznie wygenerować żądanie podpisania certyfikatu (CSR). Możesz również ręcznie wpisać swoje informacje. Celem tego jest zweryfikowanie Twojej tożsamości i faktu, że faktycznie jesteś właścicielem domeny, dla której generujesz SSL. Zostaniesz poproszony o wybranie odpowiedniego planu.

Weryfikacja domeny i SSL dla ręcznej instalacji WordPress

6. Zostaniesz teraz poproszony o zweryfikowanie swojej domeny. Możesz to zrobić na trzy sposoby:

• Poprzez weryfikację e-mail
• Dodając nowy rekord CNAME na serwerze hosta
• Przez przesyłanie pliku HTTP

W zależności od wybranej opcji postępuj zgodnie z instrukcjami podanymi na stronie.

7. Po zweryfikowaniu domeny witryna wygeneruje certyfikat SSL. Możesz pobrać swój certyfikat, a następnie kliknąć Następny krok.

8. Teraz musisz przesłać certyfikat SSL do swojego cPanel. Ten proces może wyglądać nieco inaczej w zależności od używanego hosta. Aby uzyskać instrukcje krok po kroku, poszukaj swojego hosta na tej liście od ZeroSSL, która przeprowadzi Cię przez proces finalizacji instalacji SSL dla WordPress.

Na potrzeby tego artykułu pokażę, jak to wygląda za pośrednictwem mojego cPanel Bluehost.

9. Najpierw przejdź do cPanel i przewiń w dół do sekcji BEZPIECZEŃSTWO. Kliknij SSL/TLS.

10. Kliknij „Generuj, przeglądaj, przesyłaj lub usuwaj certyfikaty SSL”.

11. Zobaczysz teraz listę certyfikatów aktualnie znajdujących się na twoim serwerze. Przewiń w dół do sekcji oznaczonej „Prześlij nowy certyfikat”.

12. Teraz masz kilka opcji. Możesz albo:

• Rozpakuj certyfikat SSL pobrany z ZeroSSL, a następnie prześlij plik .crt.
• Możesz też otworzyć plik .crt w podstawowym edytorze tekstu. Skopiuj pełny tekst certyfikatu, a następnie wróć do swojego cPanel i wklej go w polu tekstowym oznaczonym „Prześlij nowy certyfikat”. Obejmuje to tekst nagłówka i stopki oznaczający początek i koniec certyfikatu.

13. Kliknij Prześlij certyfikat. Następnie będziesz chciał dwukrotnie sprawdzić, czy instalacja się powiodła. Możesz sprawdzić swój certyfikat na pulpicie nawigacyjnym ZeroSSL. Możesz też spróbować przejść do swojego adresu URL z prefiksem https://, aby sprawdzić, czy to działa dla Ciebie.

Otóż ​​to!

Często zadawane pytania dotyczące SSL i HTTPS

Przyjrzyjmy się teraz niektórym często zadawanym pytaniom dotyczącym HTTPS i SSL dla WordPress.

Skąd mam wiedzieć, czy moja witryna ma certyfikat SSL?

Otwórz nowe okno przeglądarki i przejdź do swojej witryny. Spójrz na lewo od prefiksu adresu URL. Okno przeglądarki powinno wyświetlać ikonę kłódki obok adresu URL. Alternatywnie, kliknij pole tekstowe i powinieneś być w stanie zobaczyć wyświetlany HTTPS.

Czy SSL i HTTPS spowalniają moją witrynę?

SSL i HTTPS mogą nieco spowolnić działanie Twojej witryny. Jeśli jednak odwiedzający Twoją witrynę napotykają ekran błędu Google, który uniemożliwia im dostęp do Twojej witryny HTTP, jest to większy problem. Albo poświęcisz niewielką prędkość na rzecz bezpiecznej witryny, której ufają użytkownicy, albo będziesz mieć do czynienia z wysokim współczynnikiem odrzuceń z niezabezpieczonej witryny.

Zainstalowałem certyfikat SSL, ale moja witryna nadal pokazuje, że nie jest bezpieczna. Co mam teraz zrobić?

Sprawdź dokładnie, czy instalacja się powiodła. Możesz to zrobić w WordPress, przechodząc do strony ustawień wtyczki lub sprawdzając ręczną instalację za pośrednictwem pulpitu nawigacyjnego ZeroSSL. Mogą istnieć pewne ustawienia, które trzeba przełączyć, lub może być konieczne wykonanie rozwiązywania problemów.

Jeśli nadal widzisz błędy SSL w swojej witrynie, może być konieczne:

• • Wymuś przekierowania HTTP na HTTPS
  • Napraw błędy mieszanej zawartości (uszkodzone obrazy)
  • Sprawdź istniejące wtyczki i motywy pod kątem błędów

• Napraw pętlę przekierowań
• Dalsze rozwiązywanie problemów z certyfikatem SSL, który może wyświetlać ostrzeżenie o nieprawidłowym certyfikacie (w takim przypadku możesz go odnowić)

Aby sprawdzić błędy SSL, możesz kliknąć prawym przyciskiem myszy swoją witrynę i wybrać Sprawdź z menu rozwijanego. Błędy są podświetlone na czerwono. Możesz zgłaszać błędy autorowi wtyczki lub motywu, dostawcy usług hostingowych lub zespołowi pomocy technicznej, w zależności od tego, gdzie i jak Twoja witryna jest hostowana i skonfigurowana.

Jeśli nie jesteś programistą, najlepiej nie próbuj poprawiać wtyczek ani motywów. Zbyt łatwo jest zepsuć coś, o czym albo nie wiesz, albo co wpływa na Twoją witrynę na szeroką skalę.

W zależności od wybranego narzędzia powinieneś być w stanie uzyskać pewną pomoc. Możesz zadawać pytania na otwartych forach, postępować zgodnie z przewodnikami rozwiązywania problemów lub skontaktować się ze swoim gospodarzem w celu uzyskania pomocy. Jeśli prowadzisz Divi, mamy zespół czatu na żywo, który również może Ci pomóc. Najprawdopodobniej będziesz w stanie uzyskać pomoc od kogoś, kto ma wiedzę na temat napotkanego problemu.

Jak naprawić błędy dotyczące zawartości mieszanej?

Błędy zawartości mieszanej występują, gdy zainstalowałeś SSL dla WordPress, ale Twoja witryna nadal widzi niektóre treści jako niezabezpieczone. Możesz na przykład zauważyć brakujące obrazy. Aby to naprawić, możesz ustawić swoją witrynę WordPress tak, aby wyświetlała zawartość mieszaną.

Błędy zawartości mieszanej można naprawić, instalując i aktywując wtyczkę SSL Insecure Content Fixer. Jeśli nadal będziesz otrzymywać błędy o mieszanej zawartości, możliwe, że coś jest nie tak w Twojej bazie danych. Aby rozwiązać ten problem, musisz wykonać kilka dodatkowych kroków, w tym zainstalować i uruchomić wtyczkę Better Search and Replace. Napisaliśmy tutaj post, który poprowadzi Cię przez proces naprawiania błędów dotyczących mieszanej zawartości w tym miejscu.

Jak wymusić HTTPS?

Aby wymusić HTTPS, może być konieczne skonfigurowanie automatycznych przekierowań z HTTP na HTTPS. Wymuszanie automatycznych przekierowań uniemożliwi użytkownikom otwieranie wersji HTTP Twojej witryny, która technicznie nadal istnieje.

Oto samouczek z Name.com, który przeprowadzi Cię przez proces za pośrednictwem cPanel. Alternatywnie możesz rozwiązać ten problem bezpośrednio w . htacess za pośrednictwem klienta FTP. Ten samouczek od Dreamhost przeprowadzi Cię przez kroki, aby wymusić bezpieczne ładowanie witryny.

Ile kosztują certyfikaty SSL?

Certyfikaty SSL różnią się znacznie ceną, od bezpłatnych do około 1000 USD rocznie. Przeciętnie są znacznie tańsze. Cena zależy od wybranej usługi i wymaganego poziomu wsparcia.

Czy jest różnica w darmowych i płatnych certyfikatach SSL?

Nie pod względem funkcjonalności. Zarówno bezpłatne, jak i płatne certyfikaty SSL zapewniają użytkownikom końcowym taki sam poziom bezpieczeństwa. Jednak płatny certyfikat SSL prawdopodobnie będzie miał dodatkowe wsparcie techniczne i dokładniejszą walidację. Jeśli nie masz nic przeciwko samodzielnemu rozwiązywaniu problemów z SSL, skorzystaj z bezpłatnego certyfikatu. Ale jeśli uważasz, że możesz potrzebować stałego wsparcia technicznego i nie chcesz ponownie instalować nowego bezpłatnego certyfikatu za każdym razem, gdy wygaśnie Twój obecny, płatny certyfikat SSL może być lepszą opcją.

Czy muszę odnawiać swój certyfikat SSL?

Odnowienie certyfikatu SSL zależy od hosta. Jeśli korzystasz z hosta, który zawiera certyfikat SSL w ramach swojego planu hostingowego, można go skonfigurować tak, aby odnawiał się automatycznie (w dzisiejszych czasach wiele z nich jest skonfigurowanych w ten sposób, aby użytkownicy nigdy nie musieli ich dotykać). Jeśli korzystasz z opcji 90-dniowego lub rocznego certyfikatu SSL od ZeroSSL, musisz co jakiś czas ręcznie odnawiać certyfikat SSL.

Wniosek

Teraz, gdy wiesz, jak zainstalować i rozwiązywać problemy z certyfikatem SSL, nadszedł czas, aby zabezpieczyć witrynę WordPress. HTTPS i SSL dla WordPressa są niezwykle ważne dla sukcesu Twojej witryny i poziomu zaufania użytkowników (i Google). Jeśli chcesz, aby Twoja witryna była opłacalna nie tylko teraz, ale także w przyszłości, upewnij się, że zablokowałeś ją za pomocą HTTPS i SSL.

Masz problemy z SSL dla WordPressa? Jak podszedłeś do ich rozwiązania? Zostaw nam komentarz poniżej i daj nam znać.

Artykuł wyróżniony obrazem autorstwa Eny Setiyowati / shutterstock.com