Certyfikat SSL jest już w zasadzie standardem, z którego korzysta większość stron internetowych. Wpływa on pozytywnie na bezpieczeństwo, zaufanie użytkownika oraz pomaga w pozycjonowaniu strony. Nie muszę więc chyba dodatkowo przekonywać, że warto go uruchomić także na Twojej stronie WordPress. Pozostaje tylko pytanie, jak to zrobić?

Certyfikat SSL – ważny jest wybór

Pierwszym krokiem jest oczywiście włączenie certyfikatu dla Twojej domeny. Większość firm hostingowych oferuje możliwość zakupu takiego certyfikatu. Tu wybór jest całkiem spory, który zależy głównie od budżetu. Jeśli jest on większy i prowadzisz np. sklep internetowy, warto zastanowić się nad płatnym rozwiązaniem dającym dodatkową gwarancję. Jeśli Twój budżet jest skromny lub nie masz go w ogóle, możesz skorzystać z darmowego certyfikatu Let’s Encrypt. Sprawdź jak włączyć taki certyfikat w naszym hostingu

Co dalej?

Załóżmy, że korzystasz z certyfikatu Let’s Encrypt. Jest on włączony, ale strona wciąż nie jest zabezpieczona. W przeglądarce pojawia się taki komunikat.

Strona bez certyfikatu SSL

Wynika to z tego, że strona wciąż ładuje się za pomocą adresu z przedrostkiem HTTP, a nie HTTPS. Aby to zmienić, należy utworzyć odpowiednie przekierowania, zaktualizować wszystkie odnośniki i dokonać zmian w bazie danych. Brzmi strasznie, ale w praktyce nie jest to aż tak bardzo skomplikowane. 

Dwie metody – dobra i lepsza

Możemy wyróżnić dwie główne metody jak uruchomić certyfikat SSL w WordPress. Obie omówię poniżej krok po kroku. 

Pierwszą z nich jest użycie wtyczki Really Simple SSL. Jest to rozwiązanie prostsze, ale niestety niepozbawione wad. W zasadzie wystarczy zainstalować i uruchomić wtyczkę. Jednak jak to zwykle w takich sytuacjach bywa, wpływa to negatywnie na szybkość działania strony. Jeśli nie jest to dla Ciebie istotny element i chcesz po prostu szybko uruchomić certyfikat SSL, możesz skorzystać z tej metody. Nie jest ona jednak zalecana.

Drugą, lepszą metodą, jest ręczne włączenie SSL. Owszem, wymaga to więcej pracy. Musimy ingerować w pliki i “pobrudzić” sobie ręce kodem. Wydaje się to trudne, ale z przedstawionym niżej poradnikiem, ogranicza się w zasadzie do zwykłego kopiuj-wklej.

Metoda I – wtyczka Really Simple SSL

Jak to zwykle bywa w przypadku WordPressa, wszystko można zrobić odpowiednią wtyczką. Jeśli chodzi o uruchomienie certyfikatu SSL w WordPress, wybór jest prosty – darmowa wtyczka Really Simple SSL. Jak reklamują jej twórcy, wystarczy posiadać certyfikat SSL, a ona zrobi resztę. Wtyczka przy każdym ładowaniu strony wykrywa elementy ładowane przez HTTP i zamienia ich adres na pożądany przez nas z bezpiecznym protokołem HTTPS. Rozwiązuje to wiele problemów, jak choćby ten z mieszaną zawartością, ale potrafi spowolnić działanie strony.

Instalacja wtyczki

Instaluje się ją jak każdą inną wtyczkę na WordPress. Najprostszym sposobem, aby to zrobić jest przejście do panelu administratora, a następnie do Wtyczki > Dodaj nową. W wyszukiwarce po prawej stronie wpisz “Really Simple SSL”. Wtyczka powinna pojawić się na liście.

instalacja wtyczki Really Simple SLL

Aktywacja wtyczki

Kliknij Zainstaluj teraz, a następnie Aktywuj. Na stronie pojawi się okno Really Simple SSL, które pozwoli uruchomić certyfikat SSL w WordPress. Przed tym krokiem warto zrobić backup strony. Wtyczka jest popularna i działa dobrze, ale potrafi sprawić, że na wszystkich stronach pojawi się błąd 404. Zazwyczaj wynika to z użycia innych wtyczek lub dodatkowych zabezpieczeń. Całą listę przeciwwskazań znajdziesz na oficjalnej stronie wtyczki.

aktywacja wtyczki Really Simple SSL

Jeśli wszystko jest gotowe, możesz kliknąć przycisk “Dalej, aktywuj SSL!”. Prawdopodobnie zostaniesz wylogowany z panelu admina WordPress. Zaloguj się więc ponownie.

Wtyczka Really Simple SSL nadpisuje ustawienia bezpośrednich odnośników. Warto więc na koniec przejść do Ustawienia > Bezpośrednie odnośniki i zapisać zmiany. Nadpisze to strukturę odnośników po instalacji certyfikatu SSL.

I to tyle. Masz uruchomiony certyfikat SSL na stronie WordPress. Jeśli obawiasz się o szybkość działania strony, wtyczka umożliwia zablokowanie w ustawieniach części jej funkcjonalności.

Metoda II  – Ręczne włączenie SSL w WordPress

Jeśli chce się coś zrobić porządnie, warto zakasać rękawy i zrobić to własnoręcznie. Tak samo jest w tym przypadku. Ręczne włączenie SSL jest pewniejsze, nie uzależni działania strony od żadnej wtyczki, a dodatkowo pozwoli uniknąć spowolnienia strony. Etapów jest kilka, więc omówmy je krok po kroku.

Aktualizacja adresów URL w ustawieniach WordPressa

Zacznijmy od najprostszego. Przejdź do panelu administratora, a następnie do Ustawienia > Ogólne. W polach Adres WordPressa (URL) oraz Adres witryny (URL) zaktualizuj adresy używając przedrostka HTTPS i zapisz zmiany.

aktualizacja adresu URL w WordPressie przy instalacji certyfikatu SSL

Przekierowanie w pliku .htaccess

Następnym krokiem jest stworzenie przekierowania 301 w pliku .htaccess. Musisz się do niego dostać. W tym celu wykorzystaj klienta FTP (np. FileZilla lub Total Commander) i zaloguj się na swój hosting. Przejdź do głównego folderu WordPress, znajdź i otwórz plik „.htaccess”.

Na samym początku pliku dodaj następujący kod:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Na koniec zapisz plik.

Jeśli korzystasz z hostingu cyber_Folks, możesz dodać ten kod jeszcze prościej. Wystarczy zalogować się do panelu Direct Admin, wejść w Manager Plików i kliknąć w ikonę edycji przy pliku .htaccess.

direct admin manager plików

Pojawi się okno edycji pliku. Wystarczy, że wkleisz tam podany wcześniej kod i klikniesz przycisk Zapisz.

direct admin przekierowanie https w htaccess

Aktualizacja odnośników

Pomimo wcześniejszych działań, część odnośników wciąż może otwierać się z niezabezpieczonym protokołem HTTP. Jest to problem mieszanej zawartości. Część odnośników będzie zabezpieczona, dla innych wciąż będzie się jednak pojawiał komunikat o braku zabezpieczenia. Można na to jednak w dość prosty sposób zaradzić. 

Zacznijmy od bazy danych. Nawet przy ręcznym sposobie nie unikniemy użycia wtyczki. Tym razem będzie to jednak jednorazowe użycie, które nie wpłynie na szybkość działania strony. Tak jak w poprzedniej metodzie, przejdź do panelu administratora, a następnie do Wtyczki > Dodaj nową. W wyszukiwarce po prawej stronie wpisz “Better Search Replace”. Wtyczka powinna pojawić się na liście.

instalacja wtyczki Better Search Replace

Kliknij Zainstaluj teraz, a następnie Aktywuj. Po włączeniu wtyczki przejdź do Narzędzia > Better Search Replace. W zakładce Search/Replace możesz podmienić wszystkie odnośniki w bazie danych. Potem w polu Search For wpisz adres Twojej strony z HTTP. W polu Replace With wpisz adres Twojej strony z HTTPS.

Podmiana linków za pomocą wtyczki Better Search Replace.

Zaznacz wszystkie tabele (Select tables), zaznacz opcję Replace GUIDs, odznacz Run as dry run i kliknij w Run Search/Replace. Wtyczka sama podmieni wszystkie adresy z HTTP na HTTPS. Po tych działaniach możesz wyłączyć i usunąć wtyczkę. Jej działanie było jednorazowe i nie ma potrzeby, aby była cały czas włączona. 

Problem z mieszaną zawartością może dotyczyć także motywu lub innych wtyczek. Należy to jednak do rzadkości. Jeśli wtyczka lub motyw były tworzone zgodnie z właściwymi praktykami, nie powinno być żadnych problemów. Gdy coś takiego się wydarzy, skontaktuj się z twórcą wtyczki/motywu. Jeśli nie masz takiej możliwości, warto zastanowić się nad poszukaniem lepszej alternatywy. 

Dobra praktyka na koniec

Niezależnie od wybranej metody, dobrą praktyką w przypadku uruchomienia certyfikatu SSL na stronie WordPress jest poinformowanie Google o zmianach poprzez dodanie nowej wersji strony do Google Search Console. Dlaczego nowej? Z technicznego punktu widzenia strona w wersji HTTPS jest jej oddzielną wersją. 

Podsumowanie

Teraz wiesz już jak uruchomić certyfikat SSL w WordPress. Niezależnie którą metodę wybierzesz, Twoja strona stanie się bezpieczniejsza, a Ty zaczniesz czerpać korzyści wizerunkowe i te wynikające z pozycjonowania. Powodzenia! 

B Gajewski
>
Bartosz Gajewski
Od trzech lat blisko związany z WordPressem, a w szczególności z WooCommerce. Mocno wierzy w moc sprawczą słowa pisanego. Prywatnie miłośnik gór i kina europejskiego.

23 odpowiedzi na "Jak uruchomić certyfikat SSL w WordPress?"

  1. Marta pisze:

    Czyli jako like poradzę sobie z wdrożeniem tego na bloga?:)) czy szukać pomocy kolegów;/

    1. Artur Pajkert pisze:

      W razie czego chętnie pomożemy, ale powinno udać się samodzielnie 🙂 Marta, dasz radę, po prostu krok po kroku wg poradnika i wszystko będzie dobrze.

  2. anana pisze:

    Pół roku temu zainstalowałam wtyczkę, teraz coraz częściej czytam, że nie jest polecana. W jej ustawieniach był mniej więcej taki komunikat „wyłącz wtyczkę i zachowaj SSl, treści mieszane i java script przestaną działać, zostaną aktywne przekierowania .htaccess ” Wyłączyłam wtyczkę, czy powinnam jeszcze coś zrobić? Jak sprawdzić czy przekierowanie .htaccess naprawdę działa? Jestem niestety cienka w te klocki. Będę wdzięczna za pomoc.

    1. Magdalena Paciorek pisze:

      Jeśli podmieniłaś URLe w bazie danych oraz ustawiłaś przekierowanie w htaccess wg. wskazówek z artykułu to powinno być ok. Możesz jeszcze otworzyć konsolę Chrome (poprzez przycisk F12) i zakładce Security zobaczyć czy nie pojawia się informacja o błędach. Możesz też w innej przeglądarce (najlepiej takiej, z której nie korzystasz na co dzień np. Edge) wpisać adres z http:// i zobaczyć czy przekieruje Cię na https:// . Polecam także ten artykuł w temacie wdrożenia SSLa: https://sprawnymarketing.pl/blog/seo-checklista-po-wdrozeniu-ssl/

      1. anana pisze:

        Dzięki, idę poczytać 🙂

  3. sara pisze:

    Dzień dobry.
    WordPress mam problem przy aktywowaniu ssl . Ide za instrukcjami i:
    – po zalogowania do panelu WordPress bez problemu znalazłam ustawienie i ogólne..ale okna z adresem url gdzie należy poprawic http na http są nieedytowalne.

    – wyczytałam że muszę zrobić przezautomatyczne przekierowanie..ale nie mogę znaleźć pliku htacces… kiedy loguje się w panelu serwera… wybieram domene i potem managera plików.. na liście nie figurują te podane z instrukcji..nie ma tam też htacces.
    Chyba ze jest jeszcze inny menager plików.
    Będę wdzięczna za wskazówki

    Pozdrawiam

    1. Artur Pajkert pisze:

      Dla domeny saradammbellydance.com widzę, że przeglądarka prawidłowo otwiera stronę z certyfikatem. Jeśli chodzi o inną domenę – zapraszam do rozmowy na chacie lub zgłoszenia serwisowego, poprzez system komentarzy na blogu nie jesteśmy w stanie pomagać w rozwiązywaniu konkretnych przypadków. Zapraszam zatem do wykonania zgłoszenia serwisowego (https://cyberfolks.pl/kontakt/) – nasi specjaliści sprawdzą opisaną sytuację i doradzą najlepsze rozwiązanie.

  4. gwiazdor pisze:

    Mam pytania co do metody 2: czy musimy się trzymać kolejności? Mam wrażenie że strona może w każdej chwili paść, a właściwa kolejność daje szansę na cofnięcie zmian. Ponadto mój hostingodawca podaje inny kod do dodania do pliku .htaccess: https://docs.ovh.com/pl/hosting/aktywacja-https-ssl-na-stronie-WWW/#wprowadzenie. Dlaczego?

    1. Artur Pajkert pisze:

      Zalecamy kolejność jak w artykule, choć generalnie zmiany zazwyczaj da się po prostu cofnąć, gdyby coś poszło nie tak. Przypominam, że w wypadku hostingu u nas są kopie zapasowe stron i baz, wykonywane codziennie przechowywane do 28 dni wstecz, więc jeśli nie poradzimy sobie inaczej – można sięgnąć po kopię zapasową. Co do htccess – nasza formuła jest nieco bardziej uniwersalna i zadziała kiedy do folderu jest kierowany ruch z wielu domen, ponieważ zawsze odwoła się do hosta podanego w żądaniu, podczas gdy w przytoczonym artykule formuła opiera się o konkretną nazwę domenową. Inny jest także mechanizm wykrywania SSL – my stosujemy zmienną HTTPS, a w podanym przykładzie jest wykrysie ruchu na porcie 80, tradycyjnie używanym do nieszyfrowanej komunikacji HTTP. W praktyce, w wypadku jednej domeny, oba rozwiązania powinny dać satysfakcjonujący efekt.

  5. gwiazdor pisze:

    Chciałbym jeszcze potwierdzić sens poszczególnych zmian. Przekierowanie w pliku .htaccess – przekierowuje z http na https?
    Aktualizacja adresów URL w ustawieniach WordPressa – zmienia adres główny z http na https
    Aktualizacja odnośników – zmienia poszczególne adresy z http na https. Zgadza się?

    1. Artur Pajkert pisze:

      Tak, zgadza się. W odnośnikach ważne są wszystkie zasoby, nie tylko proste linki, ale także np. obrazki. Jeśli strona nie będzie w pełni przygotowana do obsługi SSL, przykładowo – niektóre obrazki będą wczytywane po HTTP, a inne po HTTPS to w efekcie pojawi się błąd tzw. „mixed content” – czyli strona ma tylko część treści z HTTPS, a część z HTTP. Wówczas nie będzie uznana przez przeglądarkę za bezpieczną.

  6. Jorgy1990 pisze:

    Czy jeżeli przy instalacji wordpress zainstaluje go od razu jako https to będę musiał poprawiać wszystkie linki po dodaniu certyfikatu?

    1. Artur Pajkert pisze:

      Powinno działać od razu, jeśli od początku będzie stosowany HTTPS. Uwaga jednak – jeśli certyfikat wygaśnie, albo jeszcze nie będzie zainstalowany, a strona zostanie otwarta w HTTPS to wówczas przeglądarka wyświetli ostrzeżenie, że nie może nawiązać bezpiecznego połączenia. Ostrzeżenie oczywiście zniknie kiedy na serwerze zostanie zainstalowany certyfikat. Kiedy natomiast już mamy certyfikat i sam proces instalacji uruchamiamy już po HTTPS to powinno od razu dobrze działać.

  7. MartaD pisze:

    Wielkie dzięki za tą instrukcję! Poszło jak z płatka! 🙂

  8. GrzegoSz pisze:

    Bardzo dziękuję za pożyteczną i przejrzystą instrukcję – jako laik w tej dziedzinie poradziłem sobie z wprowadzeniem zmian. To się nazywa popularyzowanie wiedzy!

    1. Adrianna Szałańska pisze:

      Dziękujemy, staramy się dla Was 🙂

  9. Neli pisze:

    Dzień dobry, a mi coś padło:( Włączyłam Let’s Encrypt w panelu administarora. Zgodnie z instrukcją „W polach Adres WordPressa (URL) oraz Adres witryny (URL) zaktualizuj adresy używając przedrostka HTTPS i zapisz zmiany.” zmieniłam przedrostek, dałam zapisz, po czym strona padła:(
    Jedyne co widzę, to
    „404
    Not Found
    The resource requested could not be found on this server!”
    Bardzo proszę o pomoc, co mogło iść nie tak.

    1. Magdalena Paciorek pisze:

      jeśli sprawa dotyczy hostingu w cyber_Folks to najlepiej będzie skontaktować się z pomocą https://cyberfolks.pl/pomoc/, administratorzy pomogą rozwiązać ten problem. Wygląda to jakby certyfikat nie był poprawnie zainstalowany. W takim wypadku najlepiej będzie przywrócić adresy http a adres witryny i adres WordPressa. Z tym, że teraz można to zrobić tylko bezpośrednio w bazie danych. Poradnik jak to zrobić jest opisany na tej stronie https://www.wpbeginner.com/wp-tutorials/how-to-change-your-wordpress-site-urls-step-by-step/ w rozdziale Method 4.

      1. Neli pisze:

        Dziękuję bardzo:) Problem rozwiązany

  10. Krzysiek pisze:

    w kokpicie azobiłem pierwszy krok: aktualizacja wpisów url na https i wyrzuciło mi 404. Po próbie wejścia na stronę pisze:
    By zmienić‡ ta stronę, wyślij nowy index.html do katalogu private_html

    1. Magdalena Paciorek pisze:

      W pierwszej kolejności należy się upewnić czy mamy uruchomiony certyfikat SSL na naszym serwerze – https://cyberfolks.pl/pomoc/jak-uruchomic-certyfikat-ssl-lets-encrypt/. Następnie trzeba wykonać wszystkie kroki opisane w artykule. Jeśli nadal jest problem z certyfikatem to warto skontaktować się z pomocą, admini spojrzą co jest problemem i z pewnością będą w stanie pomóc.

  11. Jarek pisze:

    Super poradnik, kawał dobrej roboty. Wszystko zadziałało jak w zegarku.

    Bardzo dziękuje,
    Jarek

  12. Rafał pisze:

    Szok i nie dowierzanie! Dzięki Waszemu poradnikowi włączenie szyfrowania strony zajęło mi kilka minut i wszystko działa super 🙂

    Dziękuję bardzo za dokładny poradnik. Brawo! 🙂

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

Polecane dla Ciebie

Szukasz dalej?