Możemy wyróżnić trzy główne metody jak uruchomić certyfikat SSL w WordPress.
Pierwszą z nich jest użycie wtyczki Really Simple SSL. Jest to rozwiązanie prostsze, ale niestety niepozbawione wad. W zasadzie wystarczy zainstalować i uruchomić wtyczkę. Jednak jak to zwykle w takich sytuacjach bywa, wpływa to negatywnie na szybkość działania strony. Jeśli nie jest to dla Ciebie istotny element i chcesz po prostu szybko uruchomić certyfikat SSL, możesz skorzystać z tej metody. Nie jest ona jednak zalecana.
Drugą, lepszą metodą, jest ręczne włączenie SSL. Owszem, wymaga to więcej pracy. Musimy ingerować w pliki i “pobrudzić” sobie ręce kodem. Wydaje się to trudne, ale z przedstawionym niżej poradnikiem, ogranicza się w zasadzie do zwykłego kopiuj-wklej.
Trzecią metodą jest włączenie opcji w panelu DirectAdmin, która wymusza przekierowanie witryny z protokołu http na https.
W przypadku prostych stron opartych o WordPressa ta metoda może być wystarczająca. Jeśli posiadasz bardziej skomplikowaną witrynę WordPress, przekierowanie w ten sposób może okazać się niewystarczające. W takim wypadku należałoby skorzystać z innych opcji opisanych w poradniku.
Metoda I – wtyczka Really Simple SSL
Jak to zwykle bywa w przypadku WordPressa, wszystko można zrobić odpowiednią wtyczką. Jeśli chodzi o uruchomienie certyfikatu SSL w WordPress, wybór jest prosty – darmowa wtyczka Really Simple SSL. Jak reklamują jej twórcy, wystarczy posiadać certyfikat SSL, a ona zrobi resztę. Wtyczka przy każdym ładowaniu strony wykrywa elementy ładowane przez HTTP i zamienia ich adres na pożądany przez nas z bezpiecznym protokołem HTTPS. Rozwiązuje to wiele problemów, jak choćby ten z mieszaną zawartością, ale potrafi spowolnić działanie strony.
Instalacja wtyczki
Instaluje się ją jak każdą inną wtyczkę na WordPress. Najprostszym sposobem, aby to zrobić jest przejście do panelu administratora, a następnie do Wtyczki > Dodaj nową. W wyszukiwarce po prawej stronie wpisz “Really Simple SSL”. Wtyczka powinna pojawić się na liście.
Aktywacja wtyczki
Kliknij Zainstaluj teraz, a następnie Aktywuj. Na stronie pojawi się okno Really Simple SSL, które pozwoli uruchomić certyfikat SSL w WordPress. Przed tym krokiem warto zrobić backup strony. Wtyczka jest popularna i działa dobrze, ale potrafi sprawić, że na wszystkich stronach pojawi się błąd 404. Zazwyczaj wynika to z użycia innych wtyczek lub dodatkowych zabezpieczeń. Całą listę przeciwwskazań znajdziesz na oficjalnej stronie wtyczki.
Jeśli wszystko jest gotowe, możesz kliknąć przycisk “Dalej, aktywuj SSL!”. Prawdopodobnie zostaniesz wylogowany z panelu admina WordPress. Zaloguj się więc ponownie.
Wtyczka Really Simple SSL nadpisuje ustawienia bezpośrednich odnośników. Warto więc na koniec przejść do Ustawienia > Bezpośrednie odnośniki i zapisać zmiany. Nadpisze to strukturę odnośników po instalacji certyfikatu SSL.
I to tyle. Masz uruchomiony certyfikat SSL na stronie WordPress. Jeśli obawiasz się o szybkość działania strony, wtyczka umożliwia zablokowanie w ustawieniach części jej funkcjonalności.
Metoda II – Ręczne włączenie SSL w WordPress
Jeśli chce się coś zrobić porządnie, warto zakasać rękawy i zrobić to własnoręcznie. Tak samo jest w tym przypadku. Ręczne włączenie SSL jest pewniejsze, nie uzależni działania strony od żadnej wtyczki, a dodatkowo pozwoli uniknąć spowolnienia strony. Etapów jest kilka, więc omówmy je krok po kroku.
Aktualizacja adresów URL w ustawieniach WordPressa
Zacznijmy od najprostszego. Przejdź do panelu administratora, a następnie do Ustawienia > Ogólne. W polach Adres WordPressa (URL) oraz Adres witryny (URL) zaktualizuj adresy używając przedrostka HTTPS i zapisz zmiany.
Przekierowanie w pliku .htaccess
Następnym krokiem jest stworzenie przekierowania 301 w pliku .htaccess. Musisz się do niego dostać. W tym celu wykorzystaj klienta FTP (np. FileZilla lub Total Commander) i zaloguj się na swój hosting. Przejdź do głównego folderu WordPress, znajdź i otwórz plik „.htaccess”.
Na samym początku pliku dodaj następujący kod:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>Na koniec zapisz plik.
Jeśli korzystasz z hostingu cyber_Folks, możesz dodać ten kod jeszcze prościej. Wystarczy zalogować się do panelu Direct Admin, wejść w Manager Plików i kliknąć w ikonę edycji przy pliku .htaccess.
Pojawi się okno edycji pliku. Wystarczy, że wkleisz tam podany wcześniej kod i klikniesz przycisk Zapisz.
Aktualizacja odnośników
Pomimo wcześniejszych działań, część odnośników wciąż może otwierać się z niezabezpieczonym protokołem HTTP. Jest to problem mieszanej zawartości. Część odnośników będzie zabezpieczona, dla innych wciąż będzie się jednak pojawiał komunikat o braku zabezpieczenia. Można na to jednak w dość prosty sposób zaradzić.
Zacznijmy od bazy danych. Nawet przy ręcznym sposobie nie unikniemy użycia wtyczki. Tym razem będzie to jednak jednorazowe użycie, które nie wpłynie na szybkość działania strony. Tak jak w poprzedniej metodzie, przejdź do panelu administratora, a następnie do Wtyczki > Dodaj nową. W wyszukiwarce po prawej stronie wpisz “Better Search Replace”. Wtyczka powinna pojawić się na liście.
Kliknij Zainstaluj teraz, a następnie Aktywuj. Po włączeniu wtyczki przejdź do Narzędzia > Better Search Replace. W zakładce Search/Replace możesz podmienić wszystkie odnośniki w bazie danych. Potem w polu Search For wpisz adres Twojej strony z HTTP. W polu Replace With wpisz adres Twojej strony z HTTPS.
Zaznacz wszystkie tabele (Select tables), zaznacz opcję Replace GUIDs, odznacz Run as dry run i kliknij w Run Search/Replace. Wtyczka sama podmieni wszystkie adresy z HTTP na HTTPS. Po tych działaniach możesz wyłączyć i usunąć wtyczkę. Jej działanie było jednorazowe i nie ma potrzeby, aby była cały czas włączona.
Problem z mieszaną zawartością może dotyczyć także motywu lub innych wtyczek. Należy to jednak do rzadkości. Jeśli wtyczka lub motyw były tworzone zgodnie z właściwymi praktykami, nie powinno być żadnych problemów. Gdy coś takiego się wydarzy, skontaktuj się z twórcą wtyczki/motywu. Jeśli nie masz takiej możliwości, warto zastanowić się nad poszukaniem lepszej alternatywy.
Metoda III – zmiana w Direct Admin
- Zaloguj się do panelu administracyjnego hostingu: https://cyberfolks.pl/pomoc/logowanie-sie-do-panelu-administracyjnego/
- Na liście domen znajdź i kliknij domenę, w której chcesz wykonać zmianę.
- W sekcji „Bezpieczeństwo” kliknij opcję „Certyfikaty SSL”.
- Jeśli dla domeny aktywny jest certyfikat SSL, można ustawić przekierowanie na https zaznaczając checkbox przy opcji „Wymuś przekierowanie strony na https” w sekcji „Ustaw przekierowanie na HTTPS”. Aby zapisać zmiany, należy kliknąć „Zapisz zmianę przekierowania”
- Zweryfikuj działanie witryny, najlepiej w oknie prywatnym przeglądarki.
Uwaga #1!
Jeśli po aktywowaniu tej opcji pojawią się jakiekolwiek problemy ze stroną, można tę opcję dezaktywować odznaczając checkbox i klikając „Zapisz zmianę przekierowania”
Uwaga #2!
Jeśli po aktywowaniu przekierowania witryna nadal nie wczytuje się jako zabezpieczona, najpewniej wymaga dodatkowej konfiguracji. Zachęcamy w takim przypadku do skorzystania z Metody I lub II.
Dobra praktyka na koniec
Niezależnie od wybranej metody, dobrą praktyką w przypadku uruchomienia certyfikatu SSL na stronie WordPress jest poinformowanie Google o zmianach poprzez dodanie nowej wersji strony do Google Search Console. Dlaczego nowej? Z technicznego punktu widzenia strona w wersji HTTPS jest jej oddzielną wersją.
