🍪 Można ciasteczko?

Ta strona chce wykorzystywać pliki cookie do analizowania ruchu oraz mierzenia skuteczności i personalizacji reklam zgodnie z polityką prywatności. Zgadzasz się?

PORADNIKI

9 min. czytania

Jak uruchomić SSL, czyli HTTPS na stronie w WordPressie i nie tylko?

Mateusz Mazurek

Mateusz Mazurek

Przedsiębiorca internetowy. Wydawca i autor blogów. Od ponad 16 lat wymagający klient dziesiątek różnych firm hostingowych.

O mnie Kontakt

Jak włączyć certyfikat SSL w WordPressie (i nie tylko)? Jak włączyć darmowy SSL w DirectAdmin i cPanel oraz jak ustawić przekierowania?

Spis treści
Certyfikat SSL

Korzystanie z szyfrowanego połączenia, czyli z protokołu SSL staje się powoli standardem. Używają go już nie tylko witryny rządowe, instytucje finansowe czy sklepy, ale również serwisy informacyjne czy strony stanowiące wizytówkę firmy. Jak uruchomić SSL w WordPressie i na innej stronie? Jest to łatwiejsze niż może Ci się wydawać!

Przeczytaj: Co to jest certyfikat SSL i jak działa?

Płatny czy darmowy certyfikat SSL?

Być może jeszcze nigdy nie miałeś do czynienia z certyfikatem SSL, a przynajmniej nie rozumiesz tego pojęcia. O czym mowa? Otóż dzięki temu rozwiązaniu połączenie między urządzeniem internauty a Twoją stroną WWW jest szyfrowane. W praktyce oznacza to, że przesyłane dane nie mogą być zmienione ani przejęte, czyli są bezpieczne.

Jeśli wymagasz od użytkownika podawania informacji, tak jak to wygląda w przypadku choćby sklepów WWW, to powinieneś zapewnić szyfrowanie połączenia. Być może brak SSL nie będzie stanowić problemu dla nieświadomego użytkownika, ale ten, który rozumie, jak ważna jest taka ochrona, prawdopodobnie nie skorzysta z Twojej oferty – nie założy konta czy nie złoży zamówienia. To dosyć istotne rozwiązanie.

Po czym można poznać, że Twoja witryna nie korzysta z SSL? Takie strony są oznaczane przez przeglądarki. W przypadku Chrome np. w ten sposób:

Niezabezpieczona - strona nie używa SSL (przeglądarka Chrome)
Strona nie używa SSL (przeglądarka Chrome)

Zobacz też: Błąd „Połączenie nie jest prywatne” i „Połączenie nie jest bezpieczne”. Jak naprawić?

W praktyce brak SSL może przekładać się na niższą konwersję, wyższy wskaźnik odrzuceń, krótszy czas przebywania na stronie, a także na widoczność w wynikach organicznych Google, gdyż jest to jeden z czynników rankingowych. 

Certyfikaty SSL w polskim internecie - infografika

Zastanawiasz się, ile to musi kosztować? Otóż nic, ale jak najbardziej do wyboru masz też płatne rozwiązania. Możesz zdecydować się na jeden z trzech poziomów zabezpieczeń, mianowicie:

  • DV, czyli Domain Validation – weryfikacji podlega to, czy pod danym adresem rzeczywiście jest strona WWW.
  • OV, czyli Organization Validation – w tym przypadku poza domeną sprawdzana jest również firma, która wnioskuje o certyfikat.
  • EV, czyli Extended Validation – najwyższy poziom zabezpieczeń. W tym przypadku dochodzi już do kompleksowej weryfikacji. Kontrolowana jest domena, firma, która składa wniosek, jej istnienie pod danym adresem, status prawny i nie tylko. 

Do niektórych wymagań jest jeszcze Wildcard SSL, ale to inna historia.

O ile prowadzisz standardową stronę WWW, nie ma absolutnie podstaw do tego, żebyś inwestował w płatny certyfikat SSL, tym bardziej, że kosztuje on niemało. Zerknij na poniższy screen. W jednej z popularnych firm SSL EV kosztuje standardowo ponad 700 zł za rok! 

Płatny certyfikat SSL: ponad 700 zł rocznie
Płatny certyfikat SSL: ponad 700 zł rocznie

Chciałbym Ci przedstawiać Let’s Encrypt, czyli najpopularniejszy na świecie certyfikat SSL. Kiedyś argumentem przemawiającym za wyborem płatnego rozwiązania była konieczność ręcznego odnawiania Let’s Encrypt co 90 dni. Obecnie jednak może to się odbywać całkowicie automatycznie, czyli uruchamiasz SSL i nic więcej Cię już nie interesuje. Czy jednak jest to naprawdę dobre rozwiązanie? Może przekona Cię ponad 240 mln stron, które z niego korzystają. W ciągu kilku miesięcy ich liczba zwiększyła się o ponad 30 mln!

Darmowy SSL Let's Encrypt
Darmowy SSL Let’s Encrypt

Przeczytaj też: Płatny vs darmowy certyfikat SSL: FAKTY i MITY i Hosting z darmowym certyfikatem SSL

Jak uruchomić darmowy SSL?

Wiesz już, że bezpłatny certyfikat jest wystarczający w zdecydowanej większości przypadków. Teraz jeszcze musisz wiedzieć, jak go uruchomić. Na początek potrzebujesz hostingu, który umożliwi Ci korzystanie z tego protokołu bez żadnych opłat. Nie w każdym przypadku tak będzie, dlatego radzę Ci się zastanowić przed wyborem danej oferty – nie ma obecnie podstaw do tego, żeby płacić za SSL, bo zwyczajnie jest on dostępny za darmo u wielu cenionych marek hostingowych. Jednak korzystanie z niego może się odbywać na różnych zasadach. Możliwe, że:

  • SSL będzie automatycznie uruchamiane dla wszystkich stron WWW, które znajdują się na danym serwerze.
  • Włączenie certyfikatu będzie jedynie wymagało wyboru domen, w przypadku których chcemy z niego korzystać.
  • Aktywowanie SSL będzie się wiązało z odpowiednią konfiguracją rozwiązania w panelu zarządzania usługą.

Co ważne – SSL musi się odnawiać automatycznie, dlatego koniecznie sprawdź, czy tak jest, zanim się zdecydujesz na daną usługę. Można uznać, że jest to obecnie standard na rynku. Jeśli certyfikat wymaga ręcznego odnawiania, to zrezygnuj z takiego hostingu – bez problemów znajdziesz propozycję, w ramach której takiego dodatkowego obowiązku nie będzie. 

Uruchomienie SSL wymaga wprowadzenia pewnych zmian w systemie CMS Twojej strony. Pokażę Ci, jak to zrobić, jeśli korzystasz z systemu WordPress.

Włączenie SSL w Direct Admin

Żeby SSL działało, najpierw musisz je włączyć dla danej domeny, chociaż na niektórych hostingach jest ono uruchomione domyślnie dla wszystkich nazw. Jeśli masz wątpliwości, jak jest w Twoim przypadku, to dopytaj administratorów / support hostingu. Jeżeli musisz włączyć SSL ręcznie, podejmij następujące kroki:

  • Po zalogowaniu się do Direct Admin, wybierz daną domenę, a następnie „Ustawienia domen”. Niech opcje będą oznaczone tak, jak na poniższym screenie (szczególnie: „Użyj dowiązania symbolicznego private_html do public_html”). Twój widok w systemie Direct Admin może być nieco inny, ale wszystkie opcje powinny się znajdować w tych samych miejscach. 
Ustawienia domeny i SSL w DirectAdmin
Ustawienia domeny i SSL w DirectAdmin
  • W „Opcjach zaawansowanych” wybierz „Certyfikaty SSL”. Zaznacz „Utwórz swój własny certyfikat”. Kliknij „Darmowy certyfikat Let’s Encrypt” i „Zapisz”. Gotowe! Twoja strona powinna już działać z wykorzystaniem SSL. I prawie na pewno nie musisz już nic robić – certyfikat powinien się odnawiać automatycznie. Teraz musisz jeszcze sprawdzić, czy wszystko jest w porządku. 
Uruchomienie certyfikatu SSL Let's Encrypt w DirectAdmin
Uruchomienie certyfikatu SSL Let’s Encrypt w DirectAdmin

Włączenie SSL w cPanel

Wiesz już, jak włączyć SSL w systemie Direct Admin, ale pokażę Ci również, jak to zrobić w innym popularnym rozwiązaniu, czyli w cPanelu. Podejmij następujące kroki:

  • Zaloguj się do cPanel. Przejdź do sekcji „Zabezpieczenia”, a następnie znajdź i kliknij „SSL/TLS Status”. 
Zabezpieczenia i SSL w cPanelu
Zabezpieczenia i SSL w cPanelu
  • Zaznacz na liście te domeny, dla których chcesz włączyć SSL. Nad listą znajdziesz button „Uruchom automatyczne generowanie SSL”. 
Generowanie certyfikatu SSL w cPanelu
Generowanie certyfikatu SSL w cPanelu
  • Kiedy proces generowania SSL zostanie zrealizowany, to obok Twoich domen pojawi się zielona kłódka. Na tym skończy się Twoje zadanie. 

W Twoim panelu hostingowym może to wyglądać nieco inaczej. Dopytaj obsługę klienta swojego hostingu o to, jak samodzielnie włączyć SSL lub poproś ich o pomoc w tej kwestii – w końcu za to im płacisz 🙂

Uruchomienie SSL na WordPressie

Oczywiście, żeby https:// działało w przypadku danej domeny, najpierw musisz je uruchomić dla tej nazwy. Jeśli już to zrobiłeś i posiadasz stronę, która działa na systemie WordPress, to musisz jeszcze dokonać kilku modyfikacji. Oto, jakie kroki należy podjąć:

Krok 1: Zaloguj się do WordPressa i zmień http:// na https://

Po zalogowaniu się do panelu administracyjnego swojej strony WordPress kliknij „Ustawienia”, a następnie „Ogólne”. W polach „Adres witryny” i „Adres WordPress” powinny się one zaczynać od https:// – zmień je, żeby tak było i naciśnij „Zapisz zmiany”.

Adres strony zaczynający się od https:// w ustawieniach WordPressa

Krok 2: Zaktualizuj odnośniki bezpośrednie

W menu „Ogólne” kliknij „Bezpośrednie odnośniki”. Sprawdź, czy linki zaczynają się od http://, a jeśli tak, to kliknij „Zapisz zmiany”. 

Bezpośrednie odnośniki w WordPressie

Krok 3: Zaktualizuj adresy w bazie danych

Musisz podmienić adresy w bazie danych, żeby zaczynały się one od https://, a nie od http://. Zainstaluj wtyczkę Better Search Replace i ją włącz. Następnie wybierz „Narzędzia” i dalej „Better Search Replace”. W polu „Search for” wpisz: http://adrestwojejstrony.pl – czyli adres przed wdrożeniem certyfikatu, a w „Replace with”: https://adrestwojejstrony.pl – adres po jego wdrożeniu. Następnie zaznacz wszystkie tabele w „Select tabels”, a opcje poniżej niech będą wybrane tak, jak na poniższym screenie. Dalej kliknij „Run Search/Replace” – dojdzie wtedy do podmiany adresów na takie, które uwzględnią https://.

Uwaga: najlepiej, żebyś przed tą podmianą zrobił kopię zapasową bazy danych – na wszelki wypadek.

Wtyczka Better Search Replace w WordPressie

Krok 4: Usuń wtyczkę

Wtyczka Better Search Replace wymaga jednorazowego użycia, więc po skorzystaniu z niej możesz ją wyłączyć i usunąć z serwera. 

Usuwanie Better Search Replace w WordPressie

Krok 5: Dodaj przekierowanie w pliku .htaccess

Najłatwiej zrobisz to, korzystając z SFTP albo logując się do panelu administracyjnego hostingu. Znajdź „Menadżer plików” (w zależności od systemu nazwa może być inna), a następnie edytuj plik .htaccess, który znajduje się w katalogu głównym strony, tzn. w tym, w których jest plik wp-config.php. Dodaj na początku następujący kod przekierowania 301:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Dzięki temu, bez względu na to, jaki adres wpisze użytkownik, zostanie on przekierowany na wersję z https://.

Przekeirowani 301 na HTTPS w pliku .htaccess

I gotowe!

Sprawdź, czy SSL działa poprawnie

Żeby sprawdzić, czy SSL na pewno działa poprawnie, możesz skorzystać z narzędzi, które Ci to umożliwią:

Wynik sprawdzenia SSL - nie ma czym się przejmować
Wynik sprawdzenia SSL – nie ma czym się przejmować
Wynik sprawdzania SSL
Tu też wszystko OK
SSL działa poprawnie
SSL działa poprawnie

Dodaj do GSC domenę z https://

Wszystko działa jak należy? Zatem na koniec dodaj jeszcze w Google Search Console domenę z https://. Dla Google wersja z http:// i z https:// to jakby dwie różne strony. Zaktualizuj również mapy witryny – podmień linki tak, żeby znajdowały się tam te z https://. Do Google Search Console (dawnych Narzędzi dla Webmasterów Google) możesz dodać też całą domenę – bez względu na protokoły czy przedrostki.

Uaktualnij także adresy w innych usługach Google, m.in. w Ads i w Analytics. 

Możliwe błędy po wdrożeniu SSL

Bardzo częstym błędem, który może wystąpić po uruchomieniu SSL jest komunikat, iż nie wszystkie elementy zostały przesłane w sposób bezpieczny (tzw. mixed content).

Najczęściej w takich przypadkach chodzi o to, że nie podmieniłeś odnośników do plików w kodzie strony i np. jakiś obrazek jest wstawiony w treści artykułu z http://. To już wystarczy, żeby pojawił się poniższy komunikat. Zatem, jeśli pojawi Ci się taki błąd, to zacznij od sprawdzenia strony pod tym kątem. W przypadku gdy to nie pomoże, upewnij się, czy wykonałeś wszystkie kroki zgodnie z moją instrukcją. 

SSL a mixed content
SSL a mixed content

Pamiętaj też, że oprócz samego certyfikatu, warto wymusić na przeglądarkach korzystanie z niego za pomocą mechanizmu HSTS. Dodatkowo zabezpieczy to przed kilkoma rodzajami ataków na odwiedzających Twoją stronę WWW.

SSL jest niezbędne, a jego wdrożenie wcale nie jest trudne. W przypadku jakichkolwiek problemów z uruchomieniem szyfrowanego połączenia zwróć się do swojej firmy hostingowej. 

Sprawdź też: Jak zabezpieczyć WordPressa? Instrukcja