SSL tanúsítvány, https beállítása WordPress-ben

A Google Chrome (56-os és újabb verziók) 2017 januárjától „Nem biztonságos” oldalként jelöli meg a jelszavakat, információkat gyűjtő weboldalakat, kivéve, ha az oldal kiszolgálása HTTPS (Hyper Text Transfer Protocol Secure) kapcsolaton keresztül történik.

Mit jelent ez?

A Google Chrome böngésző meg fogja jelölni “nem biztonságos” címkével a weboldalt, ha azon bármilyen személyes és/vagy érzékeny adatok bekérése történik.

Idővel negatív megítélése lesz a Google rangsorolás szempontjából is annak, ha http kezdetű weboldalt üzemeltetünk.

Mi a megoldás?

A https tanúsítvány megoldást nyújthat, ez titkosítással garantálja a szerver és a felhasználó böngészője között mozgó adatok biztonságát. SSL tanúsítványokból van ingyenes és fizetős. Érdemesebb egy fizetős változatot beszerezni, de pl. egy kisebb forgalmú, bemutatkozó oldalhoz elegendő lehet egy ingyenes változat.

Hogyan lehet tanúsítványt szerezni?

  • A legismertebb – ingyenes szolgáltatás – a Let’s encrypt, amelynek a szponzorai pl. a Google, Facebook, Sucuri, Mozilla, Cisco. Itt lehet igényelni a tanúsítványt, amit aztán a tárhelyre kell telepíteni.
  • cPanelen keresztül is telepíthető.
  • Esetleg nem kell telepíteni semmit, mert a szolgáltató automatikusan megcsinálta.

Ha a tárhely telepítette az SSL tanúsítványt

Ezt több helyen is lehet ellenőrizni, pl. itt. Ha a tárhelyre telepítettek ingyenes tanúsítvány, akkor nagyon egyszerűen lehet aktiválni a WordPress alapú weboldaladon a https kezdetű url-eket.

ELŐSZÖR KÉSZÍTSÜNK BIZTONSÁGI MENTÉST A WEBOLDALRÓL!

1. A “Beállítások” => “Általános” menüpont alatt a “WordPress cím” és “Honlap cím” mezőkben írjuk át a weboldal címét http:// helyett https:// kezdetűre. Ha kiléptet a rendszer, nem kell megijednünk, lépjünk vissza.

2. Telepítsük a “Really Simple SSL” bővítményt.

Really Simple SSL - WordPress bővítmény

Aktiválás után egy gombnyomással – “Go ahead, activate SSL!” – meg is lehet csinálni a működéshez szükséges beállításokat.

A bővítmény beteszi a szükséges sorokat a .htaccess és a wp-config.php fájlba is. Megoldja az ún. mixed-content problémát, azaz a weboldalon lévő http:// url-eket kicseréli https:// kezdetűre a html kimenetben. Így az adatbázisban történő automatizált url-cserék nélkül történik meg a https-re való átállás.

Előfordulhat, hogy ennek ellenére kiírja a böngésző, hogy biztonságos a weboldal, de a címsor jobb oldalán egy piros X jellel jelölt pajzsot látunk. Ez azt jelenti, hogy még mindig található olyan elem a weboldalon, ami http://-vel kezdődik.

A böngészőben a Vizsgálat/Network alatt látható, hogy mi okozza a problémát. Ez általában a stíluslapban található, pl. egy Google Fonts betűtípus importálása. A megoldás nagyon egyszerű: írjuk át https-re a css fájlban az importált betűtípus elérhetőségét.

Ha nem akarunk a forráskódban http-ről betöltött tartalmak után kutatni, akkor használjuk a Why No Padlock oldalt. A https domain címünk megadása után kapunk egy listát, hogy melyik elemek töltődnek be még mindig http-ről, és azt is láthatjuk, hogy hol találjuk meg ezeket az elemeket. Nagyon hasznos eszköz.

3. Ha a weboldal tartalmában a saját url-ek között van még http-vel kezdődő és ezt jelzi a böngésző, akkor telepítsük a Better Search Replace bővítményt, amellyel az adatbázisban ki lehet cserélni a http url-eket https-re. Ne feledkezzünk meg előtte a biztonsági mentésről!

4. Google Analytics, Webmester Eszközök.

Ha a weboldal már https-vel működik, akkor a Google Analytics felületén is át kell állítani a http-t https-re (az “Alapértelmezett URL” résznél).
A Google Webmester Eszközökben a weboldal https-es verzióját is fel kell venni a weboldalak közé, a http verziót nem kell törölni.
A Google Search Console-ben az új https weboldalt új tulajdonként fel kell venni. Az ezt megelőző adatok a régi http-s oldalakon láthatók, az átállás utáni adatok az új oldalakon.