Chciałbyś przenieść swoją domenę z HTTP na HTTPS i zainstalować certyfikat SSL? Od 2018 wszystkie witryny bez protokołu SSL są oznaczane jako niezabezpieczone. Z tego artykułu dowiesz się jak prawidłowo przenieść domenę na HTTPS i zainstalować certyfikat SSL.
Co to jest SSL?
SSL ( Secure Sockets Layer) – to standardowa technologia zabezpieczeń, która tworzy szyfrowane połączenie miedzy serwerem (hostingiem), a przeglądarką. Dzięki temu wszystkie dane przekazywane miedzy serwerem, a przeglądarką są bezpieczne. Jest to szczególnie istotne kiedy użytkownik na Twojej stronie wprowadza dane do formularza i dalej przesyła je na serwer.
Certyfikaty SSL mają parę kluczy: klucz publiczny i prywatny. Te klucze współpracują ze sobą w celu ustanowienia szyfrowanego połączenia.
Pierwszą rzeczą jaką musisz zrobić, aby zabezpieczyć swoją stronę to instalacja certyfikatu SSL i zmiana wszystkich adresów z HTTP na HTTPS. Jeśli SSL jest zainstalowany i skonfigurowany poprawnie, pojawi się ikonka kłódki, a adres będzie zaczynał się od HTTPS, zamiast HTTP. Strona bez zainstalowanego certyfikatu SSL jest oznaczona jako „niezabezpieczona”.
Co to jest HTTPS?
Bezpieczny protokół przesyłania hipertekstu (HTTPS) to bezpieczna wersja protokołu HTTP , który jest podstawowym protokołem używanym do przesyłania danych między przeglądarką internetową a witryną. HTTPS jest szyfrowany w celu zwiększenia bezpieczeństwa przesyłania danych.
Nie można po prostu zmienić adresów z HTTP na HTTPS ponieważ wymagany jest aktualny certyfikat SSL.
Rodzaje certyfikatów
- Certyfikaty klasy DV (Domain Validation) – Podstawowy certyfikat w którym weryfikuje się jedynie domenę, a nie dane firmy. Umożliwia ochronę transmitowanych danych.
- Certyfikaty klasy OV (Organization Validation) – Rozszerzony rodzaj uwierzytelniania. Zapewnia ochronę transpirowanych informacji w domenie, podobnie jak w DV. Do wydania takiego certyfikatu będą już potrzebne dane firmy wnioskującej.
- Certyfikaty klasy EV (Extended Validation) – To rodzaj certyfikatu o pełnym uwierzytelnianiu, jest to najsilniejsza forma zabezpieczenia strony. Widoczna jest od razu nazwa firmy i zielony pasek w przeglądarce. Przed wydaniem certyfikatu, firma i strona poddane są dokładnej weryfikacji.
Jakie dane chroni SSL?
- dane osobowe takie jak: numery dowodów osobistych, pesele, numery telefonu, adresy;
- transakcje pieniężne;
- przelewy i zakupy, m.in. numery i daty ważności kart płatniczych;
- hasła i loginy;
- wszelkie wiadomości z formularzy kontaktowych.
SSL a pozycjonowanie
Google ogłosiło już w 2014 roku, że posiadanie certyfikatu SSL będzie miało wpływ na pozycję. Google bardzo dużą uwagę zwraca na bezpieczeństwo i dąży do tego, aby wszystkie strony używały HTTPS. Niezależnie od tego czy posiadasz prostego bloga czy sklep internetowy, powinieneś zainstalować SSL. Prócz korzyściami SEO, zyskasz również większą wiarygodność wśród swoich użytkowników.
Skąd wziąć certyfikat SSL?
Wybierając jeden z tych hostingów masz w pakiecie bezpłatny certyfikat SSL od Let’s Encrypt. To wystarczające zabezpieczenie dla start upów, blogów i małych stron. Jeśli prowadzisz bardziej rozbudowaną stronę czy duży sklep internetowy to najlepszym wyjściem będzie zakup odpowiedniego certyfikatu u swojego hostingodawcy. Jeśli nie jesteś pewien jaki certyfikat powinieneś wybrać dla siebie to napisz do supportu.
Po uruchomieniu certyfikatu na swojej domenie będzie wymagana odpowiednia konfiguracja na Twojej stronie WordPress.
WAŻNE: Przed jakimikolwiek zmianami pamiętaj o wykonaniu kopii zapasowej. Możesz do tego użyć wtyczki Updraft Plus
Przed instalacją zmień linki z HTTP na HTTPS!
W tym celu przejdź do swojego kokpitu WordPress i zainstaluj wtyczkę Better Search Replace.
Przejdź do Narzędzia > Better Search Replace
Teraz musisz zamienić wszystkie linki w bazie danych z http na https. Wpisz w Search for http://nazwatwojejdomeny.pl, a w Replace with ( zamień na): https://nazwatwojejdomeny.pl. Zaznacz wszystkie tabele (ctrl + A) i kliknij Run Search/Replace.
Wskazówka: Po zmianie adresów na HTTPS możesz usunąć wtyczkę Better Search Replace.
Jak zainstalować certyfikat SSL za pomocą wtyczki? – Sposób 1 dla początkujących
To najprostsza metoda dla początkujących jednak ma swoją cenę. Wtyczka naprawia problem z mieszaną zawartością poprzez wykrywanie na bieżąco adresów z HTTP i zamienia na HTTPS. Może to jednak spowalniać działanie strony ponieważ wszystko odbywa się przy każdorazowym ładowaniu witryny.
Metoda manualna bez użycia wtyczki jest znacznie bardziej rekomendowana.
Krok 1 – Zaloguj się do WordPress i przejdź do wtyczek
- Zaloguj się do pulpitu WordPress i kliknij Wtyczki w menu po lewej stronie.
- Kliknij Dodaj nowy u góry ekranu.
Krok 2 – Zainstaluj Really Simple SSL
- Wpisz Really Simple SSL w polu wyszukiwania.
- Kliknij Zainstaluj teraz, aby zainstalować wtyczkę.
- Aktywuj wtyczkę
Krok 3 – Aktywuj SSL
Wtyczka powinna automatycznie wykryć SSL na Twojej stronie.
Krok 4 – Gotowe!
Wszystko gotowe! Otwórz witrynę w przeglądarce i sprawdź, czy widzisz zieloną kłódkę.
Uwaga: Pomimo tego iż wtyczka sugeruje, że możesz ją dezaktywować – nie rób tego. Wtyczka musi być cały czas aktywna, aby nie pojawił się problem mieszanej zawartości.
Jak włączyć certyfikat SSL manualnie? Sposób drugi (zalecany)
To najbardziej właściwa metoda uruchomienia SSL w witrynie, ponieważ jest niezależna od jakiejkolwiek wtyczki i nie spowalnia ładowania strony.
KROK 1 – Aktualizacja adresu
Przejdź do Ustawienia > Ogólne. W obu polach zmień HTTP na HTTPS i zapisz zmiany.
KROK 2 – Przekierowanie 301 w .htaccess
- Zaloguj się do FTP swojego hostingu
- Pobierz plik .htaccess
- Za pomocą Notepad++ wklej taki kod:
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </IfModule>
- Zapisz plik i wgraj na serwer
Uwaga! Jeśli jeszcze tego nie zrobiłeś to użyj wtyczki Better Search Replace. Wszystko zostało opisane powyżej.
KROK 3 – Sprawdź
Upewnij się, że wszystko działa poprawnie, w pasku adresu powinna pojawić się ikona kłódki świadcząca o tym, że wszystko jest okej.
Aktualizacja adresów w Google Search Console i Google Analytics
Zaktualizuj adres w Google Analytics oraz Google Search Console, ponieważ https jest postrzegany jako oddzielna strona.