Tomasz Szulborski

Zabezpiecz swojego WordPressa certyfikatem SSL

Certyfikat SSL jest obecnie standardem na każdej stronie, której administrator dba o bezpieczeństwo danych swoich użytkowników. Użytkownicy coraz częściej zwracają uwagę na to, czy strona jest odpowiednio zabezpieczona. Strony z certyfikatami mogą być również lepiej widziane przez silniki wyszukiwarek internetowych. Dodatkowo – autorzy przeglądarek internetowych podjęli kroki aby wymusić na właścicielach witryn stosowanie certyfikatów. Przeglądarki ostrzegają użytkowników o niezabezpieczonych stronach, na których konieczne jest wypełnienie jakiegoś formularza.

Decyzja o użyciu certyfikatu wydaje się jasna. Prawdopodobnie za kilka lat – nie zobaczymy już w Internecie stron bez certyfikatów. Zatem – mamy już nasz certyfikat i co teraz? W pierwszej kolejności należy zainstalować certyfikat na swoim hostingu. Nie powinno to sprawić żadnego problemu, gdyż taka operacja zwykle sprowadza się do wklejenia certyfikatu w odpowiednie pola w panelu administracyjnym naszego operatora. To jednak nie wystarczy – należy jeszcze odpowiednio skonfigurować naszą witrynę.

Dlaczego ważna jest konfiguracja strony?

Jeśli pominiemy konfigurację WordPressa – może być tak, że część stron będzie poprawnie zabezpieczona certyfikatem, część natomiast nie. Dodatkowo – strona może być dostępna jednocześnie bez certyfikatu, jak i z certyfikatem. Taka sytuacja sprawia, że nasz certyfikat nie powoduje lepszego zabezpieczenia strony, a użytkownicy nie wiedzą co się dzieję. Naszą intencją jest, aby wszystkie strony były poprawnie zabezpieczone szyfrowanym połączeniem z serwerem. Jeśli ktoś będzie próbował wejść na wersję strony bez certyfikatu – zostanie automatycznie przekierowany.

Konfigurujemy WordPressa

Jeśli mamy zainstalowany certyfikat na serwerze – przechodzimy do konfiguracji strony.

Aktualizujemy adres strony

W pierwszej kolejności należy dokonać aktualizacji adresu strony. W tym celu – przechodzimy do zakładki “Ustawienia” i klikamy na “Ogólne”. W polach “Adres WordPressa” i “Adres witryny” uzupełniamy nasz adres o przedrostek “https”.

Dodajemy przekierowanie w .htaccess

Następnie należy zadbać o to aby cały ruch został przekierowany na wersję strony zabezpieczonej certyfikatem. Najlepiej dopisać jest poniższe 3 linijki do pliku .htaccess. Plik znajduje się w głównym katalogu strony. Zmiany w pliku można dokonać poprzez File Manager operatora hostingu, bądź też – edytując plik poprzez FTP.

RewriteEngine on
RewriteCond %{SERVER_PORT} ^80$
RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]

Poniżej zrzut ekranu z domyślną zawartością pliku .htaccess oraz wprowadzonymi zmianami.

Aktualizujemy odnośniki do treści w bazie WordPressa

Na koniec – musimy zmienić wszystkie wewnętrzne odnośniki witryny, tak aby wykorzystywały protokół https. Oczywiście – możemy przejrzeć wszystkie artykuły na naszej stronie i zaktualizować to ręcznie. Są jednak lepsze metody. Do tego celu – sugeruję wykorzystać wtyczkę “Better Search Replace”. W celu instalacji – przechodzimy do panelu administracyjnego WordPressa, a następnie na zakładkę – „Wtyczki” i klikamy „Dodaj nową”. W polu „Szukaj wtyczek” wpisujemy „Better Search Replace”, klikamy „Zainstaluj teraz”, a po zakończeniu instalacji „Aktywuj”.

Aby użyć wtyczki przechodzimy do zakładki “Narzędzia” – “Better Search Replace”.

W polu “Search for'” podajemy nasz aktualny adres strony poprzedzony przedrostkiem http, w polu “Replace with” – podajemy ten sam adres – jednak z przedrostkiem https. Następnie zaznaczamy wszystkie elementy w polu “Select tables” oraz odznaczamy opcję “Run as dry run?”. Na koniec klikamy “Run Search/Replace”. Po chwili zawartość naszej bazy zostanie zaktualizowana.

To tyle. Po wykonaniu wszystkich operacji – możemy się cieszyć poprawnie skonfigurowaną stroną, zabezpieczoną protokołem SSL.

      

O autorze Pokaż wszystkie posty

Tomasz Szulborski