Ta strona używa cookies
sprawdź politykę prywatności

Rozumiem

Jak zainstalować certyfikat SSL na Wordpres’ie? Http na Https.

23/1/2019
Bartek Cis

Jeśli planujesz przenieść swoją stronę lub bloga z http do https i potrzebujesz pomocy, to ten wpis jest dla Ciebie. Opisuje to krok po kroku.

Czego się dzisiaj dowiesz?

Na początku opiszę jaka jest różnica miedzy HTTP i HTTPS oraz dlaczego chcesz używać tego drugiego na swojej stronie lub blogu.

W drugiej części artykułu krok po kroku jak wykonać migrację bloga lub innej strony bazującej na WordPress’ie z HTTP do HTTPS.

Spokojnie, nie musisz mieć wiedzy programistycznej aby poradzić sobie z tym zadaniem 🙂

Jak działają aplikacje internetowe?

Współczesne aplikacje internetowe działają na zasadzie komunikacji między klientem a serwerem. Te dwa komputery wysyłają między sobą dane.

Klient to jest Twój komputer a przeglądarka internetowa jest aplikacją która prowadzi komunikację z serwerem.

Serwer to komputer działający gdzieś w sieci na którym przechowywane są dane potrzebne do tego aby wyświetlić i poprawnie obsłużyć stronę/aplikację w internecie. Jeśli chcesz dowiedzieć się więcej na temat działania sieci sprawdź jeden z moich poprzednich wpisów.

Protokół HTTP

Jest to mechanizm odpowiadający za to aby dane które wychodzą z Twojego komputera ( np. wypełniony formularz internetowy z poufnymi danymi kontaktowymi ) dotarły na określony serwer. Na serwerze są odpowiednio przetwarzane i otrzymujesz konkretną odpowiedź np. wszystko jest ok lub coś poszło nie tak i spróbuj ponownie.

Wyobraź sobie, że jedziesz autem a w bagażniku wieziesz jakieś cenne przedmioty. Ktoś może Cię zatrzymać np. policjant lub jakiś gangus i po otworzeniu Twojego bagażnika doskonale wie co przewozisz. Nie to, żebyś miał/a coś do ukrycia ale chyba cenisz sobie prywatność?

Ta droga którą jedziesz to sieć/internet, Twoje dane to cenne przedmioty a ten kontroler to niepowołana osoba może te dane poznać. Protokół HTTP ma to do siebie, że te dane są pięknie poukładane i bardzo łatwo sprawdzić co tam wysyłasz. Wystarczy przechwycić pakiet z danymi w sieci.

Protokół HTTPS

Aby zwiększyć bezpieczeństwo wprowadzono szyfrowanie danych w sieci. HTTPS obsługuje tą zaszyfrowaną komunikację. Serwer je odbiera, odszyfrowuje i odpowiednio przetwarza.

Obsługą tej zaszyfrowanej komunikacji zajmuje się certyfikat SSL. Teraz każdy kto zechce skontrolować Twój bagażnik zobaczy tylko masę berbeluchów, brudnych ubrań, resztek po jedzeniu. Nie zorientuje się, że w tym bałaganie leżą cenne przedmioty a nawet jeśli będzie miał takie podejrzenie to najprawdopodobniej machnie ręką żeby się nie męczyć.

Dlaczego chcesz używać HTTPS?

Skoro wiesz już mniej więcej jak to działa to możesz się zapytać po co Ci to? Są conajmniej 2 powody:

  • Zwiększasz wiarygodność swojej marki i ludzie są bardziej skłonni Ci zaufać. Rozumieją, że ich dane są bezpieczniejsze.
  • Jesteś lepiej pozycjonowany w Google i strona pojawia się wyżej w wynikach wyszukiwania.

Jak przenieść bloga w WordPress z HTTP do HTTPS?

Definicje

Tutaj się zatrzymam i chcę abyś rozumiał 3 pojęcia:

Domena

To nazwa www Twojej strony np. http://jaiswiat.pl. Musisz mieć uprawnienia administratora tej domeny i mieć dostęp do odpowiedniego panelu.

Domena musi być przypisana do serwera i jeżeli Twoja strona aktualnie działa to ten krok masz z głowy.

Serwer

To komputer na którym przechowywane są dane Twojej strony. Również musisz mieć uprawnienia administratora i dostęp do odpowiedniego panelu.

Certyfikat SSL

To oddzielna usługa zapewniająca szyfrowanie danych. Kupuje się ją oddzielnie i też potrzebujesz dostępu do administratora tego certyfikatu.

Integracja

Jeżeli zakupiłeś wszystkie 3 usługi u jednego dostawcy sprawa jest ułatwiona. Jeśli tak nie jest to trzeba to wszystko zintegrować razem.

W przypadku tego artykułu wszystkie trzy pochodzą od innego dostawcy więc będzie ciekawie 🙂

Migracja bloga

Być może nie planowałeś/aś od początku używać bezpiecznej certyfikowanej witryny używającej SSL bo np. był to dodatkowy koszt i wysiłek aby to wdrożyć. Teraz chcesz to zmienić. Wykonaj następujące kroki:

1. Zrób kopię zapasową bloga

W razie gdyby coś poszło nie tak musisz mieć kopię zapasową aby przywrócić bloga do poprzedniego stanu.

Możesz to zrobić za pomocą gotowych pluginów gdzie załatwia się wszystko kilkoma kliknięciami. Ja używam do tego Updraft.

2. Kup certyfikat SSL

Można to zrobić już od ok. 15PLN za rok. Do przykładowych sprzedawców należą np. nazwa.pl, kei.pl lub home.pl. Jeśli chcesz poznać ofertę innych dostawców zapytaj się Google 🙂

3. Wygeneruj Klucz Prywatny i CSR

To jest bardzo ważny etap. Jeśli go nie wykonasz, to uda Ci się zainstalować certyfikat na swoim serwerze jednak przez serwisy zewnętrze będzie uważany jako Self-signed SSL. Co to oznacza?  Agregaty treści czy serwisy takie jak np. Facebook czy Twitter nie będą ufać Twojej stronie i będą blokować jej treści. Tego nie chcesz…

Wygenerować Klucz Prywatny i CSR możesz na swoim serwerze przy użyciu odpowiedniej komendy (lub inaczej w zależności od dostawcy). To jest trudniejszy sposób więc po prostu skorzystaj np. z TEGO serwisu.

Wpisz nazwę swojej domeny, podaj wymagane dane i tyle! Potem skopiuj zawartość Klucza i CSR na dysk i przechowuj w bezpiecznym miejscu.

4. Aktywacja certyfikatu

Zaloguj się do panelu konta z którego kupiłeś certyfikat. Przejdź do zakładki SSL, znajdź zakupiony certyfikat. Powinna tam być możliwość aktywacji.

W odpowiednim polu podaj wygenerowane wcześniej Klucz Prywatny i CSR. Jeśli tego nie zrobisz to automatycznie wygenerujesz te dwa pliki to Twój certyfikat będzie Self-signed i nie będzie spełniał swojej funkcji. 

Na tym etapie musisz przypisać certyfikat do danej domeny. Jeżeli Twoja strona to www.sklep.pl to wpisz w odpowiednim polu sklep.pl

Aktywacja przez maila

Aby potwierdzić, że jesteś właścicielem domeny zostanie wysłany email na konto pocztowe przypisane do tej domeny czyli np. admin@sklep.pl

Nie ma takiej skrzynki pocztowej!

Jeżeli nie masz takiej skrzynki która jest potrzeba do aktywacji bo używasz np. kontakt@sklep.pl to musisz taką skrzynkę utworzyć.

Zaloguj się na konto Twojego serwera i stwórz nową skrzynkę pocztową o odpowiedniej nazwie.

Aktywacja

Jeśli wszystko się zgadza to aktywuj certyfikat, potwierdź to w odpowiednim mailu i sprawa gotowa.

5. Pobierz pliki certyfikatu

Aktywowany certyfikat powinien składać się z kilku plików które należy pobrać. Najważniejsze to “Klucz prywatny” i “Certyfikat”. Pobierz te pliki w formacie .txt. Panel z serwisu home.pl może wyglądać tak:

6. Zainstaluj certyfikat na serwerze

Jeśli poprawnie przypisałeś/aś certyfikat do strony i pobrałeś je na dysk czas aby go zainstalować na serwerze.

Zaloguj się jako administrator na serwerze i znajdź zakładkę SSL i aktywne strony www (wykazane według adresu IP).

Przykładowy panel w serwisie maydevil.net:

Następnie znajdź kliknij w adres IP domeny która Cię interesuję i znajdź opcję ‘Dodaj certyfikat’:

W odpowiednie pola wgraj pliki certyfikatu i Klucz Prywatny które są już ściągnięte na dysk Twojego komputera.

Jest też coś takiego jak certyfikat pośredni. Jest on w osobnym pliku niż certyfikat główny i niektóre strony mogą mieć problem z tym, jeśli wgrasz tylko główny. Możesz (ale nie musisz) skopiować certyfikat pośredni do pliku certyfikatu głównego według schematu:

-----BEGIN CERTIFICATE-----

ZAWARTOŚĆ CERTYFIKATU GŁÓWNEGO

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

ZAWARTOŚĆ CERTYFIKATU POŚREDNIEGO

-----END CERTIFICATE-----

Następnie dodaj certyfikat. Jeśli wszystko zostało zrobione poprawnie to w tym miejscu już skończyliśmy.

7. Zmień ustawienia w WordPress

Zaloguj się do panelu administratora w WordPresie:

I w zakładce Ustawienia/Ogólne podmień prefix adresu z http:// na https://

W starych wersjach WordPress trzeba by potem manualnie zmieniać wszystkie wewnętrzne linki w artykułach z http://blog.pl/artykul-1 na https://blog.pl/artykul-1 na szczęście teraz to wszystko dzieje się automatycznie 🙂

Zapisz zmiany.

8. Włącz wymuszanie SSL na serwerze.

Kolejnym krokiem jest włączenie ustawień aby za każdym razem gdy ktoś wpiszę wersję adresu z http:// serwer automatycznie przekierowywał na https://.

Zaloguj się na serwer w wejdź w ustawienia Twojej domeny. Tam włącz wymuszanie SSL.

Przykładowy panel w serwisie maydevil.net:

9. Sprawdź czy certyfikat jest aktywny.

Wpisz adres swojej strony z prefixm https://.

Twój certyfikat powinien już teoretycznie działać czasem aktywacja może jednak zająć godzinę lub trochę więcej. Możesz sprawdzić działanie swojego certyfikatu SSL na tej stronie:

https://www.ssllabs.com/ssltest/index.html

10. Kłódka w Chrome

Jeśli wszystko działa poprawnie to w Google Chrome powinna być widoczna kłódka oznaczająca, że połączenie jest bezpieczne. Można w nią kliknąć i zobaczyć informację na temat certyfikatu SSL

Co jeśli nie widzę kłódki?

Jeśli połączenie nie jest bezpieczne możesz zobaczyć inne ikony.

Aby dowiedzieć się co jest nie tak użyj tego narzędzia:

https://www.whynopadlock.com/

Pięknie powie Ci co jest nie tak. Jeżeli wszystkie kroki zostały wykonane prawidłowo i dalej widzisz ostrzeżenia najprawdopodobniej w kodzie Twojej strony znajdują się link/odnośniki do stron które nie są zabezpieczone protokołem SSL np. zewnętrzne grafiki. Należy się ich pozbyć lub zmodyfikować. Jeśli nie wiesz jak to zrobić bo np. znajdują się one bezpośrednio w kodzie źródłowym strony na tym etapie dopiero może być Ci potrzeba pomoc programisty.

Podsumowanie

Mam nadzieję, że ten artykuł Ci pomógł i od teraz Twoja strona używa bezpiecznego szyfrowania danych. Ty i Twoi potencjalni klienci możecie odetchnąć z ulgą!

Najlepiej przy zakładaniu nowej strony odrazu zaopatrzyć się w odpowiedni certyfikat niemniej po wykonaniu tych wszystkich kroków poradzisz sobie z tą zmianą.

Podziel się z innymi 🙂

Piszę dla was tego bloga bo lubię aplikacje internetowe. Mogę je projektować, kodować a potem o nich pisać czując dreszczyk ekscytacji za każdym razem gdy trafię na coś nowego. Bo uczymy się całe życie. Prawda?

Cześć jestem Bartek.

Na tym blogu wprowadzę Cię w tajniki Front-Endu i programowania webowego.

Warto
Social media & sharing icons powered by UltimatelySocial