Jak ręcznie dodać SSL do WordPress za darmo przy użyciu Let's Encrypt?

Czy chcesz przejść z HTTP na HTTPS i zainstalować certyfikat SSL na swojej witrynie WordPress? Następnie czytaj dalej, aby dowiedzieć się, jak bezpłatnie dodać SSL do WordPress. Każdy internauta codziennie udostępnia wiele danych osobowych . Wszyscy robimy. Robiąc zakupy online, tworząc konta, logując się do różnych stron internetowych itp.

Jeśli nie są odpowiednio zaszyfrowane, to ktoś może uzyskać te informacje. I tu z pomocą przychodzi SSL. Zapewnia technologię szyfrowania w celu zabezpieczenia połączenia między przeglądarką użytkownika a serwerem sieciowym.

Każdej stronie wydawany jest unikalny certyfikat SSL w celu identyfikacji. Jeśli serwer udaje, że jest na HTTPS, a jego certyfikat nie pasuje, większość nowoczesnych przeglądarek ostrzega użytkownika podczas łączenia się z witryną.

Wcześniej jedynym sposobem zabezpieczenia witryn za pomocą SSL było użycie płatnego certyfikatu SSL. Dopóki Let's Encrypt nie stało się publicznie dostępne .

Co to jest szyfrowanie Let's?

Let's Encrypt to bezpłatny, otwarty urząd certyfikacji, który udostępnia certyfikat SSL dla ogółu społeczeństwa. Jest to projekt Internet Security Research Group (ISRG). Let's Encrypt jest sponsorowane przez wiele firm, w tym Google, Facebook, Sucuri, Mozilla, Cisco itp.

Nie ma lepszego czasu na zainstalowanie certyfikatu SSL na swoich stronach WordPress. Zwłaszcza gdy zespół Google Chrome Security ogłosił, że ich przeglądarka zacznie oznaczać połączenia HTTP jako niezabezpieczone od stycznia 2017 r.:

Od stycznia 2017 r. (Chrome 56) będziemy oznaczać witryny HTTP przesyłające hasła lub karty kredytowe jako niezabezpieczone w ramach długoterminowego planu oznaczania wszystkich witryn HTTP jako niezabezpieczonych” — powiedział członek zespołu ds. bezpieczeństwa Chrome. Emily Schechter. Pierwszym krokiem w planie jest wyświetlenie etykiety „Niezabezpieczone” na pasku adresu.

Właściciele witryn, którzy chcą uniknąć oznaczania swoich witryn HTTP jako niezabezpieczonych, nie mają dużo czasu na zabezpieczenie swoich witryn.

Kolejną zaletą posiadania SSL w witrynie jest możliwość korzystania z protokołu HTTP/2, który jest zasadniczo ewolucją protokołu HTTP. Strony internetowe z HTTP/2 są szybsze, ponieważ umożliwiają jednoczesne przesyłanie wielu plików.

Od dłuższego czasu zamierzałem wdrożyć SSL we wszystkich moich witrynach. Problem polegał na tym, że nie wiedziałem, jak zaimplementować bezpłatny SSL Let's Encrypt.

Przeczytałem wiele samouczków na temat dodawania Let's Encrypt SSL do WordPressa. Ale wszystkie wydają mi się skomplikowane. Wreszcie, po długim czytaniu, znalazłem łatwy sposób na zainstalowanie Let's Encrypt SSL.

Moją metodę znajdziesz poniżej. Są też inne sposoby. Ten przewodnik ma być przyjazny dla początkujących i opiera się na moim doświadczeniu w instalowaniu SSL na niektórych moich witrynach WordPress za darmo przy użyciu Let's Encrypt.

Bez potrzeby korzystania z SSH, dostępu roota, uruchamiania poleceń i innych procesów, których przeciętny użytkownik (w tym ja) nie rozumie, o czym wspomina większość przewodników na temat implementacji SSL WordPress.

Ten post jest dość długi i zawiera wiele informacji, ale jeśli jesteś zainteresowany, zanim przejdziesz do sekcji, jak łatwo zaimplementować Let's Encrypt na swojej stronie / stronach WP, sprawdź wyjaśnienia dotyczące niektórych terminów poniżej.

Co to są HTTPS i SSL?

Każdego dnia udostępniamy nasze dane osobowe różnym stronom internetowym. Niezależnie od tego, czy robisz zakupy, czy tylko się logujesz. Aby chronić transfer danych, należy utworzyć bezpieczne połączenie. Właśnie wtedy wkraczają SSL i HTTPS.

Być może zauważyłeś, że za każdym razem, gdy wchodzisz w interakcję z bezpieczną witryną (taką jak portal bankowości internetowej), adres na pasku przeglądarki ma przedrostek https:// zamiast zwykłego http H:// .

Oprócz tego większość nowoczesnych przeglądarek wyświetla małą kłódkę na pasku przeglądarki, gdy jesteś połączony z taką witryną.

HTTPS lub Secure HTTP to metoda szyfrowania. Zabezpiecza połączenie między przeglądarką użytkownika a Twoim serwerem. Utrudnia to hakerom podsłuchiwanie połączenia.

Dlaczego miałbyś przejść z HTTP na HTTPS i zainstalować certyfikat SSL? Protokół ustanawia połączenie między nimi, gdzie po pomyślnym nawiązaniu relacji przesyłane będą tylko zaszyfrowane informacje.

Oznacza to, że wszystkie zwykłe informacje tekstowe, które mógłby odczytać każdy palant, zostaną zastąpione losowymi literami i ciągami liczb, które nie są czytelne dla ludzi.

Jeśli jakiś haker zdoła ingerować w wymianę informacji, szyfrowanie znacznie utrudnia zrozumienie tego.

Standardy szyfrowania

SSL i HTTPS mają różne standardy szyfrowania. Najstarszy nazywa się SHA i nie jest już używany. Jego następca SHA1 , który wciąż jest w obiegu, jest obecnie przestarzały.

Na przykład Google Chrome zaczął wydawać ostrzeżenia dla witryn korzystających z tego standardu na początku 2016 roku.

Obecnym standardem szyfrowania dla protokołów SSL jest SHA2 . Jednak w pewnym momencie ustąpi miejsca SHA3, który jest obecnie w fazie rozwoju.

UWAGA : SSL nie jest już poprawną nazwą certyfikatu. Technologia została udoskonalona pod koniec lat 90., a jej nazwa została zmieniona na TLS (Transport Layer Security). Jednak akronim SSL utknął i jest ewidentnie używany do dziś. Dlatego też użyję go głównie w tym poście.

Dlaczego potrzebujesz HTTPS i SSL?

Jeśli prowadzisz witrynę eCommerce, zdecydowanie potrzebujesz certyfikatu SSL (Secure Sockets Layer). Zwłaszcza jeśli zbierasz informacje o płatnościach. Większość dostawców płatności, takich jak Stripe, PayPal Pro, Authorize.net itp., wymaga bezpiecznego połączenia za pomocą SSL.

Google stwierdził, że używa HTTPS i SSL jako sygnału rankingowego w swoich wynikach wyszukiwania. Oznacza to, że korzystanie z SSL pomoże poprawić SEO Twojej witryny.

Ponadto, wdrażając SSL, możesz wykorzystać HHTP/2, który, jak już wspomniałem, umożliwia jednoczesne przesyłanie wielu plików, co poprawia czas ładowania witryny.

Korzystając z SSL, możesz nie tylko chronić poufne dane, takie jak adresy e-mail, informacje o kartach kredytowych, hasła itp., przed możliwymi atakami hakerów, a także poprawić rankingi i szybkość witryny.

Wcześniej certyfikaty SSL były drogie. Od 10 dolarów rocznie do 200 dolarów. Ale dzięki projektowi Let's Encrypt można teraz aktywować nieograniczoną liczbę certyfikatów za darmo.

Dlaczego witryna WooCommerce potrzebuje SSL/TLS?

Problem bezpieczeństwa jest bardzo ważny w każdej witrynie, zwłaszcza w sklepach internetowych. Istnieje wiele interakcji między klientem a serwerem w witrynie eCommerce. Twój klient musi podać swoje dane osobowe, takie jak numery kart kredytowych, aby zakończyć proces płatności.

Dlatego musisz zabezpieczyć wszystkie ich prywatne informacje. Pomaga również budować zaufanie klientów – najważniejszy klucz do sukcesu witryny eCommerce. Nikt nie chce kupować produktów w niezabezpieczonym sklepie internetowym, w którym hakerzy mogą wykraść jego informacje.

Dzięki zastosowaniu protokołu SSL dane są natychmiast szyfrowane , co uniemożliwia hakerom odczytywanie przesyłanych danych. Każda witryna WooCommerce korzystająca ze standardowej metody płatności PayPal będzie wymagała SSL w celu zwiększenia bezpieczeństwa, więc posiadanie SSL jest wymagane dla Twojej witryny WooCommerce w przypadku korzystania z PayPal do realizacji transakcji i wielu innych bramek płatności.

Dlaczego szyfrujemy?

Let's Encrypt to darmowy, zautomatyzowany, bez dedykowanego adresu IP i otwartego urzędu certyfikacji, który wspiera wiele firm. Ponadto wiele firm hostingowych, dostawców CDN i innych wdrożyło Let's Encrypt, więc zastosowanie go w witrynie jest jeszcze łatwiejsze.

Główne cechy Let's Encrypt to :

• Jest bezpłatny – możesz go zainstalować bezpłatnie we wszystkich swoich domenach.
• Bezpieczne – Wykorzystuje najwyższe standardy bezpieczeństwa wymiany informacji.
• Przejrzysty — wszystkie wydane lub unieważnione certyfikaty będą rejestrowane i publicznie dostępne dla każdego do wglądu (można to również uznać za wadę).
• Brak dedykowanego adresu IP – nie musisz wydawać pieniędzy na dedykowany adres IP.
• Kompatybilność – kompatybilna ze wszystkimi przeglądarkami.
• Hosting współdzielony — może być używany na hostingu współdzielonym, a nie tylko na dedykowanym lub VPS (sprawdź najlepszych niedrogich dostawców hostingu WordPress).

Jedyną wadą Let's Encrypt jest to, że trzeba ją odnawiać co 90 dni. Ale ten proces można zautomatyzować bez ręcznej interwencji.

Jak dodać SSL do WordPressa?

Ponieważ Let's Encrypt staje się popularny, wiele firm hostingowych WordPress już zaczęło oferować wbudowaną, łatwą konfigurację Let's Encrypt SSL.

Najłatwiejszym sposobem dodania darmowego SSL Let's Encrypt do WordPressa jest zarejestrowanie się w firmie hostingowej, która oferuje wbudowaną integrację. Niestety nie wszystkie firmy hostingowe obsługują Let's Encrypt. Oto pełna lista firm hostingowych, które obsługują Let's Encrypt.

#1 Twoje oferty hostingowe Szyfrujmy integrację (NAJPROSTSZE)

Konfiguracja Let's Encrypt dla Twojej witryny jest łatwa, jeśli Twoja firma hostingowa oferuje integrację. Nie musi być nawet dostawcą hostingu.

Większość usług CDN oferuje bezpłatną integrację Let's Encrypt ze swoją usługą. Przykładem tych dostawców CDN jest KeyCDN, MaxCDN, CDNSun lub Incapsula (sprawdź recenzję Incapsula), który oferuje certyfikat SSL za darmo z płatnymi planami.

W takich przypadkach nie musisz się również martwić o odnowienie certyfikatu, ponieważ zostanie to automatycznie wykonane za Ciebie. Wyjaśnię na przykładzie Siteground.

Zaloguj się do pulpitu nawigacyjnego cPanel (co to jest cPanel) i przewiń w dół do sekcji bezpieczeństwa. Tam musisz kliknąć ikonę Let's Encrypt.

Spowoduje to przejście do strony instalacyjnej Let's Encrypt. Musisz wybrać nazwę domeny, w której chcesz używać SSL.

Możesz teraz kliknąć przycisk instalacji. Let's encrypt wystawi unikalny certyfikat SSL dla Twojej witryny. Po zakończeniu zobaczysz komunikat o powodzeniu.

To wszystko. Pomyślnie zintegrowałeś Let's Encrypt bezpłatny SSL ze swoją witryną WordPress. Tutaj nie musisz robić nic więcej.

Jednak Twoja witryna WordPress nadal nie jest gotowa do użycia. Najpierw musisz zaktualizować swoje adresy URL WordPress, a następnie naprawić problem z niezabezpieczoną zawartością, jeśli taki istnieje. Wszystko na ten temat znajdziesz poniżej.

#2 Dodanie darmowego szyfrowania SSL, jeśli Twój hosting nie oferuje integracji

Jeśli Twój usługodawca hostingowy nie zapewnia integracji, takiej jak SiteGround, DreamHost i inne firmy hostingowe, które oferują Let's Encrypt, będziesz musiał przejść przez dość długą procedurę.

Ale nie musisz panikować. Pokażę Ci prosty sposób na dodanie SSL do witryny WordPress, jeśli Twój hosting lub CDN nie oferują integracji.

Ta metoda różni się w zależności od hosta internetowego. Większość firm hostingowych posiada dokument pomocniczy wyjaśniający proces. Możesz również skontaktować się z personelem pomocy technicznej, aby uzyskać szczegółowe instrukcje lub poprosić o zrobienie tego za Ciebie.

Niektóre firmy hostingowe zainstalują dla Ciebie certyfikat SSL . Wystarczy podać im klucz prywatny, certyfikat i CA. To właśnie zrobiłem z hostingiem za pół dolara. Właśnie się z nimi skontaktowałem i zrobili to za mnie, ponieważ nie pozwalają na samodzielne skonfigurowanie.

Musisz dostarczyć im certyfikat dla każdej domeny. A w przypadku Let's Encrypt musisz kontaktować się z nimi ponownie co 90 dni, aby odnowić certyfikat dla każdej witryny.

Ręczna instalacja certyfikatu SSL na serwerze za pomocą cPanel

Najpierw przejdź do SSL za darmo. Nie martw się, jest bezpieczny w użyciu i wydaje certyfikaty we współpracy z Let's Encrypt. Wpisz nazwę domeny z www lub bez. SSL For Free doda również inną wersję do certyfikatu, więc nie ma to znaczenia. Domyślnie używam www we wszystkich moich witrynach, więc zawsze umieszczam ją jako podstawową.

Następnie kliknij przycisk Utwórz bezpłatny certyfikat SSL . Następnie zostaniesz poproszony o zweryfikowanie, że jesteś właścicielem domeny, do której chcesz dodać certyfikat. Możesz wybrać między automatyczną weryfikacją FTP a weryfikacją ręczną .

Jeśli wybierzesz automatyczną weryfikację FTP, będziesz musiał wprowadzić dane FTP dla konta serwera domeny, takie jak użytkownik, hasło… i weryfikacja zostanie wykonana automatycznie. Wolę korzystać z ręcznej weryfikacji, więc pokażę kroki dla ręcznej weryfikacji.

Kroki, które należy wykonać w tym przypadku, są wyjaśnione na stronie, więc nie możesz się pomylić. Pobierasz pliki, logujesz się do swojego cPanel, przechodzisz do folderu domeny i tworzysz nowe foldery, wykonując kroki na stronie. Następnie przesyłasz pobrane pliki do folderu „acme-challenge”.

Po sprawdzeniu, czy wszystko zostało zrobione poprawnie, kliknij przycisk Pobierz certyfikat SSL . Nigdy nie zaznaczam, że mam własny CSR. W takim przypadku otrzymasz jeden.

Teraz otrzymasz klucz prywatny, certyfikat i CA. Kliknij, aby je pobrać, a otrzymasz plik .zip. Ten plik dostarczasz swojemu hostingowi, jeśli zainstalują go za Ciebie, lub rozpakuj go, jeśli zamierzasz samodzielnie zainstalować certyfikat.

Możesz również włączyć opcję powiadamiania o zbliżającym się wygaśnięciu certyfikatu. W przypadku zapomnienia certyfikat Let's Encrypt jest ważny przez 90 dni. Następnie musisz go odnowić, wykonując te same kroki.

Teraz po zdobyciu certyfikatu. Czas zainstalować go na serwerze. Wykonaj poniższe czynności, aby zainstalować SSL dla swojej witryny :

1. Zaloguj się na swoje konto cPanel

2. Znajdź i kliknij Menedżer SSL/TLS w sekcji Bezpieczeństwo

3. Kliknij „Zarządzaj witrynami SSL” w menu Zainstaluj i zarządzaj SSL dla swojej witryny (HTTPS) . Jeśli nie masz opcji Zarządzaj witrynami SSL , spróbuj skontaktować się z dostawcą usług hostingowych i zapytać, czy może zainstalować dla Ciebie certyfikat.

4. Skopiuj otrzymany kod certyfikatu, w tym —–BEGIN CERTIFICATE—– i —–END CERTIFICATE—– i wklej go w polu „Certyfikat: (CRT)”.

Możesz kliknąć przycisk Autouzupełnianie według certyfikatu , który pojawia się obok wprowadzonego certyfikatu. System spróbuje pobrać nazwę domeny i klucz prywatny.

Możesz również wybrać domenę z listy rozwijanej i ręcznie wprowadzić certyfikat i klucz prywatny w odpowiednich polach. Pamiętaj o dołączeniu nagłówków i stopek Begin/End dla certyfikatu i klucza.

UWAGA: Poniższe obrazy są tylko i przykładowe. Nie będziesz mieć tych samych informacji, wydawcy, certyfikatu itp.

Skopiuj i wklej pakiet urzędu certyfikacji w polu w obszarze Pakiet urzędu certyfikacji (CABUNDLE). Jeśli chcesz używać tego certyfikatu dla usług pocztowych, zaznacz pole wyboru „Włącz SNI dla usług pocztowych”.

W takim przypadku będziesz mógł użyć swojej domeny, na której zainstalowano certyfikat SSL, jako nazwy hosta serwera pocztowego konfigurującego Twoje klienty pocztowe do pracy na zabezpieczonych portach.

Ta opcja jest dostępna tylko od cPanel 11.48. Jeśli masz starszą wersję cPanel, nie możesz używać swojego certyfikatu do poczty.

5. Kliknij przycisk ' Zainstaluj certyfikat '

Gratulacje! Certyfikat jest teraz zainstalowany na serwerze Twojej witryny. Witryna powinna być teraz dostępna za pośrednictwem https://.

Przetestuj swój certyfikat i sprawdź swoją witrynę za pomocą https w przeglądarce, aby sprawdzić, czy będzie się poprawnie wyświetlać.

Aktualizowanie adresów URL WordPress po ustawieniu SSL za pomocą wtyczki

Po skonfigurowaniu bezpłatnego certyfikatu SSL za pomocą Let's Encrypt, następnym krokiem jest przeniesienie adresu URL WordPress z HTTP na HTTPS. Standardowa witryna bez certyfikatu SSL korzysta z protokołu HTTP. Jest to zwykle wyróżnione prefiksem http w adresach internetowych, na przykład: http://www.example.com

Bezpieczne strony internetowe z certyfikatami SSL korzystają z protokołu HTTPS. Oznacza to, że ich adresy wyglądają tak: https://www.example.com. Bez zmiany adresów URL w witrynie WordPress nie będziesz korzystać z SSL, a Twoja witryna nie będzie bezpieczna do zbierania poufnych danych.

1. Aktualizacja adresów URL WordPress do HTTPS dla zupełnie nowej witryny WordPress

Jeśli pracujesz nad zupełnie nową witryną, możesz po prostu przejść do obszaru administracyjnego WordPress i kliknąć ustawienia. Tam musisz zaktualizować pola URL WordPress i URL witryny, aby używać https.

Nie zapomnij zapisać zmian.

2. Aktualizacja adresów URL WordPress do HTTPS dla istniejącej witryny WordPress

Jeśli Twoja witryna działa już od jakiegoś czasu, istnieje prawdopodobieństwo, że jest indeksowana przez wyszukiwarki. Inne osoby mogły połączyć się z nim za pomocą protokołu HTTP w adresie URL. Musisz upewnić się, że cały ruch jest przekierowywany na adres URL https.

Musisz zainstalować i aktywować wtyczkę Really Simple SSL. Ta wtyczka automatycznie wykryje Twój certyfikat SSL i skonfiguruje Twoją witrynę, aby z niego korzystać. W większości przypadków nie będziesz musiał wprowadzać więcej zmian. Wtyczka naprawi również problem z niezabezpieczoną zawartością.

3. Aktualizacja adresów URL WordPress po dodaniu SSL do istniejącej witryny WordPress bez wtyczki

Jeśli chcesz zmusić całą witrynę do przejścia przez https, ale bez użycia wtyczki, możesz dodać te reguły do ​​pliku .htaccess:

Możliwy problem błędu mieszania treści po konfiguracji SSL

Po zainstalowaniu certyfikatu SSL w nowej domenie wszystkie strony i wszystkie zasoby, takie jak obrazy, są obsługiwane automatycznie z protokołem HTTPS.

Ale jeśli certyfikat jest włączony w używanej już domenie, możesz mieć problemy z mieszaniem treści . Oznacza to, że masz zawartość obsługiwaną przez HTTPS i zawartość obsługiwaną przez HTTP.

Zawartość mieszana ma miejsce, gdy część treści nadal jest dostarczana za pośrednictwem protokołu HTTP, podczas gdy reszta witryny przeszła na bezpieczniejszy protokół HTTPS.

W takim przypadku nowoczesne przeglądarki wyświetlają ostrzeżenie, przez co użytkownicy postrzegają Twoją witrynę jako niezabezpieczoną.

Skorzystaj z bezpłatnego narzędzia SSL Check, aby przeskanować całą witrynę w poszukiwaniu niebezpiecznych obrazów, skryptów, plików CSS i innych. Mając te informacje, możesz podjąć działania naprawcze. Alternatywą do sprawdzania pojedynczych stron jest Dlaczego nie ma kłódki?.

Możesz również zwrócić uwagę na symbol kłódki na pasku przeglądarki podczas surfowania po witrynie. Wyświetli ostrzeżenie podczas odwiedzania części, która zawiera mieszaną zawartość.

Jeśli natkniesz się na taką stronę, możesz znaleźć winowajcę, zaglądając do konsoli w narzędziach programistycznych Chrome lub Firefox. W tym artykule wymieniono różne metody rozwiązywania problemu mieszania zawartości.

Rozwiązywanie błędu zawartości miksu za pomocą CloudFlare

Jeśli Twoja witryna jest na CloudFlare, możesz użyć CloudFlare Automatic HTTPS Rewrites. Automatyczne przepisywanie HTTPS to funkcja, która przepisuje łącza do niezaszyfrowanych zasobów z protokołu HTTP na HTTPS.

Zanim przepisanie zostanie zastosowane i podane w kodzie HTML wysłanym do odwiedzających witrynę, zestaw reguł jest sprawdzany, aby upewnić się, że odniesienia są dostępne za pośrednictwem protokołu HTTPS.

Jeśli łączysz się ze swoją witryną przez HTTPS, a ikona kłódki nie jest widoczna lub jest na niej żółty trójkąt ostrzegawczy, Twoja witryna może zawierać odniesienia do zasobów HTTP („treść mieszana”).

Treści mieszane są często spowodowane czynnikami, na które nie masz wpływu. Mogą to być osadzone treści innych firm lub złożone systemy zarządzania treścią.

Przepisując adresy URL z „http” na „https”, automatyczne przepisywanie HTTPS upraszcza zadanie udostępniania całej witryny za pośrednictwem protokołu HTTPS, pomagając wyeliminować błędy dotyczące mieszanej treści i zapewniając, że wszystkie dane ładowane przez witrynę są chronione.

Napraw niezabezpieczone elementy w swojej witrynie

Zainstaluj wtyczkę SSL Insecure Content Fixer. Obsłuży wszystkie dołączone elementy i naprawi zasoby inne niż https, jeśli takie istnieją. Upewnij się, że sprawdziłeś ustawienia wtyczek, jeśli nie działa od razu po wyjęciu z pudełka.

Co się stanie, jeśli certyfikat wygaśnie?

Po wygaśnięciu certyfikatu odwiedzający otrzymują ostrzeżenie o tym i są odradzani wchodzenia na Twoją witrynę. Nie powinieneś do tego dopuścić. Zawsze upewnij się, że Twój certyfikat jest odnawiany na czas . To samo ostrzeżenie może być również wyświetlane w przypadku certyfikatów z podpisem własnym, które nie zostały zweryfikowane przez organ zewnętrzny.

Zaktualizuj ustawienia Google Analytics po przejściu na HTTPS

Jeśli masz zainstalowany Google Analytics w swojej witrynie WordPress, musisz zaktualizować jego ustawienia i dodać nowy adres URL z https. Zaloguj się do pulpitu nawigacyjnego Google Analytics i kliknij „Administracja” w górnym menu. Następnie musisz kliknąć ustawienia właściwości pod swoją witryną.

Tam zobaczysz opcję domyślnego adresu URL. Kliknij HTTP, a następnie wybierz https. Nie zapomnij kliknąć przycisku Zapisz, aby zapisać swoje ustawienia. Dodaj też https://www i bez www do narzędzi Google dla webmasterów dla swojej witryny.

Ustawianie SSL tylko na niektórych stronach

Jeśli z jakiegoś powodu chcesz dodać SSL tylko do określonych stron swojej witryny, potrzebujesz wtyczki o nazwie WordPress HTTPS (SSL).

Pomimo tego, że ta wtyczka nie była od jakiegoś czasu aktualizowana, nadal działa dobrze. Po aktywacji wtyczka doda nowy element menu o nazwie HTTPS w panelu administratora WordPress. Możesz go kliknąć, aby odwiedzić stronę ustawień wtyczki.

Pierwsza opcja strony konfiguracji prosi o podanie hosta SSL. Przeważnie jest to nazwa Twojej domeny. Jeśli jednak konfigurujesz witrynę na subdomenie, a otrzymany certyfikat SSL dotyczy nazwy domeny podstawowej, wprowadzisz domenę główną.

Jeśli korzystasz z udostępnionego certyfikatu SSL dostarczonego przez dostawcę hostingu witryn , musisz wprowadzić podane przez niego informacje o hoście zamiast nazwy domeny.

Ustawienie Force SSL Administration wymusza na WordPressie używanie protokołu HTTP na wszystkich stronach w obszarze administracyjnym. Musisz zaznaczyć to pole, aby upewnić się, że cały ruch do obszaru administracyjnego WordPress jest bezpieczny.

Następną opcją jest użycie Force SSL Exclusively . Zaznaczenie tego pola spowoduje użycie SSL tylko na stronach, na których zaznaczono opcję Wymuś SSL. Cały pozostały ruch będzie kierowany do standardowego adresu URL HTTP.

Działa to, jeśli chcesz używać SSL tylko na określonych stronach, takich jak koszyk, kasa, strony konta użytkownika itp. Kliknij przycisk Zapisz zmiany, aby zapisać ustawienia wtyczki.

Jeśli chcesz używać protokołu HTTPS tylko dla określonych stron, musisz edytować te strony i zaznaczyć pole wyboru Wymuś SSL . Po zakończeniu odwiedź swoją stronę, aby upewnić się, że masz zieloną kłódkę w Chrome i innych przeglądarkach.

Jak ustawić Let's Encrypt with CloudFlare?

Jeśli używasz CloudFlare w swojej witrynie, prawdopodobnie znasz CloudFlare Flexible SSL lub jak to nazywają Universal SSL. Universal SSL to po prostu nazwa bezpłatnej usługi SSL CloudFlare.

W 2014 roku CloudFlare ogłosił bezpłatny uniwersalny SSL dla wszystkich swoich użytkowników. Brzmi to całkiem niesamowicie, zwłaszcza wiedząc, że możesz go używać w ich bezpłatnym pakiecie.

Ale wielu nie rozumie, jak dokładnie działa CloudFlare Flexible SSL. Elastyczna opcja SSL zapewnia jedynie bezpieczny ruch między użytkownikiem a siecią CloudFlares .

Nie między CloudFlare a Twoją witryną. Oznacza to, że ruch użytkownika jest widoczny w Internecie jako normalny ruch HTTP.

Elastyczny SSL nie jest zalecany, jeśli masz na swojej stronie jakiekolwiek poufne informacje. Ta opcja powinna być używana tylko w ostateczności, jeśli nie możesz skonfigurować SSL na własnym serwerze WWW. Ta opcja jest znacznie mniej bezpieczna niż opcja pełnego SSL wskazana poniżej. – CloudFlare

Więc jaki jest z tym problem? Cóż, właściciel witryny może o tym wiedzieć lub nie. Mogą to zaakceptować i wybrać elastyczny SSL. To oni decydują się podjąć ryzyko.

Ale co z użytkownikami serwisu? Użytkownicy serwisu nie będą widzieć różnicy. Zobaczą HTTPS.

Pomyśl, że to ważny certyfikat i z radością korzystaj ze strony internetowej, podawaj dane osobowe, dane bankowe itp., nie wiedząc, że faktycznie korzystają z niezabezpieczonego protokołu HTTP.

Więc jeśli korzystasz z elastycznego SSL od CloudFlare, nie zmieniaj swojej witryny na adresy URL HTTPS. Po prostu pozostaw to domyślnie lub zmień na Full Strict po zainstalowaniu Let's Encrypt.

Elastyczny tryb SSL CloudFlare jest domyślny dla witryn CloudFlare w ramach bezpłatnego planu. Aby skorzystać z naszego trybu pełnego i ścisłego SSL, który szyfruje połączenie między CloudFlare a serwerem pochodzenia, konieczne jest zainstalowanie certyfikatu na serwerze pochodzenia .

Po zainstalowaniu certyfikatu Let's Encrypt SSL na swojej stronie przejdź do ustawień CloudFlare Crypto dla swojej witryny, na której zainstalowałeś certyfikat i zmień ustawienie SSL na Full (strict) .

Teraz masz dodatkową korzyść w postaci uwierzytelnionego i zaszyfrowanego połączenia z serwerem pochodzenia.

Możesz również zamiast Let's Encrypt zainstalować certyfikat CloudFlare Origin. Cloudflare Origin Certificates to bezpłatne certyfikaty TLS wydawane przez Cloudflare, które można zainstalować na serwerze pochodzenia, aby ułatwić kompleksowe szyfrowanie dla odwiedzających za pomocą protokołu HTTPS.

Możesz znaleźć tę opcję w CloudFlare w zakładce Crypto. Domyślnie nowo wygenerowane certyfikaty są ważne przez 15 lat. Możesz go również skrócić.

Certyfikat CloudFlare Origin nie jest jeszcze zaufany przez przeglądarki. Ale będzie zaufany przez CloudFlare , dzięki czemu połączenie zaplecza może być zarówno szyfrowane, jak i uwierzytelniane.

Chroni to również Twoją witrynę, jeśli jeden z publicznie zaufanych urzędów certyfikacji zostanie przejęty przez osoby atakujące i użyty do wystawienia nielegalnych certyfikatów.

UWAGA: Podczas wstrzymywania CloudFlare lub szarej chmury poszczególnych stref, pamiętaj, że Ty i Twoi odwiedzający możecie otrzymywać błędy w swoich przeglądarkach dla Twojej witryny z certyfikatem CloudFlare Origin, dopóki nie zmienisz ich w pomarańczową chmurę (odwrotny serwer proxy).

Chrome i inne przeglądarki nie będą ufać certyfikatom CloudFlare Origin. Są one przeznaczone tylko do użytku przez serwery pochodzenia, które znajdują się za usługą CloudFlare.

Ale dostępne są również certyfikaty root. Dodanie ich do lokalnych magazynów zaufania TLS umożliwi bezpośrednią walidację, bez przechodzenia przez CloudFlare.

CloudFlare Elastyczny SSL vs Full SSL vs Full SSL Strict

Wybierz „ Elastyczny ” tylko wtedy, gdy Twój pierwotny serwer internetowy nie akceptuje bezpiecznych połączeń (HTTPS). Wybierz „ Pełny ”, jeśli posiadasz certyfikat SSL z podpisem własnym, i wybierz „ Pełny (ścisły) ”, jeśli posiadasz ważny certyfikat SSL.

Wyłączone : Brak bezpiecznego połączenia między odwiedzającym a CloudFlare, a także brak bezpiecznego połączenia między CloudFlare a serwerem internetowym.

Oznacza to, że odwiedzający mogą przeglądać Twoją witrynę tylko przez HTTP, a każdy odwiedzający, który spróbuje połączyć się przez HTTPS, otrzyma przekierowanie HTTP 301 do zwykłej wersji HTTP Twojej witryny.

Elastyczny SSL : Bezpieczne połączenie między odwiedzającym a CloudFlare, ale nie ma bezpiecznego połączenia między CloudFlare a serwerem WWW. Nie musisz mieć certyfikatu SSL na swoim serwerze internetowym, ale odwiedzający nadal widzą, że witryna obsługuje protokół HTTPS.

Ta opcja nie jest zalecana, jeśli masz w swojej witrynie jakiekolwiek poufne informacje. Powinien być używany tylko w ostateczności, jeśli nie możesz skonfigurować SSL na własnym serwerze WWW. Jest mniej bezpieczna niż jakakolwiek inna opcja (nawet „Wyłączona”) i może nawet spowodować problemy, gdy zdecydujesz się z niej zrezygnować.

Pełne SSL : Bezpieczne połączenie między odwiedzającym a CloudFlare oraz bezpieczne połączenie (ale nie uwierzytelnione) między CloudFlare a serwerem WWW. Musisz skonfigurować swój serwer, aby odpowiadał na połączenia HTTPS, z co najmniej certyfikatem z podpisem własnym.

Full SSL (Strict) : Bezpieczne połączenie między odwiedzającym a CloudFlare oraz bezpieczne i uwierzytelnione połączenie między CloudFlare a serwerem WWW.

Musisz mieć skonfigurowany serwer do odbierania połączeń HTTPS z ważnym certyfikatem SSL. Ten certyfikat musi być podpisany przez urząd certyfikacji, mieć datę wygaśnięcia w przyszłości i odpowiadać na żądanie nazwy domeny (nazwy hosta).

Mam certyfikat zainstalowany na serwerze. Dlaczego widzę certyfikat CloudFlare?

Gdy używasz CloudFlare, odszyfrują dane na swojej krawędzi, aby buforować i filtrować każdy zły ruch. W zależności od ustawień SSL mogą ponownie zaszyfrować lub wysłać jako zwykły tekst.

Ponieważ każdy certyfikat wymaga dedykowanego adresu IP , dodają nazwę domeny i domenę wieloznaczną (*.domain.com) w SAN (alternatywna nazwa podmiotu) do certyfikatu.

Jeśli korzystasz z darmowego planu CloudFlare i masz zainstalowany certyfikat innej firmy (np. Let's Encrypt), podczas sprawdzania certyfikatu witryny zawsze pokaże certyfikat CloudFlare.

Jeśli nie chcesz, aby nazwa CloudFlare była wyświetlana, gdy odwiedzający sprawdza certyfikat, potrzebujesz planu CloudFlare Business/Enterprise. Innymi słowy, musisz zapłacić.

Klienci korzystający z tych planów mogą przesłać własny klucz i certyfikat SSL, a nazwa CloudFlare nie będzie wyświetlana.

Jak przenieść certyfikat SSL?

Przenosisz się na nowy serwer, ale nadal masz czas na starym certyfikacie? Możesz przenieść swój certyfikat na nowy serwer. Podczas przenoszenia SSL certyfikat musi być dla tej samej nazwy domeny na nowym serwerze.

Jak ręcznie dodać SSL do bezpłatnych słów końcowych WordPress?

W dzisiejszych czasach HTTPS jest koniecznością. Zwiększa prywatność użytkowników, umożliwia korzystanie z nowych funkcji przeglądarki i pozwala zachować dostęp do istniejących funkcji.

Jak widziałeś, dzięki Let's Encrypt uzyskanie certyfikatu SSL jest łatwe i może być bezpłatne . Jesteśmy dopiero na początku małej, ale znaczącej rewolucji w bezpieczeństwie sieci internetowej.

Jeśli prowadzisz witrynę WordPress, która zajmuje się danymi wrażliwymi, SSL jest niezbędny. Bez szyfrowania ruchu ryzyko przechwycenia informacji klienta jest po prostu zbyt wysokie.

Oprócz bycia odpowiedzialnym dostawcą usług, dodatkowa warstwa bezpieczeństwa jest również pozytywnym sygnałem dla wyszukiwarek . So if you don't do it for your clients, at least do it for the rankings.

I have already started installing SSL certificate on my WordPress websites. Soon you will also see HTTPS on kasareviews.com. I recommend you taking the same step.

Remember, an ounce of prevention is worth a pound of cure. Take WordPress security seriously . Your visitors and customers will thank you.