Důvodů proč převést webové stránky na HTTPS může být mnoho. Zvýšení bezpečnosti přenesených dat, vyšší důvěryhodnost u návštěvníků webu nebo SEO.
Osobně si pak myslím, že stránky s možností registrace, internetové obchody a firemní stránky by v dnešní době již měli být provozovány přes HTTPS.
Co je to SSL
SSL (Secure Sockets Layer) je nekomerční otevřený protokol, který se využívá pro zabezpečení datových přenosů v rámci internetu mezi serverem s webovou prezentací a prohlížečem (uživatelem).
SSL je protokol zajišťuje šifrování přenášených dat a autentizaci serveru pomocí digitálních certifikátů. Upozornění o zabezpečeném připojení obvykle získáme z adresní řádky prohlížeče, kde se zobrazí zelený zámek a také podle URL adresy, která začíná HTTPS, například https://wplama.cz.
Kde získat SSL certifikát?
Abyste získali zelený zámek a mohli provozovat WordPress na HTTPS, tak je potřeba SSL certifikát, který se nainstaluje na hosting. Existuje několik způsobů jak SSL certifikát získat a samozřejmě jak už to bývá, jsou i různé druhy certifikátů a jeho ceny.
Hosting
Populární české hostingové společnosti obvykle nabízí zakoupení a instalaci SSL certifikátu. Ceny těchto certifikátu se pohybují okolo 800 Kč/rok (s využitím vlastního certifikátu jednorázová instalace 200 Kč) a výše.
Nejdražší, ale nejjednodušší způsob.
Specializovaný obchod
Nejlevněji lze SSL certifikáty získat u specializovaných prodejců. Například SSLmarket je nabízí od 345 Kč.
Více časově náročnější, protože musíte požádat hosting o instalaci certifikátu. Nicméně není to nic víc než pár emailů. Levnější.
Let’s Encrypt
Speciální certifikáty, které jsou zdarma, můžete získat u služby Let’s Encrypt. Tuto službu mají i předpřipravené některé hostingy (například Český hosting) a je možné si sjednat instalaci certifikátu přímo u nich. Instalace Let’s Encrypt certifikátu obvykle zabere jen pár minut (kliknutí) a poté stačí jen nastavit WordPress na HTTPS.
Jednoduché, ale nepodporují všechny hostingové společnosti. Vhodné pro blogy a stránky, kde se neplatí online.
Ověření správné instalace certifikátu uděláte jednoduše, stačí zadat adresu vaší domény s HTTPS (jak HTTPS tak HTTP běží zároveň). Pokud web funguje a nezobrazí se informace o zabezpečeném připojení, můžete se dát do nastavení HTTPS u WordPress.
Jak nastavit WordPress přes SSL a HTTPS
Když máte certifikát na hostingu nainstalovaný, zbývá jen dokončit nastavení WordPress, kde je třeba nastavit automatické přesměrování na HTTPS.
K tomu využijeme plugin Really Simple SSL, který se nachází v oficiálním repozitáři a je možné jej nainstalovat přímo z WordPress administrace.
Po instalaci a aktivaci pluginu se zobrazí informace, že vše je skoro hotovo a stačí jen aktivovat přesměrování.
Klikněte na tlačítko Go ahead, activate SSL!. A vše je hotovo. Plugin je dostupný také v PRO variantě.
Když nyní zadáte http://www.vasedomena.cz budete automaticky přesměrování na HTTPS. Plugin také automaticky vynutí načítání veškerého obsahu přes HTTPS.
Pár tipů na konec
- V případě, že využíváte bezpečnostní plugin iThemes Security, tak je třeba upravit právo zápisu na souboru wp-config.php na 777. Po provedení aktivace SSL však nezapomeňte vrátit 444.
- SSL certifikát je aktivní, ale v prohlížeči na webu není informace o zabezpečeném připojení. Na vině nejspíše bude, že na webu se některá část načítá přes HTTP (například natvrdo vložený kód ve widgetu). Spusťte test webu v nástroji whynopadlock.com a on vám zobrazí problém. Případně se můžete podívat do konzole v prohlížeči.
- Při přechodu nezapomeňte vymazat cache.
Pochopil jsem správně, že pokud chcí mít web takto zabezpečený, musím platit každý rok nějaký poplatek za tento certifikát? Děkuji za odpověd.
Ano. Případně lze využít službu Let’s Encrypt, která poskytuje certifikáty zdarma.
A je Lets Encrypt dostačující na web/blog který nemá nějaké složité funkcionality či online platby? Pro mě je asi zbytečné abych každý rok platil stovky korun jen za fanstránku, kterou si dělám pro zábavu, neříkám že to je hodně, ale co byste doporučil? Ještě jednou děkuji a i za další kvantum informací, které čerpám z tohoto super webu.
Let’s Encrypt je na osobní blog vhodná volba. Ovšem na firemní web nebo eshop bych ho nedoporučil.
Dobrý den,
proč přesně nedoporučujete Let’s Encrypt pro firemní web? Úlohu plní snad stejnou, jde tedy jen o prestiž?
A co úprava Robots.txt ,htaccess, wp-config.php.
Nebo veškerou práci udělá plugin Really Simple SSL?
Nejsem odborník, jenom se ptám.
O všechno se postará plugin.
Děkuji Tomáši
Nechal jsem vygenerovat certifikát službou Let’s Encrypt, instaloval plugin Really Simple SSL. Na hlavní stránce http://www.doména.cz není SSL funkční, na stánkách domény 3.řádu nazev.doména.cz je vše funkční. Zajímavé je, že v administraci hlavní webové stránky je informace o zabezpečení v pořádku. V čem je problém?
Zkusil jste nástroje na test? Například https://www.whynopadlock.com/
Už jste zjistil problém. Na úvodní stránce byl odkaz na obrázek, který je na jiné doméně, ale ta nepoužívá HTTPS. Pokud jsem zapnul v pluginu SSL „Auto replace mixed content“, tak byla stránka zabezpečená, ale zase se obrázek nezobrazoval. Vyřešil jsem to tak, že jsem nastavení „Auto replace mixed content“ vypnul a obrázek jsem uložil na svojí doménu. Od té doby je vše v pořádku web je už zabezpečený.
Zdravím, mám stejný problém s úvodní stránkou jako kolega ale u mě jeho řešení nepomohlo. Testoval jsem přes uvedený odkaz a výsledky jsou zde https://www.whynopadlock.com/results/29b2ea41-d230-4c09-8e4f-1a0df8c055a5
ale po vložení doporučeného kodu
RewriteCond %{HTTP_HOST} sad-cr\.cz [NC]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://sad-cr.cz/$1 [R,L]
dojde jen k zacyklení a chybě.
Dobrý den, když se podíváte do konzole v prohlížeči, máte tam nějaký mixed content? Pokud ano, je třeba jej opravit. Případně zkuste plugin Really Simple SSL, měl by to opravit.
Ahoj, díky za super návod, brzy se do toho asi taky pustím. Jen se chci zeptat, mám magazín zatím na http a spousta článků má obrovské množství like na Facebooku. Když to teď převedu na https, tak se mi asi určitě všechna počítadla like vynulují, že? Lze to nějak elegantně ve WordPressu vyřešit? Trochu jsem po tom pátral na netu, ale moudrej z toho nejsem… Řešil jste to někdo? Díky :).
Ahoj, tak jsem úspěšně aktivoval https díky tomu pluginu Really Simple SSL. Chci se ale zeptat, má smysl koupit tu placenou verzi pluginu? Vše mi teď funguje správně, ale všiml jsem si, že třeba v souboru .htaccess k žádným úpravám nedošlo a asi se to přesměrovává jen díky tomu pluginu.
V nastavení pluginu je volba „Enable 301 .htaccess redirect“, mám to zaškrtnout a udělat požadované úpravy? Nebo to nechat být? Díky.
Ahoj,
vždy jsem zatím použil verzi zdarma a stačilo to. Enable 301 .htaccess redirect můžete zaškrtnout, ale doporučuji si předtím udělat zálohu současného souboru, kdyby došlo k zacyklenému přesměrovávání.
Ok, díky 🙂
Chápu to správně, že plugin používá jiné přesměrování než 301 a pokud chci trvalé (které je patrně jediné správné nebo minimálně správnější), musím do nastavení pluginu ještě ručně zasáhnout?
Díky, T.
Pohledem na web, kde jsem tento plugin použil naposled (bez úpravy nastavení), bylo 301 přesměrování automaticky aktivní.
Dobrý den, nainstaloval jsem plugin podle návodu. Web je zabezpečen, vše funguje. Cert. Lets Encrypt.
Pouze mám „malý problém“: když přidávám v příspěvcích odkazy, namátkou (ale vypozoroval jsem, že zřejmě vždy jde jistě o první a pak různě i o další externí linky) se i přes definici jako http:// automaticky uloží jako https://, i když v editoru příspěvků vypadají jako http://. Pokud směřují na web, který https:// nemá, je to slepý odkaz a uživatel se nikam nedostane. Setkal jste se, prosím, již s něčím podobným?
Děkuji Vám
Jan Petrtyl
Pachatel se vrací na místo činu D+2 a sám si odpovídá:) Příčinou byl plugin Autoptimize, který zřejmě někde něco optimalizoval špatně. U pluginu Really Simple SSL po vypnutí Mixed Content Filter byla chyba napravena, nicméně stránka byla https jen „napůl“, objevila se klasická hláška o obrázcích. Deaktivací Autoptimize se to vyřešilo.
Díky za super tip!
Dobrý den, nejprve chci poděkovat za vaše stránky, kde jsem už nejednou našel odpovědi na své otázky.
Úspěšně jsem aktivoval https s pluginem Really Simple SSL a chci se zeptat, zda opravdu musím znovu přidat odkaz s https do webmastertools od googlu? Nejde to nějak upravit ve stávajícím záznamu? To bych musel žádat o indexaci apod. ne? Děkuji moc.
Zdravím,
ano určitě přidejte. Pokaždé měříte jinou URL. Dokonce jsem viděl i specialisty co měli v Search Console verzi HTTP s www a bez www a to same HTTPS, takže jeden web prakticky 4x.
Moc děkuji za článek. Přechod na https jsem odkládala, že to bude náročné, ale nakonec koukám, že díky WP a pluginu a tomuto článku to byla jen chvilka.
Dobrý den, moc děkuji za super web. Plugin je super, kontrolou prošel, ale nezobrazují se některé obrázky. Nevíte, čím by to mohlo být a kde případně co změnit?
Moc děkuji
Dobrý den,
koukněte do konzole. Nejspíše se načítají přes HTTP a proto se nezobrazí.
Děkuji za rychlou odpověď. A poradíte, jak změnit u obrázků hromadně http na https?
Děkuji.
Těžko říci, zkuste některý obrázek znovu nahrát a vložit do obsahu. Pokud se bude zobrazovat můžete je změnit všechny nebo se to pak dá udělat dotazem nad DB.
Dotaz: pokud mam v GoogleAnalytics nastavene weby na http a posleze udelam zmenu na https, bude dale GA merit spravne?
Je doporučené jít do nastavení účtu v Google Analytics a upravit URL webu na HTTPS.
Tento návod mi ušetřil asi tak kilo nervů a spoustu vyškubaných vlasů! Super, díky moc. I já naprostý laik jsem to zvládla. Takže za mě palec nahoru 🙂
vaše stránky mi tak skvěle šetří nervy 🙂
nainstaloval jsem Lets Encrypt SSL certifikát přes webhosting SAVANA, poté nainstaloval plugin Really Simple SSL a webová prezentace https://www.vysokorychlostni-zeleznice.cz/ se mi nenačítá korektně s šablonou (https snad nenačítá CSS). Co s tím mám dělat? Web http://www.vysokorychlostni-zeleznice.cz mám na webhostingu SAVANA, používám WordPress 4.7.9 a šablonu Twenty Fourteen. Díky za tip. L.
Koukal jsem na to a vypadá to dobře. Neměl jste jen cache?
Ahoj, prosím o radu: kde v pluginu iThemes Security mám nastavit „právo zápisu na souboru wp-config.php na 777. Po provedení aktivace SSL však nezapomeňte vrátit 444.“ – Aktivovala jsem SSL certifikát přes Hosting, nainstalovala a spustila plugin pro SSL, a teď nerozumím, jestli mám tedy něco měnit v iThemes Security, nebo ne. Moc děkuji za odpověď!
Ahoj,
nejjednodušší je to udělat přes FTP klienta (například Filezilla), kde snadno zkontrolujete práva k souborům a můžete je případně upravit. Pokud máte iThemes Security nastaveno, tak jen koukněte do System Tweaks a zkontrolujte, zda máte zaškrtnutou položku File Writing Permissions. Popřípadě nastavení uložte.
díky!
Dobrý den,
na webhostingu mám nastaveno PHP7.4, WordPress v nastavení mi však ukazuje PHP5.4. Tím pádem se nedostanu na zabezpečení https.
Můžete mi poradit, kde je nejspíš chyba ?
Děkuji za info
Dobrý den,
pokud vám WP ukazuje 5.4, tak nemůže být na hostingu 7.4. Doporučuji zkontrolovat nastavení hostingu nebo kontaktovat jejich podporu.
Dobrý den,
před chvilkou mi to došlo :-), koukal jsem na jiny webhosting, než na kterém běží WP. Bohužel tam je opravdu PHP5.6, zkusím jejich podporu.
Děkuji