WordPress návody

Jak nastavit u WordPress HTTPS (SSL)

Autor příspěvku Tomáš Cirkl

Důvodů proč převést webové stránky na HTTPS může být mnoho. Zvýšení bezpečnosti přenesených dat, vyšší důvěryhodnost u návštěvníků webu nebo SEO.

Osobně si pak myslím, že stránky s možností registrace, internetové obchody a firemní stránky by v dnešní době již měli být provozovány přes HTTPS.

Co je to SSL

SSL (Secure Sockets Layer) je nekomerční otevřený protokol, který se využívá pro zabezpečení datových přenosů v rámci internetu mezi serverem s webovou prezentací a prohlížečem (uživatelem).

SSL je protokol zajišťuje šifrování přenášených dat a autentizaci serveru pomocí digitálních certifikátů. Upozornění o zabezpečeném připojení obvykle získáme z adresní řádky prohlížeče, kde se zobrazí zelený zámek a také podle URL adresy, která začíná HTTPS, například https://www.wplama.cz.

Zabezpečené připojení – Chrome

Kde získat SSL certifikát?

Abyste získali zelený zámek a mohli provozovat WordPress na HTTPS, tak je potřeba SSL certifikát, který se nainstaluje na hosting. Existuje několik způsobů jak SSL certifikát získat a samozřejmě jak už to bývá, jsou i různé druhy certifikátů a jeho ceny.

Hosting

Populární české hostingové společnosti obvykle nabízí zakoupení a instalaci SSL certifikátu. Například u Českého hostingu cena začíná od 800 Kč/rok (s využitím vlastního certifikátu jednorázová instalace 200 Kč).

Nejdražší, ale nejjednodušší způsob.

Specializovaný obchod

Nejlevněji lze SSL certifikáty získat u specializovaných prodejců. Například SSLmarket je nabízí od 345 Kč.

Více časově náročnější, protože musíte požádat hosting o instalaci certifikátu. Nicméně není to nic víc než pár emailů. Levnější.

Let’s Encrypt

Speciální certifikáty, které jsou zdarma, můžete získat u služby Let’s Encrypt. Tuto službu mají i předpřipravené některé hostingy a je možné si sjednat instalaci tohoto certifikátu přímo u nich.

Ověření správné instalace certifikátu uděláte jednoduše, stačí zadat adresu vaší domény s HTTPS (jak HTTPS tak HTTP běží zároveň). Pokud web funguje a nezobrazí se informace o zabezpečeném připojení, můžete se dát do nastavení HTTPS u WordPress.

Jak nastavit WordPress přes SSL a HTTPS

Když máte certifikát na hostingu nainstalovaný, zbývá jen dokončit nastavení WordPress, kde je třeba nastavit automatické přesměrování na HTTPS.

K tomu využijeme plugin Really Simple SSL, který se nachází v oficiálním repozitáři a je možné jej nainstalovat přímo z WordPress administrace.

Po instalaci a aktivaci pluginu se zobrazí informace, že vše je skoro hotovo a stačí jen aktivovat přesměrování.

Really simple SSL

Klikněte na tlačítko Go ahead, activate SSL!. A vše je hotovo.

Když nyní zadáte http://www.vasedomena.cz budete automaticky přesměrování na HTTPS. Plugin také automaticky vynutí načítání veškerého obsahu přes HTTPS.

Pár tipů na konec

  • V případě, že využíváte bezpečnostní plugin iThemes Security, tak je třeba upravit právo zápisu na souboru wp-config.php na 777. Po provedení aktivace SSL však nezapomeňte vrátit 444.
  • SSL certifikát je aktivní, ale v prohlížeči na webu není informace o zabezpečeném připojení. Na vině nejspíše bude, že na webu se některá část načítá přes HTTP (například natvrdo vložený kód ve widgetu). Spusťte test webu v nástroji whynopadlock.com a on vám zobrazí problém. Případně se můžete podívat do konzole v prohlížeči.
  • Při přechodu nezapomeňte vymazat cache.

O autorovi

Tomáš Cirkl

Baví mě Internet a zvláště pak redakční systém WordPress. Jsem pravidelným účastníkem a přednášejícím na WordCamp Praha a WordPress konferencích.

21 komentářů

  • Pochopil jsem správně, že pokud chcí mít web takto zabezpečený, musím platit každý rok nějaký poplatek za tento certifikát? Děkuji za odpověd.

      • A je Lets Encrypt dostačující na web/blog který nemá nějaké složité funkcionality či online platby? Pro mě je asi zbytečné abych každý rok platil stovky korun jen za fanstránku, kterou si dělám pro zábavu, neříkám že to je hodně, ale co byste doporučil? Ještě jednou děkuji a i za další kvantum informací, které čerpám z tohoto super webu.

        • Let’s Encrypt je na osobní blog vhodná volba. Ovšem na firemní web nebo eshop bych ho nedoporučil.

          • Dobrý den,
            proč přesně nedoporučujete Let’s Encrypt pro firemní web? Úlohu plní snad stejnou, jde tedy jen o prestiž?

  • A co úprava Robots.txt ,htaccess, wp-config.php.

    Nebo veškerou práci udělá plugin Really Simple SSL?

    Nejsem odborník, jenom se ptám.

  • Nechal jsem vygenerovat certifikát službou Let’s Encrypt, instaloval plugin Really Simple SSL. Na hlavní stránce http://www.doména.cz není SSL funkční, na stánkách domény 3.řádu nazev.doména.cz je vše funkční. Zajímavé je, že v administraci hlavní webové stránky je informace o zabezpečení v pořádku. V čem je problém?

      • Už jste zjistil problém. Na úvodní stránce byl odkaz na obrázek, který je na jiné doméně, ale ta nepoužívá HTTPS. Pokud jsem zapnul v pluginu SSL “Auto replace mixed content”, tak byla stránka zabezpečená, ale zase se obrázek nezobrazoval. Vyřešil jsem to tak, že jsem nastavení “Auto replace mixed content” vypnul a obrázek jsem uložil na svojí doménu. Od té doby je vše v pořádku web je už zabezpečený.

  • Ahoj, díky za super návod, brzy se do toho asi taky pustím. Jen se chci zeptat, mám magazín zatím na http a spousta článků má obrovské množství like na Facebooku. Když to teď převedu na https, tak se mi asi určitě všechna počítadla like vynulují, že? Lze to nějak elegantně ve WordPressu vyřešit? Trochu jsem po tom pátral na netu, ale moudrej z toho nejsem… Řešil jste to někdo? Díky :).

  • Ahoj, tak jsem úspěšně aktivoval https díky tomu pluginu Really Simple SSL. Chci se ale zeptat, má smysl koupit tu placenou verzi pluginu? Vše mi teď funguje správně, ale všiml jsem si, že třeba v souboru .htaccess k žádným úpravám nedošlo a asi se to přesměrovává jen díky tomu pluginu.

    V nastavení pluginu je volba “Enable 301 .htaccess redirect”, mám to zaškrtnout a udělat požadované úpravy? Nebo to nechat být? Díky.

    • Ahoj,
      vždy jsem zatím použil verzi zdarma a stačilo to. Enable 301 .htaccess redirect můžete zaškrtnout, ale doporučuji si předtím udělat zálohu současného souboru, kdyby došlo k zacyklenému přesměrovávání.

  • Dobrý den, nainstaloval jsem plugin podle návodu. Web je zabezpečen, vše funguje. Cert. Lets Encrypt.

    Pouze mám “malý problém”: když přidávám v příspěvcích odkazy, namátkou (ale vypozoroval jsem, že zřejmě vždy jde jistě o první a pak různě i o další externí linky) se i přes definici jako http:// automaticky uloží jako https://, i když v editoru příspěvků vypadají jako http://. Pokud směřují na web, který https:// nemá, je to slepý odkaz a uživatel se nikam nedostane. Setkal jste se, prosím, již s něčím podobným?

    Děkuji Vám

    Jan Petrtyl

    • Pachatel se vrací na místo činu D+2 a sám si odpovídá:) Příčinou byl plugin Autoptimize, který zřejmě někde něco optimalizoval špatně. U pluginu Really Simple SSL po vypnutí Mixed Content Filter byla chyba napravena, nicméně stránka byla https jen “napůl”, objevila se klasická hláška o obrázcích. Deaktivací Autoptimize se to vyřešilo.

  • Dobrý den, nejprve chci poděkovat za vaše stránky, kde jsem už nejednou našel odpovědi na své otázky.

    Úspěšně jsem aktivoval https s pluginem Really Simple SSL a chci se zeptat, zda opravdu musím znovu přidat odkaz s https do webmastertools od googlu? Nejde to nějak upravit ve stávajícím záznamu? To bych musel žádat o indexaci apod. ne? Děkuji moc.

    • Zdravím,

      ano určitě přidejte. Pokaždé měříte jinou URL. Dokonce jsem viděl i specialisty co měli v Search Console verzi HTTP s www a bez www a to same HTTPS, takže jeden web prakticky 4x.

  • Moc děkuji za článek. Přechod na https jsem odkládala, že to bude náročné, ale nakonec koukám, že díky WP a pluginu a tomuto článku to byla jen chvilka.

Zanechat komentář

Získejte více informací o WordPress!

Připojte se do našeho emailového seznamu a nenechte si ujít informace, novinky a návody ze světa WordPressu.

Úspěšně jste se zapsali do našeho newsletteru. Děkujeme!