SSL tanúsítvány beállítása WordPressben
Bikfalvi Moni
2017. január 20. • 6 perc olvasás
Az előző cikkemben röviden bemutattam, mi az az SSL tanúsítvány, mire való, és hogyan lehet hozzájutni. Azonban az még nem elég, ha be van kapcsolva a tanúsítvány a tárhelyeden – ha már létezik egy ideje a weboldalad, akkor meg kell tenned néhány további lépést, hogy „kizöldítsd” az egészet. (A tanúsítvány telepítéséről és bekapcsolásáról itt nem írok – ha a tárhelyszolgáltatód nem csinálja meg Neked, akkor nézd meg a cPaneles beállításról ezt a videót.)
Amikor az SSL tanúsítvány már telepített és bekapcsolt állapotban van, akkor az első dolgod, hogy megnézed. hogy mit látsz, ha a https://domainneved.hu címet írod a böngésző címsorába. (Természetesen a domainneved.hu helyett írd be a valódi domain-nevedet 🙂 )
Ha rögtön zöld lakatot látsz a domain előtt, és ott van a szintén zöld „Biztonságos” felirat is, akkor kezdhetsz örülni, de ez egyrészt ritka, másrészt nem jelenti azt, hogy már nincs is semmi dolgod. Ugyanis ha csak a domainneved.hu -t írod be, vagy azt, hogy http://domainneved.hu (vagy ugyanezek www-s változata), akkor már nem fog látszani a „zöldítés”. Először is meg kell mondanod a böngészőknek, hogy ezentúl mindig a https-es változatot használják.
WordPress alapú weboldalak esetében az első lépés, hogy belépsz a Beállítások menüpontba, és ott a „WordPress cím (URL)” és a „Honlap cím (URL)” mezőkben is átírod a http-t https-re.
Amint az oldal alján rákattintasz a „Módosítások mentése” gombra, a rendszer egy mozdulattal kipenderít a Vezérlőpultról, de ez ne aggasszon, ennek így kell lennie. Lépj be újra – és közben örömmel vedd észre, hogy az admin felületed már „kizöldült”:
Eggyel közelebb vagy tehát a célhoz, de ha megnézed a honlapodat kívülről, ott nagy valószínűséggel azt látod, hogy még mindig szürke a címsor. (Ha véletlenül nem, akkor sem vagy még készen.) Ha beírod a domain-nevedet a böngésző címsorába, akár http-vel, akár https-sel, akár csak magában, akkor ugyan már átugrik a http-s verzióra, de ez csak a főoldalra igaz. Bármelyik aloldalt hívod be (menüpontra kattintással, vagy a cím beírásával), ott még http-s a link:
A böngészőknek meg kell mondani, hogy ne csak a főoldal, hanem az összes aloldal esetében is térjenek át a https-s verzióra. Ezt a legegyszerűbben a WP Force SSL nevű bővítménnyel éred el (keress rá a Bővítmények -> Új hozzáadása menüpontban):
(Ugyan elég régen frissítették, de ez ne aggasszon, jól működik most is.)
A bővítmény telepítés és bekapcsolás után látszólag nem csinál semmit, de ez tényleg csak a látszat – próbáld ki, most már minden oldalad, bejegyzésed címébe bekerül a https.
A következő lépés, hogy megszabaduljunk minden „szürkeségtől”. Átlagos esetben „mixed content”, azaz vegyes tartalom van az oldaladon, tehát vannak http-s és https-es linkek és képek, ezeket mind rá kell venni, hogy használják a https-es protokollt. Jobb egérgombbal kattints a weboldaladon, és a feljövő menüben válaszd a Vizsgálat lehetőséget, ekkor alul megjelenik egy ablak, ott kattints át a Security fülre:
A tanúsítványod rendben van („Valid Certificate”), a kapcsolat biztonságos („Secure Connection”), de alul ott a bűnös, a „Mixed Content”. Ha a „View requests in Network Panel” linkre kattintasz, pontosan be tudod azonosítani azokat az elemeket, amelyek nem https-t használnak:
Itt láthatóan a képekkel van a baj, de éppen lehetnének más elemek is.
Én kipróbáltam több bővítményt is, amelyek azt ígérték, hogy megszabadítanak a http-s linkektől és a Médiatár elemeit is rendbe teszik, de egyik sem volt tökéletes. Úgyhogy inkább a konkrét adatbázis-szerkesztést ajánlom. Először is készíts egy biztonsági mentést az adatbázisodról (phpMyAdmin felület, majd Export – ha nem tudod, hogyan kell, kérj segítséget a tárhelyszolgáltatódtól!), azután telepítsd a Better Search Replace nevű bővítményt:
(Látszólag ez sem „mai csirke”, de bízhatsz benne, nincs vele gond.)
A bővítmény bekapcsolás után az Eszközök menüpont alá költözik be, ott tudod elindítani a műveletet:
A „Search for” mezőbe írd be, hogy http://, a „Replace with” mezőbe azt, hogy https:// (írd be a :// részt is, különben a már https hivatkozások httpss-re fognak változni 🙂 ), válaszd ki az összes táblát az adatbázisodban, amely ehhez a weboldalhoz tartozik, majd indítsd el a cserét. Nem érdemes a teszt „Run as dry run?” lehetőséget bepipálni, hiszen úgyis van egy exportod az adatbázisról, ha bármi balul sülne el. A művelet elég gyorsan lefut, és az oldal tetején kiírja a végeredményt:
Ezek után már semmi nem ment meg a zöld lakattól 🙂 Biztonságos lett a weblapod!
FRISSÍTÉS:
A nyavalyás Google Chrome fukarkodik a színekkel 🙂 – egy ideje már csak akkor lesz tényleg zöld színű a lakatod, ha fizetős tanúsítványt használsz. Az ingyeneseknél szürke marad, és azt sem írja ki, hogy „Biztonságos”, hanem csak kapsz egy szürke, csukott lakatot:
A Mozilla Firefox egy fokkal rendesebb, itt legalább zöld a lakat:
De mindkettő csak a csukott lakatot jeleníti meg, a „Biztonságos” feliratot már nem kapjuk meg.
A lényeg az, hogy ha NINCS kiírva, hogy „Nem biztonságos”, és van egy csukott szürke lakatod, akkor jó az.