Valljuk be őszintén, csak a bátrak kattintanak egy olyan honlapra, amelyikről a böngészőnk azt mondja: nem biztonságos, át akar verni, stb.
A Google már tavaly ősszel bejelentette, hogy a nem biztonságosnak tekintett oldalakat hátrébb sorolja, és most már itt van a Google Chrome böngésző 56-os béta verziója, amelyik adott esetben közli: „A Google Chrome tájékoztatja Önt, ha a felkeresni kívánt webhely veszélyes vagy megtévesztő. Az ilyen webhelyeket „adathalász” vagy „rosszindulatú” webhelynek is nevezik.” Vagy valami hasonlót. És az 56-os verziótól kezdődően a felhasználóknak megszólaltatják a vészharangot, ha nem biztonságos oldalra manővereznek, és az 56-os verzió ebben a hónapban jelenik meg, és nincs okunk kételkedni abban, hogy a többi böngésző követni fogja. Itt az ideje, hogy a WordPress alapon működő honlapunkat felszerelvényezzük az új korra!
Az ügyfelek adatainak védelmét szolgálja az SSL (Secure Sockets Layer) nevű technológia, amely a webböngésző és a webszerver között átvitt adatok titkosítására szolgál. A SSL használatával biztonságossá tett weboldalak címében a http: helyett a https: előtag szerepel, ezért az SSL-re sokan „HTTPS” néven hivatkoznak.
Azt már tisztáztuk, hogy mire szolgál, mire való az SSL, de azt még nem, hogy mi az SSL?
Az SSL-t úgy kell beképzelni, mint egy komolyabb munkahelyen, közintézményben a belépőkártyát. Belépéstől kilépésig, minden pillanatban kitűzve/nyakba akasztva, övre biggyesztve, de állandóan láthatóan kell hordani, különben úgy tunikán billentenek, hogy az orrodon landolsz a be- vagy kijáratnál. Az SSL ugyanilyen belépőkártya, csak digitális formában. 🙂
A belépőkártya, pardon: az SSL digitálisan tanúsítja, hogy azonosak vagyunk önmagunkkal az internet sztrádáján. 😉
A WordPress oldalunk SSL tanúsítvánnyal történő ellátása igazán nem bonyolult feladat, nem bonyolultabb, mint egy bővítményt telepíteni, de kettő előfeltétele van, amely – egy adott tárhely-szolgáltatónál – gondot és vagy pénzkiadást is jelenthet:
- Szükség lesz egy hitelesítő szervezet által kibocsátott digitális tanúsítványra (SSL tanúsítványra)
- Szükség lesz egy saját dedikált ip címre
Természetesen, ha a tárhely-szolgáltató ezeket biztosítja, akkor már nem sok a tennivalónk:
- Az SSL tanúsítványt meg kell vásárolni/be kell szerezni (az ingyenestől a csillagos égig terjedő árakon)
- Az SSL tanúsítványt a szerverre kell telepíteni
- A WordPress oldalunkat be kell állítani
Most nem bonyolódunk abba, hogy milyen célra, milyen helyről, milyen módon szerezhetünk be SSL tanúsítványt, hogyan kerülhet a tárhelyre – ott van, oda került, és kész!
Hogyan állítsuk be a WordPress-t az SSL tanúsítvánnyal történő munkához, vagyis hogyan lesz a http-ből https?
A szokásos módon be kell lépni a honlap admin felületére
- Vezérlőpult – Beállítások – Általános részen kell majd átírni a WordPress cím (URL) és a Honlap cím (URL) mezőkben a http:// cím-részt https://-re átírni.
- FTP kapcsolaton keresztül meg kell nyitni a .htaccess fájlt, és a legelejére az alábbi kódot kell bemásolni:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://domain-nev.hu/$1 [R,L]
- Az FTP kapcsolaton keresztül meg kell nyitni a wp-config.php fájlt, és az „Ennyi volt…” kezdetű sor fölé másoljuk be az alábbi kódot (ez felel azért, hogy az admin részt is ssl kapcsolaton keresztül kezelhessük)
define('FORCE_SSL_ADMIN', true);
// in some setups HTTP_X_FORWARDED_PROTO might contain
// a comma-separated list e.g. http,https
// so check for https existence
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)
$_SERVER['HTTPS']='on';
- Az 1. pontban említett részen írjuk át most a WordPress cím (URL) és a Honlap cím (URL) mezőkben a http:// cím-részt https://-re. (Nem kell meglepődni, a WordPress ki fogja jelentkeztetni az admint.)
- A közvetlen hivatkozások helyes megjelenéséhez a Közvetlen hivatkozások beállításnál kattintani kell a módosítások mentésére. Ekkor újra generálódik a .htaccess fájl (természetesen, az előbb beírt rész nem fog elveszni).
Előfordulhat, hogy a böngésző azt jelzi, hogy az oldal titkosított ugyan, de vannak elemei, amik titkosítatlan csatornáról érkeznek. Ilyen esetbe a forráskódban kell szétnézni, mert legtöbbször 1-2 kézzel beleírt http hivatkozás a bűnös (például utólagosan hozzáadott képek a sablon fájljaiban). Ezeket az URL címeket kell cserélni https-re ,a figyelmeztetés eltüntetéséhez.
Az én tárhelyemen elég volt az adminon átírni a címeket https-re
Kedves boy!
Természetesen, amit írtál, az az alapeset. 🙂
Ha a tárhely-szolgáltató előkészíti és telepíti a tanúsítványt, akkor tényleg annyi a dolog, hogy a http://-t átírjuk https://-re, a rendszer „kirúg”, visszalépünk adminként, nyomunk egyet a közvetlen hivatkozások beállításon, és készen is van.
A .htaccess-be azért ott az átirányítás, ha http-t írtak be, akkor a https oldalról történjék a kiszolgálás. (Hacsak nincs egy jóképű SSL widget telepítve, amelyik mindent megcsinál helyettünk.)
Kedves Győző!
Először is köszönöm ezt a hasznos és lényegre törő cikket. Sajna én valamit elbénázhattam:
1. Követtem az instrukciókat, de amikor átírom a htaccess + wp-config-ot akkor ez jött be az oldalam helyett: https://domain-nev.hu/, így az adminbe sem tudtam belépni, hogy a https-t átírjam, illetve, hogy mentsem a közvetlen hivatkozásokat. Ha pedig ehelyett először a https-t írom át, akkor az 500 Internal Server Error jön ki hibának és elszáll az oldalam. Mi lehet az oka? A szerver tulajdonos mindent beállított és az oldal https kezdetű URL begépelésével is bejön (de még nem biztonságos a Chrome szerint).
2. Fizetett Jupiter WordPress sablont használok és tele van http-vel, ahol engedte átírtam, de így is maradt bőven belőle. Esetleg erre van ötletetek, hogy mi a megoldás (olyan, amit a frissítés sem ír felül)?
Köszönöm előre is!
Kedves Keri!
Tényleg elhegedáltad, de ebben – egy ici-picit – magamat is ludasnak érzem; nem jeleztem, hogy a .htaccess fájlban, értelemszerűen, a domain-nev.hu nevet át kel írni a saját domain-ed nevére.
Amint bejutsz az admin felületedre ismételten, nyomjál egy közvetlen hivatkozás módosítást, és akkor a legtöbb hivatkozásod rendben a helyére áll.
Ami pedig marad még esetleg, azt vagy egy bővítménnyel (pl. Search and Replace), vagy az adatbázis mentését követően egy pspad, vagy notepad++ használatával a keresés és csere funkciókat megdolgoztatod.
Nagyon szépen köszönöm, így már ezt sikerült megoldani. Esetleg arra van ötletetek, hogy a https://a.vimeocdn.com/js/froogaloop2.min.js hivatkozással mit lehet kezdeni (állítólag https-es, de nem biztonságos a tanúsítvány. A linkre kattintva nem töltődik be a javascript és ezért hozza fel hibának.)
Kedves Mindenki!
A legutolsó problémát a Really Simple SSL plugin oldotta meg (Győző is említette a plugin használatának lehetőségét, így nem kell minden egyes oldalon áítarni pl. a képek behivatkozásának helyét stb.). De amire vigyázzatok, hogy a facebook like elszáll, ha https-re váltunk. Erre nem tudom még megoldást, esetleg valaki tudja? Köszönöm
Megoldás: a facebook like-ok visszajönnek, ha a function.php-ba (wp-content/themes/…) legfelülre ezt beteszitek (<?php alá):
add_filter("rsssl_fixer_output","rsssl_exclude_http_url");function rsssl_exclude_http_url($html) {
$html = str_replace('data-href="https://', 'data-href="http://', $html);
$html = str_replace('data-rsssl', 'data-rsssl-fb data-rsssl', $html);
return $html;
}
Köszönjük szépen!
Én a SSL Insecure Content Fixer, a Disable WP Emojis, és a Velvet Blues Update URLs bővítményt szoktam használni segítségképpen ha már tuti működik a https.
Abban tudtok segíteni, hogy woocommerce kosár miért nem működik a beállítások után? Nem lehet a termeket a kosárba tenni es vissza kellett állítani http re mindent.
Sziasztok,
Kedves Győző, köszönöm ezt a hasznos írást.
Szeretném kérdezni, hogy abban az esetben, ha a Wp cím és Honlap cím http://www.honlapím.hu
formában van megadva a WP adatoknál, akkor a htaccess file-ba írandó kódot
(RewriteRule ^(.*)$ https://domain-nev.hu/$1 [R,L] helyett)
így kell megadni?
RewriteRule ^(.*)$ https://www.domain-nev.hu/$1 [R,L]
Üdv,
aKérdező
Igenlő a válasz. 🙂
Köszönöm a gyors segítséget.
Sziasztok!
A hoszt ügyfélszolgálaton azt a tájékoztatást kaptam, hogy csak a vezérlőpult beállításoknál állítsam át a két url-t https-re, mentés és kész. A többit a rendszerük intézi. (Sajnos korábban többször tévedtek.)
A hosterem tudásbázisát követve átálltam egy Let’s encrypt tanusítvánnyal https-re. Maga az oldal át is állt. Az összes cím rendben van. Adminként belülről mindegyik tartalom https megjelenésű.Néhány kifelé mutató link még http ezért csak félig vagyok zöld, de nem ez a gond.
Ha kívülről érkezem az oldalra, akár a keresőből, akár egy régebbi, valamelyik cikkre mutató hivatkozásra kattintva, akkor viszont http az oldal. Jól gondolom, hogy ez azt jelenti, az oldalam átállt, de nincs 301 átirányítás?
A Cpanelben a .htaccess file-ban jelenleg ezt találtam:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Jól sejtem, hogy ennek nincs köze az átirányításhoz? Vagyis nincs átirányítás!
Ebben az esetben a Győző által betett 3 soros kódot, pontosan hová illesszem be?
Köszönöm a segítséget!
Hali,
2 napja álltam át ssl-re és azóta több cikknél egyszerűen eltűnt a beágyazott videó.Újra berakva sem látszodik semmi csak a nagy üresség. Más pl youtube vagy egyéb videónál mükődik,ezek viszont valamiért most eltűntek.Mitől lehet ez?