Valljuk be őszintén, csak a bátrak kattintanak egy olyan honlapra, amelyikről a böngészőnk azt mondja: nem biztonságos, át akar verni, stb.

A Google már tavaly ősszel bejelentette, hogy a nem biztonságosnak tekintett oldalakat hátrébb sorolja, és most már itt van a Google Chrome böngésző 56-os béta verziója, amelyik adott esetben közli: “A Google Chrome tájékoztatja Önt, ha a felkeresni kívánt webhely veszélyes vagy megtévesztő. Az ilyen webhelyeket „adathalász” vagy „rosszindulatú” webhelynek is nevezik.” Vagy valami hasonlót. És az 56-os verziótól kezdődően a felhasználóknak megszólaltatják a vészharangot, ha nem biztonságos oldalra manővereznek, és az 56-os verzió ebben a hónapban jelenik meg, és nincs okunk kételkedni abban, hogy a többi böngésző követni fogja. Itt az ideje, hogy a WordPress alapon működő honlapunkat felszerelvényezzük az új korra!

Az ügyfelek adatainak védelmét szolgálja az SSL (Secure Sockets Layer) nevű technológia, amely a webböngésző és a webszerver között átvitt adatok titkosítására szolgál. A SSL használatával biztonságossá tett weboldalak címében a http: helyett a https: előtag szerepel, ezért az SSL-re sokan „HTTPS” néven hivatkoznak.

Azt már tisztáztuk, hogy mire szolgál, mire való az SSL, de azt még nem, hogy mi az SSL?

Az SSL-t úgy kell beképzelni, mint egy komolyabb munkahelyen, közintézményben a belépőkártyát. Belépéstől kilépésig, minden pillanatban kitűzve/nyakba akasztva, övre biggyesztve, de állandóan láthatóan kell hordani, különben úgy tunikán billentenek, hogy az orrodon landolsz a be- vagy kijáratnál. Az SSL ugyanilyen belépőkártya, csak digitális formában. 🙂

A belépőkártya, pardon: az SSL digitálisan tanúsítja, hogy azonosak vagyunk önmagunkkal az internet sztrádáján. 😉

A WordPress oldalunk SSL tanúsítvánnyal történő ellátása igazán nem bonyolult feladat, nem bonyolultabb, mint egy bővítményt telepíteni, de kettő előfeltétele van, amely – egy adott tárhely-szolgáltatónál – gondot és vagy pénzkiadást is jelenthet:

  • Szükség lesz egy hitelesítő szervezet által kibocsátott digitális tanúsítványra (SSL tanúsítványra)
  • Szükség lesz egy saját dedikált ip címre

Természetesen, ha a tárhely-szolgáltató ezeket biztosítja, akkor már nem sok a tennivalónk:

  • Az SSL tanúsítványt meg kell vásárolni/be kell szerezni (az ingyenestől a csillagos égig terjedő árakon)
  • Az SSL tanúsítványt a szerverre kell telepíteni
  • A WordPress oldalunkat be kell állítani

Most nem bonyolódunk abba, hogy milyen célra, milyen helyről, milyen módon szerezhetünk be SSL tanúsítványt, hogyan kerülhet a tárhelyre – ott van, oda került, és kész!

Hogyan állítsuk be a WordPress-t az SSL tanúsítvánnyal történő munkához, vagyis hogyan lesz a http-ből https?

A szokásos módon be kell lépni a honlap admin felületére

  • Vezérlőpult – Beállítások – Általános részen kell majd átírni a WordPress cím (URL) és a Honlap cím (URL) mezőkben a http:// cím-részt https://-re átírni.
  • FTP kapcsolaton keresztül meg kell nyitni a .htaccess fájlt, és a legelejére az alábbi kódot kell bemásolni:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://domain-nev.hu/$1 [R,L]
  • Az FTP kapcsolaton keresztül meg kell nyitni a wp-config.php fájlt, és az “Ennyi volt…” kezdetű sor fölé másoljuk be az alábbi kódot (ez felel azért, hogy az admin részt is ssl kapcsolaton keresztül kezelhessük)
define('FORCE_SSL_ADMIN', true);
// in some setups HTTP_X_FORWARDED_PROTO might contain 
// a comma-separated list e.g. http,https
// so check for https existence
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)
       $_SERVER['HTTPS']='on';
  • Az 1. pontban említett részen írjuk át most a WordPress cím (URL) és a Honlap cím (URL) mezőkben a http:// cím-részt https://-re. (Nem kell meglepődni, a WordPress ki fogja jelentkeztetni az admint.)
  • A közvetlen hivatkozások helyes megjelenéséhez a Közvetlen hivatkozások beállításnál kattintani kell a módosítások mentésére. Ekkor újra generálódik a .htaccess fájl (természetesen, az előbb beírt rész nem fog elveszni).

Előfordulhat, hogy a böngésző azt jelzi, hogy az oldal titkosított ugyan, de vannak elemei, amik titkosítatlan csatornáról érkeznek. Ilyen esetbe a forráskódban kell szétnézni, mert legtöbbször 1-2 kézzel beleírt http hivatkozás a bűnös (például utólagosan hozzáadott képek a sablon fájljaiban). Ezeket az URL címeket kell cserélni https-re ,a figyelmeztetés eltüntetéséhez.