Nyílt Web Alapítvány > WordPress Magyarország > Biztonság > WordPress – SSL – https – jobb, ha megbarátkozunk a biztonsággal
Biztonság

WordPress – SSL – https – jobb, ha megbarátkozunk a biztonsággal

WordPress SSL https:// a honlapunk biztonsága
Szerző: Farkas Győző

Valljuk be őszintén, csak a bátrak kattintanak egy olyan honlapra, amelyikről a böngészőnk azt mondja: nem biztonságos, át akar verni, stb.

A Google már tavaly ősszel bejelentette, hogy a nem biztonságosnak tekintett oldalakat hátrébb sorolja, és most már itt van a Google Chrome böngésző 56-os béta verziója, amelyik adott esetben közli: “A Google Chrome tájékoztatja Önt, ha a felkeresni kívánt webhely veszélyes vagy megtévesztő. Az ilyen webhelyeket „adathalász” vagy „rosszindulatú” webhelynek is nevezik.” Vagy valami hasonlót. És az 56-os verziótól kezdődően a felhasználóknak megszólaltatják a vészharangot, ha nem biztonságos oldalra manővereznek, és az 56-os verzió ebben a hónapban jelenik meg, és nincs okunk kételkedni abban, hogy a többi böngésző követni fogja. Itt az ideje, hogy a WordPress alapon működő honlapunkat felszerelvényezzük az új korra!

Az ügyfelek adatainak védelmét szolgálja az SSL (Secure Sockets Layer) nevű technológia, amely a webböngésző és a webszerver között átvitt adatok titkosítására szolgál. A SSL használatával biztonságossá tett weboldalak címében a http: helyett a https: előtag szerepel, ezért az SSL-re sokan „HTTPS” néven hivatkoznak.

Azt már tisztáztuk, hogy mire szolgál, mire való az SSL, de azt még nem, hogy mi az SSL?

Az SSL-t úgy kell beképzelni, mint egy komolyabb munkahelyen, közintézményben a belépőkártyát. Belépéstől kilépésig, minden pillanatban kitűzve/nyakba akasztva, övre biggyesztve, de állandóan láthatóan kell hordani, különben úgy tunikán billentenek, hogy az orrodon landolsz a be- vagy kijáratnál. Az SSL ugyanilyen belépőkártya, csak digitális formában. 🙂

A belépőkártya, pardon: az SSL digitálisan tanúsítja, hogy azonosak vagyunk önmagunkkal az internet sztrádáján. 😉

A WordPress oldalunk SSL tanúsítvánnyal történő ellátása igazán nem bonyolult feladat, nem bonyolultabb, mint egy bővítményt telepíteni, de kettő előfeltétele van, amely – egy adott tárhely-szolgáltatónál – gondot és vagy pénzkiadást is jelenthet:

  • Szükség lesz egy hitelesítő szervezet által kibocsátott digitális tanúsítványra (SSL tanúsítványra)
  • Szükség lesz egy saját dedikált ip címre

Természetesen, ha a tárhely-szolgáltató ezeket biztosítja, akkor már nem sok a tennivalónk:

  • Az SSL tanúsítványt meg kell vásárolni/be kell szerezni (az ingyenestől a csillagos égig terjedő árakon)
  • Az SSL tanúsítványt a szerverre kell telepíteni
  • A WordPress oldalunkat be kell állítani

Most nem bonyolódunk abba, hogy milyen célra, milyen helyről, milyen módon szerezhetünk be SSL tanúsítványt, hogyan kerülhet a tárhelyre – ott van, oda került, és kész!

Hogyan állítsuk be a WordPress-t az SSL tanúsítvánnyal történő munkához, vagyis hogyan lesz a http-ből https?

A szokásos módon be kell lépni a honlap admin felületére

  • Vezérlőpult – Beállítások – Általános részen kell majd átírni a WordPress cím (URL) és a Honlap cím (URL) mezőkben a http:// cím-részt https://-re átírni.
  • FTP kapcsolaton keresztül meg kell nyitni a .htaccess fájlt, és a legelejére az alábbi kódot kell bemásolni:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://domain-nev.hu/$1 [R,L]
  • Az FTP kapcsolaton keresztül meg kell nyitni a wp-config.php fájlt, és az “Ennyi volt…” kezdetű sor fölé másoljuk be az alábbi kódot (ez felel azért, hogy az admin részt is ssl kapcsolaton keresztül kezelhessük)
define('FORCE_SSL_ADMIN', true);
// in some setups HTTP_X_FORWARDED_PROTO might contain 
// a comma-separated list e.g. http,https
// so check for https existence
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)
       $_SERVER['HTTPS']='on';
  • Az 1. pontban említett részen írjuk át most a WordPress cím (URL) és a Honlap cím (URL) mezőkben a http:// cím-részt https://-re. (Nem kell meglepődni, a WordPress ki fogja jelentkeztetni az admint.)
  • A közvetlen hivatkozások helyes megjelenéséhez a Közvetlen hivatkozások beállításnál kattintani kell a módosítások mentésére. Ekkor újra generálódik a .htaccess fájl (természetesen, az előbb beírt rész nem fog elveszni).

Előfordulhat, hogy a böngésző azt jelzi, hogy az oldal titkosított ugyan, de vannak elemei, amik titkosítatlan csatornáról érkeznek. Ilyen esetbe a forráskódban kell szétnézni, mert legtöbbször 1-2 kézzel beleírt http hivatkozás a bűnös (például utólagosan hozzáadott képek a sablon fájljaiban). Ezeket az URL címeket kell cserélni https-re ,a figyelmeztetés eltüntetéséhez.

A szerzőről

Farkas Győző

WordPress Közösségi mindenes.
Épületgépész üzemmérnök - szakközgazdász - mérlegképes könyvelő - ingatlanközvetítő, a MÚOSZ tagja, könyvelőiroda tulajdonosa és vezetője, WordPress hívő, Hirtelen más bűnöm nem jut eszembe.

Hozzászólás a fórumban:

Kezdőlap Fórumok WordPress – SSL – https – jobb, ha megbarátkozunk a biztonsággal

Ennek a témakörnek tartalma 2 hozzászólás, 7 résztvevő. Utolsó frissítés:  Yeah26 1 év, 2 hónapja telt el.

15 bejegyzés megtekintése - 1-15 / 16
  • Szerző
    Bejegyzés
  • #257915

    Farkas Győző
    Adminisztrátor
    • Témanyitás: 57
    • Hozzászólás: 4853
    • WordPress szakértő

    Kérdésed, vagy véleményed van a(z) WordPress – SSL – https – jobb, ha megbarátkozunk a biztonsággal című tartalommal kapcsolatban?
    [A teljes cikk itt olvasható: WordPress – SSL – https – jobb, ha megbarátkozunk a biztonsággal]

    #257916

    boy
    Tag
    • Témanyitás: 0
    • Hozzászólás: 3
    • Kezdő

    Az én tárhelyemen elég volt az adminon átírni a címeket https-re

    #257917

    Farkas Győző
    Adminisztrátor
    • Témanyitás: 57
    • Hozzászólás: 4853
    • WordPress szakértő

    Kedves boy!

    Természetesen, amit írtál, az az alapeset. 🙂
    Ha a tárhely-szolgáltató előkészíti és telepíti a tanúsítványt, akkor tényleg annyi a dolog, hogy a http://-t átírjuk https://-re, a rendszer “kirúg”, visszalépünk adminként, nyomunk egyet a közvetlen hivatkozások beállításon, és készen is van.
    A .htaccess-be azért ott az átirányítás, ha http-t írtak be, akkor a https oldalról történjék a kiszolgálás. (Hacsak nincs egy jóképű SSL widget telepítve, amelyik mindent megcsinál helyettünk.)

    #257918

    Keri
    Tag
    • Témanyitás: 0
    • Hozzászólás: 1
    • Kezdő

    Kedves Győző!

    Először is köszönöm ezt a hasznos és lényegre törő cikket. Sajna én valamit elbénázhattam:

    1. Követtem az instrukciókat, de amikor átírom a htaccess + wp-config-ot akkor ez jött be az oldalam helyett: https://domain-nev.hu/, így az adminbe sem tudtam belépni, hogy a https-t átírjam, illetve, hogy mentsem a közvetlen hivatkozásokat. Ha pedig ehelyett először a https-t írom át, akkor az 500 Internal Server Error jön ki hibának és elszáll az oldalam. Mi lehet az oka? A szerver tulajdonos mindent beállított és az oldal https kezdetű URL begépelésével is bejön (de még nem biztonságos a Chrome szerint).

    2. Fizetett Jupiter WordPress sablont használok és tele van http-vel, ahol engedte átírtam, de így is maradt bőven belőle. Esetleg erre van ötletetek, hogy mi a megoldás (olyan, amit a frissítés sem ír felül)?

    Köszönöm előre is!

    #257919

    Farkas Győző
    Adminisztrátor
    • Témanyitás: 57
    • Hozzászólás: 4853
    • WordPress szakértő

    Kedves Keri!

    Tényleg elhegedáltad, de ebben – egy ici-picit – magamat is ludasnak érzem; nem jeleztem, hogy a .htaccess fájlban, értelemszerűen, a domain-nev.hu nevet át kel írni a saját domain-ed nevére.

    Amint bejutsz az admin felületedre ismételten, nyomjál egy közvetlen hivatkozás módosítást, és akkor a legtöbb hivatkozásod rendben a helyére áll.
    Ami pedig marad még esetleg, azt vagy egy bővítménnyel (pl. Search and Replace), vagy az adatbázis mentését követően egy pspad, vagy notepad++ használatával a keresés és csere funkciókat megdolgoztatod.

    #257920

    Keri
    Tag
    • Témanyitás: 0
    • Hozzászólás: 1
    • Kezdő

    Nagyon szépen köszönöm, így már ezt sikerült megoldani. Esetleg arra van ötletetek, hogy a https://a.vimeocdn.com/js/froogaloop2.min.js hivatkozással mit lehet kezdeni (állítólag https-es, de nem biztonságos a tanúsítvány. A linkre kattintva nem töltődik be a javascript és ezért hozza fel hibának.)

    #257921

    Keri
    Tag
    • Témanyitás: 0
    • Hozzászólás: 1
    • Kezdő

    Kedves Mindenki!

    A legutolsó problémát a Really Simple SSL plugin oldotta meg (Győző is említette a plugin használatának lehetőségét, így nem kell minden egyes oldalon áítarni pl. a képek behivatkozásának helyét stb.). De amire vigyázzatok, hogy a facebook like elszáll, ha https-re váltunk. Erre nem tudom még megoldást, esetleg valaki tudja? Köszönöm

    #257922

    Keri
    Tag
    • Témanyitás: 0
    • Hozzászólás: 1
    • Kezdő

    Megoldás: a facebook like-ok visszajönnek, ha a function.php-ba (wp-content/themes/…) legfelülre ezt beteszitek (<?php alá):

    add_filter("rsssl_fixer_output","rsssl_exclude_http_url");
    function rsssl_exclude_http_url($html) {
    $html = str_replace('data-href="https://', 'data-href="http://', $html);
    $html = str_replace('data-rsssl', 'data-rsssl-fb data-rsssl', $html);
    return $html;
    }

    #257923

    Farkas Győző
    Adminisztrátor
    • Témanyitás: 57
    • Hozzászólás: 4853
    • WordPress szakértő

    Köszönjük szépen!

    #257924

    idanka
    Felhasználó
    • Témanyitás: 0
    • Hozzászólás: 32
    • Kezdő

    Én a SSL Insecure Content Fixer, a Disable WP Emojis, és a Velvet Blues Update URLs bővítményt szoktam használni segítségképpen ha már tuti működik a https.

    #257925

    helianthemum
    Felhasználó
    • Témanyitás: 0
    • Hozzászólás: 0
    • Tag

    Abban tudtok segíteni, hogy woocommerce kosár miért nem működik a beállítások után? Nem lehet a termeket a kosárba tenni es vissza kellett állítani http re mindent.

    #257926

    imported_Kerdezo
    Tag
    • Témanyitás: 0
    • Hozzászólás: 49
    • Kezdő

    Sziasztok,

    Kedves Győző, köszönöm ezt a hasznos írást.
    Szeretném kérdezni, hogy abban az esetben, ha a Wp cím és Honlap cím http://www.honlapím.hu
    formában van megadva a WP adatoknál, akkor a htaccess file-ba írandó kódot
    (RewriteRule ^(.*)$ https://domain-nev.hu/$1 [R,L] helyett)

    így kell megadni?
    RewriteRule ^(.*)$ https://www.domain-nev.hu/$1 [R,L]

    Üdv,
    aKérdező

    #257927

    Farkas Győző
    Adminisztrátor
    • Témanyitás: 57
    • Hozzászólás: 4853
    • WordPress szakértő

    Igenlő a válasz. 🙂

    #257928

    imported_Kerdezo
    Tag
    • Témanyitás: 0
    • Hozzászólás: 49
    • Kezdő

    Köszönöm a gyors segítséget.

    #257929

    imported_Kerdezo
    Tag
    • Témanyitás: 0
    • Hozzászólás: 49
    • Kezdő

    Sziasztok!
    A hoszt ügyfélszolgálaton azt a tájékoztatást kaptam, hogy csak a vezérlőpult beállításoknál állítsam át a két url-t https-re, mentés és kész. A többit a rendszerük intézi. (Sajnos korábban többször tévedtek.)
    A hosterem tudásbázisát követve átálltam egy Let’s encrypt tanusítvánnyal https-re. Maga az oldal át is állt. Az összes cím rendben van. Adminként belülről mindegyik tartalom https megjelenésű.Néhány kifelé mutató link még http ezért csak félig vagyok zöld, de nem ez a gond.
    Ha kívülről érkezem az oldalra, akár a keresőből, akár egy régebbi, valamelyik cikkre mutató hivatkozásra kattintva, akkor viszont http az oldal. Jól gondolom, hogy ez azt jelenti, az oldalam átállt, de nincs 301 átirányítás?
    A Cpanelben a .htaccess file-ban jelenleg ezt találtam:

    # BEGIN WordPress

    RewriteEngine On
    RewriteBase /
    RewriteRule ^index.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]

    # END WordPress

    Jól sejtem, hogy ennek nincs köze az átirányításhoz? Vagyis nincs átirányítás!
    Ebben az esetben a Győző által betett 3 soros kódot, pontosan hová illesszem be?

    Köszönöm a segítséget!

15 bejegyzés megtekintése - 1-15 / 16

‘WordPress – SSL – https – jobb, ha megbarátkozunk a biztonsággal’ témakör lezárásra került, így a hozzászólás nem lehetséges.

Tovább az eszköztárra