Biztonság

WordPress – SSL – https – jobb, ha megbarátkozunk a biztonsággal

WordPress SSL https:// a honlapunk biztonsága
Győző Farkas

Valljuk be őszintén, csak a bátrak kattintanak egy olyan honlapra, amelyikről a böngészőnk azt mondja: nem biztonságos, át akar verni, stb.

A Google már tavaly ősszel bejelentette, hogy a nem biztonságosnak tekintett oldalakat hátrébb sorolja, és most már itt van a Google Chrome böngésző 56-os béta verziója, amelyik adott esetben közli: “A Google Chrome tájékoztatja Önt, ha a felkeresni kívánt webhely veszélyes vagy megtévesztő. Az ilyen webhelyeket „adathalász” vagy „rosszindulatú” webhelynek is nevezik.” Vagy valami hasonlót. És az 56-os verziótól kezdődően a felhasználóknak megszólaltatják a vészharangot, ha nem biztonságos oldalra manővereznek, és az 56-os verzió ebben a hónapban jelenik meg, és nincs okunk kételkedni abban, hogy a többi böngésző követni fogja. Itt az ideje, hogy a WordPress alapon működő honlapunkat felszerelvényezzük az új korra!

Az ügyfelek adatainak védelmét szolgálja az SSL (Secure Sockets Layer) nevű technológia, amely a webböngésző és a webszerver között átvitt adatok titkosítására szolgál. A SSL használatával biztonságossá tett weboldalak címében a http: helyett a https: előtag szerepel, ezért az SSL-re sokan „HTTPS” néven hivatkoznak.

Azt már tisztáztuk, hogy mire szolgál, mire való az SSL, de azt még nem, hogy mi az SSL?

Az SSL-t úgy kell beképzelni, mint egy komolyabb munkahelyen, közintézményben a belépőkártyát. Belépéstől kilépésig, minden pillanatban kitűzve/nyakba akasztva, övre biggyesztve, de állandóan láthatóan kell hordani, különben úgy tunikán billentenek, hogy az orrodon landolsz a be- vagy kijáratnál. Az SSL ugyanilyen belépőkártya, csak digitális formában. 🙂

A belépőkártya, pardon: az SSL digitálisan tanúsítja, hogy azonosak vagyunk önmagunkkal az internet sztrádáján. 😉

A WordPress oldalunk SSL tanúsítvánnyal történő ellátása igazán nem bonyolult feladat, nem bonyolultabb, mint egy bővítményt telepíteni, de kettő előfeltétele van, amely – egy adott tárhely-szolgáltatónál – gondot és vagy pénzkiadást is jelenthet:

  • Szükség lesz egy hitelesítő szervezet által kibocsátott digitális tanúsítványra (SSL tanúsítványra)
  • Szükség lesz egy saját dedikált ip címre

Természetesen, ha a tárhely-szolgáltató ezeket biztosítja, akkor már nem sok a tennivalónk:

  • Az SSL tanúsítványt meg kell vásárolni/be kell szerezni (az ingyenestől a csillagos égig terjedő árakon)
  • Az SSL tanúsítványt a szerverre kell telepíteni
  • A WordPress oldalunkat be kell állítani

Most nem bonyolódunk abba, hogy milyen célra, milyen helyről, milyen módon szerezhetünk be SSL tanúsítványt, hogyan kerülhet a tárhelyre – ott van, oda került, és kész!

Hogyan állítsuk be a WordPress-t az SSL tanúsítvánnyal történő munkához, vagyis hogyan lesz a http-ből https?

A szokásos módon be kell lépni a honlap admin felületére

  • Vezérlőpult – Beállítások – Általános részen kell majd átírni a WordPress cím (URL) és a Honlap cím (URL) mezőkben a http:// cím-részt https://-re átírni.
  • FTP kapcsolaton keresztül meg kell nyitni a .htaccess fájlt, és a legelejére az alábbi kódot kell bemásolni:
  • Az FTP kapcsolaton keresztül meg kell nyitni a wp-config.php fájlt, és az “Ennyi volt…” kezdetű sor fölé másoljuk be az alábbi kódot (ez felel azért, hogy az admin részt is ssl kapcsolaton keresztül kezelhessük)
  • Az 1. pontban említett részen írjuk át most a WordPress cím (URL) és a Honlap cím (URL) mezőkben a http:// cím-részt https://-re. (Nem kell meglepődni, a WordPress ki fogja jelentkeztetni az admint.)
  • A közvetlen hivatkozások helyes megjelenéséhez a Közvetlen hivatkozások beállításnál kattintani kell a módosítások mentésére. Ekkor újra generálódik a .htaccess fájl (természetesen, az előbb beírt rész nem fog elveszni).

Előfordulhat, hogy a böngésző azt jelzi, hogy az oldal titkosított ugyan, de vannak elemei, amik titkosítatlan csatornáról érkeznek. Ilyen esetbe a forráskódban kell szétnézni, mert legtöbbször 1-2 kézzel beleírt http hivatkozás a bűnös (például utólagosan hozzáadott képek a sablon fájljaiban). Ezeket az URL címeket kell cserélni https-re ,a figyelmeztetés eltüntetéséhez.

A szerzőről

Győző Farkas

Farkas Győző

WordPress Közösségi mindenes.
Épületgépész üzemmérnök - szakközgazdász - mérlegképes könyvelő - ingatlanközvetítő, a MÚOSZ tagja, könyvelőiroda tulajdonosa és vezetője, WordPress hívő, Hirtelen más bűnöm nem jut eszembe.

15 hozzászólás

    • Kedves boy!

      Természetesen, amit írtál, az az alapeset. 🙂
      Ha a tárhely-szolgáltató előkészíti és telepíti a tanúsítványt, akkor tényleg annyi a dolog, hogy a http://-t átírjuk https://-re, a rendszer “kirúg”, visszalépünk adminként, nyomunk egyet a közvetlen hivatkozások beállításon, és készen is van.
      A .htaccess-be azért ott az átirányítás, ha http-t írtak be, akkor a https oldalról történjék a kiszolgálás. (Hacsak nincs egy jóképű SSL widget telepítve, amelyik mindent megcsinál helyettünk.)

  • Kedves Győző!

    Először is köszönöm ezt a hasznos és lényegre törő cikket. Sajna én valamit elbénázhattam:

    1. Követtem az instrukciókat, de amikor átírom a htaccess + wp-config-ot akkor ez jött be az oldalam helyett: https://domain-nev.hu/, így az adminbe sem tudtam belépni, hogy a https-t átírjam, illetve, hogy mentsem a közvetlen hivatkozásokat. Ha pedig ehelyett először a https-t írom át, akkor az 500 Internal Server Error jön ki hibának és elszáll az oldalam. Mi lehet az oka? A szerver tulajdonos mindent beállított és az oldal https kezdetű URL begépelésével is bejön (de még nem biztonságos a Chrome szerint).

    2. Fizetett Jupiter WordPress sablont használok és tele van http-vel, ahol engedte átírtam, de így is maradt bőven belőle. Esetleg erre van ötletetek, hogy mi a megoldás (olyan, amit a frissítés sem ír felül)?

    Köszönöm előre is!

    • Kedves Keri!

      Tényleg elhegedáltad, de ebben – egy ici-picit – magamat is ludasnak érzem; nem jeleztem, hogy a .htaccess fájlban, értelemszerűen, a domain-nev.hu nevet át kel írni a saját domain-ed nevére.

      Amint bejutsz az admin felületedre ismételten, nyomjál egy közvetlen hivatkozás módosítást, és akkor a legtöbb hivatkozásod rendben a helyére áll.
      Ami pedig marad még esetleg, azt vagy egy bővítménnyel (pl. Search and Replace), vagy az adatbázis mentését követően egy pspad, vagy notepad++ használatával a keresés és csere funkciókat megdolgoztatod.

      • Nagyon szépen köszönöm, így már ezt sikerült megoldani. Esetleg arra van ötletetek, hogy a https://a.vimeocdn.com/js/froogaloop2.min.js hivatkozással mit lehet kezdeni (állítólag https-es, de nem biztonságos a tanúsítvány. A linkre kattintva nem töltődik be a javascript és ezért hozza fel hibának.)

  • Kedves Mindenki!

    A legutolsó problémát a Really Simple SSL plugin oldotta meg (Győző is említette a plugin használatának lehetőségét, így nem kell minden egyes oldalon áítarni pl. a képek behivatkozásának helyét stb.). De amire vigyázzatok, hogy a facebook like elszáll, ha https-re váltunk. Erre nem tudom még megoldást, esetleg valaki tudja? Köszönöm

  • Megoldás: a facebook like-ok visszajönnek, ha a function.php-ba (wp-content/themes/…) legfelülre ezt beteszitek (<?php alá):

    add_filter("rsssl_fixer_output","rsssl_exclude_http_url");
    function rsssl_exclude_http_url($html) {
    $html = str_replace('data-href="https://', 'data-href="http://', $html);
    $html = str_replace('data-rsssl', 'data-rsssl-fb data-rsssl', $html);
    return $html;
    }

  • Sziasztok!
    A hoszt ügyfélszolgálaton azt a tájékoztatást kaptam, hogy csak a vezérlőpult beállításoknál állítsam át a két url-t https-re, mentés és kész. A többit a rendszerük intézi. (Sajnos korábban többször tévedtek.)
    A hosterem tudásbázisát követve átálltam egy Let’s encrypt tanusítvánnyal https-re. Maga az oldal át is állt. Az összes cím rendben van. Adminként belülről mindegyik tartalom https megjelenésű.Néhány kifelé mutató link még http ezért csak félig vagyok zöld, de nem ez a gond.
    Ha kívülről érkezem az oldalra, akár a keresőből, akár egy régebbi, valamelyik cikkre mutató hivatkozásra kattintva, akkor viszont http az oldal. Jól gondolom, hogy ez azt jelenti, az oldalam átállt, de nincs 301 átirányítás?
    A Cpanelben a .htaccess file-ban jelenleg ezt találtam:

    # BEGIN WordPress

    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]

    # END WordPress

    Jól sejtem, hogy ennek nincs köze az átirányításhoz? Vagyis nincs átirányítás!
    Ebben az esetben a Győző által betett 3 soros kódot, pontosan hová illesszem be?

    Köszönöm a segítséget!

  • Hali,

    2 napja álltam át ssl-re és azóta több cikknél egyszerűen eltűnt a beágyazott videó.Újra berakva sem látszodik semmi csak a nagy üresség. Más pl youtube vagy egyéb videónál mükődik,ezek viszont valamiért most eltűntek.Mitől lehet ez?

Mi a véleményed?

Yes No