Valljuk be őszintén, csak a bátrak kattintanak egy olyan honlapra, amelyikről a böngészőnk azt mondja: nem biztonságos, át akar verni, stb.
A Google már tavaly ősszel bejelentette, hogy a nem biztonságosnak tekintett oldalakat hátrébb sorolja, és most már itt van a Google Chrome böngésző 56-os béta verziója, amelyik adott esetben közli: „A Google Chrome tájékoztatja Önt, ha a felkeresni kívánt webhely veszélyes vagy megtévesztő. Az ilyen webhelyeket „adathalász” vagy „rosszindulatú” webhelynek is nevezik.” Vagy valami hasonlót. És az 56-os verziótól kezdődően a felhasználóknak megszólaltatják a vészharangot, ha nem biztonságos oldalra manővereznek, és az 56-os verzió ebben a hónapban jelenik meg, és nincs okunk kételkedni abban, hogy a többi böngésző követni fogja. Itt az ideje, hogy a WordPress alapon működő honlapunkat felszerelvényezzük az új korra!
Az ügyfelek adatainak védelmét szolgálja az SSL (Secure Sockets Layer) nevű technológia, amely a webböngésző és a webszerver között átvitt adatok titkosítására szolgál. A SSL használatával biztonságossá tett weboldalak címében a http: helyett a https: előtag szerepel, ezért az SSL-re sokan „HTTPS” néven hivatkoznak.
Azt már tisztáztuk, hogy mire szolgál, mire való az SSL, de azt még nem, hogy mi az SSL?
Az SSL-t úgy kell beképzelni, mint egy komolyabb munkahelyen, közintézményben a belépőkártyát. Belépéstől kilépésig, minden pillanatban kitűzve/nyakba akasztva, övre biggyesztve, de állandóan láthatóan kell hordani, különben úgy tunikán billentenek, hogy az orrodon landolsz a be- vagy kijáratnál. Az SSL ugyanilyen belépőkártya, csak digitális formában. 🙂
A belépőkártya, pardon: az SSL digitálisan tanúsítja, hogy azonosak vagyunk önmagunkkal az internet sztrádáján. 😉
A WordPress oldalunk SSL tanúsítvánnyal történő ellátása igazán nem bonyolult feladat, nem bonyolultabb, mint egy bővítményt telepíteni, de kettő előfeltétele van, amely – egy adott tárhely-szolgáltatónál – gondot és vagy pénzkiadást is jelenthet:
- Szükség lesz egy hitelesítő szervezet által kibocsátott digitális tanúsítványra (SSL tanúsítványra)
- Szükség lesz egy saját dedikált ip címre
Természetesen, ha a tárhely-szolgáltató ezeket biztosítja, akkor már nem sok a tennivalónk:
- Az SSL tanúsítványt meg kell vásárolni/be kell szerezni (az ingyenestől a csillagos égig terjedő árakon)
- Az SSL tanúsítványt a szerverre kell telepíteni
- A WordPress oldalunkat be kell állítani
Most nem bonyolódunk abba, hogy milyen célra, milyen helyről, milyen módon szerezhetünk be SSL tanúsítványt, hogyan kerülhet a tárhelyre – ott van, oda került, és kész!
Hogyan állítsuk be a WordPress-t az SSL tanúsítvánnyal történő munkához, vagyis hogyan lesz a http-ből https?
A szokásos módon be kell lépni a honlap admin felületére
- Vezérlőpult – Beállítások – Általános részen kell majd átírni a WordPress cím (URL) és a Honlap cím (URL) mezőkben a http:// cím-részt https://-re átírni.
- FTP kapcsolaton keresztül meg kell nyitni a .htaccess fájlt, és a legelejére az alábbi kódot kell bemásolni:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://domain-nev.hu/$1 [R,L]
- Az FTP kapcsolaton keresztül meg kell nyitni a wp-config.php fájlt, és az „Ennyi volt…” kezdetű sor fölé másoljuk be az alábbi kódot (ez felel azért, hogy az admin részt is ssl kapcsolaton keresztül kezelhessük)
define('FORCE_SSL_ADMIN', true);
// in some setups HTTP_X_FORWARDED_PROTO might contain
// a comma-separated list e.g. http,https
// so check for https existence
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)
$_SERVER['HTTPS']='on';
- Az 1. pontban említett részen írjuk át most a WordPress cím (URL) és a Honlap cím (URL) mezőkben a http:// cím-részt https://-re. (Nem kell meglepődni, a WordPress ki fogja jelentkeztetni az admint.)
- A közvetlen hivatkozások helyes megjelenéséhez a Közvetlen hivatkozások beállításnál kattintani kell a módosítások mentésére. Ekkor újra generálódik a .htaccess fájl (természetesen, az előbb beírt rész nem fog elveszni).
Előfordulhat, hogy a böngésző azt jelzi, hogy az oldal titkosított ugyan, de vannak elemei, amik titkosítatlan csatornáról érkeznek. Ilyen esetbe a forráskódban kell szétnézni, mert legtöbbször 1-2 kézzel beleírt http hivatkozás a bűnös (például utólagosan hozzáadott képek a sablon fájljaiban). Ezeket az URL címeket kell cserélni https-re ,a figyelmeztetés eltüntetéséhez.