SSLmentor

SSL/TLS certifikáty pro kvalitní HTTPS zabezpečení webových stránek a internetových projektů.

WordPress - jak nastavit HTTPS

Návod na přesměrování http na https ve WordPressu

Redakční systém WordPress patří mezi nejpopulárnější systém na tvorbu webových stránek. Ať už máte na WordPressu svůj blog, jednoduchý web nebo firemní stránky, je potřeba pro WordPress nastavit přesměrování na HTTPS komunikaci, která zabezpečí přenos dat mezi webovým serverem a prohlížečem. Krom důležité ochrany návštěvníka získáte také nějaké body u Google při vyhledávání a současně se nebude zobrazovat nedůvěryhodné označení stránek "Nezabezečeno" v prohlížeči Chrome. Jak zařídit přechod na HTTPS WordPress se dozvíte v této nápovědě.

WordPress - jak nastavit HTTPS

SSL certifikát pro WordPress

Aby mohla být pro WordPress zajištěna HTTPS komunikace, je potřeba nejdříve získat SSL certifikát. Pro blogy, zájmové webové stránky, menší projekty je zcela dostačující jakýkoliv nejlevnější SSL certifikát z naší nabídky. Pokud webhosting podporuje Let's Encrypt a má zajištěnu obnovu každé 3 měsíce, může se využít i tento automatizovaný SSL certifikát.

Pro firemní webové stránky nebo velké projekty doporuručujeme zvážit zakoupení EV SSL certifikátu, který kromě HTTPS komunikace zobrazuje v prohlížeči i název firmy hned vedle domény čímž se výrazně odlišuje od doménových SSL certifikátů.

Jak nastavit přesměrování WordPress HTTP na HTTPS

Aby bylo možné na WordPressu zajistit adresu https:// místo http:// musí být důvěryhodný SSL certifikát nainstalovaný na hostingu/serveru. Předpokládejme, že je již SSL certifikát pro WordPress připraven a je potřeba zkontrolovat, zda je zabezpečená komunikace funkční. To se zjistí zadáním adresy domény do prohlížeče s uvedením HTTPS://. Pokud se stránky zobrazí a v adesním řádku u domény svítí zámeček, je certifikát funkční a připraven. Můžeme nyní začít nastavovat na WordPress HTTPS komunikaci.
Místo zámečku se může také zobrazit ikonka (i) s informací, že komunikace není plně zabezpečená. Tento stav říká, že je SSL certifikát pro WordPress funkční, ale na stránkách je Mixed Content, který řešíme níže.

Pokud prohlížeč s adresou HTTPS:// nezobrazí obsah, hlásí "Vaše připojení není soukromé", není ještě SSL certifikát nainstalován nebo není nastaven správně.

Základní nastavení WordPress HTTPS

V administraci WordPressu přejdeme do Nastavení – Obecné. V adresách upravte text http na https (přidejte písmenko 's').

Nastavení WordPress na HTTPS

Toto nastavení zajistí primární fungování WordPressu již na HTTPS protokolu, ale bude ještě funkční i adresa na http://. Z toho důvodu nyní musíme zajistit, aby veškerá komunikace probíhala přes HTTPS protokol a nastavit správné přesměrování.
Pro běžného uživatele je nejjednodušší cestou instalace některého z dostupných pluginů. Ti techničtější si mohou nastavit přesměrování WordPress sami pomocí návodu na úpravu souboru .htaccess včetně připravených vzorů přesměrování na HTTPS.

Really Simple SSL plugin

Jednoduchý plugin pro zajištění HTTPS komunikace nalezente na adrese wordpress.org/plugins/really-simple-ssl. Tento populární plugin stačí nainstalovat, aktivovat a "zapnout" SSL/TLS komunikaci jedním klikem. Pro naprostou většinu www stránek na WordPressu zajistí HTTPS komunikaci zela bez problému.

Really Simple SSL plugin

Plugin Really Simple SSL řeší i problémy tzv. Mixed Contentu, kdy se načítá obsah (například obrázky) nezabezpečeně. U větších webových projektů je vhodné staré odkazy kompletně změnit z http na https. K tomu může být použit plugin Velvet Blues Update, který provede hromadnou změnu adres. Využívá se také při migraci obsahu na jinou doménu.

Upozornění: Před nasazením pluginu Really Simple SSL proveďte zálohu webových stránek. Po aktivaci může v někerých případech (obsáhlejší stránky, mnoho pluginů) nastat problém se smyčkou při přesměrování. Návod na vyřešení je publikován na stránkách pluginu.

Kontrola správné HTTPS komunikace

Pokud se vše nastavilo správně, webové stránky WordPress budou automaticky přesměrované na adresu https:// a v adresním řádku prohlížeče se u domény objeví zámeček. Podle druhu prohlížeče zelený či šedý (Chrome od verze 70).

Velmi často se stává, že zámeček není zobrazen a je uvedeno (i) s textem "Spojení s tímto webem není plně zabezpečené". Důvodem je právě Mixed content obsah, kdy jsou přes nezabezpečený protokol HTTP načítány obrázky, scripty a jiné soubory. Vyřešení uvádíme v naší nápovědě Řešení Mixed Content.

Mixed content - zobrazení v prohlížečích

Nezapomeňte také nastavit

Kromě nastavení SSL certifikátu pro WordPress stránky a pluginu zajišťující kompletní přesměrování komunikace z HTTP na HTTPS je ještě potřeba udělat několik dalších, spíše marketingových nastavení.

WordPress - další nastavení

Google Analytics

Pro správné měření návštěvnosti v Google Analytics změňte typ protokolu v části: Administrátor – Nastavení služby – Výchozí adresa URL – z rozbalovacího menu vyberte HTTPS verzi.

Search Console

V nástroji Search Console založte novou službu pro web s HTTPS adresou, přidejte znovu sitemap.xml. Starší http:// verzi lze smazat. Pokud potřebujete původní data, vyexportujte si zálohu. Používáte-li i Bing webmaster Tools, proveďte zde novou registraci také.

Seznam.cz

Na seznamu, přes přidání nové stránky, vložte svoji doménu s adresou https:// a následně si překontrolujte stav indexu na search.seznam.cz/kontrolni-formular.

Úprava robots.txt

V souboru robots.txt, kde se uvádí celá cesta k mapě webu – sitemap.xml, je potřeba upravit novou adresu WordPress webu s HTTPS.
Sitemap: https://www.domenaxyz.cz/sitemap.xml

SSLmentor doporučuje

Jak dále zvýšit zabezpečení WordPress stránek?

Podívejte se na náš projekt SecurityHeaders.cz kde je detailně popsáno více než 10 bezpečnostních hlaviček. Naleznete zde také návod jak nastavit HTTP Security Headers na redakčním systému WordPress.