Konfiguracja bezpiecznych połączeń w WordPress krok po kroku

Masz stronę na WordPressie i chcesz, żeby logowanie oraz dane klientów były naprawdę bezpieczne? W tym poradniku zobaczysz, jak krok po kroku przejść z HTTP na HTTPS i domknąć wszystkie luki. Poznasz też ustawienia serwera, portów i wtyczek, które pomagają w konfiguracji bezpiecznych połączeń.

Dlaczego bezpieczne połączenia w WordPress są tak ważne?

Gdy użytkownik loguje się do panelu WordPress lub podaje dane w formularzu, całość trafia z przeglądarki na serwer. Przy zwykłym HTTP te informacje mogą zostać przechwycone. Przy HTTPS są szyfrowane, więc osoba podsłuchująca ruch zobaczy jedynie nieczytelny ciąg znaków.

Dla Google strona z certyfikatem SSL jest bezpieczniejsza. Wyszukiwarka już od kilku lat faworyzuje witryny, które korzystają z HTTPS, a przeglądarki oznaczają strony bez szyfrowania jako „niebezpieczne”. To wpływa na zaufanie użytkowników i na wyniki sprzedaży czy liczby zapytań z formularzy.

Certyfikat SSL jednocześnie szyfruje dane i buduje wiarygodność marki, bo pokazuje, że właściciel strony dba o ochronę informacji.

Dodatkową warstwą ochrony jest HSTS (HTTP Strict Transport Security). Ten mechanizm wymusza korzystanie z HTTPS po stronie przeglądarki. Dzięki temu nawet wpisanie adresu z http w pasku przeglądarki kończy się bezpiecznym połączeniem.

Jak przygotować hosting i certyfikat SSL?

Bez poprawnie skonfigurowanego hostingu nie uda się uruchomić bezpiecznych połączeń w WordPressie. Najpierw trzeba wydać i włączyć certyfikat SSL dla domeny w panelu administracyjnym serwera. Dopiero później ma sens zmiana adresów w CMS.

Większość firm hostingowych umożliwia aktywację darmowego certyfikatu typu Let’s Encrypt lub instalację certyfikatu komercyjnego. Po stronie serwera powinny być włączone porty 80 (dla HTTP) i 443 (dla HTTPS). Często panel hostingu pozwala też wymusić automatyczne przekierowanie z http na https na poziomie serwera.

Porty i protokoły

Porty można traktować jak numery „drzwi”, przez które przechodzą konkretne typy połączeń. Dla WordPressa najważniejsze są porty obsługujące ruch WWW oraz połączenia FTP lub FTPS używane do zarządzania plikami na serwerze.

Najczęściej spotkasz takie zestawienie portów przy konfiguracji bezpiecznych usług WWW i FTP:

W przypadku FTPS warto ustawić w kliencie FTP tryb „Explicit SSL” oraz port 21. Program najpierw zestawia połączenie, a potem przełącza je w tryb szyfrowany. To wygodne rozwiązanie dla osób, które przyzwyczaiły się do pracy z klasycznym FTP, ale chcą chronić loginy i przesyłane pliki.

FTPS do zarządzania plikami

Przy konfiguracji FTPS pojawia się jeszcze kwestia trybu transferu. Część serwerów wymaga Active Transfer, inne lepiej działają w trybie pasywnym. W trybie aktywnym Twój komputer nawiązuje zwrotne połączenie z serwerem, często z użyciem zewnętrznego adresu IP.

Niektóre programy FTP same ustalają poprawne ustawienia. W innych trzeba ręcznie wpisać zewnętrzne IP i zakres portów do transferu danych. Warto sprawdzić instrukcję hostingu, bo błędna konfiguracja może powodować przerywanie połączeń lub problemy z wysyłaniem plików WordPressa.

Jak włączyć SSL w WordPress krok po kroku?

Gdy certyfikat SSL na hostingu jest już aktywny, pora przełączyć WordPressa na HTTPS. Możesz to zrobić ręcznie w ustawieniach systemu lub z pomocą wtyczki Really Simple SSL. Przy większych serwisach bardzo przydaje się też narzędzie Better Search Replace, które podmienia adresy w bazie danych.

Ręczna zmiana adresów w panelu WordPress

Najprostsza metoda polega na zmianie adresów bezpośrednio w panelu administratora. Sprawdza się szczególnie wtedy, gdy dopiero startujesz z nową stroną lub masz nieduży serwis bez tysięcy odnośników wewnętrznych.

W panelu wykonaj kolejno takie kroki:

• Zaloguj się do kokpitu WordPressa jako administrator.
• Przejdź do zakładki Ustawienia → Ogólne.
• W polach „Adres WordPress (URL)” i „Adres witryny (URL)” zmień http na https.
• Zapisz zmiany i zaloguj się ponownie, już przez adres z HTTPS.

Taka zmiana powoduje, że WordPress generuje nowe linki już z bezpiecznym protokołem. W starszych treściach mogą jednak pozostać odwołania do zasobów z HTTP, na przykład obrazów lub plików JS, co prowadzi do ostrzeżeń o tak zwanych mieszanych treściach.

Włączenie SSL przez Really Simple SSL

Wtyczka Really Simple SSL automatyzuje dużą część zadań. Po instalacji wykrywa aktywny certyfikat na serwerze i wymusza korzystanie z HTTPS w całym WordPressie, w tym w panelu logowania i na stronach publicznych.

Instalacja wygląda bardzo prosto:

• W kokpicie wybierz Wtyczki → Dodaj nową.
• Wyszukaj „Really Simple SSL” i zainstaluj znalezioną wtyczkę.
• Aktywuj wtyczkę, a w kolejnym kroku kliknij przycisk „Dalej, aktywuj SSL!”.
• Sprawdź stronę główną i kilka podstron, czy ładują się poprawnie z kłódką przy adresie.

Really Simple SSL potrafi także przeprowadzić krótki audyt i pokazać miejsca, gdzie nadal mogą pojawiać się odwołania przez HTTP. Trzeba jednak brać pod uwagę ryzyko konfliktu z innymi wtyczkami. Jeśli dojdzie do błędu, witryna może chwilowo przestać ładować się przez HTTPS, dopóki nie wyłączysz problematycznych rozszerzeń.

Porządki w adresach za pomocą Better Search Replace

Przy rozbudowanych serwisach często zostaje mnóstwo linków wewnętrznych zapisanych na sztywno z protokołem http. To mogą być odnośniki w treści wpisów, w polach niestandardowych czy w konfiguracji motywu. Ręczna podmiana byłaby bardzo uciążliwa.

Wtyczka Better Search Replace umożliwia masową zamianę ciągów znaków w bazie danych WordPressa. W kontekście przejścia na HTTPS najczęściej używa się jej do wyszukania wszystkich adresów zaczynających się od „http://twojadomena…” i zastąpienia ich wersją „https://twojadomena…”. W trybie testowym wtyczka pokaże, ile rekordów zostanie zmienionych, zanim cokolwiek zapisze na stałe.

Jak zadbać o przekierowania i mieszane treści?

Po zmianie adresów w WordPressie stary adres z HTTP powinien zawsze prowadzić do tej samej strony pod HTTPS. Najczęściej robi się to poprzez przekierowania 301. Część hostingów oferuje je w panelu, w innych przypadkach konfigurujesz je w pliku .htaccess lub za pomocą wtyczki.

Przydaje się tutaj wtyczka Redirection. Umożliwia wygodne tworzenie stałych przekierowań 301 między pojedynczymi adresami URL lub całymi sekcjami strony. Sprawdza się szczególnie, gdy jednocześnie zmieniasz strukturę linków, przenosisz treści na inną domenę lub porządkujesz stare adresy.

Dobrze ustawione przekierowania 301 zabezpieczają ruch z wyszukiwarki i starych linków, a jednocześnie pomagają Google szybciej zrozumieć nowe adresy witryny.

Drugim obszarem są mieszane treści, czyli sytuacja, gdy strona wczytuje się przez HTTPS, ale część zasobów (na przykład obrazów) ładuje się z HTTP. Taki stan często powoduje ostrzeżenia w przeglądarce i brak pełnej kłódki przy adresie. Do uporania się z tym problemem możesz wykorzystać Better Search Replace lub funkcje wtyczek do optymalizacji obrazów.

Najprostsza strategia usuwania mieszanych treści wygląda następująco:

• Otwórz stronę w przeglądarce i użyj konsoli deweloperskiej, aby zobaczyć listę zasobów ładowanych przez HTTP.
• Sprawdź, czy te adresy pochodzą z treści wpisów, motywu, widżetów czy zewnętrznych skryptów.
• Jeśli są w treściach, użyj Better Search Replace do podmiany http na https w konkretnych tabelach.
• W przypadku motywu lub wtyczek zaktualizuj ich ustawienia albo kod tak, by odwoływały się wyłącznie do HTTPS.

Jak skonfigurować HSTS dla WordPress?

Po przejściu całej strony na HTTPS i uporządkowaniu przekierowań możesz pójść krok dalej, włączając HSTS. Ten mechanizm mówi przeglądarce, że dana domena powinna być dostępna wyłącznie przez bezpieczne połączenie. W efekcie przeglądarka automatycznie zamienia każde żądanie HTTP na HTTPS, zanim wyśle je do serwera.

HSTS działa przez specjalny nagłówek HTTP o nazwie Strict-Transport-Security. Serwer wysyła go w odpowiedzi na pierwsze połączenie HTTPS, a przeglądarka zapisuje zasady w pamięci na określony czas. Od tego momentu kontaktuje się z domeną już tylko przez szyfrowane połączenie.

Podstawowy nagłówek HSTS

Konfiguracja HSTS zależy od serwera, ale zawsze sprowadza się do wysłania odpowiedniego nagłówka. Najprostsza forma to ustawienie tylko parametru max-age, czyli czasu obowiązywania zasady w sekundach. Często na start przyjmuje się krótszy okres, aby w razie błędów łatwiej było wrócić do poprzednich ustawień.

Przykładowy nagłówek może wyglądać tak: Strict-Transport-Security: max-age=31536000. Taka wartość oznacza rok. Przez ten czas przeglądarka będzie wymuszać HTTPS dla danej domeny. Jeśli coś skonfigurujesz błędnie, użytkownicy mogą mieć problem z wejściem na stronę aż do wygaśnięcia tego okresu, dlatego pierwsze testy warto przeprowadzać z dużo krótszym czasem.

HSTS Preload i subdomeny

Rozszerzeniem standardowego HSTS jest HSTS Preload. W tym wariancie domena trafia na specjalną listę w przeglądarkach. Dzięki temu przeglądarka od razu wie, że powinna użyć HTTPS, nawet zanim pierwszy raz połączy się z witryną. To szczególnie cenne przy pierwszej wizycie użytkownika.

Aby domena mogła trafić na listę preload, musi spełniać szereg wymagań. Strona powinna działać wyłącznie przez HTTPS, używać ważnego certyfikatu SSL od zaufanego dostawcy i mieć w nagłówku HSTS długi okres ważności oraz parametry includeSubDomains i preload. Zgłoszenie odbywa się przez dedykowane formularze, między innymi dla Chrome i Firefox. Zanim dodasz domenę do listy, warto bardzo dokładnie przetestować całą konfigurację, bo cofnięcie tego kroku bywa czasochłonne.

Dobra konfiguracja bezpiecznych połączeń w WordPressie zaczyna się od hostingu i portów, przechodzi przez certyfikat SSL oraz HTTPS, a kończy na takich detalach, jak HSTS, FTPS i porządek w bazie danych. Im staranniej ustawisz te elementy, tym spokojniej możesz myśleć o dalszym rozwoju strony.