SSL tanúsítvány beállítása WordPressben

Az előző cikkemben röviden bemutattam, mi az az SSL tanúsítvány, mire való, és hogyan lehet hozzájutni. Azonban az még nem elég, ha be van kapcsolva a tanúsítvány a tárhelyeden – ha már létezik egy ideje a weboldalad, akkor meg kell tenned néhány további lépést, hogy “kizöldítsd” az egészet. (A tanúsítvány telepítéséről és bekapcsolásáról itt nem írok – ha a tárhelyszolgáltatód nem csinálja meg Neked, akkor nézd meg a cPaneles beállításról ezt a videót.)

Amikor az SSL tanúsítvány már telepített és bekapcsolt állapotban van, akkor az első dolgod, hogy megnézed. hogy mit látsz, ha a https://domainneved.hu címet írod a böngésző címsorába. (Természetesen a domainneved.hu helyett írd be a valódi domain-nevedet 🙂 )

Ha rögtön zöld lakatot látsz a domain előtt, és ott van a szintén zöld “Biztonságos” felirat is, akkor kezdhetsz örülni, de ez egyrészt ritka, másrészt nem jelenti azt, hogy már nincs is semmi dolgod. Ugyanis ha csak a domainneved.hu -t írod be, vagy azt, hogy http://domainneved.hu (vagy ugyanezek www-s változata), akkor már nem fog látszani a “zöldítés”. Először is meg kell mondanod a böngészőknek, hogy ezentúl mindig a https-es változatot használják.

WordPress alapú weboldalak esetében az első lépés, hogy belépsz a Beállítások menüpontba, és ott a “WordPress cím (URL)” és a “Honlap cím (URL)” mezőkben is átírod a http-t https-re.

Amint az oldal alján rákattintasz a “Módosítások mentése” gombra, a rendszer egy mozdulattal kipenderít a Vezérlőpultról, de ez ne aggasszon, ennek így kell lennie. Lépj be újra – és közben örömmel vedd észre, hogy az admin felületed már “kizöldült”:

Eggyel közelebb vagy tehát a célhoz, de ha megnézed a honlapodat kívülről, ott nagy valószínűséggel azt látod, hogy még mindig szürke a címsor. (Ha véletlenül nem, akkor sem vagy még készen.) Ha beírod a domain-nevedet a böngésző címsorába, akár http-vel, akár https-sel, akár csak magában, akkor ugyan már átugrik a http-s verzióra, de ez csak a főoldalra igaz. Bármelyik aloldalt hívod be (menüpontra kattintással, vagy a cím beírásával), ott még http-s a link:

A böngészőknek meg kell mondani, hogy ne csak a főoldal, hanem az összes aloldal esetében is térjenek át a https-s verzióra. Ezt a legegyszerűbben a WP Force SSL nevű bővítménnyel éred el (keress rá a Bővítmények -> Új hozzáadása menüpontban):

(Ugyan elég régen frissítették, de ez ne aggasszon, jól működik most is.)

A bővítmény telepítés és bekapcsolás után látszólag nem csinál semmit, de ez tényleg csak a látszat – próbáld ki, most már minden oldalad, bejegyzésed címébe bekerül a https.

A következő lépés, hogy megszabaduljunk minden “szürkeségtől”. Átlagos esetben “mixed content”, azaz vegyes tartalom van az oldaladon, tehát vannak http-s és https-es linkek és képek, ezeket mind rá kell venni, hogy használják a https-es protokollt. Jobb egérgombbal kattints a weboldaladon, és a feljövő menüben válaszd a Vizsgálat lehetőséget, ekkor alul megjelenik egy ablak, ott kattints át a Security fülre:

A tanúsítványod rendben van (“Valid Certificate”), a kapcsolat biztonságos (“Secure Connection”), de alul ott a bűnös, a “Mixed Content”. Ha a “View requests in Network Panel” linkre kattintasz, pontosan be tudod azonosítani azokat az elemeket, amelyek nem https-t használnak:

Itt láthatóan a képekkel van a baj, de éppen lehetnének más elemek is.

Én kipróbáltam több bővítményt is, amelyek azt ígérték, hogy megszabadítanak a http-s linkektől és a Médiatár elemeit is rendbe teszik, de egyik sem volt tökéletes. Úgyhogy inkább a konkrét adatbázis-szerkesztést ajánlom. Először is készíts egy biztonsági mentést az adatbázisodról (phpMyAdmin felület, majd Export – ha nem tudod, hogyan kell, kérj segítséget a tárhelyszolgáltatódtól!), azután telepítsd a Better Search Replace nevű bővítményt:

(Látszólag ez sem “mai csirke”, de bízhatsz benne, nincs vele gond.)

A bővítmény bekapcsolás után az Eszközök menüpont alá költözik be, ott tudod elindítani a műveletet:

A “Search for” mezőbe írd be, hogy http://, a “Replace with” mezőbe azt, hogy https:// (írd be a :// részt is, különben a már https hivatkozások httpss-re fognak változni 🙂 ), válaszd ki az összes táblát az adatbázisodban, amely ehhez a weboldalhoz tartozik, majd indítsd el a cserét. Nem érdemes a teszt “Run as dry run?” lehetőséget bepipálni, hiszen úgyis van egy exportod az adatbázisról, ha bármi balul sülne el. A művelet elég gyorsan lefut, és az oldal tetején kiírja a végeredményt:

Ezek után már semmi nem ment meg a zöld lakattól 🙂 Biztonságos lett a weblapod!

 

FRISSÍTÉS:

A nyavalyás Google Chrome fukarkodik a színekkel 🙂 – egy ideje már csak akkor lesz tényleg zöld színű a lakatod, ha fizetős tanúsítványt használsz. Az ingyeneseknél szürke marad, és azt sem írja ki, hogy “Biztonságos”, hanem csak kapsz egy szürke, csukott lakatot:

A Mozilla Firefox egy fokkal rendesebb, itt legalább zöld a lakat:

De mindkettő csak a csukott lakatot jeleníti meg, a “Biztonságos” feliratot már nem kapjuk meg.

A lényeg az, hogy ha NINCS kiírva, hogy “Nem biztonságos”, és van egy csukott szürke lakatod, akkor jó az.

 

Oszd meg Te is:

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn

Ezek is érdekesek lehetnek számodra: 

Ne maradj le semmiről, iratkozz fel hírlevelünkre!

Javasolt eszközök:

Banner250x250.png
Elementor Pro
Generatepress Logo White Asset
GeneratePress
Divi 4.0
Divihello
Prémium támogatás és ajándék Divi licence
Adatvedelem.png
ADATVÉDELEM minta
Aszf.png
Webshop ÁSZF minta

“SSL tanúsítvány beállítása WordPressben” bejegyzéshez 49 hozzászólás

  1. Figyelni kell a better search bővítménnyel.
    Ha a honlapodról kifelé mutató, de nem biztonságos (például ismerősöd honlapjára mutató) link van, akkor azt is ki fogja cserélni. Ott pedig nem biztonságos a kapcsolat. Tehát vagy nem fog működni a kifelé mutató link, vagy kiemelt biztonsági figyelmeztetést fogsz kapni.
    Ilyenkor dönteni kell. Vagy a Te honlapod nem lesz zöld emiatt a link miatt, vagy szólni kell az ismerősnek,, hogy csinálja meg ő is az SSL-t.
    Ha úgy döntesz, hogy minden linket lecserélnél, ami a saját oldaladon belül van, akkor javasolt a cserét úgy csinálni, hogy
    a http://sajatdomain
    cseréld
    a https://sajatdomain
    szövegre így csak a belső hivatkozások cserélődnek.
    De akkor nem leszel teljesen zöld!

  2. Köszönöm a cikket! Sajnos nekem nem sikerült hibátlanul megcsinálnom: az egyik woo-commerce-s webshopunknál végig vittem a folyamatot, lett is zöld lakatom, de a vevők jelezték, hogy nem tudják beletenni a termékeket a kosárba, ergo elszállt a woo-commerce kosár funkciója. Ezt követően órákon át vadásztuk a hibát és mikor visszaállítottuk http://-re, visszaállt a kosár funkció is. Azóta sincs zöld lakatom. Szerinted ilyen esetben mit kell tenni? A másik webshopunknál pedig eleve nem is engedi a rendszer átállítani a http://-t https://-re, pedig a legmagasabb adminisztátori funkción vagyok, így tovább lépni sem tudok. Van ötleted mit tegyek? Örömmel várom!

  3. Volt még valaki, akinél a woocommerce galibát okozott az ssl-nél? Móni, neked van ötleted mi lehet a megoldás az Ildikó esetében? A Really Simple SSL plugint is próbáltad már?
    Köszönöm.

  4. Nem lehet, hogy a Woo -> beállítások -> pénztár folyamat -> biztonságos fizetés kényszerítése (SSL…) nem volt bepipálva és ezért okozott zűrt a Kosárba-helyezésnél?

    • Sajnos ezzel együtt kell élnünk – a Facebook még nem jött rá, hogy ha a linkben a http átváltozik https-re, attól az oldal még ugyanaz marad… A WordPress felől ezzel nem tudunk mit tenni, a FB-ot kellene átprogramoznunk.

      De ha valaki talál megoldást, akkor boldogan várom ide a hozzászólásokhoz. Addig pedig reménykedjünk, hogy a FB-nak is feltűnik ez a hiba és megoldja.

  5. Kedves Móni!

    A cikk nagyon hasznos volt, már “majdnem” kész vagyok az összes beállítással. Sajnos valamelyik oldalam zöld, valamelyik nem. A Better Search Place-szel próbáltam megtalálni, hogy mi nem stimmel, a wp_statistics_pages-nél talált 10-et, de nem frissíti. Szerintem ez az egyik bővítmény lehet. Töröljem és telepítsem újra? Előre is köszi a választ!

    • Kedves Móni!

      Megtaláltam a megoldást! A widgetek-et kellett megnéznem, s a Pinterest-et, illetve a hírlevél űrlapot kellett újra beállítanom – az eredeti oldalokon (Pinterest, hírlevélküldő szoftver) kellett frissítenem a weboldalam címét.

  6. Nem szoktam kommentelni, de ezt az írást szeretném megköszönni, hatalmas segítség volt! Fantasztikus munkát végzel Móni, sok cikked segített, amikor ismerkedni kezdtem a wordpressel, hálás köszönet érte!

  7. Szia Móni!
    Köszönöm a hasznos cikket.
    A WP Force SSL a WP.4.9 verzióval is működik?
    Ezt használva nem kell a .htaccess file-t módosítani? (A plugin módosítja?)
    Köszi.

  8. Kedves Móni!

    Installatronnal kell elkészítenem az SSL tanúsítvány engedélyezését. A webtárhelyem engedélyezte, csak azt nem tudom, hogy hogyan tovább. Ezt írták üzenetben. Az SSL-kapcsolat használatát engedélyeztük a fiókján, így ingyenes tanúsítványt már be tud állítani a DirectAdmin felületén keresztül, ez nem történik meg automatikusan.
    Először a domainnévnél is engedélyezze az SSL-használatot (célszerű a public_html-re kapcsolni a symlinket), azután lehet beállítani a Let’s encrypt szolgáltatást. Nem vagyok egy webszerkesztő ezért kérdezem, hogy ebben az esetben mi a teendő?

    Köszönöm szépen.

    • Kedves Pisti!
      Az Installatronhoz nem értek sajnos. Próbálj keresni hozzá egy videót a YouTube-on, ha a tárhelyszolgáltatód nem tud segíteni. De lehet, hogy náluk is van valamilyen leírás erről.

  9. Kedves Móni!

    Először is nagyon köszönöm a jó kis leírást, ez már a sokadik tartalom az oldaladon, ami sokat segített nekem 🙂

    A WP Force SSL plugin helyett egy másikat használtam, mert azt már 2 éve nem frissítették.
    Ezt használtam: Force HTTPS (SSL Redirect & Fix Insecure Content)

    Minden jól lefutott, a Better Search Replace pedig kicserélte a maradék vegyes tartalmakat.

    Csak a WP Force SSL még ezeket akarja maga mellett telepíteni, szerinted ezekre is szükség van még???

    Force HTTPS recommends the following free plugins:

    CloudFlare Install now!
    Easily connect your WordPress website to free optimization features from CloudFlare, including one-click options to purge cache and enable dev mode.

    404 To Homepage Install now!
    Redirects all 404 (Not Found) errors to the homepage for a better user experience, less abuse from bots, and 100% elimination of Google GSC warnings.

    Remove Category Base Install now!
    Completely disables the category base from all URLs generated by WordPress so that there is no category slug displayed on archive permalinks, etc.

    Disable XML-RPC Install now!
    Completely disables all XML-RPC related functions in WordPress including pingbacks and trackbacks, and helps prevent attacks on the xmlrpc.php file.

    Inline Styles Install now!
    Automagically loads styles from your active theme and plugins in the site-wide head of your site as internal (embedded) CSS for faster page render.

    Köszönöm! Anita

    • Közben erre már válaszoltunk a Facebook csoportban (itt spamnek jelölte a kérdésedet a rendszer a sok angol szöveg miatt 🙂 ). A lényeg (hogy mások is lássák a választ): ezek csak reklámok, nem kellenek a helyes működéshez.

  10. Kedves Móni!

    Nagyon szuper lett ez a tutorial, nagyon nagy segítség, teljeskörű és működik!

    Az lenne a kérdésem, hogy az átállás után a WP Force SSL és a Better Search Replace eltávolíthatók, törölhetők?

    Köszönöm szépen!
    Laci

    • Kedves Laci!

      A Better Search Replace törölhető, de a WP Force SSL folyamatosan szükséges, azért, hogy ha valaki a domainedet http-vel írja be vagy egy ilyen linkre kattint, akkor is átirányítódjon a https változatra.

  11. Köszönöm szépen a gyors válaszod! Ebben az esetben érdemes lenne lecserélni a WP Force SSL-t valami gyakrabban frissített pluginra vagy nem jelent túl nagy biztonsági kockázatot, ha ez marad fenn?

    Ha érdemes cserélni, akkor van esetleg javaslatod, hogy melyikre?

    Válaszodat előre is köszönöm!
    Üdv, Laci

    • Szerintem nyugodtan fent hagyhatod. Én is ezt használom itt a WP-Sulin, és még sosem volt vele probléma. Valószínűleg olyan egyszerű és szabványos a kódja, hogy felesleges frissíteni.

    • Esetleg a .htaccess fájlba fel lehet venni az összes korábbi http linkedet és azonos https -re irányítani 301-el. Így plugin nélkül. Így ha egy kérés beérkezik a tárhelyedre, kapásból https-re van irányítva még mielőtt a wp-hez elérne a kérés. Én a sajátom így fogom megcsinálni, épp folyamatban, üdv Richárd http://www.rigotech.hu ui.: köszi a cikkért, nagyon klassz

    • Szia! Örülök, hogy segített a cikk:)

      A Better Search Replace törölhető, de a WP Force SSL folyamatosan szükséges, azért, hogy ha valaki a domainedet http-vel írja be vagy egy ilyen linkre kattint, akkor is átirányítódjon a https változatra.

      (lásd kettővel fentebbi hozzászólás 😉 )

  12. Szia,

    Lehet, hogy későn jutottam el ehhez a bejegyzéshez…

    A beállításokban beállítottam a https előtagot a http ellenében, kijelentkezetett úgy ahogy kell, de:

    Azóta se tudok hozzáférni a wp-admin felülethez, mert nem biztonságos kapcsolatnak jelöli meg.

    Tudnál valami megoldást erre a problémára?

    Köszönöm, Balázs

    • Szia!

      Amikor a böngésződ kiírja, hogy nem biztonságos a kapcsolat, kell lennie az üzenet alatt egy olyasmi linknek, hogy SPECIÁLIS (legalábbis a Chrome ezt írja ki). Ha rákattintasz, akkor röviden elmagyarázza, hogy miért gondolja, hogy ez a weblap nem biztonságos, és megjelenik egy VISSZA A BIZTONSÁGHOZ link, meg egy másik is, amire most nem emlékszem biztosan, talán TOVÁBBLÉPÉS vagy ilyesmi – és ez az, amire kattintva már be fog engedni.

      A G. ostoba túlbuzgósága ez az egész, de hát ezzel együtt kell élnünk…

  13. Szia Móni!

    Köszi a cikket, nagyon alapos és részletes, mint mindig. Sajnos azonban egy nem várt gubancba futottam.
    Az általános beállításoknál átírtam http-t https-re és mentettem. Mentés után minden oldalam 404-gyel tér vissza, beleértve a wp-login.php-t is. phpmyadminban adatbázis táblában visszaállítottam a siteurl-t és home-ot http-re. Így újra be tudtam jelentkezni, és kifogástalannak látszik a működés (persze továbbra is zöld lakat nélkül), minden oldal betöltődik, kivéve az egyik legfontosabbat: a http://www.mezeskalacs.hu átugrik https://www.mezeskalacs.hu-ra.
    Van ötleted, hogy mi lehet a gond az első (mármint, hogy nem működik a https) és a második problémánál?
    Annyi kiegészítést tennék, hogy ssltest rendben lefutott (annyi hibát jelzett, hogy csak SNI supportos böngészőkkel fog korrektül működni), tehát cert elvileg rendben van.
    Köszönöm a segítséget, ha tudsz mondani valamit.
    Szilvió

    • Szia!

      Az adatbázisban is lefuttattad a cserét http:// -ről https:// -re? Ha nem, akkor ez az első hiba oka.

      A redirect plugint csak ezt követően aktivizáld, addig ne működjön, amíg az első még nincs meg. Ez a második hiba oka.

    • Szia!

      Volt ebben egy változás, tekerj vissza a cikk végéhez, beleírtam a frissítést.

      Ha nem ez a gond, hanem tényleg “Nem biztonságos” maradt, arra viszont sajnos nincs általános válasz, látatlanban nem tudom a megoldást.

  14. Szia Moni!

    Köszönöm, nekem is kizöldült! 🙂
    Annyit azért megemlítenék, hogy akinek a ” Jobb egérgombbal kattints a weboldaladon, és a feljövő menüben válaszd a Vizsgálat lehetőséget, ekkor alul megjelenik egy ablak, ott kattints át a Security fülre” próbálkozása eredménytelen, az próbálja meg Chrome-mal.
    Én Firefox-ot használok, és hát ott ilyen nincs. Ezzel jó pár percem elment mire rájöttem a megoldásra.

    • Nagyszerű, ügyes vagy 🙂

      Nos, igen, én Chrome-ot használok, és valóban csak abban van így, ahogy leírtam. Firefoxban “Elem vizsgálata” van, és nem tudom, hogy ott hol van a “Biztonság” fül… 🙂

      Kösz a kiegészítést!

Szólj hozzá!

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..