Riken24 - Jak zainstalować, darmowy SSL, wordpress, bez wtyczek, szybko, prosto. Tworzenie stron i sklepów www.

Bezpieczeństwo Edukacja IT Poradniki SSL Wordpress

WordPress – Jak zainstalować darmowy SSL – Let`s Encript, szybko, łatwo i bez wtyczek.

2024-08-16 rikenclc

Certyfikat SSL – Co to jest?

Certyfikat SSL (Secure Sockets Layer) to narzędzie kryptograficzne, które zapewnia bezpieczne połączenie między przeglądarką użytkownika a serwerem. SSL szyfruje dane przesyłane między nimi, co chroni je przed przechwyceniem przez osoby trzecie. W praktyce, certyfikat SSL zapewnia, że użytkownik łączy się z autentyczną stroną internetową, a jego dane są bezpieczne.

W wyniku instalacji certyfikatu SSL na stronie, protokół HTTP zmienia się na HTTPS (gdzie „S” oznacza „Secure”). Przeglądarka wyświetla również symbol kłódki w pasku adresu, co informuje użytkowników o zabezpieczeniu strony.

Do czego służy certyfikat SSL?

Certyfikat SSL pełni kilka kluczowych funkcji:

Szyfrowanie danych: Gwarantuje, że dane przesyłane między użytkownikiem a serwerem są zaszyfrowane i chronione przed dostępem osób trzecich.
Uwierzytelnianie: Certyfikat potwierdza, że strona internetowa jest autentyczna i pochodzi od zaufanego dostawcy.
Integralność danych: Chroni przed modyfikacją danych w trakcie ich przesyłania.
Budowanie zaufania użytkowników: Widok kłódki i HTTPS zwiększa zaufanie użytkowników do strony, co może mieć pozytywny wpływ na konwersję i reputację.

Korzyści z posiadania certyfikatu SSL

Bezpieczeństwo danych: Ochrona poufnych informacji, takich jak hasła, dane karty kredytowej czy dane osobowe.
Lepsze pozycjonowanie w wyszukiwarkach: Google promuje strony z SSL w wynikach wyszukiwania, co może poprawić widoczność witryny.
Zwiększenie zaufania klientów: Certyfikat SSL buduje zaufanie użytkowników, co może zwiększyć liczbę transakcji i konwersji.
Ochrona przed phishingiem: SSL pomaga chronić przed fałszywymi stronami, które podszywają się pod inne witryny.

Problemy z brakiem posiadania certyfikatu SSL

Niskie bezpieczeństwo: Brak SSL sprawia, że dane przesyłane między przeglądarką a serwerem mogą być łatwo przechwycone przez osoby trzecie.
Utrata zaufania użytkowników: Przeglądarki wyświetlają ostrzeżenia przed brakiem SSL, co może zniechęcić użytkowników do korzystania z witryny.
Gorsze pozycjonowanie w Google: Strony bez SSL mogą być gorzej oceniane przez algorytmy wyszukiwarek.
Ryzyko naruszenia danych: Bez SSL, strona jest bardziej podatna na ataki typu „man-in-the-middle”, gdzie dane mogą być przechwytywane lub modyfikowane.

Dla kogo są certyfikaty SSL?

Certyfikaty SSL są szczególnie ważne dla:

Sklepów internetowych (e-commerce): Wymagane do zabezpieczenia transakcji finansowych i ochrony danych klientów.
Stron, które gromadzą dane osobowe: Wszystkie witryny, które przechowują lub przetwarzają dane użytkowników (np. formularze rejestracyjne, loginy).
Firm i korporacji: Strony firmowe powinny stosować SSL, aby zabezpieczyć komunikację z klientami oraz budować profesjonalny wizerunek.
Serwisów społecznościowych i forów: Gdzie użytkownicy udostępniają dane osobowe, a logowanie powinno być chronione.

Typy certyfikatów SSL i ich różnice

Certyfikaty DV (Domain Validation):

Najprostszy i najtańszy typ certyfikatu.
Weryfikuje tylko domenę (czyli potwierdza, że właściciel ma kontrolę nad daną domeną).
Idealny dla małych stron internetowych i blogów.

Certyfikaty OV (Organization Validation):

Weryfikuje nie tylko domenę, ale również tożsamość organizacji.
Wymaga dostarczenia dokumentów potwierdzających istnienie firmy.
Stosowany przez firmy i strony, które chcą budować większe zaufanie.

Certyfikaty EV (Extended Validation):

Najwyższy poziom uwierzytelnienia.
Wymaga szczegółowej weryfikacji tożsamości firmy przez dostawcę certyfikatu.
W przeglądarkach wyświetla nazwę firmy obok kłódki.
Zalecany dla dużych firm i instytucji finansowych.

Certyfikaty Wildcard:

Chronią domenę główną oraz wszystkie subdomeny (np. shop.example.com, blog.example.com).
Oszczędność kosztów przy wielu subdomenach.

Certyfikaty Multi-Domain (SAN):

Pozwalają na zabezpieczenie wielu różnych domen jednocześnie.
Idealne dla firm zarządzających wieloma stronami.

Jak kupić i aktywować certyfikat SSL?

Wybór dostawcy: Istnieje wiele firm oferujących certyfikaty SSL, np. Symantec, Comodo, Let’s Encrypt.
Wybór odpowiedniego typu certyfikatu: W zależności od potrzeb strony i budżetu, można wybrać jeden z opisanych wcześniej typów.
Zakup: Po zakupie certyfikatu, dostawca dostarcza pliki certyfikatu oraz klucz prywatny.
Generowanie CSR (Certificate Signing Request): W panelu zarządzania serwerem generuje się CSR, czyli żądanie podpisania certyfikatu.
Instalacja certyfikatu: Pliki certyfikatu instaluje się na serwerze (zwykle w panelu zarządzania hostingiem lub poprzez SSH).
Testowanie: Po zainstalowaniu certyfikatu, należy sprawdzić, czy strona działa prawidłowo pod protokołem HTTPS.

Darmowy certyfikat SSL

Jeśli budżet jest ograniczony, można skorzystać z darmowych certyfikatów SSL. Najbardziej znanym dostawcą darmowych certyfikatów SSL jest Let’s Encrypt. Oferuje on certyfikaty DV, które można automatycznie zainstalować i odnowić.

Korzyści:

Bezpłatny.
Szybka instalacja.
Automatyczne odnawianie.

Wady:

Brak zaawansowanej weryfikacji tożsamości (tylko DV).
Ograniczona funkcjonalność w porównaniu z płatnymi certyfikatami.

Podsumowanie

Certyfikat SSL to kluczowy element każdej bezpiecznej strony internetowej, szczególnie jeśli przetwarza dane użytkowników. Wybór odpowiedniego certyfikatu zależy od specyfiki strony i budżetu. Dzięki szerokiej dostępności certyfikatów (w tym darmowych), każda strona może zapewnić bezpieczeństwo swoim użytkownikom oraz zwiększyć swoje zaufanie i pozycję w wynikach wyszukiwania.

Co jest potrzebne, żeby zainstalować darmowy certyfikat SSL na WordPressie?

Wygenerowany certyfikat SSL
Skorzystaj z darmowych usług, takich jak Let’s Encrypt, aby wygenerować certyfikat SSL dla swojej domeny. Certyfikat SSL jest kluczowy do zabezpieczenia połączenia HTTPS.
Darmowa wtyczka UpdraftPlus
Wykonaj pełny backup swojej strony WordPress za pomocą wtyczki UpdraftPlus. Zapewni to możliwość przywrócenia strony w przypadku problemów podczas instalacji certyfikatu SSL.
Darmowa wtyczka Better Search Replace
Ta wtyczka pomoże Ci zaktualizować wszystkie wewnętrzne linki i zasoby na stronie, zmieniając http:// na https:// w całej bazie danych, aby zapewnić pełną konwersję na HTTPS.
Dostęp do WordPress admin
Będziesz potrzebować dostępu do panelu administracyjnego WordPressa, aby zaktualizować ustawienia strony, zainstalować wtyczki i wprowadzić zmiany w konfiguracji strony.
Dostęp do serwera FTP/SSH
Aby wprowadzić zmiany w pliku .htaccess lub zainstalować certyfikat SSL na serwerze, potrzebujesz dostępu do serwera za pomocą FTP lub SSH. To umożliwi Ci modyfikację plików systemowych.
Trochę dobrych chęci
Proces może wydawać się skomplikowany, ale z odrobiną cierpliwości i zaangażowania, instalacja darmowego certyfikatu SSL stanie się prosta i efektywna. Twoja strona będzie dzięki temu bezpieczna i przyjazna dla użytkowników.

Jak wgrać darmowy SSL do WordPressa: Kilka prostych kroków

No to zaczynamy, nie mając certyfikatu przed adresem strony mamy przekreślą kłódkę wygląda to tak:

Zrobienie backupu strony
Przed rozpoczęciem jakichkolwiek zmian wykonaj pełny backup strony (plików i bazy danych). Możesz to zrobić za pomocą wtyczki do backupu, np. UpdraftPlus, lub ręcznie, pobierając pliki przez FTP i eksportując bazę danych z phpMyAdmin. Dzięki temu masz pewność, że w razie problemów możesz przywrócić stronę do poprzedniego stanu. Ja preferuje jednak to zautomatyzować używając wtyczki, która w przyszłości i tak będzie niezbędna.

Inastalacja darmowej wtyczki UpdraftPlus:

0 Logujemy się do Panelu Administratora WordPress (zwykle przez nazwastrony.pl/wp-admin.
1. Wchodzimy do kategorii wtyczki.
2. Klikamy podkategorie „Dodaj Wtyczkę”.
3. Wpisujemy w polu „szukaj wtyczki” Updraft.
4. Instalujemy wtyczkę Updraft, klikając Zainstaluj.
5. Włączamy wtyczkę, po zainstalowaniu klikając Włącz.

Konfiguracja wtyczki UpdraftPlus:

0. Przyciskamy „Naciśnij tutaj, aby rozpocząć!„.
1. Klikamy Zamknij.
2. Klikamy Utwórz kopię.
3. Gotowe.

Zmiana adresu URL w ustawieniach witryny na WordPress:

1, Wchodzimy w Ustawienia.
2. Naciskamy Ogólne.
3. Zmieniamy w Adresie WordPress (URL) z http na https.
4. Zmieniamy w Adresie witryny (URL) z http na https.
5. Żeby uzyskać taki efekt jak poniżej.
6. Zapisz zmiany, co zapewni, że strona główna i wszystkie inne adresy będą teraz używać protokołu HTTPS.

Instalujemy darmową wtyczkę Better Search Replace jak w przykładzie poniżej:

1. Wchodzimy do kategorii wtyczki.
2. Klikamy podkategorie „Dodaj Wtyczkę”.
3. Wpisujemy w polu „szukaj wtyczki” Better Search Replace.
4. Instalujemy wtyczkę Updraft, klikając Zainstaluj.
5. Włączamy wtyczkę, po zainstalowaniu klikając Włącz.

Konfigurujemy wtyczkę Better Search Replace:

1. Zakładka Narzędzia.
2. Klikamy Better Search Replace.

0. Aktualizacja odnośników w bazie danych
Aby zaktualizować wszystkie linki wewnętrzne, obrazy i inne zasoby do HTTPS, skorzystaj z wtyczki Better Search Replace. Wyszukaj wszystkie wystąpienia http://nazwadomeny.pl i zastąp je https://nazwadomeny.pl. Upewnij się, że wybrałeś wszystkie tabele, a przed wykonaniem zmiany odznacz opcję „Dry Run”, aby wprowadzić rzeczywiste zmiany.
1. W polu „Search for” wpisujemy KOMPLETNY adres naszej strony http://nazwastrony.pl jak w przykładzie powyżej.
2. W polu „Replace with”, wpisujemy KOMPLETNY adres naszej strony zamieniając http na https, czyli całe https://nazwastrony.pl.
3. W „Select Table” zaznaczamy wszystkie pliki z bazy danych, najlepiej zaznaczyć pierwszy (LPM), nacisnąć przycisk „shift” + „home”, wtedy zaznaczy nam wszystkie pliki w bazie danych.
4. Zaznaczamy opcję „Run as dry run”.
5. Klikamy „Run Search/Replace” dwukrotnie (żeby upewnić się iż baza została poprawnie zaktualizowana.
6. Gotowe, możemy odinstalować wtyczkę Better Search Replace.
7. Po pomyślnym zaktualizowaniu odnośników, usuń wtyczkę Better Search Replace, aby nie obciążać niepotrzebnie systemu. Możesz to zrobić w zakładce Wtyczki > Zainstalowane wtyczki, klikając „Dezaktywuj”, a następnie „Usuń”.

Przekierowanie 301 i konfiguracja pliku .htacces (kropka jest częścią nazwy pliku, bardzo istotne, żeby plik się dokładnie tak nazywał)

1. Przekierowanie 301 w pliku .htacces
Aby automatycznie przekierować użytkowników z wersji HTTP na HTTPS, dodaj przekierowanie 301 do pliku .htacces. Edytuj plik .htacces (np. za pomocą notatnika) znajdujący się w katalogu głównym WordPressa, dodając poniższy kod na początku pliku:

# SSL
RewriteEngine Ona
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2. Zapisz plik i wgraj na serwer zamieniając stary plik, pamiętaj o kropce „.htaccess”

Wygenerowanie Darmowego Certyfikatu SSL Let`s Encrypt SSL:

0. Żeby wygenerować darmowy certyfikat wchodzimy na stronę: https://punchsalad.com/ssl-certificate-generator/
1. W polu „Enter domain name(s)* wpisujemy NAZWADOMENY.PL , (przecinek) WWW.NAZWADOMENY.PL
2, W polu „Enter Email*” wpisujemy adress e-mail.
3. Zaznaczamy HTTP.
4. Zaznaczamy „Get a reminder 7 days before SSL expires. – Dzięki temu na maila nam przyjdzie przypomnienie na 7 dni przed zakończeniem darmowego SSL-a i będziemy mieli czas wygenerować nowy (Co 3 miesiące trzeba generować darmowy lub, zapłacić 9$).
5. Zgadzamy się na warunki Let`s Encrypt SA dodając ptaszka.
6. Klikamy CREATE FREE SSL CERTIFICATE.

Ściągamy pliki „DOWNLOAD FILE #1” oraz „DOWNLOAD FILE #2” na dysk.
Wchodzimy na serwer do katalogu głównego i tam tworzymy folder z kropką „.well-known”
Wchodzimy do tego folderu i w nim tworzymy kolejny folder o nazwie „acme-challenge„
Również wchodzimy do tego folderu i tam kopiujemy dwa pliki, które pobraliśmy w kroku pierwszym.
Nasz ścieżka na serwerze powinna wyglądać jak poniżej:
Jeśli katalogi zostały utworzone, pliki wgrane na serwer to klikamy „VERIFY DOMAIN”

7. Jeśli wszystko przebiegło w porządku ukarze nam się takie okno.

8. Wybieramy obojętnie co i klikamy „Next”

9. Pojawi nam się kolejne okno jak w zdjęciu poniżej, gdzie wpisujemy cokolwiek i klikamy „Next” lub je zwyczajnie zamykamy.

10. Pojawi nam się okno z certyfikatami do pobrania, które ściągamy na dysk, lub kopiujemy ich treść np. do notatnika.

Dodwanie certyfikatu do domeny na serwerze w tym przypadku jest to nazwa.pl:

0. Wchodzimy na admin.nazwa.pl i się logujemy no servera.
1. Z zakładki WWW i FTP, wybieramy Certyfikaty SSL.
2. Następnie schodzimy na sam dół strony i tutaj mamy listę domen niechronionych certyfikatem SSL.
3. Wybieramy domenę dla której chcemy wgrać certyfikat SSL i klikamy „wgraj certyfikat SSL”

Wklejamy tekst certyfikatu w oba pola odpowiednio PRIVATE KEY (PRV) i CERTIFICATE KEY (CR).
Klikamy zapisz i gotowe.

Efekt końcowy na pasku adresu powinien wyglądać tak: