Przejście w kierunku bezpieczniejszego internetu to dobrze znana inicjatywa Google. Od czasu do czasu Google znajduje nowy sposób na zachęcenie właścicieli witryn do zapewnienia bezpieczeństwa poprzez:
- Deklarowanie HTTPS jako sygnału rankingowego (lekkiego, ale może tak nie być w przyszłości).
- Rozpoczęcie indeksowania stron HTTPS najpierw.
- Pokazuje, że przejście na HTTPS nigdy nie było tak tanie i łatwe.
- Oznaczanie w Chrome wszystkich witryn HTTP zawierających poufne dane jako „niezabezpieczone”.
Chociaż Google zachęca Cię do pomocy i stara się być jak najbardziej pomocny, wiele rzeczy może pójść nie tak podczas przełączania witryny z HTTP na HTTPS. Niedocenianie wyzwania może doprowadzić do katastrofy i problemów.
Musisz zaplanować każdy krok i dokładnie przetestować, aby po drodze nie było problemów. Ten wpis nauczy Cię najlepszych praktyk i wskaże problemy jakie można napotkać tak aby przeprowadzić bezstresową migrację do protokołu HTTPS.
Co to jest HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) to mechanizm, który umożliwia przeglądarce lub aplikacji internetowej bezpieczne połączenie ze stroną internetową. HTTPS to jeden ze środków, które pomagają zapewnić bezpieczeństwo przeglądania. Obejmuje to takie rzeczy, jak logowanie do witryny bankowej, przechwytywanie informacji o karcie kredytowej, a nawet logowanie do zaplecza witryny WordPress. Protokół HTTPS w witrynie WordPress wymaga posiadania zainstalowanego na serwerze certyfikatu SSL do szyfrowania. Gwarantuje to, że żadne dane nie są nigdy przekazywane w postaci zwykłego tekstu.
Po co mi na stronie protokół HTTPS
Bezpieczeństwo przesyłania danych
Migracja z protokołu HTTP do HTTPS umożliwia obsługę witryny za pośrednictwem szyfrowanego połączenia SSL / TLS. Oznacza to, że dane i informacje nie są już przekazywane w postaci zwykłego tekstu. W przypadku witryn eCommerce, które przetwarzają informacje o kartach kredytowych, jest to wręcz obowiązkowe. Nie jest to technicznie wymagane przez prawo, ale jako firma odpowiadasz za ochronę danych osobowych swoich klientów.
SEO
Formalnie od 2014 roku obecność na witrynie protokołu HTTPS jest jednym z czynników rankujących stronę w wyszukiwarce Google. Strony zabezpieczone certyfikatem są traktowane lepiej w algorytmie wyszukiwarki i dzięki temu pojawiają sie wyżej w wynikach wyszukiwania.
Wygląd adresu strony w wyszukiwarce
Od lipca 2018 roku (Chrome 68) strony bez HTTPS oznaczane są przez samą przeglądarkę jako niezabezpieczone. Potencjalny odwiedzjący na pasku swojej przeglądarki widzi brak zabezpieczeń co skutecznie może zniechęcić do dalszych odwiedzin, kontaktu czy tym bardziej zakupu na tej stronie. W chwili obecnej podobne ostrzeżenia są tez w Firefox i Edge
Prędkość ładowania strony
Poprawnie zainstalowany certyfikat jest jednym z warunków by serwer wykorzystywał protokół HTTP/2 i HTTP/3 gdyż wymagają one połączenia używającego TLS1.3.
Wiemy już po co potrzebny nam certyfikat – przechodzimy więc do kolejnego etapu.
Wybór i instalacja certyfikatu SSL na serwerze.
Jak było wspomniane do aktywacji protokołu SSL potrzeba specjalnego certyfikatu zainstalowanego bezpośredni o na waszym serwerze na hostingu. Do wyboru mamy szereg rodzajów certyfikatów różniących się sposobem uzyskania od DV (Domain validation – najpopularniejszy i najczęściej używany typ certyfikatu) po tzw. EV które są specjalnie przygotowywane a występujący po dany certyfikat przechodzi specjalny proces weryfikacji by go uzyskać).
Certyfikaty występują w wesjach płatnych oraz bezpłatnych jako rozwijany prze Google projekt Let’s Encrypt. Na potrzeby praktycznie każdej strony – w tym sklepu nie potrzeba nam certyfikatu płatnego. W zależności od hostingu zakup i instalacja certyfikatu przebiega różnie. Zapytaj się u swojego dostawcy jak zainstalować certyfikat i czy oferuje darmowe wersje Let’s Encrypt. Normalne hostingi oferują instalację automatyczną takiego certyfikatu albo dosłownie 2-3 kliknięciami w panelu zarządzania. Jeśli hosting oferuje tylko płatne certyfikaty albo jeszcze pobiera opłatę za instalacje zakupionego / darmowego – zmień hosting bo przepłacasz.
Po poprawniej instalacji certyfikatu zobacz czy twoja strona otwiera się pod HTTPS po prostu wpisując adres strony z https na początku. Jeśli nie pojawia się nam żaden błąd ze strony serwera przechodzimy dalej.
Ustawienie adresu w WordPress
Logujemy się na zaplecze naszej strony do wp-admin’a i w ustawieniach strony zmieniamy adres z http na https w miejscu Ustawienia -> Ogólne
Pozostaje nam zmiana linków wewnętrznych prowadzących do obrazów. W Wordpresie od wersji 5.7 mamy to gotowe w kokpicie. Wchodzimy w zakładkę Narzędzia -> Stan witryny i klikamy przycisk „Zaktualizuj swoją witrynę, aby korzystała z protokołu HTTPS”
Po tych czynnościach witryna powinna byc dostępna pod bezpiecznym adresem z https
W starszych wersjach WP potrzeba użyć wtyczki – Better search replace Better search replace
Po instalacji i aktywacji wchodzimy w Narzędzia -> Better search replace
wypełniamy stary adres i nowy, zaznaczamy wszystkie tabele, odznaczamy „Run as dry run?” i klikamy „Run Search/Replace”. Po kilku chwilach powinno nam zmienić wszystkie linki wewnętrzne. Ta sama procedura jest stosowana także w naprawie linków gdy występuję tzw. mixed content.
Po tych czynnościach pozostaje tylko aktualizacja linków w Google Analitycs czy dodanie wersji https w Google Search Console