SSL beállítása WordPress-ben

Mi az az SSL?

Az SSL (Secure Socket Layer) egy biztonsági réteg, amely biztosítja a kliens és a kiszolgáló szerver közötti titkosított kommunikációt.

Mikor van szükséged SSL tanúsítványra?

Röviden: ha van publikus weboldalad amivel szeretnél pénzt keresni.

  • SEO: rangsorolási szempont a biztonságos kapcsolat megléte.
  • Biztonságilag kritikus kommunikációnál, mint  például a fizetési tranzakciók, jelszavas bejelentkezések, űrlapküldés a böngésző biztonsági figyelmeztetést küld a felhasználónak, ha weboldalad nem rendelkezik tanúsítvánnyal.
  • Bankkártyás fizetés  esetén (ha a fizetés a te honlapodon és nem a szolgáltató felületén történik) kötelező!

SSL tanúsítványok típusai

Az ellenőrzés szintje szerint többféle SSL tanúsítvány közül tudsz válogatni.

Domain szintű ellenőrzés (DV)

A legalacsonyabb biztonsági szintű és legolcsóbb tanúsítvány. Csak a webhelyet biztosítja.  A domain mögött lévő szervezetet nem vizsgálja, így az ellenőrzés és kiállítás is rövid idő alatt megtörténik. A böngésző az SSL tanúsítvány meglétét a címsorban látható lakat ikonnal jelzi.

Szervezeti szintű ellenőrzés (OV)

A domain-hez tartozó szervezetet is hitelesíti. A tanúsítvány kibocsátója hivatalos okmányokat  kér és ellenőrzi, hogy a domain tulajdonosa létező (jogi) személy és legálisan végzi tevékenységét.
A domain whois adataiban szereplő adminisztrációs kapcsolattartó személy létezését is igazolni kell.  Ez a minimum szint, amelyet biztosítanod kell bankkártyás fizetések fogadásakor. A böngésző az SSL tanúsítvány meglétét a címsorban látható lakat ikonnal jelzi.

Kiterjesztett ellenőrzés (EV)

Nem csak a domain és a vállalat, de a kínált szolgáltatást is ellenőrzik. Maximális biztonsági szintű tanúsítvány, a böngésző címsorában megjelenik a hitelesített cég neve is, zöld háttérrel.

A hitelesített domain-ek száma szerint:

  • Egy domain-t hitelesít.
  • Wildcard SSL: korlátlan számú elsőszintű aldomain-t hitelesít.
  • Multi domain (SAN, UCC): több, egymástól független domain hitelesítése egyetlen tanúsítvánnyal.

A biztonsági szint és a biztosított domain-ek függvényében változik a tanúsítványok ára is. A legolcsóbb RapidSSL tanúsítvány bruttó 4.000 forintnál kezdődik, egy Symantec EV tanúsítvány éves díja bőven meghaladhatja a 200 000 forintot is.

Ingyenes SSL tanúsítvány

Létezik ingyenes SSL tanúsítvány is, sőt, sok CPanel-es tárhely szolgáltatónál (túlnyomórészt azoknál, akik nem árulnak saját tanúsítványt) pár kattintással telepítheted is. Az ingyenes Let’s Encrypt domain szintű ellenőrzést végez, így inkább csak hobbi weboldalak esetén ajánlott, vagy ha érzékeny adatokat, pl. pénzügyi információkat nem kérsz.

Hogy rakom ki a lakatot a honlapomra?

Ingyenes Let’s Encript SSL telepítése CPanel-en keresztül

Mely domainekre telepíthető a Let’s Encrypt SSL?

Az ingyenes SSL az összes olyan weboldal esetében települ, ahol a:

  • domain DNS rekordja a tárhelyszolgáltató szerverére mutat,
  • domain neve nem tartalmaz ékezetes karaktereket,
  • domainre nincs telepítve SSL, vagy a telepített SSL hibás (pl. lejárt),
  • domain beállításai technikailag lehetővé teszik az SSL telepítését.

CPanelbe belépve kattints a Lets-Encrypt-SSL menüpontra.

SSL telepítése Cpanel-en keresztül
CPANEL -> Biztonság -> Lets-Encrypt-SSL

A legördülő listából válaszd ki a domain-t melyre a tanúsítványt kéred. Ha WordPress multisite-ot üzemeltetsz, válaszd a Wildcard SSL opciót.

A legördülő listából válaszd ki a domain-t melyre a tanúsítványt kéred.

A Let’s Encrypt SSL telepítő modul a tanúsítványok automatikus meghosszabbításáról is gondoskodik. Jó hír, ha nem akarsz ezzel pepecselni: a Tárhely.eu osztott szerverein a Let’s Encrypt SSL szolgáltatás alapértelmezetten aktiválva van, a szolgáltatás a cPanel-en az SSL/TLS Status menüpont alatt menedzselhető.

A http-ről https-re, azaz a biztonságos kapcsolatra történő átirányítás nem automatikus. Ezt a WordPress honlapod Vezérlőpultjában, és/vagy a .htaccess fájlban tudod beállítani:

Első lépésben ellenőrizd hogy a honlapod betöltődik-e, ha a böngésződ címsorában a következőképpen adod meg a címét: https://domained.hu. Ha az oldalad figyelmeztető üzenet (pl. “A kapcsolat nem biztonságos“) nélkül megnyílik, akkor az SSL elérhető.

Lépj be WordPress honlapod Vezérlőpultjába, és a BeállításokÁltalános menüpontban a WordPress cím (URL) és Honlap cím (URL) mezőkben a http után írj egy “s” betűt, tehát mindkét esetben az URL https – szel kezdődjön.

SSL beállítása WordPress-ben

Ha ezzel megvagy, és tárhelyed Apache szerveren van, lesz még egy teendőd: Filezilla-val, vagy a Cpanel fájlkezelőjével jelentkezz be a tárhelyedre és keresd meg a .htaccess nevű fájl (valószínűleg az első fájl a wp-includes mappát követően). Ha nem látod a fájlok között, kapcsold be a Rejtett fájlok megjelenítése opciót (CPanel fájlkezelőjében a jobb felső sarokban a Beállítások gombra kattintva találod).

htaccess szerkesztéseCPanel-ben
Rejtett fájlok megjelenítése Cpanel fájlkezelőjében…
rejtett fájlok megjelenítése FileZillában
… és FileZillában

Készíts róla biztonsági mentést, majd nyisd meg szerkesztésre valamilyen karakteres szerkesztővel pl. Jegyzettömb (Notepad), de semmiképpen ne szerkeszd olyan programmal, ami formázó karaktereket szúr be a fájlba (pl. MS Word), és a legelső sorba illeszd a következő utasítást:

FONTOS: a már meglévő szabályokat, különös tekintettel a “# BEGIN WordPress” alatt található utasításokra, hagyd érintetlenül!

Nem működik?

Az SSL beállítása és a https-re történő átirányítás után az SSL akkor lesz hiteles, ha az oldal forrásában minden hivatkozás https-szel kezdődik. Amennyiben a böngésző címsorában a lakat mellett figyelmeztetés látszik, annak az az oka, hogy van olyan elem, melynek hivatkozása http-vel kezdődik. Ilyenkor Chrome böngészőben a Ctrl + Shift + I, Firefox böngészőben pedig az F12 majd ESC billentyűkkel kérhető le az oldalban szereplő hibás hivatkozások. Ha képeket tölt be hibásan, akkor azokat egyszerűen szúrd be újra. A hibás hivatkozások felderítésében segítségedre lehet a Why No Padlock? weboldal is Ha túl sok hibás hivatkozást jelez a böngésződ és nem akarod a hibákat kézzel javítani, telepítsd és aktiváld a Really Simple SSL bővítményt.