V posledním měsíci se nejeden uživatel WordPress vyděsil varování “Připojení není bezpečné” anebo “Nezabezpečeno” na přihlašovací obrazovce. Ve skutečnosti se nic nezměnilo, pouze dva internetové prohlížeče – Chrome a Firefox, začali zobrazovat varování, pokud je na stránce formulář se zadáváním hesla a ke stránce se připojujete přes HTTP.
Pokud používáte aktuální verzi Chrome, tak uvidíte na přihlašovací obrazovce následující upozornění u adresního řádku.
U Firefox je varování méně výrazné. Uvidíte pouze ikonku.
Jak to vyřešit
Abyste se varování zbavili je třeba začít používat šifrované spojení, tedy HTTPS. Mimochodem nezkoušejte přepsat adresu na https:// takto to nefunguje 🙂
Moje doporučení je sáhnout po Let’s Encrypt. Dnes Let’s Encrypt podporuje každý pořádný webhosting a ti co jej nepodporují, tak těm se vyhněte. Někde jde spustit automaticky, jinde generují certifikáty ručně. Většinou ale do 24 hodin vše zařídí. Nezapomeňte, že potřebujete mít certifikát pro doménu a/nebo subdoménu. Tedy www.doména.cz, doména.cz a login.doména.cz jsou tři odlišené věci a pro každou potřebujete mít vygenerovaný certifikát.
Samozřejmě můžete sáhnout i po komerčním certifikátu. Zvláště eshopy si za pár tisíc mohou pořídit i zelený adresní řádek. Ten však nezískáte do 24 hodin. Obecně pokud potřebujete jen “to” HTTPS tak s Let’s Encrypt neuděláte chybu.
HTTPS jen pro přihlášení
jakmile je vše připravené tak se připojte k hostingu přes FTP (návod zde), najděte soubor wp-config.php a vložte do něj následující řádek:
define('FORCE_SSL_ADMIN', true);
V podstatě tímto donutíte WordPress, aby vyžadoval přihlášení přes HTTPS.
HTTPS pro celý web
Samozřejmě pokud chcete, tak už rovnou můžete přesunout kompletně celý web na HTTPS. Ostatně líbí se to vyhledávačům a vaši návštěvníci mohou mít dobrý pocit, že se staráte o jejich soukromí. Mimochodem v současné době už lidé navštěvují více webů přes HTTPS než přes HTTP. Takže můžete jít s dobou.
Převést samotný WordPress na HTTPS je jako změnit doménu. Stačí v Nastavení – Obecné u polože Instalace WordPressu (URL) a Úvodní stránka webu (URL) přepsat http://vašedoména.tld na https://vášedomena.tld
Samozřemě není to tak úplně jednoduché. Je třeba vyprázdnit cache, vypnout všechny pluginy a ujistit se, že naprosto všechno co je vloženo na webu je z HTTPS. Hlavně reklamy, měřící kódy, externí obrázky atd. Protože jakmile jednou přejdete na HTTPS, tak musí být naprosto všude co na web dáte šifrované. Jinak by to nemělo smysl a prohlížečům to vadí a dost.
Dále byste měli dohlédnout na správné přesměrování. Všechny vaše současné odkazy totiž vedou na HTTP verzi a HTTPS je v podstatě jejich duplicita. SEO pluginy to sice řeší přes canonical, ale hodí se spíše klasické přesměrování přes stavový kód 302. Tady je lepší sáhnout po pluginu.
Závěr
Internetové prohlížeče plánují v zobrazování varování ještě přitvrdit, takže pokud nechcete děsit vaše redaktory, tak se přechodu na HTTPS prostě nevyhnete 🙂
