Zabezpiecz swoją stronę WordPress za pomocą SSL

Większość polskich hostingów (home.pl, nazwa.pl, OVH, LH.pl, cyberFolks) oferuje darmowe certyfikaty Let's Encrypt, które w pełni wystarczą dla stron firmowych, blogów i małych sklepów internetowych. Instalacja sprowadza się do zalogowania do panelu hostingu i kliknięcia przycisku aktywacji SSL przy wybranej domenie. W przypadku CloudPanel (popularnego panelu na serwerach VPS i dedykowanych) certyfikat Let's Encrypt generujesz jednym poleceniem w sekcji Vhost danej strony. Ważna uwaga: jeśli Twoja strona jest za Cloudflare, przed generowaniem certyfikatu tymczasowo wyłącz proxy (przełącz na szarą chmurkę w ustawieniach DNS). Po aktywacji certyfikatu ustaw tryb SSL w Cloudflare na Full (strict), aby uniknąć irytujących pętli przekierowań między serwerem a Cloudflare.

Po zainstalowaniu certyfikatu na serwerze musisz zaktualizować adresy URL w samym WordPressie. Przejdź do Ustawienia, następnie Ogólne i zmień oba pola – Adres WordPressa (URL) i Adres witryny (URL) – z http:// na https://. Uwaga: błędna zmiana tych pól może całkowicie zablokować dostęp do panelu administracyjnego. Jako zabezpieczenie możesz najpierw dodać w pliku wp-config.php dwie linie: define('WP_HOME','https://twojadomena.pl') i define('WP_SITEURL','https://twojadomena.pl'). Następnie dodaj przekierowanie 301 w pliku .htaccess, które wymusi HTTPS dla wszystkich odwiedzin. Sprawdź też, czy Twój motyw nie ma zahardkodowanych linków http:// w szablonach PHP, bo mogą powodować ostrzeżenia o mieszanej treści.

Mixed content to sytuacja, gdy strona ładowana przez HTTPS pobiera zasoby (obrazy, skrypty JavaScript, arkusze CSS) przez niezabezpieczone połączenie HTTP. Przeglądarki blokują takie zasoby lub wyświetlają ostrzeżenie w pasku adresu, co psuje wygląd strony i obniża zaufanie użytkowników. Wtyczka Really Simple SSL automatycznie naprawia większość przypadków mixed content, zamieniając linki http:// na https:// w locie przy każdym ładowaniu strony. Dla pełnego i trwałego rozwiązania warto przeprowadzić operację search-and-replace w bazie danych, zamieniając wszystkie wystąpienia http://twojadomena.pl na https://twojadomena.pl. Najlepszymi narzędziami do tego są wtyczka Better Search Replace lub komenda WP-CLI: wp search-replace 'http://domena.pl' 'https://domena.pl' --all-tables.

Let's Encrypt to darmowy certyfikat DV (Domain Validation) odnawiany automatycznie co 90 dni przez serwer. Wystarcza dla zdecydowanej większości stron firmowych, blogów i małych sklepów internetowych. Certyfikaty płatne dzielą się na OV (Organization Validation) i EV (Extended Validation) – oba oferują dodatkową weryfikację tożsamości firmy i wyższe gwarancje ubezpieczeniowe w przypadku naruszenia bezpieczeństwa. Certyfikat OV kosztuje od 150 do 500 złotych rocznie, a EV od 500 do 2000 złotych. EV kiedyś wyświetlał nazwę firmy w pasku przeglądarki (zielony pasek), ale od 2019 roku przeglądarki zrezygnowały z tego wyróżnienia, co znacząco zmniejszyło praktyczną wartość tego typu certyfikatu. Dla sklepów internetowych przetwarzających płatności kartą warto rozważyć certyfikat OV.

Po wdrożeniu SSL sprawdź poprawność konfiguracji za pomocą narzędzia SSL Labs (ssllabs.com/ssltest) – ocena A lub A+ oznacza prawidłową i bezpieczną konfigurację certyfikatu. Upewnij się, że wszystkie warianty adresów (z www i bez www, http i https) prawidłowo przekierowują na jedną kanoniczną wersję. W Google Search Console dodaj właściwość HTTPS jako nową witrynę (jeśli masz osobno zweryfikowane http:// i https://) i zweryfikuj, że mapa witryny wskazuje wyłącznie na adresy HTTPS. Skonfiguruj monitoring certyfikatu – narzędzia takie jak UptimeRobot lub Better Uptime powiadomią Cię e-mailem i SMS-em, gdy certyfikat zbliży się do daty wygaśnięcia. W przypadku Let's Encrypt automatyczne odnowienie powinno działać bez interwencji.