Přesun WordPress webů na https prakticky

V posledních měsících velice vzrostl tlak na aktivaci SSL. Nejde jen o SEO, ale především o strašení uživatelů. Chrome i Firefox už poměrně výrazně označují nezabezpečené weby, nejnovější Firefox vám dokonce ukáže hlášku o nebezpečí přímo při vyplňování políčka formulářů. BFU samozřejmě netuší, že obvykle o nic nejde, takže tak můžete přijít o návštěvnost. Třeba u políčka pro vyplnění mejlu do newsletteru taková hláška docela zabije konverze.

Další milý bonus je možnost použít HSTS a HTTP 2.0, což vám dává proti běžným webům značné výhody. Zejména weby s velkým množstvím požadavků na server (asi máte hodně pluginů, co?) mohou díky HTTP 2.0 velice zrychlit.

Pozor, převod na SSL je sice primitivní a poměrně blbuvzdorný, ale pokud se to pokazí, raději mějte po ruce zálohu databáze i souborů. Opravovat napůl zmrvené přesměrování občas není úplně jednoduché.

Aktivace SSL na WordPressu

Aktivace SSL nemůže být primitivnější. Stačí nainstalovat plugin Really Simple SSL, aktivovat a přepnout na SSL. Plugin sám aktivně hlásí, pokud nemáte aktivní certifikát. Pozor, některé návody radí ručně měnit .htaccess – to při použití pluginu rozhodně nedělejte! WordPress si umí s SSL přesměrováním poradit sám a pokud přesměrování přidáte zároveň do .htaccess, může vzniknout problém – bílá obrazovka smrti, 404 nenalezeno, cyklické přesměrování anebo problém s certifikátem. Plugin aktivně opraví všechny interní linky v příspěvcích, na štítky i kategorie. Plugin implicitně používá přesměrování 301 přes WordPress (pokud neumím, na nic nesahám a nechám to tak), ale pokud chcete, můžete si nastavit i přesměrování 301 přes .htaccess (záložka Settings). Nastavené SSL a přesměrování fungují i po vypnutí pluginu, tedy alespoň u mě.

U některých webů může nastat problém, jmenovitě pokud používáte nějaké divočejší pluginy anebo embedujete obsah z webů bez SSL. Pokud je web ve výstavbě a máte aktivní plugin Maintenance, nebude se nezabezpečená verze přesměrovávat! Údržbový plugin totiž přerazí přesměrování stránek na SSL a vše přesměruje na jednu stránku s hláškou o výstavbě. Pozor na aktivní pluginy Wordfence nebo iThemes Security – většinou zamykají .htaccess a pokud ho změníte, vrátí tam původní verzi a nebude to fungovat!

Já se osobně držím naprostého minimalizmu a používám minimum pluginů a jednoduché šablony. Nikde nenastal problém, dokonce i e-shop na WooCommerce prošel zcela bez problémů.

Instalace certifikátu na Blueboardu

Většinu webů hostuju u Blueboard.cz, kde si můžete SSL certifikát Let’s Encrypt (je zdarma) aktivovat jedním klikem. Varovnou hlášku o přepsání certifikátu ignorujte, pokud už nemáte nainstalovaný placený SSL certifikát. O obnovování se starat nemusíte, certifikát se prodlužuje automaticky. Každý web na multihostingu má samozřejmě svůj certifikát. K SSL si přesměrováním zároveň aktivujete i HSTS a HTTPS/2, což vám drtivá většina hostingů zatím nenabídne.

S Blueboardem jsem spokojený, dlouhodobě bezproblémové a narozdíl třeba od Wedosu značně blbovzdorné a přehledné. Seznam hostingů s možností SSL zdarma nebo velmi levně.

Pro aktivaci SSL stačí kliknout na vybranou doménu a kliknout na aktivaci certifikátu. Obvykle zabere maximálně pár minut. Potom je potřeba aktivovat SSL v administraci WordPressu – zobrazí se hláška nahoře v administraci – znovu se přihlásit a je hotovo.

Pozor, po první aktivaci SSL vám web vyhodí chybu certifikátu (neshoda domén)! Prohlížeč načte SSL certifikát hostingu a ne certifikát webu, takže pak vyhazuje chybu zabezpečení. Přidejte výjimku, po přihlášení a obnovení stránky hláška zmizí a web už má normálně zelenou SSL ikonku.

Úpravy na závěr a další zdroje informací

Pozor, pokud používáte robots.txt, tak ho opravte s ohledem na https. Také je třeba znovu vygenerovat aktuální sitemap.xml. Dejte si také pozor na verzi s/bez www, Blueboard je přesměrovává automaticky, ale některé hostingy to nedělají!

Po aktivaci SSL je potřeba změnit adresu webu v dalších nástrojích, například Google Analytics a Google Console (dříve Webmaster Tools). V Analytics je změna snadná, stačí se přepnout do administrace účtu a v nastavení služby si změnit http:// na https://. V Google Console nejde jen změnit adresu, musíte pro https:// vytvořit nový účet. Více tipů přímo v nápovědě Googlu anebo v nápovědě pro Really Simple SSL.

Podrobněji se o přesunu na SSL rozepsal Dušan Janovský (Yuhů), předběžné shrnutí výsledků https ohledně SEO sepsal Josef Kroupa. Osobně jsem zatím převedl několik webů a zatím žádné drastické změny návštěvnosti nahoru ani dolů nepozoruji.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *