Miten otan HTTPS:n käyttöön WordPress-sivustolla?

Suosittelemme vahvasti HTTPS:n käyttöä ja tämän takia tarjoammekin kaikille palvelupaketeillemme ilmaisena vakio-ominaisuutena HTTPS-varmenteen. Varmistamme myös, että varmenne on oikein asennettu ja teemme parhaamme, jotta suojauksen käyttöönotto olisi asiakkaillemme mahdollisimman vaivatonta. Teknisesti on mahdollista käyttää myös muita kuin Seravon toimittamia HTTPS-varmenteita, mutta emme suosittele itse hankittujen HTTPS-varmenteiden käyttöä, koska sillä ei saavuteta mitään teknistä hyötyä.

HTTPS-suojaus parantaa sivuston tietoturvaa, nopeuttaen samalla verkkosivujen latautumista. Myös Google suosii hakutuloksissaan suojattuja sivuja. HTTPS-suojaus herättää luottamusta sivustoa kohtaan, varsinkin verkkokaupoissa ja muilla kirjautumista vaativilla sivustoilla. Niillä HTTPS on elintärkeä, sillä se salaa sivuston ja palvelimen välisen liikenteen, kuten salasanat ja maksutapahtumat.

Seravon WP-palvelussa on käytössä Let’s Encryptin HTTPS-varmenteet. Let’s Encrypt on Linux Foundationin alainen hanke, jonka tavoitteena on saada kaikki maailman sivustot käyttämään HTTPS-suojausta tarjoamalla maksuttomia varmenteita.

HTTPS-varmenteen käyttöönotto

Koska varmenne on WP-palvelussa valmiiksi asennettu, HTTPS-suojauksen voi helposti tarkistaa WordPressin hallintapaneelista.

  1. Mene kohtaan Asetukset > Yleiset asetukset
  2. Kirjoita ’WordPressin osoite’ ja ’Sivuston osoite’ kohtiin oma verkkotunnuksesi muodossa https://esimerkki.fi
  3. Nyt sivustollasi on käytössä HTTPS-suojaus.

Jos liikenne jostain syystä näyttää edelleen kulkevan salaamatonta HTTP-protokollaa käyttäen, voit pakottaa sivuston liikenteen salatuksi tämän ohjeen avulla.

Lisäksi on suositeltavaa korvata kaikki HTTP-alkuiset osoitteet sivuston tietokannassa HTTPS-alkuisilla, jotta vältytään ns. mixed content -varoituksilta selaimessa. Tietokannan etsi-korvaa-työkalu löytyy WordPressin hallintapaneelin kohdasta Työkalut > Tietokanta. Syötä kenttiin sivustosi osoite HTTP- ja HTTPS-muodoissa, ruksaa "All tables/Kaikki taulut" ja paina "Run dry-run/Aja kuiva-ajo". Kun se on valmis, klikkaa "Run wp search-replace/Aja wp search-replace".

Varmenteen käyttöönotto komentorivin avulla

HTTPS-muutokset voi tehdä myös käyttämällä komentoriviä ja wp-cli -työkalua:

$ wp option get siteurl
http://esimerkki.fi
$ wp option get home
http://esimerkki.fi
$ wp option update siteurl https://esimerkki.fi
Success: Updated 'siteurl' option.
$ wp option update home https://esimerkki.fi
Success: Updated 'home' option.

Sivuston verkkotunnuksen määrittämisen lisäksi on hyvä ajaa komento wp search-replace 'http://esimerkki.fi/' 'https://esimerkki.fi/' --all-tables. Tällä komennolla ajat tietokantaan muutokset, jotta sivustolla käytetään vain HTTPS-alkuista osoitetta turvattoman HTTP:n sijaan.

Käyttöönotto network (multisite) -ympäristössä

Network-sivustoilla (WP Multisite) HTTPS:n käyttöönotto eroaa hieman tavanomaisesta WordPress sivustosta.

  1. Mene kohtaan Minun sivustoni > Verkon hallinta > Sivustot.
  2. Avaa haluamasi multisiten alasivuston asetukset (esimerkki.fi/alasivusto)
  3. Mene välilehdelle ”Asetukset”
  4. Muuta kohtien ”Siteurl” ja ”Home” sisällöt muotoon https://esimerkki.fi/alasivusto
  5. Nyt multisite-sivustollasi on käytössä HTTPS-suojaus.

Ongelmien selvitys

Toisinaan HTTPS:ään siirtymisessä voi esiintyä ongelmia. Varsinkin jos vanhempi sivusto on siirretty käyttämään HTTPS-suojausta, on hyvin todennäköistä, että joitakin elementtejä sivustolla haetaan oletuksena HTTP:n ylitse. Tämä näkyy selaimen antamina mixed content -varoituksina, mikä tarkoittaa, että osa sivustosta latautuu suojaamattoman HTTP:n ylitse. Tämä heikentää HTTPS-suojausta, ja siksi mixed content -ongelmat onkin hyvä korjata mahdollisimman pian.

Ongelmia voi lähteä selvittämään tutkimalla selaimen konsolinäkymästä mitkä elementit aiheuttavat virheet.

Mikäli kuvan hakuosoitetta ei pysty käyttämään HTTPS:llä (tämän saa testattua esimerkiksi avaamalla jonkin kuvatiedoston palvelimella, vaihtamalla osoiterivillä http:// ->> https://), kannattaa kuva ladata oman sivuston mediakirjastoon. Näin kuva on saman suojauksen alla kuin itse sivustokin. Joskus myös teemaan itsessään on kovakoodattuna HTTP-muotoiset osoitteet eikä tietokantamuutos riitä, vaan muutokset täytyy tehdä suoraan teeman koodiin. Esimerkiksi tällä komennolla voit etsiä HTTP-alkuisia osoitteita teemasta: grep -RF 'http://esimerkki.fi' /data/wordpress/htdocs/wp-content/themes/omateema

WordPress-teemaan liittyvissä HTTPS-ongelmissa kannattaa olla yhteydessä teeman tai sivuston kehittäjään. Myös WP-palvelun asiantuntijat auttavat tarvittaessa ongelmien korjaamisessa. Kysy lisää asiakaspalvelustamme help@seravo.com

Vastasiko tämä kysymykseesi? Kiitos palautteesta. Palautteen lähettämisessä oli ongelma. Yritä uudelleen myöhemmin.