Miten otan HTTPS:n käyttöön WordPress-sivustolla?

Moni on varmasti kuullut puhuttavan HTTPS:tä ja on tietoinen sen tuomista hyödyistä. HTTPS-suojaus parantaa sivuston tietoturvaa ja myös nopeuttaa verkkosivujen latautumista. Myös Google suosii hakutuloksissaan suojattuja sivuja. HTTPS-suojaus herättää luottamusta sivustoa kohtaan varsinkin verkkokaupoissa ja muilla kirjautumista vaativilla sivustoilla. Niillä HTTPS on elintärkeä, sillä se salaa sivuston ja palvelimen välisen liikenteen, kuten salasanat ja maksutapahtumat.

Suosittelemme vahvasti HTTPS:n käyttöä ja tämän takia tarjoammekin kaikille palvelupaketeillemme ilmaisena vakio-ominaisuutena HTTPS-varmenteen. Varmistamme myös, että varmenne on oikein asennettu ja teemme parhaamme, jotta suojauksen käyttöönotto olisi asiakkaillemme mahdollisimman vaivatonta. Teknisesti on mahdollista käyttää myös muita kuin Seravon toimittamia HTTPS-varmenteita, mutta emme suosittele itse hankittujen HTTPS-varmenteiden käyttöä, koska sillä ei saavuteta mitään teknistä hyötyä.

WP-palvelussa on käytössä Let’s Encryptin HTTPS-varmenteet. Let’s Encrypt on Linux Foundationin alainen hanke, jonka tavoitteena on saada kaikki maailman sivustot käyttämään HTTPS-suojausta tarjoamalla maksuttomia varmenteita.

HTTPS-varmenteen käyttöönotto

Koska varmenne on WP-palvelussa valmiiksi asennettu, HTTPS-suojauksen voi ottaa käyttöön helposti WordPressin hallintapaneelista.

  1. Mene kohtaan Asetukset -> Yleiset asetukset
  2. Kirjoita ’WordPressin osoite’ ja ’Sivuston osoite’ kohtiin oma verkkotunnuksesi muodossa https://esimerkki.fi
  3. Nyt sivustollasi on käytössä HTTPS-suojaus.

Jos liikenne jostain syystä näyttää edelleen kulkevan salaamatonta http-protokollaa käyttäen, voit pakottaa sivuston liikenteen salatuksi tämän ohjeen avulla.

isäksi on suositeltavaa korvata kaikki http-alkuiset osoitteet sivuston tietokannassa https-alkuisilla, jotta vältytään ns. mixed content -varoituksilta selaimessa. Tietokannan etsi-ja-korvaa -työkalu löytyy WordPressin hallintapaneelin kohdasta Työkalut > Tietokanta. Syötä kenttiin sivustosi osoite http- ja https-muodoissa, ruksaa "All tables/Kaikki taulut" ja paina "Run dry-run/Aja kuiva-ajo". Kun se on valmis klikkaa "Run wp search-replace/Aja wp search-replace".

Varmenteen käyttöönotto komentorivin avulla


HTTPS-muutokset voi tehdä myös käyttämällä komentoriviä ja wp-cli työkalua:

$ wp option get siteurl
http://esimerkki.fi
$ wp option get home
http://esimerkki.fi
$ wp option update siteurl https://esimerkki.fi
Success: Updated 'siteurl' option.
$ wp option update home https://esimerkki.fi
Success: Updated 'home' option.

Sivuston verkkotunnuksen määrittämisen lisäksi on hyvä ajaa komento wp search-replace 'http://esimerkki.fi/' 'https://esimerkki.fi/' --all-tables. Tällä komennolla ajat tietokantaan muutokset, että sivustolla käytetään vain HTTPS-alkuista osoitetta turvattoman HTTP:n sijaan.

Käyttöönotto network (multisite) ympäristössä

Network-sivustoilla (WP Multisite) HTTPS:n käyttöönotto eroaa hieman tavanomaisesta WordPress sivustosta.

  1. Mene kohtaan Minun sivustoni -> Verkon hallinta -> Sivustot.
  2. Avaa haluamasi multisiten alasivuston asetukset (esimerkki.fi/alasivusto)
  3. Mene välilehdelle ”Asetukset”
  4. Muuta kohtien ”Siteurl” ja ”Home” sisältö muotoon https://esimerkki.fi/alasivusto
  5. Nyt sivustollasi on käytössä HTTPS-suojaus.

Ongelmien selvitys

Toisinaan HTTPS:ään siirtymisessä voi olla ongelmia. Varsinkin jos vanhempi sivusto on siirretty käyttämään HTTPS-suojausta, on hyvin todennäköistä että joitakin elementtejä sivustolla haetaan oletuksena HTTP:n ylitse. Tämä näkyy selaimen antamina Mixed Content-varoituksina, joka tarkoittaa että osa sivustosta latautuu suojaamattoman HTTP:n ylitse. Tämä heikentää HTTPS-suojausta ja siksi Mixed Content-ongelmat onkin hyvä korjata mahdollisimman pian.

Ongelmia voi lähteä selvittämään tutkimalla selaimen konsolinäkymästä mitkä elementit aiheuttavat virheet.

Mikäli kuvan hakuosoitetta ei pysty käyttämään HTTPS:llä (tämän saa testattua vaihtamalla kuvan osoitteessa http:// -> https://), kannattaa kuva ladata oman sivuston mediakirjastoon. Näin kuva on saman suojauksen alla kuin itse sivustokin. Joskus myös teemaan itsessään on kovakoodattuna HTTP-muotoiset osoitteet ja tietokantamuutos ei riitä, vaan muutokset täytyy tehdä suoraan teeman koodiin. Esimerkiksi tällä komennolla voit etsiä HTTP-alkuisia osoitteita teemasta: grep -RF 'http://esimerkki.fi' /data/wordpress/htdocs/wp-content/themes/omateema

WordPress-teemaan liittyvissä HTTPS-ongelmissa kannattaa olla yhteydessä teeman tai sivuston kehittäjään. Myös WP-palvelun asiantuntijat auttavat tarvittaessa ongelmien korjaamisessa. Kysy lisää asiakaspalvelustamme help@seravo.com

Vastasiko tämä kysymykseesi? Kiitos palautteesta. Palautteen lähettämisessä oli ongelma. Yritä uudelleen myöhemmin.

Tarvitsetko apua? Yhteydenotto Yhteydenotto