Säkerställ WordPress med SSL

Säker WordPress med SSLAtt använda ett SSL-certifikat på sin webbplats, dvs. att ge besökare möjlighet att surfa via https:// istället för http://, är som bekant en väldigt bra sak. Med SSL är trafiken mellan en webbplats och dess besökare krypterad. Utan SSL skickas all data (t ex användaruppgifter) i klartext mellan webbplatsen och besökarna.

SSL är även något som, inom vissa ramar, ska ge bättre placeringar i sökmotorer såsom Google här framöver. Det är ingen kritisk faktor för SEO, som vi har berättat tidigare, men det är alltjämt en liten fördel.

Den enda nackdelen med SSL är att det kan vara lite svårt att få till. Det vill vi råda bot på, genom att visa hur man säkerställer en WordPress-sida med SSL. Så häng med och säkra upp din WordPress-sida nu!

Förutsättning: Ett SSL-certifikat

Börja med att ordna ett SSL-certifikat. Vi har en utmärkt guide till hur man gör det med webbhotell hos oss: FS Data manualer, Säkerställ en webbplats med SSL. Ett aktivt och fungerande SSL-certifikat är en förutsättning för att gå vidare med denna guide.

Konfigurera WordPress för SSL

Om du besöker din WordPress-baserade hemsida, på din https-adress, när SSL-certifikatet har installerats så kommer du bli rätt så förvånad. Hemsidan har nämligen helt tappat sina stilmallar (CSS) och varningar visas om ”osäkert innehåll”. Det är inget att bli orolig över.

Din WordPress-sida byter inte automatiskt till https när SSL-certifikatet är installerat. WordPress är konfigurerat för en (http) adress sedan tidigare, så dina besökare märker inte om/när SSL-certifikatet är installerat.

Det finns två huvudsakliga sätt att arbeta med SSL i WordPress:

Alternativ 1: säkerställ enbart inloggning/administrationspanel

Det här är det enklaste sättet. Fördelarna här är att användaruppgifterna hanteras via SSL (man loggar in säkert) och att man inte måste ändra sökvägar till filer/bilder. Detta kräver även mindre serverresurser (vilket kan ge en snabbare hemsida). Om man inte måste säkerställa hela webbplatsen med SSL så är detta sätt att föredra.

För att enbart säkerställa inloggning/administrationspanel, lägg in följande rad i wp-config.php:

define('FORCE_SSL_ADMIN', true);

Spara wp-config.php och ladda om hemsidan. Logga sedan in i /wp-admin så ser du att anslutningen är säker.

Alternativ 2: Säkerställ hela WordPress

Fördelen med detta sätt är givetvis att hela webbplatsen säkerställs med SSL. Oavsett om man är inloggad eller inte så surfar man via en krypterad anslutning. Nackdelarna är att det kräver mer serverresurser och att man måste ändra (rätt så många) sökvägar till filer/bilder.

Dessutom kan man t ex inte enkelt använda WordPress med ett CDN.

1. Rätta sökvägar till filer/bilder

Börja med att installera och aktivera WordPress-tillägget SSL Insecure Content Fixer. Detta tillägg skriver automatiskt om http till https för ett stort antal systemfiler i WordPress. Om ditt WordPress-tema är rätt utvecklat så kommer t ex stilmallarna att fungera under https med detta tillägg.

Därefter behöver sökvägarna till bilderna rättas. Det gör man enklast med ett tillägg som vi har tipsat om tidigare: Ett enkelt sätt att byta sökvägar i WordPress. Installera och aktivera tillägget samt byt sökväg från http://mindomän.se till https://mindomän.se (som exempel). Uppdatera sökvägarna för allt förutom GUIDs.

Om du har sökvägar hårdkodade t ex i ditt tema så behöver du även uppdatera dessa från http till https.

2. Skriv om allt från http:// till https://

Till sist är det dags att skriva om http till https i adressfältet på hela WordPress-webbplatsen. Om man kör vanliga WordPress (inte Multisite, med nätverksfunktionen) så är det bara att gå in i /wp-admin under ”Inställningar” > ”Allmänt” och ändra WordPressadress (URL) samt Webbplatsadress (URL) från http till https.

Om man däremot kör WordPress i ett nätverk så behöver man lägga in följande rader i .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Spara .htaccess-filen och ladda om hemsidan. Nu kommer hela WordPress att vara säkerställd via SSL. Dessutom skrivs tidigare adresser om rätt, så att du t ex inte tappar värdefulla positioner i sökmotorer. Denna omskrivning fungerar även med nätverksfunktionen (med subdomäner) i WordPress.

3. Kontrollera din webbplats med SSL

Om du säkerställer hela din webbplats med SSL, kontrollera då att alla sidor fungerar ordentligt efteråt. Om du ser att låset i adressfältet är trasigt på en sida så behöver du ta reda på vad det är som orsakar detta. Med webbläsaren Firefox kan man t ex göra det via ”Verktyg” > ”Webbutvecklare” > ”Webbkonsolen”.

Här är ett exempel:

http://www.onlinegroup.com/varumarken/

Den främsta orsaken till att SSL-sidor inte fungerar är att man bäddar in externa element (script/bilder) via http. För att en sida ska vara helt säker måste alla element levereras via https. Detta är vanligt om man använder WordPress-tillägg för social delning (via Twitter/Facebook) som gör externa anrop. För tips på ett tillägg som inte gör externa anrop, läs vårt tidigare inlägg ”Sluta spåra dina besökare (åt andra)”.

Avslutningsvis, ett par kommentarer:

– Det finns ett antal olika WordPress-tillägg som möjliggör SSL. Vi har testat flera av dem, bl a WordPress HTTPS (SSL), Force SSL och Verve SSL. Även om de fungerar i varierande utsträckning (med/utan WordPress nätverksfunktion) så är det bättre att aktivera SSL i WordPress utan tillägg.

– Det går även att säkra enbart inloggningen i WordPress (med flaggan FORCE_SSL_LOGIN, istället för FORCE_SSL_ADMIN, enligt det första alternativet ovan). Vi rekommenderar dock att man säkerställer både inloggning och administrationspanel.

Svårare än så här är det inte att få en säker WordPress-sida. Om du har några frågor kring detta, eller har tips på andra sätt att arbeta med SSL i WordPress, så får du gärna lämna en kommentar här nedan.

You Might Also Like