Normaalisti lukijan ja palvelimen välinen liikenne ei ole suojattu. Monilla sivustoilla liikenteen suojaus ei ole mitenkään pakollista. Jos kuitenkin myyt esimerkiksi verkkosivuillasi jotakin tai otat vastaan lahjoituksia, tällöin haluat ehdottomasti käyttää SSL-suojausta salataksesi käyttäjän ja palvelimen välistä liikennettä. Tällä kertaa käymme läpi, miten SSL-suojauksen saa otettua käyttöön WordPress-sivustolla.

SSL-sertifikaatti

Suojausta varten tarvitsee hankkia SSL-sertifikaatti. Sertifikaatti asennetaan palvelimelle. Tämän jälkeen suojaus on käytettävissä sivustolla. Sertifikaati on maksullinen. Sertifikaatin voi hankkia muutamalla tavalla.

Helpoin tapa on ottaa yhteyttä hosting-tahoon. Yleensä hosting-yrityksen kotisivuilla on hinnasto, josta näkee kuinka paljon SSL-sertifikaatti maksaa vuosittain. Yleensä hinta on 20-200 euron välissä per vuosi. Tämän lisäksi asennus saattaa maksaa jotakin. Jos käytät webhotellia, luultavasti tällöin tämä on ainoa vaihtoehto hankkia toimiva SSL-sertifikaatti.

Jos käytössäsi on virtuaalipalvelin, tällöin sertifikaatin voi ostaa ja asentaa itse. Tällöin saattaa säästää hieman kuluissa, toisaalta asennuksen joutuu tekemään itse. Sertifikaatin voi ostaa itse esimerkiksi suoraan Namecheapista. Asennuksessa kannattaa noudattaa palvelusta löytyviä ohjeita.

Kun sertifikaatti on käytössä pystyt käyttämään suojattua yhteyttä lisäämällä verkkosivustosi osoitteen eteen https http:n sijaan.

salattu-yhteys

Sivuston asetukset

Suojaus toimii siis kun sertifikaatti on asennettu oikein, mutta muutama asia pitää ottaa vielä huomioon. Sivujen ei kannata antaa toimia sekä suojaamattomana että suojattuna. Jos sivustosi toimii molempien alla, tällöin hakukoneet näkevät sisällön kahtena, koska se löytyy useasta osoitteesta (esim. https://wpopas.fi ja https://wpopas.fi). Hakukonenäkyvyys saattaa siis kärsiä. Sivusto kannattaa laittaa toimimaan niin, että sisältö on aina joko suojaamattomana tai suojattuna. Jos käyttäjä yrittää mennä suojattuun sisältöön ja se on saatavilla vain suojaamattomana, tällöin käyttäjä pitäisi ohjata suojaamattomaan sisältöön.

Suosittelen, että sivusto toimii suurimmalta osin suojaamattomana, ja arkaluontoiset sivut suojauksen alla. Arkaluontoisilla sivuilla tarkoitan esimerkiksi ylläpitoa ja sivuja, joissa käyttäjät voivat antaa esimerkiksi maksamiseen liittyviä tietoja (verkkokaupassa esim. kassasivu).

Tämä saattaa kuulostaa monimutkaiselta, mutta on varsin yksinkertainen asia, kun ottaa käyttöön WordPress HTTPS -lisäosan. Lisäosan asennuksen ja aktivoinnin jälkeen ylläpitoon ilmestyy uusi HTTPS-osio. Tässä osiossa voi määrittää, miten sivut toimivat suojauksen kanssa.

Yleisissä asetuksissa suosittelen ruksaamaan Force SSL Administration ja Force SSL Exclusively vaihtoehdot.

https-asetukset

Force SSL Administration pakottaa salauksen käytön ylläpidossa. Kun kerran sertifikaatti löytyy, se kannattaa ottaa käyttöön ylläpidossa.

Force SSL Exclusively taas pakottaa sivut toimimaan oletuksena suojaamattomana. Jos siis jollekin sivulle yrittää mennä https://-alulla niin käyttäjä ohjataan vastaavaan osoitteeseen joka alkaa http://. Täten hakukonenäkyvyys säilyy yhdessä osoitteessa.

Entä sitten, jos haluaa suojata jonkin sivun? Tämä onnistuu yksinkertaisesti menemällä kyseisen sivun muokkaukseen ja laittamalla ruksin kohtaan Secure post. Myös kyseisen sivun kaikki alisivut voi suojata.

suojaa-sisalto

Tämän jälkeen kyseinen sivu toimii ainoastaan suojauksen alla. Jos yrität mennä osoitteeseen suojaamattomalla osoitteella (http), sinut ohjataan automaattisesti suojatulle sivulle (https).

HTTPS-asetusosiossa on myös URL Filters -osio. Tähän osioon voi määrittää monimutkaisempia sääntöjä sille, mitkä osoitteet pitäisi suojata. Jos verkkokauppa toimii esimerkiksi /kauppa/ polussa, tällöin kaupan alla toimivat sivut voi suojata kirjoittamalla laatikkoon /kauppa/. Kenttään voi syöttää säännöllisiä lausekkeita.

Suojaamaton sisältö

Joskus sivuilla saattaa olla suojaamatonta sisältöä, vaikka suojaus olisikin otettu päälle. Tämä johtuu monesti siitä, että teemaan tai johonkin lisäosaan on vaikkapa kovakoodattu tyylien (CSS) tai JavaScriptien osoitteet niin, että niissä on väkisin http://-alkuinen osoite. Tällöin esimerkiksi Google Chrome -selain näyttää, että SSL on käytössä, mutta sivulla on silti suojaamatonta sisältöä. Jos tällaista esiintyy, se kannattaa pyrkiä selvittämään ja korjaamaan.

ssl-ei-toimi-taysin-chrome

Kun suojaus toimii oikein, tällöin Chromella näkyy vihreän lukon kuva.

salaus-toimii-chrome

Kirjoittaja Timo Leiniö

Olen WP-oppaan perustaja ja päätoimittaja. Työskentelen päivittäin erilaisten verkkosovelluksiin liittyvien haasteiden parissa Sofokuksella. Vapaa-ajalla minut löytää todennäköisesti kalastamasta tai pelaamasta biljardia.

Keskustele ja kysy

  • Pekka Sipola sanoo:

    Terve, olisin kysynyt mitä tapahtuu käyttäjän (sivustolla vierailijan) kannalta jos poistaa SSL-sertifikaatin sivustolta silloin kun palvelin on hostingissa ja wp-sovellus sovellustoimittajalla?

    yst.terveisin
    Pekka

    • Timo Leiniö sanoo:

      Jos sivuston olemassaoleva SSL-sertifikaatti poistetaan ja käyttäjä yrittää mennä sivustolle https:// alkuisella osoitteella silloin hän saa ilmoituksen että sivusto ei ole enää turvallinen ja todennäköisesti ei sivustolle jatka tällaisen ilmoituksen jälkeen.

      Suosittelen jatkossakin käyttämään SSL-sertifikaattia sivustolla.

  • 3dolphin sanoo:

    Vaikuttaa ikivanhalta plugarilta. En suosittele ellet sitten halua lukita koko wordpress sivustoa.

    • Timo Leiniö sanoo:

      Kiitos palautteesta. Pitää paikkaansa. Artikkeli kaipaa päivitystä. Nykyään SSL-sertifikaatti löytyy jo yleensä oletuksena jokaiselta kunnon hosting-firmalta.

  • Iiris Kangas sanoo:

    Kuukausi meni, etten pystynyt päivittämään kahta nettisivustoa. Sitten sain Webhotellista uuden ohjeen: ”Kun lisäosan ”DesignThemes Core Features Plugin” ottaa tilapäisesti pois käytöstä, sivun päivitys onnistuu ongelmitta. Jos lisäosa on aktiivisena kun sivua yritetään päivittää, muutokset eivät tallennu”. Tein neuvon mukaan WordPressin puolella. Kun tarkistin, miten päivitys onnistui, järkytykseskseni näin, että sivut olivat kaatuneet. Nopeasti otin lisäosan uudestaan käyttöön.

    Tässä tilanteessa ilmoitin webhotelliin, että siirrän työn sivujen koodarille. En ollut edes varma, löytyykö häneltä aikaa työn vastaanottamiseen. Onneksi koodari alkoi selvittää tilannetta. Hän kirjoitti: ”Ongelma on hyvin yksiselitteinen: Our theme is not compatible with block editor ( WP 5.0.x ) , so you can use classic editor plugin .” WordPressin versio näytti olevan 5.0.3, joten nämä eivät toimi yksi yhteen”. Tunnissa hän sai molempien sivujen päivitykset toimimaan.

    Tähän webhotellista vastattiin:” Meidän täytyy korjata tältä osin ohjeistustamme, jotta sertifikaatin asennuksen yhteydessä huomioidaan WordPressin asennushakemisto”. Pyynnöstäni he luopuivat laskunsa lähettämisestä.

  • Iiris Kangas sanoo:

    Webhotelli asensi kahdelle nettisivustolle pari päivää sitten SSL-sertifikaatin. Testasin, miten päivitykset nyt sujuvat. Huomasin WordPressiin kirjautumisen jälkeen, että siellä oli tapahtunut vähän ikävältäkin tuntuvia muutoksia. Kun päivitettävä sivu on valittu ruudulle, sen näkymä on muuttunut aiemmasta huonompaan suuntaan. On suuri ero sillä miltä sivu näyttää WordPressissä ja miltä netin puolella.

    Nyt näkyy vain ja ainoastaan Päivitä-painike. Tein pari päivityskokeilua, päivitys ei näkynyt netissä.

    • Timo Leiniö sanoo:

      SSL-sertifikaatin asennuksen ei pitäisi vaikuttaa mitenkään hallintaan tai ulkoasuun. Onkohan sertifikaatin asennuksen yhteydessä WordPress-päivitetty esim. uusimpaan versioon? Kannattaa kysyä sertifikaatin asentajalta, ovatko tehneet jotain muuta asennuksen yhteydessä.

      WordPressistä tuli juuri uusi 5 versio, jonka mukana tulee uusi sisältöeditori, joka toimii varsin eri tavalla kuin ennen. Tuo muokkausnäkymän muuttuminen saattaisi viitata tuohon. Tulen lähiaikoina kirjoittamaan tuosta uudesta editorista juttua.

Lisää uusi kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *