Normaalisti lukijan ja palvelimen välinen liikenne ei ole suojattu. Monilla sivustoilla liikenteen suojaus ei ole mitenkään pakollista. Jos kuitenkin myyt esimerkiksi verkkosivuillasi jotakin tai otat vastaan lahjoituksia, tällöin haluat ehdottomasti käyttää SSL-suojausta salataksesi käyttäjän ja palvelimen välistä liikennettä. Tällä kertaa käymme läpi, miten SSL-suojauksen saa otettua käyttöön WordPress-sivustolla.

SSL-sertifikaatti

Suojausta varten tarvitsee hankkia SSL-sertifikaatti. Sertifikaatti asennetaan palvelimelle. Tämän jälkeen suojaus on käytettävissä sivustolla. SSL-sertifikaati sisältyy nykyään pääosin, jokaiseen ajantasalla toimivaan webhotelliin ja WordPress webhotelliin. Joten tästä ei sinulle erillistä maksua todennäköisesti tule. Vastaavasti on todella outoa jos SSL-sertifikaatista itsessään maksua pyydetään tänä päivänä.

Helpoin tapa on ottaa yhteyttä hosting-tahoon ja pyytää heitä aktivoimaan SSL-sertifikaatin sivustollesi käyttöön.

Jos käytössäsi on virtuaalipalvelin, tällöin sertifikaatin voi ostaa ja asentaa itse. Tällöin saattaa säästää hieman kuluissa, toisaalta asennuksen joutuu tekemään itse. Sertifikaatin voi ostaa itse esimerkiksi suoraan Namecheapista. Asennuksessa kannattaa noudattaa palvelusta löytyviä ohjeita.

Kun sertifikaatti on käytössä pystyt käyttämään suojattua yhteyttä lisäämällä verkkosivustosi osoitteen eteen https http:n sijaan.

salattu-yhteys

Sivuston asetukset

Suojaus toimii siis kun sertifikaatti on asennettu oikein, mutta muutama asia pitää ottaa vielä huomioon. Sivujen ei kannata antaa toimia sekä suojaamattomana että suojattuna. Jos sivustosi toimii molempien alla, tällöin hakukoneet näkevät sisällön kahtena, koska se löytyy useasta osoitteesta (esim. https://wpopas.fi/ ja https://wpopas.fi/). Hakukonenäkyvyys saattaa siis kärsiä. Sivusto kannattaa laittaa toimimaan niin, että sisältö on aina joko suojaamattomana tai suojattuna. Jos käyttäjä yrittää mennä suojattuun sisältöön ja se on saatavilla vain suojaamattomana, tällöin käyttäjä pitäisi ohjata suojaamattomaan sisältöön.

Suosittelen, että sivusto toimii suurimmalta osin suojaamattomana, ja arkaluontoiset sivut suojauksen alla. Arkaluontoisilla sivuilla tarkoitan esimerkiksi ylläpitoa ja sivuja, joissa käyttäjät voivat antaa esimerkiksi maksamiseen liittyviä tietoja (verkkokaupassa esim. kassasivu).

Tämä saattaa kuulostaa monimutkaiselta, mutta on varsin yksinkertainen asia, kun ottaa käyttöön WordPress HTTPS -lisäosan. Lisäosan asennuksen ja aktivoinnin jälkeen ylläpitoon ilmestyy uusi HTTPS-osio. Tässä osiossa voi määrittää, miten sivut toimivat suojauksen kanssa.

Yleisissä asetuksissa suosittelen ruksaamaan Force SSL Administration ja Force SSL Exclusively vaihtoehdot.

https-asetukset

Force SSL Administration pakottaa salauksen käytön ylläpidossa. Kun kerran sertifikaatti löytyy, se kannattaa ottaa käyttöön ylläpidossa.

Force SSL Exclusively taas pakottaa sivut toimimaan oletuksena suojaamattomana. Jos siis jollekin sivulle yrittää mennä https://-alulla niin käyttäjä ohjataan vastaavaan osoitteeseen joka alkaa http://. Täten hakukonenäkyvyys säilyy yhdessä osoitteessa.

Entä sitten, jos haluaa suojata jonkin sivun? Tämä onnistuu yksinkertaisesti menemällä kyseisen sivun muokkaukseen ja laittamalla ruksin kohtaan Secure post. Myös kyseisen sivun kaikki alisivut voi suojata.

suojaa-sisalto

Tämän jälkeen kyseinen sivu toimii ainoastaan suojauksen alla. Jos yrität mennä osoitteeseen suojaamattomalla osoitteella (http), sinut ohjataan automaattisesti suojatulle sivulle (https).

HTTPS-asetusosiossa on myös URL Filters -osio. Tähän osioon voi määrittää monimutkaisempia sääntöjä sille, mitkä osoitteet pitäisi suojata. Jos verkkokauppa toimii esimerkiksi /kauppa/ polussa, tällöin kaupan alla toimivat sivut voi suojata kirjoittamalla laatikkoon /kauppa/. Kenttään voi syöttää säännöllisiä lausekkeita.

Suojaamaton sisältö

Joskus sivuilla saattaa olla suojaamatonta sisältöä, vaikka suojaus olisikin otettu päälle. Tämä johtuu monesti siitä, että teemaan tai johonkin lisäosaan on vaikkapa kovakoodattu tyylien (CSS) tai JavaScriptien osoitteet niin, että niissä on väkisin http://-alkuinen osoite. Tällöin esimerkiksi Google Chrome -selain näyttää, että SSL on käytössä, mutta sivulla on silti suojaamatonta sisältöä. Jos tällaista esiintyy, se kannattaa pyrkiä selvittämään ja korjaamaan.

ssl-ei-toimi-taysin-chrome

Kun suojaus toimii oikein, tällöin Chromella näkyy vihreän lukon kuva.

salaus-toimii-chrome

Kirjoittaja Niko Vittaniemi

Hei, Olen Niko Vittaniemi. Olen WP-oppaan ylläpitäjä, WPWoofin perustaja ja puuhamies täällä valoisassa nörttiluolassa Keminmaassa. Myyntivetoiset WordPress ja WooCommerce sivustot ovat lähellä sydäntäni Jos koet, että voin auttaa sinua, yhteystietoni löydät kotisivuiltani.

Keskustele ja kysy

  • Jarno sanoo:

    Hei , tämä postaus on jo kohtuullisen vanha mutta en löytänyt hyvää aiheeseen liittyvää artikkelia, josta voisin saada vastauksen kysymykseeni:
    minulla on live wordpress sivusto web hotellissa ja siinä on käytössä SLL varmennus ja sivusto toimii hyvin.

    Päätin asentaa omalle koneelle xampp :n ja wordpress testiympäristön ja kloonata live wordpressin siihen. siirvin wp-content ja wp.config.php sisällöt ja sain vastaava kokoonpanon näkymään paikallisen wordpressin dashboardissa. Kun yritän siirtyä esim. tuotteet kohtaan woocommercessa avaa sivuston jossa on maininta sivusto ei ole turvallinen jne (google crome). Käsittääkseni mitään sll varmenteita ei localhost:ssa tarvita?
    livesivustolla on käytössä ssl plugari really simple ssl. Saisinkohan paikallisen testisivuston toimimaan ilman SLL varmenteita?

  • Harri sanoo:

    Mistähän löytyy tuo ”Entä sitten, jos haluaa suojata jonkin sivun? Tämä onnistuu yksinkertaisesti menemällä kyseisen sivun muokkaukseen ja laittamalla ruksin kohtaan Secure post. …”. Tosin testaan teemaa vasta localhostissa. Sekin varmaan mutkistaa asioita? Serverillä oleva sivusto jolle minun pitäisi laitaa SSL päälle ei ole oma, joten en oikein uskalla tehdä siellä ”kokeiluja”. Serveriltä löytyy tarvittavat vermeet.
    Siis asensin plugin kuten olet neuvonut ja haluaisin nyt suojata testi-sivuston niin, että näkyy ”lukon kuva” .

    • Timo Leiniö sanoo:

      Tämä artikkeli alkaa olla hyvin vanha ja SSL-asiat ovat matkan varrella muuttuneet aika paljon.

      Lokaalissa ei SSL-sertifikaattia tarvitse käyttää, se vain monimutkaistaa asioita. Nykyisellään lähes jokainen kunnollinen webhotelli tarjoaa SSL-sertifikaatin suoraan sivustolle niin ettei artikkelissa mainittua lisäosaa tarvitse käyttää. Asiasta kannattaa kysyä oman webhotellin tuesta, miten sertifikaatin saa käyttöönsä

  • Pekka Sipola sanoo:

    Terve, olisin kysynyt mitä tapahtuu käyttäjän (sivustolla vierailijan) kannalta jos poistaa SSL-sertifikaatin sivustolta silloin kun palvelin on hostingissa ja wp-sovellus sovellustoimittajalla?

    yst.terveisin
    Pekka

    • Timo Leiniö sanoo:

      Jos sivuston olemassaoleva SSL-sertifikaatti poistetaan ja käyttäjä yrittää mennä sivustolle https:// alkuisella osoitteella silloin hän saa ilmoituksen että sivusto ei ole enää turvallinen ja todennäköisesti ei sivustolle jatka tällaisen ilmoituksen jälkeen.

      Suosittelen jatkossakin käyttämään SSL-sertifikaattia sivustolla.

  • 3dolphin sanoo:

    Vaikuttaa ikivanhalta plugarilta. En suosittele ellet sitten halua lukita koko wordpress sivustoa.

    • Timo Leiniö sanoo:

      Kiitos palautteesta. Pitää paikkaansa. Artikkeli kaipaa päivitystä. Nykyään SSL-sertifikaatti löytyy jo yleensä oletuksena jokaiselta kunnon hosting-firmalta.

  • Iiris Kangas sanoo:

    Kuukausi meni, etten pystynyt päivittämään kahta nettisivustoa. Sitten sain Webhotellista uuden ohjeen: ”Kun lisäosan ”DesignThemes Core Features Plugin” ottaa tilapäisesti pois käytöstä, sivun päivitys onnistuu ongelmitta. Jos lisäosa on aktiivisena kun sivua yritetään päivittää, muutokset eivät tallennu”. Tein neuvon mukaan WordPressin puolella. Kun tarkistin, miten päivitys onnistui, järkytykseskseni näin, että sivut olivat kaatuneet. Nopeasti otin lisäosan uudestaan käyttöön.

    Tässä tilanteessa ilmoitin webhotelliin, että siirrän työn sivujen koodarille. En ollut edes varma, löytyykö häneltä aikaa työn vastaanottamiseen. Onneksi koodari alkoi selvittää tilannetta. Hän kirjoitti: ”Ongelma on hyvin yksiselitteinen: Our theme is not compatible with block editor ( WP 5.0.x ) , so you can use classic editor plugin .” Wordpressin versio näytti olevan 5.0.3, joten nämä eivät toimi yksi yhteen”. Tunnissa hän sai molempien sivujen päivitykset toimimaan.

    Tähän webhotellista vastattiin:” Meidän täytyy korjata tältä osin ohjeistustamme, jotta sertifikaatin asennuksen yhteydessä huomioidaan WordPressin asennushakemisto”. Pyynnöstäni he luopuivat laskunsa lähettämisestä.

  • Iiris Kangas sanoo:

    Webhotelli asensi kahdelle nettisivustolle pari päivää sitten SSL-sertifikaatin. Testasin, miten päivitykset nyt sujuvat. Huomasin WordPressiin kirjautumisen jälkeen, että siellä oli tapahtunut vähän ikävältäkin tuntuvia muutoksia. Kun päivitettävä sivu on valittu ruudulle, sen näkymä on muuttunut aiemmasta huonompaan suuntaan. On suuri ero sillä miltä sivu näyttää WordPressissä ja miltä netin puolella.

    Nyt näkyy vain ja ainoastaan Päivitä-painike. Tein pari päivityskokeilua, päivitys ei näkynyt netissä.

    • Timo Leiniö sanoo:

      SSL-sertifikaatin asennuksen ei pitäisi vaikuttaa mitenkään hallintaan tai ulkoasuun. Onkohan sertifikaatin asennuksen yhteydessä WordPress-päivitetty esim. uusimpaan versioon? Kannattaa kysyä sertifikaatin asentajalta, ovatko tehneet jotain muuta asennuksen yhteydessä.

      WordPressistä tuli juuri uusi 5 versio, jonka mukana tulee uusi sisältöeditori, joka toimii varsin eri tavalla kuin ennen. Tuo muokkausnäkymän muuttuminen saattaisi viitata tuohon. Tulen lähiaikoina kirjoittamaan tuosta uudesta editorista juttua.

Lisää uusi kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *