Nem érdemes halogatni a https átállást. Az internetes világ is kitermelte a maga visszaéléseit, ezért központi téma lett az adatbiztonság. Szerencsére a technológia lépést tud tartani a hackerekkel, azonban ha biztonságban akarod tudni az adataidat, akkor neked is lépést kell tartanod a technológiával.
A villanykörte óta rengeteg olyan találmány és tudományos felfedezés született, amit nem feltétlenül kell megérteni ahhoz, hogy használni tudjuk a mindennapokban. A titkosító algoritmusok és internetes biztonsági technológiák is ezek közé tartoznak. Ma már elengedhetetlen követelmény, hogy a honlap biztonságos https kapcsolaton keresztül kommunikáljon, ezért összegyűjtöttünk minden olyan információt, ami az átálláshoz szükséges.
„A számítógépes biztonság csak illúzió. Ha valamit tényleg titokban akarsz tartani, akkor tartsd észben, és ne vidd fel a számítógépedre.”
Chris Hemsworth ausztrál színész
Kezdjük az alapokkal – mi az SSL, és https kommunikáció?
Az SSL egy mozaikszó (Secure Socket Layer). Az SSL két számítógép közötti biztonságos kapcsolat létrehozására szolgál, úgy, hogy a köztük áramló adat egy algoritmus segítségével titkosításra kerül. Tehát kényes információk átvitelekor segít kizárni az adatszivárgás lehetőségét. A https segítségével történő adatátvitel biztonságát a TLS (Transport Layer Security protokoll) biztosítja.
Miért olyan fontos téma manapság az adatvédelem?
Mert ma az adat és az információ birtoklása az egyik legnagyobb hatalom. Nagyvállalatoktól kezdve, otthon ülő feketekalapos hackerekig rengetegen pályáznak az adatainkra. Van, aki a bankszámlánk belépési adatait szeretné megtudni, de van olyan is, aki pusztán a netes viselkedésünk elemzéséből szeretne versenyelőnyhöz jutni. A bankkártyája adatait nyilván senki nem szeretné senkinek kiadni, de a többire sokan csak legyintenek, „Ugyan, én nem titkolok semmit!”. Igen, a legtöbbünk valóban nem titkol semmit, mégsem tartozik senkire, hogy miről olvasunk, vagy kivel társalgunk a világhálón.
Miért ne böngésszünk olyan oldalakon, ahol nincs SSL tanúsítvány, és nem https-en keresztül kommunikálnak?
Ha a forgalom http-n keresztül zajlik egy adott weboldalon, akkor illetéktelenek is megnézhetik, mit csinálunk illetve milyen adatokat adunk meg az interneten. Tudni fogják milyen blogbejegyzéseket olvastunk, milyen oldalakon jártunk, ha pedig adatainkat is megadtuk valahol, akkor az sem marad rejtve a kíváncsiskodó szemek elől. Az SSL tanúsítvány és a https kapcsolat használata nagyban megnehezíti azt, hogy olyanok szerezzék meg jogosulatlanul az adatainkat, akikre ezek nem tartoznak.
Weboldal tulajdonosként milyen előnyöm származik az SSL-ből és a https átállásból?
Weboldal tulajdonosként már nem feltétlenül az adatvédelmi szempontok vezérelnek minket az SSL-re való áttéréshez. Egyrészt bankkártyás fizetést működtető felületeken már kötelező a használata, másrészt SEO szempontból a Google pozitívan értékeli az SSL alkalmazását, így versenyelőnyt jelenthet a konkurenciával szemben. Az sem utolsó szempont, hogy a növeli a felhasználók bizalmát az oldallal szemben.
Mi az az SSL tanúsítvány?
A https technológiát a Netscape fejlesztette ki 1994-ben (Az első hivatalos verzió 1995-ben látott napvilágot, míg a véglegesített változat 1996-ban debütált a nagyközönség előtt). A https alapja a kétkulcsos titkosítás. Ez nagyjából annyit jelent, hogy a titkosítandó üzenetet az egyik kulcs segítségével rejtjelezzük, amit csak és kizárólag ennek a kulcsnak a másik felével lehet dekódolni. A kulcspár egyik fele nyilvános, a másik pedig titkos. A titkosítás mindig a nyilvános kulcspár segítségével történik. Ha egy ilyen titkos kulccsal titkosítunk, akkor az így titkosított üzenetet csak a másik kulcspárral rendelkező fogja tudni dekódolni. Viszont ilyen kulcspárok létrehozására bárki képes, így a teljes biztonsághoz szükséges még a tanúsítvány is. A tanúsítvány igazolja, hogy a webszerver nyilvános kulcsa hiteles. Tehát az SSL tanúsítóhelynek igazán fontos szerepe van ebben a folyamatban.
Összefoglalva tehát, a kényes adat az információáramlás elindulása előtt titkosításon megy át, és úgy érkezik meg a célszerverhez. A célszerver (és senki más) a titkos kulcs másik felével képes az érzékeny adat dekódolására, és a két végpont között az adatlopás kivitelezhetetlen.
Mikor kell alkalmazni az SSL tanúsítványt?
Ha a weboldalad bizalmas adatokat kezel, vagy online fizetést tesz lehetővé, akkor mindenképpen használnod kell valamilyen SSL tanúsítványt.
Ilyenek például:
„De az én oldalam nem kezel bizalmas adatokat, csak egy sima blogom/bemutatkozó oldalam van. Akkor is váltsak https-re?
Igen! És ennek több oka is van. 2018. júliusa óta a Chrome böngésző jól látható figyelmeztetéssel „nem biztonságosnak” jelöli azokat az oldalakat, amelyek nem alkalmazzák a HTTPS protokollt. Bár ez egy kicsit megtévesztő, mert egy egyszerű statikus oldal semmiképpen nem olyan veszélyes https nélkül, mint amilyennek így látszik, mégis sikeresen elriasztja a látogatókat. Manapság, amikor a weboldal tulajdonosok akár havi több százezres büdzsét is áldoznak marketingre és keresőoptimalizálásra, és szinte minden valamire való weboldal mögött egy komoly marketing gépezet működik, nem szabad, hogy ilyen értelmetlen okból veszítsünk el látogatókat. Tehát már ez is bőven elég indok arra, hogy SSL tanúsítványa legyen a weboldalunknak.
Ráadásul az SSL SEO erővel bír, de ez nem azt jelenti, hogy az átállás után hirtelen hatalmasat ugorhatsz előre a találati listában, az SSL nem varázsital. Sőt rövidtávon általában visszaesést lehet tapasztalni az átirányítások miatt, ami egy-két hónap alatt rendeződik, ha a folyamatot jól hajtják végre.
A legfontosabb SEO tényezők mind a mai napig
- a minőségi tartalom,
- a weboldal ismertsége (pl. linkeltség, látogatottság) és hitelessége,
- a gondosan beállított technikai háttér (indexelhető, átjárható),
- és a felhasználói élmény.
Mivel a Google elkötelezett híve az adatvédelemnek, így pozitívan értékeli azokat a weboldalakat, ahol ezeket a beállításokat elvégezték. Tehát ha két domain minden szempontból azonos, csak az SSL tanúsítvány használata a különbség köztük, akkor a Google a https-t alkalmazó verziót fogja előre sorolni a http-t használó verzióval szemben. A Google, a Facebook és számos hasonló nagyvállalat is célul tűzte ki a „Https Mindenhol” elérését, mert egyik törekvésük – a web felgyorsítása (http/2) – csak az SSL titkosítás mellett valósítható meg. Ezért hosszú távon számítani lehet arra, hogy jelentős fekete pont jár a http-n keresztül kommunikáló honlapoknak.
Így ismered fel, ha egy oldal SSL tanúsítványt használ
Az első jel, hogy az oldal URL-je nem http hanem https előtaggal kezdődik. A Chrome-ban korábban egy zöld lakat is jelölte a felső sávban az érvényes SSL tanúsítvánnyal rendelkező oldalakat, de ez ma már nincs így (csak egy átmeneti időszakban volt érvényes), pusztán egy sima szürke lakatot látunk. De a Firefox például még mindig kitart a zöld lakat használata mellett.
Ha nem elégszünk meg ennyivel, hanem többet szeretnénk tudni az adott oldal SSL tanúsítványáról, akkor az URL előtt látható lakatra bal egérgombbal klikkelve juthatunk további információhoz a tanúsítványról.
Az oldal SSL-t használ, tehát teljesen biztonságos. Vagy mégsem?
Nem, nem és nem! Attól még, hogy egy oldalon meggyőződtünk arról, hogy SSL tanúsítványt használ, az semmiképpen sem jelenti azt, hogy 100%-ig, és minden tekintetben biztonságos a használata.
Ezek a figyelmeztető jelek visszaélésekre utalhatnak, és az SSL tanúsítvány ellenére óvatosnak kell maradni.
- Egy egyszerű SSL tanúsítvány megszerzésére bármelyik csalás céljával létrehozott webáruház/weboldal is jogosult (hiszen csak annyit kell tudni bizonyítania, hogy az adott domain a tulajdonában van, de erről majd részletesen lesz még szó a cikkben)! Így lehetséges, hogy például egy, az eredetire megtévesztésig hasonlító (pl. ‘https://valodiwebaruhaz.hu’ helyett ‘https://valodwebaruhaz.hu’ webáruházban vásárolunk, aminek érvényes SSL tanúsítványa is van.)
- Az SSL tanúsítvány nem rendelkezik a weboldalon belül történő adatkezelésről, így ha ott szabálytalanul vagy hanyagul kezelik az adatainkat, előfordulhat, hogy jogosulatlanok jutnak hozzá. Az SSL csak az adatok kliens és szerver közötti titkosítását hivatott biztosítani, arra nincs hatása, hogy a két végponton pontosan mi történik az adatokkal, csak arra, hogy mi történik a két végpont között.
- A harmadik olyan helyzet, amikor óvatosnak kell lennünk, az az, hogy vannak olyan webhelyek is, amelyek csak 1-1 oldalt visznek át https-re (pl. a bejelentkezési vagy a fizetési oldalukat). Ilyenkor a bejelentkezésnél elhelyezett cookiekat – mi felhasználók – tovább visszük a következő, már https nélkül futó oldalakra, ahol újra mások által könnyedén megszerezhetők lesznek az adataink, és a jelszavaink. Így sajnos erre a lehetőségre is figyelni kell.
Az SSL tanúsítványok típusai (kétféle szempontrendszer szerint csoportosítva)
Az SSL tanúsítványok típusai a hitelesítés mértékét tekintve
Egyáltalán nem mindegy, hogy mit is hitelesít az a bizonyos tanúsítvány. Domaint hitelesítő tanúsítványt bárki szerezhet, a magasabb szintű tanúsítványok megszerzéséhez viszont már egészen komoly feltételek kötődnek.
A hitelesítés mértéke szerint 3 féle tanúsítványt különböztetünk meg:
- Domaint hitelesítő tanúsítványok
- Céget vagy szervezetet hitelesítő tanúsítványok
- Kiterjesztett SSL hitelesítést adó tanúsítványok
Domaint hitelesítő tanúsítvány
Ez a hitelesítés legalacsonyabb szintje, amellyel összesen annyit igazolunk, hogy a domain, amit használunk, és amire a hitelesítést kérjük, a tulajdonunkban van. Arról viszont ebben az esetben nincs semmilyen információ, hogy az, aki az oldalon hirdeti magát, valóban az-e, akinek látszani akar, vagy akár legálisan végzi-e a tevékenységét. Tehát megeshet, hogy bármelyik kamu-hírportálnak, kétes termékeket áruló webáruháznak, vagy szakképzettséggel nem rendelkező szolgáltatónak is lehet ilyen tanúsítványa. Senki nem ellenőriz annál többet, minthogy az adott domain valóban a kérelmező tulajdonában van-e. Ilyen tanúsítványt lehet használni ingyenesen (pl.: Let’s Encrypt https://letsencrypt.org/getting-started/), és ilyen tanúsítványt biztosítanak díjmentesen a jobb tárhelyszolgáltatók is.
A Let’s Encrypt tanúsítványt az Internet Security Research Group (ISRG) nevű nonprofit szervezet hozta létre azzal a céllal, hogy mindenki számára elérhetővé tegyék az SSL tanúsítvány megszerzését. Attól még, hogy ingyenes, ez a tanúsítvány (a maga hitelesítési szintjén) teljesen megbízható, és ráadásul automatikusan megújul.
Kiknek ajánlott: Személyes blogoknak, vagy kisvállalatok weboldalainak.
Céget hitelesítő SSL tanúsítvány
Ennél a hitelesítési szintnél már nem csak a domain tulajdonjogát igazoljuk, hanem azt hozzá is rendeljük egy adott céghez vagy szervezethez. Igazolni kell hozzá, hogy a cég legálisan elszámolható üzletet bonyolít le a weboldalon. Ezek a tanúsítványok azért már érezhetően többe kerülnek, de a magasabb hitelesítési szint miatt elgondolkodtató lehet befektetni a használatukba.
Kiknek ajánlott: Feltörekvő kisvállalatok, vagy már nagyobb vállalatok weboldalaihoz.
Kiterjesztett SSL hitelesítés
Ez a legmagasabb szintű hitelesítési forma, amelyet tényleg csak nagyon kivételes esetekben szükséges használni (pl. pénzintézetek, netbankok, gigavállalatok oldalai). Ezt az SSL tanúsítványt onnan is fel lehet ismerni, hogy itt már a szervezet neve is kikerül a címsorba a lakat mellé.
Kiknek ajánlott: Pénzintézeteknek, netbankoknak és multinacionális cégeknek.
Az SSL tanúsítványok csoportosítása a szolgáltatások alapján
A szolgáltatási kör alapján is háromféle tanúsítványt különböztetünk meg. Lehet csak egy domainre kérni, vagy akár egy egész domain-hálózatra.
1. Single Domain tanúsítványok
Csak egyetlen domainhez tartoznak, az (esetlegesen) alatta lévő aldomainekhez nem adnak hitelesítést.
2. Wildcard tanúsítványok
A domaint és annak aldomainjeit is https-sel működtetik, így jól jöhet azoknak a cégeknek, ahol több aldomaint is használnak a fő domainjükön felül.
3. Multi-Domain tanúsítványok
Több domaint és azok aldomainjait is magukba fedik, ami egyszerre legfeljebb 100 (fő)domainre lehet érvényes.
SSL tanúsítványt akarok! De mégis, hogyan álljak neki?
Tehát eldöntötted, hogy szeretnél SSL tanúsítványt alkalmazni a webldaladon, amihez gratulálok. Viszont a helyzet nem annyira egyszerű, számos döntés áll még előtted, mert el kell határoznod magad valamelyik tanúsítvány mellett, sőt, azt is ki kell találnod, hogy milyen módon üzemeled be a weboldaladon.
Mi legyen az első lépés? Az SSL tanúsítvány kiválasztása
Megkérdezheted a tárhelyszolgáltatódat is, hogy ők milyen tanúsítványokat tudnak neked beállítani és megteheted, hogy elfogadod az általuk felajánlottat. A második opció, hogy te keresel egy neked megfelelő tanúsítványt és azt beüzemeled magadnak a tárhelyen.
Mindegy melyik úton indulsz, egy dolog közös lesz. A tanúsítvány birtokában a weboldal átállását htttp-ről https-re neked kell megoldanod. Azt a tárhelyszolgáltató biztosan nem fogja elvégezni helyetted!
WordPress weboldal átállítása HTTPS/SSL használatára
Ha sikerült eldönteni, hogy melyik tanúsítványt a legcélszerűbb használni a weboldaladon, akkor a megvásárlása után azt be kell állítani a szerveroldalon és a weboldalon egyaránt. Ha WordPress weboldalad van, akkor ez alapján a leírás alapján neki tudsz vágni ennek a folyamatnak.
Állítsd be a tanúsítványt a szerveroldalon
Ehhez kérheted a tárhelyszolgáltatód segítségét (pl. ha rajtuk keresztül vásárolod), de te magad is beállíthatod a cPanel felületen keresztül.
Ha neked kell beállítanod, akkor a következő a teendőd:
- Lépj be a cPanel felületre és keresd meg a Biztonság menüpontot, azon belül pedig kattints az SSL/TSL ikonra.
- Erre a felületre töltsd fel a tanúsítvány kiállítójától megkapott KEY és CRT (cerificiate) fájlokat.
- Az SSL Webhelyek kezelésénél ki kell választanod a megfelelő tartományt (domain név) és az Automatikus kitöltésre kell kattintani.
Állítsuk Át a Weboldalt https-re
Ha sikeresen beállítottad, vagy beállították neked a tanúsítványt a szerver oldalon, akkor nézd meg mit látsz a böngészőben, ha most megpróbálod https:// előtaggal elérni az oldalad.
Előfordulhat, hogy már most zöld lakatot látsz. Ha igen, akkor ez nagyon jó hír. Akkor már csak annyi a dolgod, hogy arra utasítsd a böngésződet, hogy mindig a https verziót használja (mert most jelenleg olyan mintha két oldalad lenne, egy http-vel és egy https-sel kezdődő). Ennek úgy láss neki, hogy a WordPress Admin felületen a Beállítások/Általános fül alatt írd át a http előtagot https-re, majd ezután mentsd el a módosításokat. Miután ez megtörtént, az admin felület ki fog léptetni. Semmi gond, ez így normális. Jelentkezz be újra és folytasd a munkát.
Ezzel sikeresen beállítottad, hogy amikor el akarod érni a weboldalad, akkor akár http-vel akár https-sel írod be a nevét, a https-t használó változat fog megjelenni. De ez jelenleg csak a főoldalra igaz! Ugyanígy gondoskodnunk kell a többi oldalról is. Innen viszont két ösvény vezet tovább! Elvégezheted az átállást plugin(ok) segítségével, vagy azok nélkül is. Dönts a tudásszinted alapján, hogy melyik utat választod.
Https-re való átállás folytatása kezdőknek – Használj plugint
A) Really Simple SSL
Ha úgy döntöttél, hogy bővítmények használatával fogod elvégezni az átállást, akkor töltsd le és aktiváld a Really Simple SSL plugint. Ezután a Beállítások/SSL fülön a bővítmény mindent elintéz majd helyetted.
- Ellenőrzi az SSL tanúsítvány meglétét
- Beállítja, hogy a WordPress HTTPS-t használjon az URL-ekben
- Beállítja az átirányításokat http-ről HTTPS-re
- Megnézi, hogy vannak-e még http-t használó tartalmak a weboldaladon és figyelmeztet rájuk
Ha véget ért a folyamat és sikeresen átálltál az SSL használatára, a plugint akkor is meg kell tartanod az oldaladon, bekapcsolt állapotban, különben az úgynevezett „vegyes tartalmak” által okozott hibák újra előjönnek (amit ez a plugin szerencsésen megoldott helyetted elvileg). Amennyiben ez a hiba fennáll, akkor a felhasználóid a weboldal megnyitásakor erről értesítést fognak kapni a böngésződtől! Lehetséges, hogy ez a bővítmény elintézett mindent helyetted, de ha még mindig nem látod minden oldalon a zöld lakatot, akkor (még legalább egy) további bővítményre is szükség lesz!
B) Better Search Replace
Telepítsd a Better Search Replace nevű bővítményt. Nagyon fontos, hogy a használata előtt készíts egy teljes biztonsági mentést az oldalról. A bővítmény bekapcsolása utáni teendők:
- a Search for mezőbe írd be, hogy http://, a Replace with mezőbe pedig, hogy https://.
- ki kell választanod az összes táblát az adatbázisból (amennyiben mindegyik erre az oldalra vonatkozik),
- szedd ki a pipát a Run as dry run mellől,
- nyomd meg a Run Search/Replace gombot, amivel beindítod a folyamatot.
A plugin máris munkához lát! Kicseréli a http-vel kezdődő URL-eket HTTPS-sel kezdődőekre az adatbázisban, ami a weboldal méretétől függően eltarthat egy ideig. Remélhetőleg most már minden a legnagyobb rendben van a weboldaladon és minden oldaladat biztonságosként jelöli meg az összes böngésző! Amennyiben mégsem, akkor olvasd el a cikk végén található összefoglalót, az esetlegesen felmerülő hibákról és megoldásaikról.
A https-re való átállás folytatása haladóknak
Ha egy kicsit bátrabb vagy és már, és ismered a WordPress fájljait, illetve azt is tudod, hogyan kell bennük 1-2 dolgot átírni, akkor ez a megoldás lesz a neked való!
301-es átirányítás https-re
Tehát ott tartottunk, hogy a WordPress admin felületen belül utasítottuk a böngészőket arra, hogy mindig a https-t használó verziót nyissák meg, de ez jelenleg csak a főoldalon érvényes! Most az következik, hogy az összes meglévő oldalunknál megadjunk egy átirányítást a https-t használó oldalakra. A Google nem büntet konkrétan azért, ha mindkét verzió tovább él és működik, de ez valószínűleg nagyban felhígítja az oldalra mutató linkeket, ezáltal SEO szempontból hátrányt jelenthet. Ráadásul a keresőrobot feltérképezési erőforrásait is feleslegesen terheli, így senkinek nem szerencsés megoldás, ha nem történik meg az átirányítás. Ehhez a következő kódot kell hozzáadnod a weboldald fájljai között található .htaccess fájlhoz:
<ifmodule mod_rewrite.c="">
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</ifmodule>Előfordulhat, hogy az oldalad Nginx (tehát nem Apache) kiszolgálót használ (ez nem jellemző), de ilyen esetben ezt a kódot add hozzá .htaccess fájlhoz:
server {
listen 80;
server_name example.com www.example.com;
return 301 https://teweboldalad.hu$request_uri;
}Természetesen a példában szereplő teweboldalad.hu szöveget cseréld ki a saját weboldalad címére.
Részleges átirányítás
Bizonyos esetekben előfordulhat, hogy a webszerver erőforrásainak védelme érdekében, csak bizonyos kiemelt oldalak állnak át a https használatára (pl. ahol a bizalmas adatok megadása történik). Ilyenkor a canonical meta tag használatával tudjuk megadni a keresőmotoroknak a preferált változatát az oldalnak, és kerülhetjük el a duplikációt a Google felé. A https-en keresztüli kommunikáció lassíthatja az oldalak betöltését, ezért a felhasználók kényelmét is szolgálhatja, hogy csak indokolt esetben, mondjuk a webshopban történő megrendelési folyamathoz kapcsolódóan térünk át a https kommunikációra.
<link rel="canonical" href="http://kreativwebdesigntanfolyam.hu/"> helyett ez szerepeljen a http://kreativwebdesigntanfolyam.hu/ oldalon:
<link rel="canonical" href="https://kreativwebdesigntanfolyam.hu/"> Attól még, hogy ez egy kivitelezhető megoldás, nem bíztatnék senkit az alkalmazására, mert hosszú távon az az iparági törekvés, hogy az átállás teljes legyen.
Admin felület elérése https alatt
Ahhoz, hogy a WordPress adminisztrációs felületét is HTTPS-en keresztül érhesd el, a következő sort kell hozzáadni, a wp-config.php fájlhoz. Mivel azonban eleve csak egy szigorú jogosultsági rendszeren keresztül érhetőek el az admin oldalak, ezt a lépést sokan kihagyják, hogy ne lassuljon az oldalbetöltés az oldal karbantartása során.
define('FORCE_SSL_ADMIN',true);Relatív URL-ek beálltása
Az oldaladon szereplő http-t használó URL-eket cseréld le relatív hivatkozásokra.
Példa:
<script src="http://kreativwebdesigntanfolyam.hu/script.js"> </script>helyett ez szerepeljen
<script src="/kreativwebdesigntanfolyam.hu/script.js"> </script>Ugyanígy kell eljárni a belső hivatkozások esetében is:
<a href="http://kreativwebdesigntanfolyam.hu/">LINK</a> helyett a következő két módszer valamelyikén legyen megadva
<a href="https://kreativwebdesigntanfolyam.hu/"> </a>
<a href="//kreativwebdesigntanfolyam.hu/"> </a>Milyen hibák fordulhatnak elő a https átálláskor?
Ami szinte mindig megesik, az a „vegyes tartalom” hiba
Amennyiben maradtak még képek, scriptek és a stílislapok amik még mindig a http-t használó verzión keresztül érhetők el, akkor áll fel ez az úgynevezett „vegyes tartalom” (mixed content) hiba. Meg kell keresned az adatbázisodban, az összes olyan URL-t, ami http-vel kezdődik és ki kell cseréned a https-sel kezdődő változatra. Hogy milyen elemek érintettek, azt a következő módon tudod ellenőrizni.
Chrome-ban nyomj egy jobb klikket az oldalon és kattints a vizsgálat menüpontra, azon belül pedig a Networkpanel felületre. Itt fel lesznek sorolva az oldalon érintett elemel. Firefox esetén az „elem vizsgálata” menüpontot kell kiválasztanod a jobb egérklikk után. Néha maga sablon is okozhat ilyen problémát. Ilyenkor szintén a jobb gomb/ vizsgálat menüpont alatt kell kikeresni, hogy hol rejlik a hiba és utána ezeket a sorokat meg kell keresni, és a sablonfájlokon belül és módosítani. Pluginok is okozhatnak hasonló problémát. Ilyenkor a bővítmény fejlesztőjével kell felvenni a kapcsolatot, hogy ő módosítsa a bővítmény fájljait a megfelelő működés érdekében.
https oldalak blokkolása a robots.txt fájlban
Természetesen a Google csak akkor tudja feltérképezni az (új) https-sel működő oldalakat, ha el is éri őket. Gyakran megesik, hogy a https oldalak blokkolva vannak a robots.txt fájlban, ilyenkor fel kell oldani ezeket. A hiba elkerüléséhez ellenőrizd, hogy létezik-e külön https specifikus robots.txt fájl. Ha igen, akkor nézd meg, hogy benne van-e a következő kódsor:
User-agent: *
Disallow: /Ez megtiltja a keresőrobotoknak, hogy hozzáférjenek a https URL-ekhez, ezért ezt fel kell oldani. Ellenőrizni kell még a https oldalak metacímkéit, hogy nehogy szerepeljen bennük a „noindex” meta tag. Ilyen sorokat kell keresni:
<meta name="robot" content="noindex">
<meta name="googlebot">Még egy utolsó helyet, a http fejlécet is ellenőrizzük, hogy megbizonyosodjunk arról, hogy nem szerepel benne a noindex tag.
x-Robots-Tag: noindexA Google Search Console-ban alkalmazzuk az URL ellenőrző eszközt – korábban „megtekintés Googleként” – amellyel meggyőződhetünk arról, hogy a keresőrobot hozzáfér az oldalhoz.
NET::ERR_CERT_INVALID hiba
Ezzel a hibával akkor találkozhatunk, ha szeretnénk megnyitni az oldalunkat, de az nem nyílik meg, hanem ez a hibaüzenet fogad. Ilyenkor az adott böngésző, nem fogadta el a webhely tanúsítványát.
Ilyen okok vezethetnek ehhez a hibához:
- Lehetséges, hogy nem ehhez a domainhez vagy aldomainhez tartozik a tanúsítvány.
- Lehetséges, hogy lejárt a webhely tanúsítványa.
- Lehetséges, hogy a böngésző nem ismeri (f)el a tanúsítóhelyet.
Megoldási lehetőségek:
- Próbáld meg újra feltelepíteni a tanúsítvány, ha pedig nem te végezted a telepítést, akkor jelezni a problémát a tárhelyszolgáltatónak.
- Győződj meg arról, hogy a tanúsítvány nem járt-e le.
- Győződj meg arról, hogy megbízható helyről vásároltad a tanúsítványt.
Túl sok átirányítás hiba
A korábban bemutatott kódsor,
define('FORCE_SSL_ADMIN', true);ami az admin felület https-re való átállásáért felel, néha „túl sok átirányítás” hibát okoz.
A hiba megoldásához a következő kódsort kell hozzáadni a wp-config.php fájhoz,
define('FORCE_SSL_ADMIN', true);
// in some setups HTTP_X_FORWARDED_PROTO might contain
// a comma-separated list e.g. http,https
// so check for https existence
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)
$_SERVER['HTTPS']='on';közvetlenül a következő rész előtt:
‘That’s all, stop editing! Happy blogging.’.Milyen teendőid vannak még az SSL-re való átállással kapcsolatban?
Értesítsd a Google Search Console-t az átállásról
Hátrányosan érintheti a weboldaladat SEO szempontból, ha a https-re való átállásról nem szerez tudomást a Google Search Console. Ilyenkor új tulajdonként hozzá kell adnod a HTTPS-sel kezdődő változatot, és igazolnod kell majd a tulajdonjogadat az oldalhoz.
Ha igazoltad, innentől látni fogod a Google Search Console igazán hasznos elemzéseit és statisztikáit. Fontos, hogy mind a két változat (http és HTTPS is hozzá legyen adva a felülethez, a www-t használó verzióval és anélkül is), mert a Google számára így lesz világos, hogy te a https változatot tekinted az elsődlegesnek.
Tehát 4 verziód lesz:
- https://kreativwebdesigntanfolyam.hu
- http://kreativwebdesigntanfolyam.hu
- https://www.kreativwebdesigntanfolyam.hu
- http://www.kreativwebdesigntanfolyam.hu
Ha további aloldalakkal rendelkezel, akkor azokból is egyenként két változatot kell felvenni:
- https://onlinetanfolyam.kreativwebdesigntanfolyam.hu
- http:// onlinetanfolyam.kreativwebdesigntanfolyam.hu
Frissítsd az oldaltérképet
Előfordulhat, hogy a sitemap.xml-ben http URL-ek találhatóak, ezért frissítsd az oldaltérképet, de az átállás után 30 napig ne módosítsd a régit, hogy a keresőmotork fel tudják dolgozni a változásokat.
Állítsd át a Google Analytics-et is
Az alapértelmezett URL részt kell átírnod http-ről https-re. Ehhez a fiókodba belépve kattints a bal alsó sarokban a fogaskerékre. Most megjelenik három oszlop. A középső oszlopban a Property Settingsre kattintva fogod meglátni a képen látható képernyőt, és a pirossal bekeretezett részt kell módosítanod.
Hány helyen kellhet még módosítást végezni?
- Menj végig a közösségi média felületeiden (Facebook, Intstagram, Pinterest, LinkedIn stb.) és javítsd ki a megadott URL-eket az új, https-sel kezdődőekre.
- Nézd meg az általad kiadott dokumentumokat, hol használod a régi linket (ebookok, árajánlatok stb.).
- Ha van email aláírásod, azt se felejtsd el módosítani.
- ÁSZF-edben és Adatvédelmi nyilatkozatodban is módosítsd a meglévő linkeket.
- stb., stb., stb..
Legyen külön projekt a https átállás
Mivel elég nehéz a https átállással kapcsolatos hibákat megtalálni, és nagyon fontos a gyors kiküszöbölésük, érdemes minden más fejlesztéstől elkülönítve kezelni az átállást. Ne legyen egyszerre webdesignt érintő, vagy az url-ekkel kapcsolatos változtatás, mert nem lehet majd a találati listában bekövetkező következmények okát megállapítani. Érdemes olyan időszakra tenni a folyamatot, amikor viszonylag kisebb a forgalom, mert holtszezonban szinte észrevehetetlen marad, ha a SEO eredmények picit ideiglenesen meggyengülnek. Érdemes egy forgatókönyvet készíteni, és a lépéseket kinyomtatva folyamatosan követni, hol tart a folyamat.
Ezzel mindent megtettem a biztonságos WordPress üzemeltetésért?
Sajnos nem. Nagyon fontos a http átállás, de ezen kívül érdemes az itt összegyűjtött WordPress biztonsági lépéseket és gyakorlatot is folyamatosan elvégezned, hogy minél kisebbre csökkentsd a sikeres vírustámadás valószínűségét. Ha pedig annak ellenére, hogy minden óvintézkedést megtettél, mégis feltörik a weboldalad, akkor itt egy akcióterv, amivel vírusos WordPress rendszerek megjavíthatók.
