HTTPS-yhteyden käyttöönotto WordPress-sivustolla

Https-yhteyden käyttöönotto WordPress-sivustolla

Suojatun https-yhteyden saa otettua käyttöön WordPressissä muuttamalla sivuston asennuksia. Käyttöönotto edellyttää, että sivustoa varten on hankittu SSL-sertifikaatt. Joissain webhotelleissa sertifikaatti voi olla valmiina. Suojattu yhteys on suositeltavaa asettaa pakolliseksi, etteivät käyttäjät tule vahingossa lähettäneeksi tietojaan salaamattoman http-yhteyden kautta. Käyttöönoton jälkeen on hyvä tarkistaa, ettei alasivuille jää sekaisin salattua ja salaamatonta sisältöä.

SSL-sertifikaatti ja https-yhteys

SSL-sertifikaatti on kotisivutilaan asennettava salaustiedosto. Sen avulla sivusto voidaan tarjota käyttäjille suojatun https-yhteyden kautta, normaalin http-yhteyden sijaan. Tämä tarkoittaa, etteivät ulkopuoliset tahot pysty lukemaan tai muuttamaan käyttäjän ja sivuston välistä tietojenvaihtoa.

Lue myös: Mikä on SSL-sertifikaatti ja miksi se on kotisivujen kannalta tärkeä.

Tietojenvaihto voi tarkoittaa

  • käyttäjän kirjautumistietoja,
  • yhteydenottolomakkeella lähetettyä viestiä tai
  • verkkokaupasta lähetettyä tilausta.

Käytännössä https-yhteys suojelee siis käyttäjien henkilötietoja ja estää asiattomia tahoja pääsemasta niihin käsiksi. SSL-sertifikaatin hankkiminen ja https-yhteyden käyttäminen voidaankin laskea tietosuoja-asetukseen liittyväksi riskienhallinnaksi ja tietosuojan toteuttamiseksi.

Tutustu: Tietosuojavaltuuten ohjeet riskien arvioimisesta

Lue myös: GDPR tuli WordPressiin.

Lukko selaimen osoiterivillä kertoo https-yhteydestä

Https-yhteyden käyttö on helppo tarkistaa katsomalla Internet-selaimen osoiteriviä. Jos osoiterivillä on riippulukolta näyttävä ikoni, niin sivusto käyttää suojattua ja salattua https-yhteyttä.

Lukko selaimittain

Ikoni voi olla osoiterivin oikeassa tai vasemmassa reunassa ja olla väriltään harmaa tai vihreä. Lukon paikka ja väri vaihtelevat selaimittain.

  • Firefox: vihreä lukko vasemmalla
  • Chrome: vihreä lukko vasemmalla
  • Edge: harmaa lukko vasemmalla
  • Internet Explorer: harmaa lukko oikealla
  • Safari: harmaa tai vihreä (EV-sertifikaatti) lukko vasemmalla

Onko https-yhteys käytettävissä jo?

Vaikka omaa sivustoa ei olisikaan vielä asetettu ensisijaisesti käyttämään https-yhteyttä, niin yhteys voi olla jo saatavilla ja odottaa vain käyttöönottoa. Etenkin edullisempiin webhotelleihin sisältyy nykyään lähes poikkeuksetta maksuton SSL-sertifikaatti ja sitä käyttävä https-yhteys.

Lue myös: Webhotelli on kuin taloa varten hankittava tontti

Sertifikaatin ja https-yhteyden olemassaolon voi tarkistaa kirjoittamalla nettiselaimen osoiteriville https://omansivunosoite.tld. Jos sivusto latautuu, niin salaus on käytettävissä. Muussa tapauksessa Internet-selain ilmoittaa, ettei sivustolle voitu muodostaa suojattua yhteyttä.

SSL-sertifikaatin voi joutua tilaamaan erikseen

Jos edellä mainittu testi tuottaa virheilmoituksen, niin tällöin SSL-sertifikaatti on tilattava erikseen sivustoa varten. Sertifikaatin voi tilata suoraan joltain myöntäjätaholta ja asentaa itse omaan kotisivutilaan.

Helpoimmalla kuitenkin pääsee, kun on yhteydessä oman kotisivutilatarjoajan asiakaspalveluun ja tilaa sertifikaatin käyttöön sitä kautta.

Sopivanlaisen sertifikaatin valitseminen

SSL-sertifikaatteja on erilaisia ja voi olla vaikea valita omalle sivustolleen sopivan tyyppinen. Yksinkertaisemmille sivustoille riittänee DV-taso, kun taas OV-taso sopii verkkokaupoille. Laajemmille verkkopalveluille voi hankkia EV-sertifikaatin. Sertifikaatin hinta vaihtelee tasosta ja palveluntarjoajasta riippuen satasesta muutamaan sataan euroon vuodessa.

Https-yhteyden käyttöönotto WordPressissä

Suojattu yhteys voidaan ottaa käyttöön WordPressissä sekä heti uuden sivustoasennuksen yhteydessä että jälkikäteen jo julkaistulla sivustolla.

Tutustu palveluun: WordPress-pienkehitys: suojatun yhteyden käyttöönotto

Uusi sivusto asennusohjelmalla

Jos WordPress asennetaan kotisivutilan asennusohjelman avulla, niin https-yhteyden voi yleensä valita verkkotunnuksen asettamisen yhteydessä.

Https:n käyttöönotto WordPressin asennuksen yhteydessä

Cpanel-sivustohallinnassa on tyypillisesti asennusohjelmana joko

  • Installatron,
  • Softaculous tai
  • Fantastico.

Uusi sivusto manuaalisesti

Jos sivuston asentaa manuaalisesti WordPressin oman asennustoiminnon avulla, niin https-yhteyden saa käyttöön kahdella tapaa. Https-yhteys tallentuu WordPressin asetuksiin, jos asennuksen tekee https://omadomain.tld/wp-admin/install.php osoitteessa. Toinen vaihtoehto on asentaa WordPress ensin http-yhteyden kautta ja vasta sitten asettaa sivusto käyttämään suojattua yhteyttä, alla olevan ohjeen mukaisesti.

Olemassaoleva WordPress-sivusto

Olemassaolevan WordPress-sivsuton tapauksessa suojauksen käyttöönotto tapahtuu kohdasta Ohjausnäkymä > Asetukset > Yleinen > WordPressin osoite ja Sivuston osoite.

WordPress URL-asetukset

Näihin kahteen osoitekenttään vaihdetaan vain http:n tilalle https. Asetusten tallentamisen jälkeen sivusto käyttää ensisijaisesti salattua yhteyttä.

Osoitteiden muuttaminen kirjaa samalla käyttäjän ulos ohjausnäkymästä, joten sivustolle on kirjauduttava uudelleen, jos haluaa jatkaa muutosten tekemistä sivustolla.

Http-yhteys voi jäädä kummittelemaan

Osoiteasetusten muuttamisen jälkeen sivustoa voi mahdollisesti selata edelleen salaamattoman http-yhteyden kautta. Tämän voi testata jättämällä s:n pois http:n edestä sivuston osoitteesta nettiselaimen osoiteriviltä.

Tavallinen käyttäjä voi päätyä selaamaan suojaamatonta sivustoa klikattuaan sille johtavaa http-alkuista linkkiä. Tällaisia linkkejä voi olla esimerkiksi

  • hakukoneissa, ennen kuin niiden tietoihin on päivittynyt https:n käyttö sivustolla,
  • yhteistyö- ja sponsorikumppaneiden sivustoilla,
  • tai sosiaalisen median julkaisuissa.

Käyttäjien tietoturvan kannalta on huono asia, jos sivustoa voi vahingossa käyttää http-yhteyden kautta. He voivat tällöin tulla huomaamattaan lähettäneeksi henkilötietojaan salaamattomina, esimerkiksi yhteydenoton tai verkkokaupan tilauksen yhteydessä.

Yhteystavan muutoksesta ilmoittaminen hakukoneille

Kun https-yhteys on otettu käyttöön jo aiemmin julkaistulla sivustolla, niin muutoksesta on hyvä ilmoittaa hakukoneille. Ilmoituksen tekeminen onnistuu tunnetuimpien hakukoneiden kohdalla niiden tarjoamien verkkovastaavan työkalujen avulla.

Yhteysmuutoksesta ilmoittaminen oma-aloitteisesti nopeuttaa sivuston osoitteiden muuttumista hakutuloksissa http-alkuisista https-alkuisiksi. Tällöin käyttäjät näkevät jo hakutuloksissa, että sivuston on suojattu ja turvallinen. Lisäksi suojatun yhteyden käyttäminen voi antaa positiivista nostetta sivuston sijoittumiselle hakutuloksissa.

Https-yhteyden käytön pakottaminen

Joissain webhotelleissa voi olla valmiina asetus, joka pakottaa kaiken liikenteen kulkemaan suojattua yhteyttä pitkin. Jos oma webhotelli ei näin tee, niin pakotus on tehtävä itse, jotta voidaan varmistaa sivuston tietoturva. Pakotus voidaan tehdä WordPressissä joko lisäosan avulla tai lisäämällä tarvittavat säännöt sivuston htaccess-tiedostoon.

Suojattu yhteys lisäosan avulla

Salauksen saa pakotettua käytöön muun muassa Really Simple SSL-lisäosan avulla, joka löytyy WordPressin lisäosahakemistosta. Asennus tapahtuu kohdasta Ohjausnäkymä > Lisäosat > Lisää uusi.

WordPress Really Simple SSL-lisäosan asennus

Https:n pakottaminen ei vaadi muuta kuin Really Simple SSL:n asentamisen ja käyttöönoton. Lisäosa hoitaa kaiken muun automaattisesti.

Pakota salattu yhteys htaccess-säännöllä

Toinen vaihtoehto suojauksen pakottamiseksi on lisätä tarvittavat komennot sivuston .htaccess-tiedostoon (palvelimen asetustiedosto). Tiedostoon pääsee käsiksi esimerkiksi

  • tiedostojen siirtoon tarkoitetulla (s)ftp-yhteydellä ja -ohjelmalla (Filezilla on yleisesti käytetty),
  • Yoast SEO-lisäosan työkaluista löytyvällä tiedostomuokkaimella,
    • Muokkain löytyy kohdasta Ohjausnäkymä > SEO > Tools (Työkalut) > File editor (Tiedostomuokkain)
  • kotisivutilan omalla tiedostohallintatyökalulla.
    • Monissa edullisemmissa webhotelleissa on käytössä Cpanel (kuva alla).

CPanel htaccess-tiedoston muokkaaminen

Alla on pari esimerkkiä, joista kumman tahansa lisääminen htaccess-tiedstoon pakottaa sivuston käyttämään salattua yhteyttä.

Koodiesimerkki 1

RewriteEngine on
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Koodiesimerkki 2

RewriteEngine On
RewriteCond %{ENV:HTTPS} !on
RewriteRule ^(.*)$ https://domain.fi/$1 [R=301,L]

Korvaa domain.fi oman sivustosi osoitteella.

Jumiutumisen vaara

Webhotellin tiedostomuokkaimen tai sftp-yhteyden käyttäminen ovat pakotustavoista suositeltavia. Jos SSL-lisäosa aiheuttaa virhetilan tai Yoastin tiedostomuokkaimessa tekee htaccess-tiedostoon kirjoitusvirheen, niin sivusto voi pahimmassa tapauksessa jumiutua kokonaan. Koska kotisivutilan tiedostomuokkain tai sftp-yhteys eivät ole riippuvaisia WordPressistä, niin vikatilan aiheuttavat kirjoitusvirheet saa korjattua käden käänteessä.

Tutustu palveluun: WordPress-sivuston korjaus

Suojauksen varmistaminen

Kun WordPress-sivuston on asetettu ja pakotetu käyttämään turvallista yhteyttä, niin sen jälkeen voi tarkistaa sivuston suojaustilanteen. Toisin sanoen varmistaa, että kaikkien julkisesti näkyvien sisältöjen (artikkelit, sivut, jne.) kohdalla Internet-selaimen osoiterivillä näkyy suojauksesta kertova lukkokuvake. Jos lukko puuttuu, on auki, sen päällä tai tilalla on varoitusmerkki, niin kyseisellä sivulla on silloin jotain suojaamatonta sisältöä.

Suojaamatonta sisältöä ympäri sivustoa

Suojaamattoman sisällön virheilmoituksen aiheuttaa useimmiten sivustolle lisätyt kuvat. Jos kuvia on lisätty esimerkiksi WordPressin tekstieditoriin tai vimpaimiin, niin niistä on voinut tallentua kokonaiset http-alkuiset osoitepolut (http://omansivunosoite/polku/kuvannimi.jpg) sivuston muistiin. Etenkin teksieditorissa toimivat page builder -lisäosat (muun muassa Visual Composer) tapaavat tallentaa kuvista kokonaisia osoitepolkuja.

WordPress ei osaa muuttaa tämänkaltaisia osoitepolkuja automaattisesti https-muotoon. http-alkuiset osoitepolut onkin korjattava itse yksitellen sivu- ja artikkelikohtaisesti.

Firefox-selain avuksi suojauksen tarkistamiseen

Firefox-selain on kätevä apuväline suojaamattoman sisällön havaitsemisessa. Firefoxin osoiteriviltä näkee onko yksittäisellä sivulla kaikki kunnossa (vihreä lukko). Jos jotain on pielessä, niin lukon päällä näkyy keltainen varoituskolmio.

Firefox suojaamattoman sisällön ilmoitus

Lukkokuvaketta klikkaamalla saa listan sivuston elementeistä, mistä näkee, mikä elementti aiheuttaa suojausvaroituksen.

Firefox suojaamattoman sisällön löytäminen elementtilistasta

Voit myös käyttää tarkistupalvelua

Suojaamattomien sisältöjen tunnistamiseen voi myös käyttää esimerkiksi whynopadlock-palvelua. Palveluun syötetään tarkistettavan sivun URL-osoite. Palvelu antaa sitten yhteenvedon, miltä osin kyseinen sivu on suojattu.

Suojaamattoman sisällön korjaaminen automaattisesti lisäosalla

Sisältöjen suojauksen manuaalisen tarkistamisen voi vältää asentamalla sivulle korjauslisäosan. Sekä edellä mainittu Really Simple SSL että esimerkiksi SSL Insecure Contente Fixer-lisäosat korjaavat http-osoitteet automaattisesti https-muotoon.

Artikkelikuva: Unsplash / Erica Nilsson