Zvolené téma obsahuje celkem 31 odpovědí. Do diskuze (10 účastníků) se naposledy zapojil uživatel 
-
Příspěvky
-
Ahoj.
Plánujete na separatista.net nasadit HTTPS? Zajímal by mne nějaký osvědčený postup na nasazení HTTPS na už nainstalovaném WordPressu, a co by bylo lepší, než mít postup použitý třeba tady.
Michal
HTTPS už tu mělo dávno být, jen jsem se k tomu ještě nedostal :-) Obecně stačí získat certifikát (např. Let’s Encrypt), změnit obě (!) URL adresy v menu Nastavení – Obecné a použít plugin Really Simple SSL, který řeší i přesměrování a nahrazuje HTTP verzi adres v obsahu příspěvků (např. vložené obrázky) a načítaných skriptech (když to dělá šablona nebo plugin špatně). Ideálním způsobem je ale asi migrace databáze (HTTP -> HTTPS) a případná oprava/odebrání nekorektních pluginů či šablony. Zbavíte se tím kontroly při každém načtení webu, kterou provádí plugin… Příští týden bych se do toho chtěl pustit, tak snad napíšu i nějaké zkušenosti (trochu se obávám fóra bbPress, ale měla by konečně vyjít nová verze 2.6).
Postup u Českého hostingu: v sekci “WEBSERVER”, v části “HTTPS – zabezpečený přístup na web” si přiřadím certifikát “Let’s Encrypt”, do souboru “.htaccess” vložím následujících pár řádků:
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{SERVER_NAME}/$1 [R=301,L]a hotovo!
Žádný plugin není potřeba, není potřeba ani měnit “URL adresy v menu Nastavení – Obecné”. Celkový čas úprav cca 3 minuty. Výsledek je na patokryje.czPS: jak se migruje databáze z HTTP na HTTPS? :-) :-) :-)
@rehakk: To je přesně ten příklad, kde to máte nefunkční :-)
Nemáte tam zelený zámeček, který značí funkční HTTPS připojení (viz screenshot), nebo ho tam alespoň nevidím (Chrome). A je tam spousta chyb se smíšeným obsahem:
Mixed Content: The page at 'https://www.patokryje.cz/' was loaded over HTTPS, but requested an insecure image 'http://www.patokryje.cz/wp-content/uploads/2016/03/erb_patokryje-barva-bez-textu-2.jpg'. This content should also be served over HTTPS.Problém je v tom, že sice načítáte stránku na adrese
https://www.patokryje.cz/(přes zabezpečený protokol), ale z ní jsou odkazovány obrázky (patrně vložené jako HTML v příspěvku nebo widgetu) v rámci nezabezpečeného protokolu, např.http://www.patokryje.cz/wp-content/uploads/2016/03/erb_patokryje-barva-bez-textu-2.jpg. A k tomu právě slouží buď migrace databáze (pak to bude natvrdo uložené v databázi) nebo plugin (bude muset být stále aktivní jinak to po jeho deaktivaci přestane fungovat).Attachments:
Ano, jedná se o smíšený obsah. Pokud ale na odkaz
http://www.patokryje.cz/wp-content/uploads/2016/03/erb_patokryje-barva-bez-textu-2.jpgkliknete, zobrazí se Vám ze zabezpečené adresy…@rehakk: To sice ano, ale tím vůbec neřešíte příčinu problému. Pokud zadáte odkaz na obrázek přímo do okna prohlížeče, tak se dotážete na server, který zpracuje pravidla ze souboru
.htaccessa správně vrátí HTTPS verzi URL. Ale pokud se dotážete např. na úvodní stránku webu (nebo jakoukoli jinou), tak pouze ta je správně přesměrována, další obrázky jsou načtené v rámci obsahu této stránky (neprochází tedy přes pravidla souboru.htaccess) a prohlížeč je tam tedy také správně načítá v nezabezpečené HTTP podobě (tedy v podobě, jaké byly na webu zadány).Pozor na návody hostingů, které to řeší většinou pouze z technického hlediska (aneb co je potřeba z jejich strany, aby to fungovalo). Musíte pak ještě přizpůsobit fungování vlastní aplikace (v tomto případě WordPressu).
I zmiňovaný plugin Really Simple SSL je sice jednoduchý, ale bohužel trochu zbytečně web zatěžuje (při každém načtení stránky předělává obsah z HTTP na HTTPS), nehledě na to, že je třeba ho správně nastavit (přesměrování pomocí
.htaccess).Super diskuse. Dobře, že se ozval někdo s chybou ( @rehakk: jen v dobrém :). Sám jsem to nikdy nedělal). Těžko říct jestli by se to tak pěkně potom rozebralo.
@admin: V té DB bych si potom musel změnit všechny http na https? To by šlo udělat jednoduše SQL příkazem. Nebo je zapotřebí ještě něco. Myšleno udělat to bez pluginu.
@kovanda: Ano, přesně tak,
http://domena.cz->https://domena.cz, např. pomocí pluginu Better Search Replace. Povedený detailní návod je např. zde, příští týden podle něj budu postupovat a zkusím také vyrobit nějaký návod. Použití pluginu Really Simple SSL sice vypadá jako rychlé a snadné řešení, ale bohužel samotné řešení pouze oddaluje a slouží tak sice pro okamžité přepnutí na HTTPS, ale hlavní práci s databází a kompatibilitou pluginů odkládá na “někdy jindy” :-)Zkoušel jsem použít plugin Really Simple SSL, a když nastavím do pole Instalace WordPressu adresu HTTTS://…. tak se zobrazí jen část webu, v příloze. Takže to mám zatím bez toho, a zdá se že to ničemu nevadí…
Na dalším webu jsem začal měnit odkazy v db z http na https, ale nemůžu se pořádně dopátrat, kterých tabulek a sloupců se to týká…
Tady je podrobný návod na přechod…
Nastavoval jsem minulý týden podle tohoto návodu: https://petrhlozek.cz/wordpress-u-wedos-a-prechod-na-https/
Obešel jsem se bez dalšího pluginu, ale mám web udělaný jednoduše – žádný eCommerce, žádné fórum, čistě informace pro rybáře.
Největší čas mi tak zabralo procházení odkazů v příspěvcích a jejich změna na relativní.
Nyní je web již bez hlášení o smíšeném obsahu.Díky všem za tipy na návody :-) Postupně je projdu a nechám tu pak jen ten nejlepší, abychom neposílali uživatele zbytečně testovat nějaké další…
Tak jsem trochu laboroval, a soukromý web jsem převedl během pár minut dle výše vloženého návodu. Problém mám ale s firemním webem. Například tato stránka https://test.patokryje.cz/uredni-deska/ se IE zobrazí s varováním na smíšený obsah, ale v Chrome je zelený zámek a text Zabezpečeno, tak čemu věřit?
Tak jsem to našel. IE měl pravdu a dělal to plugin “Facebook Like Button”
Takže… Firemní web patokryje.cz jsem nakonec převedl pomocí utility “Search-Replace-DB-master” během cca třech minut. Jediné, co jsem musel udělat “ručně”, bylo oprava pluginu “Facebook Like Button”.
Do .htaccess jsem doplnil
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{SERVER_NAME}/$1 [R=301,L]a do wp-config.php
define('FORCE_SSL_ADMIN', true);To snad bylo všechno…
Takže s chutí do toho…
A ještě něco. Opravit adresu webu v souboru “robots.txt” a zaregistrovat znovu web u vyhledávačů…
Teď je to snad všechno :-)
@rehakk: Soubor
robots.txtfyzicky vlastně ani neexistuje? A proč přidáváte konstantuFORCE_SSL_ADMIN, k čemu ji tam potřebujete?Nerozumím té první větě..
Force SSL jsem přidal po přečtení několika návodů na netu.
Tady je asi nejlépe vysvětleno, proč použít FORCE_SSL_ADMIN či FORCE_SSL_LOGIN…
Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.