Certyfikat SSL dla WordPress — jak zainstalować i dlaczego jest obowiązkowy
Czym jest SSL/TLS i jak działa
SSL (Secure Sockets Layer) — a dokładniej jego następca TLS (Transport Layer Security) — to protokół szyfrowania komunikacji między przeglądarką użytkownika a serwerem. Strona z SSL ma adres https:// i wyświetla ikonę kłódki w pasku przeglądarki.
Jak działa SSL/TLS (w uproszczeniu):
- Przeglądarka łączy się z serwerem i prosi o certyfikat
- Serwer wysyła certyfikat SSL (klucz publiczny)
- Przeglądarka weryfikuje certyfikat (czy jest ważny, wystawiony przez zaufane CA)
- Nawiązanie szyfrowanego kanału (TLS handshake)
- Cała komunikacja jest zaszyfrowana — hasła, formularze, dane karty kredytowej
Dlaczego SSL jest obowiązkowy w 2026
| Powód | Szczegóły |
|---|---|
| Google SEO | HTTPS jest sygnałem rankingowym od 2014 roku. Strony bez SSL mają trudniej w wynikach wyszukiwania. |
| Ostrzeżenie przeglądarki | Chrome, Firefox, Safari wyświetlają „Niezabezpieczona" dla stron HTTP. Użytkownicy uciekają. |
| Bezpieczeństwo danych | Bez SSL: hasła, formularze, dane logowania przesyłane plain text — widoczne dla każdego w sieci. |
| Wymaganie prawne | RODO wymaga „odpowiednich środków technicznych" — SSL to minimum dla stron zbierających dane osobowe. |
| WooCommerce | Bramki płatności (Przelewy24, PayU, Stripe) wymagają SSL — bez niego nie przetworzysz płatności. |
| HTTP/2 i HTTP/3 | Nowoczesne protokoły (szybsze ładowanie) wymagają HTTPS. |
| Zaufanie użytkowników | Ikona kłódki = zaufanie. „Niezabezpieczona" = ucieczka. 85% użytkowników nie dokończy zakupu bez SSL. |
Rodzaje certyfikatów SSL
| Typ | Weryfikacja | Cena | Dla kogo |
|---|---|---|---|
| DV (Domain Validation) | Automatyczna (email/DNS) | 0 zł (Let's Encrypt) | Blogi, strony firmowe, małe sklepy |
| OV (Organization Validation) | Weryfikacja firmy | 200-800 zł/rok | Średnie firmy, portale |
| EV (Extended Validation) | Pełna weryfikacja prawna | 500-3000 zł/rok | Banki, duży e-commerce |
| Wildcard | DV/OV + wszystkie subdomeny | 0 zł (LE) / 300-1500 zł | Multisite, wiele subdomen |
Dla 95% stron WordPress Let's Encrypt (DV) jest wystarczający. Jest darmowy, automatycznie odnawialny i oferuje takie samo szyfrowanie jak certyfikaty za 3000 zł. Jedyna różnica to poziom weryfikacji tożsamości — dla bloga czy sklepu na WooCommerce DV jest w zupełności wystarczający.
Instalacja SSL w Plesk (Let's Encrypt)
Na SmartXHosting instalacja SSL jest automatyczna i darmowa dzięki integracji Plesk z Let's Encrypt:
Zaloguj się do panelu Plesk
Przejdź do: Strony i domeny → Twoja domena → Certyfikaty SSL/TLS
Kliknij „Zainstaluj" przy Let's Encrypt
Plesk automatycznie: weryfikuje domenę, generuje certyfikat, instaluje go na serwerze.
Zaznacz opcje dodatkowe
- ✅ „Zabezpiecz też www.domena.pl" (SAN)
- ✅ „Automatyczne odnawianie" (Let's Encrypt ważny 90 dni, auto-renew co 60)
- ✅ „Przekieruj HTTP → HTTPS" (redirect 301)
Gotowe — SSL aktywny
Certyfikat instaluje się w ciągu 1-2 minut. Sprawdź: otwórz stronę z https:// — powinna wyświetlić się ikona kłódki.
Plesk może automatycznie zainstalować Let's Encrypt dla wszystkich nowych domen. W ustawieniach Plesk → Rozszerzenia → Let's Encrypt → „Automatycznie wydawaj certyfikaty dla nowych domen".
Konfiguracja WordPress na HTTPS
Po instalacji SSL musisz poinformować WordPress, że strona działa na HTTPS:
Krok 1: Zmień adresy URL w WordPress
WP-admin → Ustawienia → Ogólne:
- Adres WordPress (URL):
https://twojadomena.pl - Adres witryny (URL):
https://twojadomena.pl
Zapisz — WordPress przekieruje Cię na wersję HTTPS.
Krok 2: Dodaj stałą FORCE_SSL_ADMIN
W wp-config.php dodaj:
define('FORCE_SSL_ADMIN', true);
Wymusza SSL w panelu administracyjnym — nawet jeśli ktoś wpisze http://domena.pl/wp-admin.
Rozwiązanie problemu mixed content
Mixed content to sytuacja, gdy strona HTTPS ładuje zasoby (obrazy, CSS, JS) przez HTTP. Przeglądarka wyświetla ostrzeżenie, a kłódka zmienia się na szarą lub znika.
Najczęstsze źródła mixed content:
- Obrazy wstawione z pełnym URL
http://w postach/stronach - Hardcoded URL w motywie lub customowym CSS
- Zewnętrzne skrypty ładowane po HTTP (Google Fonts, iframy)
- Dane w bazie WordPress z URL
http://
Rozwiązanie — wtyczka Better Search Replace:
- Zainstaluj wtyczkę Better Search Replace
- Wyszukaj:
http://twojadomena.pl - Zamień na:
https://twojadomena.pl - Zaznacz wszystkie tabele bazy danych
- Najpierw uruchom „dry run" (symulacja) → sprawdź ile zmian znajdzie
- Uruchom właściwą zamianę
Przed operacją Search Replace zrób backup bazy danych. Błędna zamiana może uszkodzić dane serializowane (ustawienia wtyczek, widgety). Wtyczka Better Search Replace obsługuje dane serializowane poprawnie.
Wymuszenie HTTPS — przekierowanie 301
Po przejściu na HTTPS musisz przekierować cały ruch HTTP → HTTPS (redirect 301). Dzięki temu:
- Użytkownicy wpisujący
http://są automatycznie przekierowani nahttps:// - Google przenosi „moc SEO" ze starego URL na nowy
- Nie ma duplikatów w indeksie (http i https to różne URL-e!)
Metoda 1: Plesk (najłatwiejsza)
Plesk → Strony i domeny → Domena → Certyfikaty SSL/TLS → zaznacz „Przekieruj HTTP na HTTPS"
Metoda 2: .htaccess (Apache)
Dodaj na początku pliku .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Jak sprawdzić poprawność SSL
| Narzędzie | Co sprawdza | URL |
|---|---|---|
| SSL Labs | Konfiguracja SSL, rating A-F, cipher suites | ssllabs.com/ssltest |
| Why No Padlock | Mixed content — wskazuje konkretne zasoby HTTP | whynopadlock.com |
| Chrome DevTools | Console → mixed content warnings | F12 w przeglądarce |
| SSL Checker | Data wygaśnięcia, łańcuch certyfikatów | sslshopper.com/ssl-checker |
SSL Labs rating A lub A+. Na SmartXHosting z Plesk domyślna konfiguracja TLS daje rating A. Dla A+ włącz HSTS (HTTP Strict Transport Security) w Plesk → Zabezpieczenia → HSTS.
SmartXHosting.pl — Let's Encrypt SSL zainstalowany automatycznie, auto-renew co 60 dni, redirect HTTPS jednym kliknięciem w Plesk. Twoja strona zabezpieczona od pierwszej minuty.
Sprawdź hosting z darmowym SSLNajczęściej zadawane pytania
Czy Let's Encrypt jest tak samo bezpieczny jak płatny SSL?
Tak — szyfrowanie jest identyczne (TLS 1.3, 256-bit AES). Różnica to tylko weryfikacja tożsamości: Let's Encrypt (DV) weryfikuje domenę, płatne OV/EV weryfikują też firmę. Dla blogów, stron firmowych i sklepów WooCommerce DV jest w zupełności wystarczający.
Czy SSL wpływa na szybkość strony?
Minimalnie — TLS handshake dodaje ~20-50 ms przy pierwszym połączeniu. Ale SSL umożliwia HTTP/2 i HTTP/3, które przyspieszają ładowanie o 30-50%. Netto: strona z SSL jest szybsza niż bez SSL.
Co jeśli certyfikat SSL wygaśnie?
Przeglądarka wyświetli pełnoekranowe ostrzeżenie „Połączenie nie jest prywatne" — użytkownik nie zobaczy strony bez ręcznego obejścia. Na SmartXHosting Let's Encrypt odnawia się automatycznie co 60 dni (ważność 90 dni) — wygaśnięcie jest praktycznie niemożliwe.
Czy potrzebuję SSL dla strony bez formularzy?
Tak — nawet statyczna strona-wizytówka powinna mieć SSL: (1) Chrome wyświetli „Niezabezpieczona", (2) Google preferuje HTTPS w wynikach, (3) SSL umożliwia HTTP/2 (szybsze ładowanie), (4) Let's Encrypt jest darmowy — nie ma powodu, żeby go nie mieć.
Jak przenieść stronę z HTTP na HTTPS bez utraty SEO?
1) Zainstaluj SSL. 2) Zmień URL-e w WP Ustawienia. 3) Search Replace http→https w bazie. 4) Redirect 301 z HTTP na HTTPS. 5) Zaktualizuj sitemap.xml. 6) Zgłoś nowy URL w Google Search Console (dodaj property https://). 7) Zaktualizuj linki w Google Business Profile i social media. Redirect 301 przenosi ~95% mocy SEO.
