Czym jest certyfikat SSL i dlaczego jest niezbędny

Certyfikat SSL (Secure Sockets Layer) to cyfrowy dokument, który umożliwia szyfrowanie komunikacji między przeglądarką użytkownika a serwerem — stanowiąc fundament bezpieczeństwa WordPress i każdej nowoczesnej strony internetowej. Bez SSL wszystkie dane przesyłane między użytkownikiem a stroną (w tym loginy, hasła, dane kart płatniczych) wędrują przez internet w postaci jawnego tekstu, który może przechwycić każdy w tej samej sieci.

SSL zmienia to zasadniczo — dane są szyfrowane algorytmem AES-256, co sprawia, że przechwycony ruch jest praktycznie niemożliwy do odczytania. Strony z aktywnym SSL używają protokołu HTTPS i wyświetlają ikonę kłódki w pasku adresu przeglądarki, co buduje zaufanie odwiedzających. Google od 2014 roku uwzględnia HTTPS jako czynnik rankingowy w wynikach wyszukiwania, a od 2018 roku Chrome oznacza strony HTTP jako "Niezabezpieczone" — co bezpośrednio wpływa na współczynnik odrzuceń i liczbę użytkowników opuszczających stronę. Dla sklepów WooCommerce SSL jest absolutnie obowiązkowy — bez niego nie można legalnie przetwarzać płatności kartą (standard PCI DSS tego wymaga).

Warto też wiedzieć, że bezpieczeństwo WordPress na poziomie SSL chroni nie tylko użytkowników końcowych, ale też Ciebie jako właściciela strony — szyfrowane połączenie utrudnia ataki man-in-the-middle, które mogłyby pozwolić na przechwycenie sesji administratora.

Darmowy SSL w smartxhosting.pl

Hosting WordPress w smartxhosting.pl obejmuje darmowy certyfikat SSL Let's Encrypt w każdym planie — od WP Minimum za 10 zł/miesiąc po WP Maximum za 50 zł/miesiąc. Let's Encrypt to zaufany urząd certyfikacji (CA), wspierany przez gigantów branży IT: Mozilla, Google, Cisco i EFF. Certyfikaty wystawiane przez Let's Encrypt są uznawane przez wszystkie nowoczesne przeglądarki i systemy operacyjne.

Certyfikat SSL w smartxhosting.pl jest wystawiany automatycznie podczas rejestracji domeny lub dodawania nowej domeny do konta hostingowego. Plesk zarządza całym cyklem życia certyfikatu — od wystawienia, przez automatyczne odnawianie co 90 dni, po monitorowanie statusu. Jeśli z jakiegoś powodu certyfikat nie został jeszcze aktywowany na Twojej domenie, możesz to zrobić samodzielnie w kilku krokach przez panel Plesk.

Jak aktywować SSL w Plesk

Jak skonfigurować WordPress do pracy z HTTPS

Po aktywacji certyfikatu SSL w Plesk musisz jeszcze upewnić się, że WordPress sam używa HTTPS we wszystkich linkach i zasobach. Pominięcie tego kroku może skutkować problemem Mixed Content — część zasobów strony (obrazki, skrypty CSS lub JavaScript) będzie wciąż ładowana przez HTTP, co spowoduje wyświetlenie ostrzeżenia w przeglądarce lub ikonę zepsutej kłódki.

Najprostszą metodą jest zainstalowanie wtyczki Really Simple SSL. Po instalacji i aktywacji automatycznie wykrywa ona dostępny certyfikat i konfiguruje WordPress do pracy z HTTPS. Wtyczka zmienia adresy URL w ustawieniach WordPress, dodaje reguły przekierowania w .htaccess i naprawia większość problemów z Mixed Content. Alternatywnie możesz skonfigurować to ręcznie: w panelu WordPress przejdź do Ustawienia → Ogólne i zmień "Adres WordPress (URL)" oraz "Adres strony (URL)" z http:// na https://. Następnie dodaj przekierowanie w pliku .htaccess:

Wstaw poniższy kod w pliku .htaccess przed sekcją WordPress:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Po zmianie adresów URL możesz stracić dostęp do panelu administracyjnego — jeśli tak się stanie, wyczyść cache przeglądarki lub otwórz stronę w trybie incognito. Jeśli używasz wtyczki do cache (WP Rocket, LiteSpeed Cache, W3 Total Cache), wyczyść też cache po zmianie konfiguracji SSL.

Często zadawane pytania

Czy darmowy certyfikat SSL jest tak samo bezpieczny jak płatny?

Tak, darmowy certyfikat SSL Let's Encrypt zapewnia ten sam poziom szyfrowania co płatne certyfikaty DV (Domain Validated). Szyfrowanie 256-bit AES jest identyczne niezależnie od ceny certyfikatu. Różnica pojawia się przy certyfikatach OV (Organization Validated) i EV (Extended Validation), które wymagają weryfikacji tożsamości firmy — jednak dla większości stron WordPress certyfikat Let's Encrypt jest w pełni wystarczający i doskonale spełnia wymogi bezpieczeństwa WordPress.

Jak często trzeba odnawiać certyfikat SSL Let's Encrypt?

Certyfikat SSL Let's Encrypt jest ważny przez 90 dni. W Plesk odnowienie odbywa się automatycznie — panel sam sprawdza termin ważności i odnawia certyfikat na 30 dni przed wygaśnięciem. Nie musisz nic robić ręcznie. Jeśli korzystasz z automatycznego odnowienia w Plesk na hostingu smartxhosting.pl, możesz skupić się na rozwijaniu swojej strony bez obawy o wygaśnięcie SSL.

Co zrobić, gdy strona WordPress wyświetla błąd Mixed Content po włączeniu SSL?

Błąd Mixed Content oznacza, że strona ładuje niektóre zasoby (obrazki, skrypty, style) przez niezabezpieczone HTTP zamiast HTTPS. Zainstaluj wtyczkę Really Simple SSL — automatycznie wykrywa i naprawia większość przypadków mieszanej zawartości. Możesz też użyć wtyczki Better Search Replace, aby zamienić wszystkie wystąpienia "http://twojastrona.pl" na "https://twojastrona.pl" w bazie danych WordPress. Jeśli problem dotyczy zewnętrznych zasobów (np. czcionek z innych domen), sprawdź, czy te serwisy też obsługują HTTPS.