Support » Allmänna frågor » Byta http till https?

  • Jag provade med Really Simple SSL men trots upprepade försök att aktivera tillägget så får jag information om att SSL-certifikatet saknas (jag har provat att använda https:// i webläsaren och då fungerar det). One.com har försökt hjälpa mig men vill nu ha mina inloggningsuppgifter för admin för att kunna felsöka och det är jag inte bekväm med att lämna ut.

    Om jag förstått allt rätt så ändras inte alla länkarna utan till https:// med det Really Simple SSL . Om jag istället vill ändra alla länkar permanent, kan jag göra det på ett enkelt sätt (jag är en glad amatör)?

    Sidan jag behöver hjälp med: [logga in för att se länken]

Visar 1 svar - 1 till 14 (av 14 totalt)
  • Moderator tobifjellner (Tor-Bjorn Fjellner)

    (@tobifjellner)

    WordPress-hemmapulare, Projektledare, Författare, Översättare och Vänlig Själ

    Det verkar som om du använder något tillägg som ”flyttar på” inloggningssidan till en annan adress. Kolla om du råkat ange någon adress där med bara http.

    I princip behöver man inte ”Really Simple SSL”. Det är ett tillägg som försöker hjälpa till vid övergången till https genom att korrigera anrop till olika resurser (bilder, Javascript-filer, CSS-filer) så att de använder https.

    Men det kan förekomma vissa anrop som ”Really simple” inte kommer åt.

    Det ”rätta” sättet är att lösa övergången till https är att söka igenom databasen och korrigera alla anrop till den egna domänen från http till https (eller, möjligtvis, att helt enkelt ta bort protokollbiten ur URL:erna.

    Om du t.ex. har ett anrop till
    http://mindomän.se/wp-content/uploads/2020/11/bild.jpg så är det OK att ändra detta till:
    //mindomän.se/wp-content/uploads/2020/11/bild.jpg eller
    /wp-content/uploads/2020/11/bild.jpg
    Den första varianten innebär att webbläsaren ska använda samma protokoll som huvudsidan hämtades med. Den andra innebär att även webbplatsens domän är underförstådd.

    Trådstartare annascha

    (@annascha)

    Jag använder tillägget WPS Hide Login och jag gissar att det kanske är det som ställer till det? Det tillägget hämtar url från Allmänna inställningar om jag förstår det hela rätt. Kan jag ändra till https:// i allmänna inställningar utan att ställa till det för mig?

    Moderator tobifjellner (Tor-Bjorn Fjellner)

    (@tobifjellner)

    WordPress-hemmapulare, Projektledare, Författare, Översättare och Vänlig Själ

    När du går över till https MÅSTE du ändra till https i båda rutorna.
    Medan du gör denna ändring skulle jag föreslå att du tillfälligt stänger av ”hide login”. När du väl gjort förändringen kan du prova att aktivera det igen. (Se till att spara hem en kopia av hela databasen med ”hide login” avstängt, om du skulle behöva backa tillbaka. (https://help.one.com/hc/en-us/articles/115005593645-How-do-I-make-a-backup-of-my-database- )

    Trådstartare annascha

    (@annascha)

    Tack för svar! Tycker du att det är nödvändigt att ha hide login? Jag har Wordfence betalversionen så tvåfaktorsautenicering står på min att-göra-lista.

    Moderator tobifjellner (Tor-Bjorn Fjellner)

    (@tobifjellner)

    WordPress-hemmapulare, Projektledare, Författare, Översättare och Vänlig Själ

    Om det inte krockar med något utan allt fungerar så har det ju fördelen att du får mindre skräp i loggen. Men rent principiellt är det en form av låtsassäkerhet – ”security by obscurity”.
    Jag satsar på att använda så få (och väl betrodda) tillägg som möjligt, och rejäla lösenord, med hjälp av lösenordshanteraren Enpass skapar och hanterar jag lösenord som är minst 30 tecken långa och innehåller en ren gröt av stora och små bokstäver, siffror och specialtecken. (Jag är himla glad att jag inte behöver skriva in dem manuellt…)

    2FA är ett bra skydd. Så snart man lyckas få allt att fungera riktigt stabilt och säkert på olika typer av servrar m.m. kan vi räkna med att stöd för 2FA kommer att dyka upp i WordPress-kärnan.

    Trådstartare annascha

    (@annascha)

    Jag inaktiverade WPS Hide Login (gjorde en säkerhetskopiering) och sedan ändrade jag till https:// under Allmänna inställningar och laddade hem Really Simple SSL och aktiverade det. Nu gick det bättre men jag får info från tillägget att:

    70% SSL är aktiverat på din webbplats. Du har fortfarande 6 uppgifter öppna.
    Öppen – SSL är nu aktiverat. Kontrollera om din webbplats är säker genom att följa den här artikeln https://really-simple-ssl.com/knowledge-base/how-to-track-down-mixed-content-or-insecure-content/ —> jag har ett hänglås framför webadressen så då borde väl allt vara ok?

    Öppen – Glöm inte att ändra dina inställningar i Google Analytics och Search Console. —> jag har ingen aning om vad detta innebär?

    Öppen – WordPress 301-omdirigering aktiverad. Vi rekommenderar att du aktiverar 301-omdirigering med .htaccess. —> Här verkar det vara ett ställe som ska markeras men det står så här under: Innan du aktiverar omdirigering via htaccess måste du veta hur du gör för att återskapa kontakten med din webbplats om en omdirigerings-slinga skulle uppstå. —> Kan jag låta bli att boka i detta alternativ för jag har ingen aning om vad jag ska göra om det blir fel.

    Premium – HTTP Strict Transport Security är inte aktiverat (Läs mer).
    Premium – Inställningar för säkerhets-cookies är inte aktiverade (Läs mer).
    Premium – Rekommenderade säkerhetsheaders är inte aktiverade (Läs mer).
    Jag utgår från att dessa tre ingår premium-versionen och att jag kan bortse från dem.

    Moderator tobifjellner (Tor-Bjorn Fjellner)

    (@tobifjellner)

    WordPress-hemmapulare, Projektledare, Författare, Översättare och Vänlig Själ

    jag har ett hänglås framför webadressen så då borde väl allt vara ok?

    Jo. Men i princip behöver du gå igenom alla sidor på webbplatsen för att vara säker.

    Glöm inte att ändra dina inställningar i Google Analytics och Search Console.

    Om du använder Google Analytics eller Google webmasters så påminner de här om att Google rent tekniskt betraktar http://dinwebbadress.com/ och https://dinwebbadress.com/ som TVÅ OLIKA webbplatser. Om du använder någon av deras tjänster kan du alltså behöva etablera ”en ny webbplats” för att kunna använda dem på rätt sätt.

    WordPress 301-omdirigering aktiverad.

    Omdirigering via HTTP-status 301 innebär att webbservern skickar meddelande tillbaka till besökarens webbläsare och säger att ”Sidan du efterfrågade har flyttat permanent till följande adress…. varpå webbläsaren direkt går och ber om den adressen i stället.
    Just nu dröjer det svaret dock onödigt länge från din webbserver, eftersom svaret skickas från WordPress-installationen. Det innebär att serverprogrammet Apache först måste starta PHP. Sedan laddas WordPress in, och när WordPress analyserar den begärda URL:en upptäcker WordPress att ”Ajdå, måste skicka status 301 här…”.
    Filen .htaccess är som en konfigurationsfil för Apache som körs först av allt när en URL efterfrågas. Med ett par extra rader först i .htaccess som för alla anrop via http direkt skickar tillbaka ”301: anropa samma adress, men via https” kommer omdirigeringen att bli mycket snabbare.
    Det du behöver göra är att spara hem en säkerhetskopia av .htaccess innan du aktiverar detta, så att du om något skulle gå snett kan lägga tillbaka säkerhetskopian av filen.

    Premium-punkterna är deras säljargument för betalversionen. Det är tre saker som du inte behöver. Medan du håller på och mixtrar med dessa saker kan det rentav ställa till stora problem att försöka använda dem.

    Trådstartare annascha

    (@annascha)

    Tusen tack för ditt tålamod och tid!

    .htaccess den ligger i rooten eller hur? Jag har min WP-installation i en egen mapp.

    Moderator tobifjellner (Tor-Bjorn Fjellner)

    (@tobifjellner)

    WordPress-hemmapulare, Projektledare, Författare, Översättare och Vänlig Själ

    .htaccess brukar ligga i roten man kan ibland finnas i någon underkatalog (och i värsta fall har man flera som krigar mot varandra…)

    Trådstartare annascha

    (@annascha)

    Jag hittar två, en under roten (dagens datum) och en i WP-mappen (121013, vilket är då som jag skapade min wordpress tror jag). Så rimligen borde det vara den under roten som jag ska kopiera och spara?

    Moderator tobifjellner (Tor-Bjorn Fjellner)

    (@tobifjellner)

    WordPress-hemmapulare, Projektledare, Författare, Översättare och Vänlig Själ

    Spara båda. Och analysera båda om de innehåller något oväntat.

    Standardinnehållet, som i princip säger att om den begärda URL:en inte matchar någon befintlig fil eller katalog ska anropet hanteras av WordPress startfil index.php, ser ut så här:

    # BEGIN WordPress
    # Direktiven (raderna) mellan <code>BEGIN WordPress</code> och <code>END WordPress</code> genereras dynmiskt och bör endast ändras via WordPress-filter. Eventuella ändringar till direktiven mellan dessa markörer kommer att skrivas över.
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    
    # END WordPress
    Trådstartare annascha

    (@annascha)

    Den .htacess som ligger i WordPressmappen innehåller bara följande rad:
    # BEGIN WordPress

    # END WordPress

    Den andra (som ligger i roten) innehåller dels det som du skrivit ovan men även

    # -FrontPage-

    IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

    <Limit GET POST>
    order deny,allow
    deny from all
    allow from all
    </Limit>
    <Limit PUT DELETE>
    order deny,allow
    deny from all
    </Limit>

    # BEGIN WordPress
    # Direktiven (raderna) mellan ”BEGIN WordPress” och ”END WordPress” är
    # dynamiskt genererade och bör endast ändras via WordPress-filter.
    # Eventuella ändringar av direktiven mellan dessa markörer kommer att skrivas över.
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>

    # END WordPress

    Så det är väl inget konstigt?

    Moderator tobifjellner (Tor-Bjorn Fjellner)

    (@tobifjellner)

    WordPress-hemmapulare, Projektledare, Författare, Översättare och Vänlig Själ

    Hmm.

    Det känns som om det finns några olika problem här.

    Filen i roten kanske blockerar anrop som borde släppas igenom. ”Limit GET POST”.
    I övrigt ser den korrekt ut.

    Filen i underkatalogen Verkar konstigare. Jag är rädd att WordPress i underkatalogen inte kommer att lyckas fånga upp anrop till virtuella sidor. (Och i princip allt som WordPress serverar är virtuella sidor – du anropar sidor som inte har någon direkt motsvarighet i filstrukturen, utan fångas upp och levereras via WordPress-filen index.php…

    Trådstartare annascha

    (@annascha)

    Filen i underkatalogen Verkar konstigare. Jag är rädd att WordPress i underkatalogen inte kommer att lyckas fånga upp anrop till virtuella sidor. (Och i princip allt som WordPress serverar är virtuella sidor – du anropar sidor som inte har någon direkt motsvarighet i filstrukturen, utan fångas upp och levereras via WordPress-filen index.php…

    Jag fattar inte ett ord vad du skriver ovan 🙁 Jag har aldrig petat på .htaccess-filerna (vad jag vet, inte medvetet i allafall) utan de måste ha blivit så när jag skapade min installation för en massa år sedan? Är det något som jag kan/ska göra? Ta bort filen som ligger i mappen WordPress? Mig veteligen fungerar alla sidor som de ska.

Visar 1 svar - 1 till 14 (av 14 totalt)
  • Ämnet ”Byta http till https?” är stängt för nya svar.