Installera en Wordpress-baserad webbplats steg för steg

Aktivera säkra anslutningar

Förr i tiden var det mestadels endast webbplatser där användare loggade in som hade stöd för säkra anslutningar. Så är det inte längre. Idag måste alla webbplatser, utan undantag, ha stöd för säkra anslutningar.

Med säkra anslutningar menas att adressen inleds med HTTPS (webbläsaren visar ett hänglås i adressfältet). Det innebär att anslutningen till webbplatsen är autentiserad och att informationen överförs krypterat. Det innebär i sin tur att besökaren kan vara säker på att webbsidan som står i adressfältet är webbsidan som visas samt att ingen obehörig part kan avlyssna informationen som utbyts mellan webbläsaren och webbservern (till exempel inloggningsuppgifter).

Alla webbplatser måste stödja säkra anslutningar

Behovet av att stöda (och använda) säkra anslutningar gäller alla webbplatsägare. Även om en webbplats inte låter besökarna logga in, måste åtminstone administratören logga in ibland. Hans eller hennes inloggningsuppgifter måste då skyddas.

Google är tydliga med att alla webbplatser ska stödja säkra anslutningar. Sedan i höstas har de inverterat Google Chromes beteende för indikering av säkra anslutningar. Numera ser Google Chrome säkra anslutningar som det naturliga och osäkra anslutningar som en avvikelse. De straffar därför osäkra webbplatser genom att visa texten Inte säker i adressfältet när Google Chrome ansluter över en osäker anslutning. Till råga på allt prioriterar de även upp webbplatser som stöder säkra anslutningar i Googles organiska sökresultat, det vill säga resultatet som webbplatsägare inte behöver betala för att synas.

Google Chrome straffar webbplatser med osäkra anslutningar med ett förnedrande "Inte säker-märke" adressfältet.

Certifikat och Let’s encrypt

För att en webbserver ska stödja säkra anslutningar måste den ha ett så kallat TLS-certifikat (Transport Layer Security), förr i tiden kallat SSL-certifikat (Secure Socket Layer). Sådana behövde tidigare köpas av en certifikatutfärdare, vilket var förknippat med en årlig kostnad. Lyckligtvis behövs inte det längre då Let’s encrypt-projektet har automatiserat hela processen. Genom att aktivera Let’s encrypt kan alla webbplatser få stöd för säkra anslutningar med certifikat som dessutom hålls aktuella per automatik.

Loopia erbjuder idag Let’s encrypt i två av sina paketlösningar (Företag och Företag Plus). Paketlösningen Privat stöder inte Let’s encrypt (i skrivande stund), så den som väljer Privat-paketet måste köpa ett traditionellt certifikat och betala en tillhörande årskostnad. I detta Så fungerar-avsnitt använder vi Företag-paketet, vilket trots sitt namn även kan köpas av privatpersoner.

Aktivera säkra anslutningar

Det första steget i övergången till säkra anslutningar är att aktivera Let’s encrypt. Loopia har ännu inte hunnit bygga in en funktion för detta i Loopia Kundzon. Aktiveringen görs därför genom att ringa till Loopias kundtjänst som under öppettid kan aktivera Let’s encrypt. Aktiveringen kan ta någon timme.

När aktiveringen är klar måste Wordpress konfigureras för säkra anslutningar. Det görs genom att logga in i administrationspanelen och installera det Loopia-rekommenderade tillägget Really Simple SSL (gratis). Precis som namnet antyder aktiverar det stöd för säkra anslutningar på ett riktigt simpelt vis.

Really Simple SSL gör det lätt att aktivera stöd för säkra anslutningar.

Det enda som dagens version av Really Simple SSL inte omkonfigurerar automatiskt är sökvägen till mediafilerna. Detta beror på Loopias tidigare nämnda speciallösning med mediafiler som serveras från en subdomän. För att färdigställa HTTPS-omkonfigurationen av Wordpress måste därför mediafilernas sökväg uppdateras manuellt (adressen ska inledas med https:// i stället för http://).

Mediafilernas sökväg måste omkonfigureras manuellt.

Avslutningsvis bör alla anslutningar tvingas gå över säkra HTTPS i stället för HTTP. I Loopia Kundzon införs detta tvång med lätthet. Administratören behöver enbart öppna domäninställningarna i Loopia Kundzon och kryssa för Tvinga SSL. Detta ska göras för både huvuddomänen och media-subdomänen. När detta är gjort forceras säkra anslutningar automatiskt.