Jak włączyć certyfikat SSL w WordPress? Przekierowanie HTTPS | WebMajka

Jak włączyć certyfikat SSL w WordPress — kompletny przewodnik

SSL (Secure Sockets Layer), a precyzyjniej TLS, to protokół szyfrowania komunikacji między przeglądarką a serwerem. W praktyce certyfikat SSL w WordPress oznacza, że strona działa pod adresem https:// zamiast http://, a dane (loginy, hasła, formularze) są szyfrowane. Od 2018 roku Google Chrome oznacza strony bez SSL jako "Niezabezpieczone", a Google używa HTTPS jako czynnika rankingowego w SEO. Brak SSL w 2026 to strzał w stopę — klienci uciekają na widok ostrzeżenia, a pozycjonowanie strony ucierpi. Dobra wiadomość: dzięki Let's Encrypt certyfikaty są darmowe, a większość hostingów oferuje ich automatyczną instalację jednym kliknięciem.

Rodzaje certyfikatów SSL — który wybrać?

Zanim włączysz SSL w WordPress, warto wiedzieć, jakie są dostępne typy certyfikatów. DV (Domain Validation) — weryfikacja domeny, najtańsze i najszybsze, wystarczające dla blogów i stron wizytówkowych (to właśnie darmowe Let's Encrypt oraz ZeroSSL). OV (Organization Validation) — weryfikacja organizacji, pokazuje nazwę firmy w szczegółach certyfikatu, pasuje dla firm i e-commerce. EV (Extended Validation) — rozszerzona walidacja, wymaga dokumentów KRS/NIP, dawniej pokazywał zieloną belkę z nazwą firmy (obecnie przeglądarki już tego nie wyróżniają). Wildcard — obejmuje wszystkie subdomeny (*.domena.pl). Multi-domain (SAN) — jeden certyfikat dla wielu różnych domen. Dla standardowego WordPressa wystarczy darmowy DV — daje taką samą siłę szyfrowania jak drogi EV.

Instalacja SSL na hostingu — metody

Najprostsza metoda to auto-SSL oferowany przez hosting. WEBD, lh.pl, nazwa.pl, seohost, cyberfolks — wszyscy polscy dostawcy mają integrację z Let's Encrypt. W panelu hostingu szukaj zakładki SSL/TLS, Bezpieczeństwo lub Certyfikaty. Po wyborze domeny system w 1-5 minut generuje i instaluje certyfikat. Certyfikat odnawia się automatycznie co 90 dni (to standard Let's Encrypt). Alternatywa dla hostingów bez auto-SSL: ręczne uzyskanie certyfikatu przez certbot na VPS-ie, kupno komercyjnego certyfikatu u GoGetSSL czy Sectigo, lub użycie Cloudflare jako CDN z wbudowanym SSL. Dla klientów tworzących stronę internetową zawsze weryfikuję, czy hosting oferuje auto-SSL — to pierwszy punkt kontrolny.

Zmiana adresu w WordPress — WordPress Address URL i Site Address URL

Po zainstalowaniu certyfikatu SSL musisz przestawić WordPress na HTTPS. Panel admina → Ustawienia → Ogólne, zmień dwa pola: Adres WordPressa (URL) oraz Adres witryny (URL) z http:// na https://. Ważne: musisz być wylogowany przy ponownym wejściu, bo cookie sesji działa dla starego protokołu. Alternatywnie — jeśli nie masz dostępu do panelu — zmień to w wp-config.php dodając:

define('WP_HOME', 'https://twojadomena.pl');
define('WP_SITEURL', 'https://twojadomena.pl');

Te linie nadpisują wartości z bazy danych. Trzecia metoda — bezpośrednio w bazie MySQL przez phpMyAdmin, tabela wp_options, pola siteurl oraz home. Po tej zmianie strona załaduje się pod HTTPS, ale w treści (artykułach, obrazach, wtyczkach) mogą zostać linki z http:// — to klasyczny problem mixed content, do rozwiązania w następnym kroku.

Przekierowanie z HTTP na HTTPS w pliku .htaccess

Po zmianie URL-i trzeba wymusić, żeby każdy ruch z HTTP przekierowywał się na HTTPS. Najczystsza metoda — reguła w .htaccess (dla serwerów Apache, standard dla większości hostingów WordPress):

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

Regułę wrzucasz na samej górze pliku .htaccess, przed blokiem # BEGIN WordPress. Status 301 (Moved Permanently) jest kluczowy dla SEO — Google traktuje go jako trwałe przekierowanie i przekazuje moc linkową starego URL na nowy. Po zapisie pliku przetestuj wpisując w przeglądarce http://twojadomena.pl — powinno automatycznie przekierować na wersję z HTTPS. Jeśli serwer używa Nginx zamiast Apache, konfiguracja wygląda inaczej — należy ustawić w pliku konfiguracyjnym serwera:

server {
    listen 80;
    server_name twojadomena.pl www.twojadomena.pl;
    return 301 https://$host$request_uri;
}

Więcej o pliku .htaccess znajdziesz w artykule czym jest plik .htaccess.

Konfiguracja wp-config.php — wymuszenie SSL dla panelu admina

Dla bezpieczeństwa warto wymusić HTTPS w panelu administracyjnym WordPressa — aby hasła nigdy nie wędrowały po HTTP. W pliku wp-config.php (katalog główny WordPressa), przed linią /* That's all, stop editing! */, dodaj:

define('FORCE_SSL_ADMIN', true);

Ta stała wymusza HTTPS dla całego /wp-admin/ oraz /wp-login.php. Jeśli masz problemy z nieskończoną pętlą przekierowań (często przy Cloudflare lub load balancerze), dodaj wyżej:

if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
    $_SERVER['HTTPS'] = 'on';
}

Ten kod czyta nagłówek X-Forwarded-Proto przesyłany przez proxy i informuje WordPressa, że oryginalne żądanie było po HTTPS. Bez tego WordPress widzi ruch jako HTTP (bo proxy terminuje SSL) i wpada w pętlę.

Mixed content — naprawianie mieszanej zawartości

Najczęstszy problem po migracji na SSL to mixed content warning — w treści strony są linki do zasobów (obrazy, CSS, JS) po HTTP, co blokuje ikonę kłódki w przeglądarce. Diagnostyka: otwórz stronę w Chrome, F12 → zakładka Console — pokaże listę niezabezpieczonych zasobów. Rozwiązania od najprostszego do najcięższego:

Najszybsze rozwiązanie dla niedoświadczonych — Really Simple SSL (darmowa wtyczka z 5+ mln instalacji). Po aktywacji wtyczka dodaje filtr, który w locie zamienia http:// na https:// w HTML generowanym przez WordPressa. Dla profesjonalnego podejścia lepiej wyczyścić bazę danych przez Better Search Replace (Tools → Better Search Replace, wyszukaj http://twojadomena.pl, zamień na https://twojadomena.pl, zaznacz wszystkie tabele, Dry Run, potem uruchom).

Wtyczki SSL dla WordPress — porównanie

Jeśli chcesz zrobić wszystko bez grzebania w kodzie, istnieje kilka sprawdzonych wtyczek. Really Simple SSL (darmowa) — najpopularniejsza, aktywuje przekierowanie, naprawia mixed content, zmienia URL-e w ustawieniach. SSL Insecure Content Fixer — dedykowana do naprawiania mieszanej zawartości, dobra dla stron ze złożoną treścią. WP Force SSL — prosta, tylko wymusza HTTPS. Cloudflare WordPress Plugin — dla użytkowników Cloudflare, integruje z "Flexible SSL" i "Always Use HTTPS". Płatne wersje Really Simple SSL Pro (39 USD/rok) dodają HSTS, bezpieczne nagłówki HTTP (X-Frame-Options, CSP), monitoring certyfikatu. Dla prostego bloga darmowa wersja wystarcza. Dla sklepu internetowego warto rozważyć Pro lub konfigurację ręczną z pełną kontrolą.

HSTS — HTTP Strict Transport Security

Po włączeniu SSL i przekierowania warto dodać nagłówek HSTS. HSTS informuje przeglądarkę, że strona powinna być zawsze wczytywana po HTTPS — nawet jeśli użytkownik wpisze http://. To zabezpiecza przed atakami typu SSL stripping. Dodaj do .htaccess:

<IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>

Parametry: max-age=31536000 (rok w sekundach), includeSubDomains (stosuje dla subdomen), preload (pozwala na dodanie do listy HSTS Preload w przeglądarkach). UWAGA: włączaj HSTS dopiero gdy masz pewność, że SSL działa poprawnie na wszystkich subdomenach. Po aktywacji nie da się wrócić na HTTP przez rok (chyba że użytkownik wyczyści dane przeglądarki). Testuj najpierw z max-age=3600 (godzina), potem zwiększ.

Weryfikacja konfiguracji SSL

Po wszystkich zmianach przetestuj konfigurację. SSL Labs Server Test (ssllabs.com/ssltest) — najlepsze darmowe narzędzie, ocenia certyfikat w skali A+/A/B/C/F, wskazuje podatności (POODLE, BEAST, Heartbleed). Celuj w A lub A+. Why No Padlock (whynopadlock.com) — sprawdza mixed content na konkretnej stronie. Chrome DevTools → Security tab — pokazuje status certyfikatu, łańcuch zaufania, użyte szyfry. Narzędzie Googla Search Console — po migracji dodaj wersję HTTPS jako nową własność i sprawdź Indeksowanie. Brak certyfikatu lub mixed content skutkują ostrzeżeniem w wyszukiwarce Google — to bezpośredni cios w SEO. Polecam też włączyć TLS 1.3 (najnowsza wersja protokołu, szybsza i bezpieczniejsza niż TLS 1.2) — większość hostingów ma go domyślnie.

Najczęstsze problemy po włączeniu SSL

Problem 1 — nieskończona pętla przekierowań. Przyczyna: zwykle źle skonfigurowany proxy/Cloudflare. Rozwiązanie: dodaj do wp-config.php blok z HTTP_X_FORWARDED_PROTO (opisany wyżej). Problem 2 — kłódka nie pokazuje się mimo HTTPS. Przyczyna: mixed content w treści. Diagnostyka: F12 → Console, napraw linki. Problem 3 — "Twoje połączenie nie jest prywatne". Przyczyna: certyfikat wygasł, zły łańcuch zaufania, lub ktoś próbuje podszywania. Sprawdź SSL Labs. Problem 4 — obrazy nie ładują się po migracji. Przyczyna: ścieżki obrazów w src="http://...". Rozwiązanie: Better Search Replace. Problem 5 — wolniejsza strona. Nieaktualne. Nowoczesny TLS 1.3 jest szybszy niż HTTP dzięki HTTP/2, który wymaga SSL. Jeśli strona faktycznie zwolniła — sprawdź plik .htaccess pod kątem zbędnych reguł i włącz cache.

Podsumowanie — SSL to dziś absolutna podstawa

Włączenie certyfikatu SSL w WordPress w 2026 roku to nie opcja, ale obowiązek. Brak HTTPS oznacza ostrzeżenie w Chrome, karę w wynikach Google i utratę zaufania klientów. Dobra wiadomość: dzięki Let's Encrypt cały proces jest darmowy i zajmuje 10 minut. Checklist: 1. Zainstaluj certyfikat w panelu hostingu (auto-SSL). 2. Zmień WP Address i Site Address na HTTPS. 3. Dodaj przekierowanie 301 w .htaccess. 4. Wymuś SSL w panelu adminowym (FORCE_SSL_ADMIN). 5. Napraw mixed content (Better Search Replace lub Really Simple SSL). 6. Dodaj HSTS po testach. 7. Sprawdź w SSL Labs. W naszej agencji przy tworzeniu stron internetowych SSL z HSTS to standard — konfigurujemy go jako ostatni krok przed uruchomieniem strony produkcyjnej.