03.09.17
aktualizováno 21.10.20
Jan Hornung
0 Komentáře
HTTPS ve WordPressu: Jednoduchý certifikát může váš web velmi urychlit

WordPress pod HTTPS: Jak jednoduchý certifikát zrychluje vaše stránky jedním skokem

Panuje mylná představa, že HTTPS zpomaluje WordPress. Ve skutečnosti je tomu přesně naopak: díky protokolu HTTP/2 jsou stránky šifrované pomocí SSL někdy extrémně rychlé. A díky bezplatným certifikátům SSL a integrovaným instalacím nebylo nikdy snazší přepnout WordPress na HTTPS. A to je dobře, protože stránky s HTTP se brzy budou muset smířit s některými nevýhodami. Ukážeme vám, jaké výhody přechod přináší a jak si můžete na první pohled ověřit, zda váš hostitel používá protokol HTTP/2.

Každý klient a koncový uživatel dnes pozná rozdíl mezi šifrovanými a nešifrovanými stránkami. Přinejmenším na subjektivní úrovni: zelený zámek jednoduše vyvolává dobrý pocit. Stejně známý jako pozitivní vliv na důvěru návštěvníků stránek je však i mylný dojem, že SSL, resp. vysvětlit rozdíl např. kolegové z CHIP.de) činí WordPress pomalým.

A ano, teoreticky je to pravda: pokud je stránka doručena prostřednictvím protokolu HTTPS (tj. zabezpečené verze protokolu HTTP), trvá spojení mezi webovým serverem a prohlížečem o něco déle kvůli předávání protokolu SSL. Mluvíme zde však pouze o několika milisekundách.

V dnešní době už můžeme s klidem označit za fámu, že HTTPS zpomaluje WordPress. Ve skutečnosti SSL certifikát vašemu webu jen prospívá. A protože Google brzy začne označovat nešifrované weby jako "nezabezpečené", je nejvyšší čas přepnout své stránky na HTTPS hned.

Dnes vám to ukážu:

  • Proč je nyní nejlepší čas přejít na HTTPS ve WordPressu?
  • Jak můžete přepnout WordPress na HTTPS
  • Proč HTTP/2 zrychluje vaše stránky WordPress
  • Jaké zvýšení výkonu můžete očekávat u webu WordPress pod HTTPS
  • Jednoduchý trik, pomocí kterého můžete zjistit, zda váš hostitel již používá protokol HTTP/2 (což by měl!).

Vše se točí kolem HTTPS, ať už jde o WordPress, nebo ne.

Před třemi lety na vývojářské konferenci Google I/O Google vyhlásil heslo "HTTPS všude". Stručně řečeno, tehdejší vývojáři společnosti Google, Pierre Far a Ilja Grigorik, se postavili za používání protokolu TLS (nástupce protokolu SSL) a ve svém příspěvku ukázali relaci mimo jiné způsoby, jak jej implementovat.

Jen o několik týdnů později, v srpnu 2014, byl HTTPS HTTPS zařazen jako oficiální signál pro hodnocení. do hodnocení vyhledávače Google. Společnost Google se již několik let snaží přesvědčit provozovatele webových stránek, aby přešli na HTTPS, a to pomocí argumentů a vytvářením faktů.

Skutečnost, že Google Chrome bude brzy stránky HTTP penalizovat hlášením "not secure", je jistě dalším velkým krokem v ofenzivě společnosti Google "HTTPS všude". Ve skutečnosti toto oznámení již bylo zobrazováno u stránek od verze 56 prohlížeče Chromekteré například načítají informace o kreditních kartách. S novou verzí 62 prohlížeče Google se však toto pravidlo bude vztahovat na všechny stránky, které umožňují zadávání údajů zákazníkem, jako jsou kontaktní formuláře nebo vyhledávací pole.

Hesla a kreditní karty nejsou jediné typy údajů, které by měly být soukromé. Jakýkoli typ dat, která uživatelé zadávají na webové stránky, by neměl být přístupný ostatním uživatelům v síti, takže od verze 62 bude Chrome při zadávání dat na stránky HTTP zobrazovat varování "Not secure".

- Emily Schechterová, tým zabezpečení Chrome

SSL zdarma: Situace ještě nikdy nebyla tak příznivá pro přechod WordPressu na HTTPS

Před třemi lety, kdy oba vývojáři Googlu prosazovali TLS, jste si ještě museli SSL certifikáty kupovat a instalovat sami. To se nyní dramaticky změnilo, a to k lepšímu.

V roce 2016 začala iniciativa Let's Encrypt vydávat bezplatné certifikáty SSL. Díky sponzorům jako je - bez překvapení - Chrome, ale také Facebook a společnosti ze světa WordPressu, mohou Kaliforňané nyní poskytovat téměř 40 milionů aktivních bezplatných certifikátů SSL.

Čísla růstu služby WordPress HTTPS Let's Encrypt. Od října 2016 se počet aktivních certifikátů zvýšil téměř osmkrát.
Jak vidíte, růst služby Let's Encrypt se od října 2016 výrazně zrychlil. Od té doby se počet aktivních certifikátů zvýšil téměř osmkrát.

Tento vývoj měl obrovský dopad na hostingové prostředí: bezplatné certifikáty SSL jsou nyní standardem a díky integraci instalace jedním kliknutím je nyní nastavení možné pro každého uživatele.

HTTPS bývalo pro WordPress opravdovým utrpením

Před masovou distribucí bezplatných SSL certifikátů před dobrými dvěma lety bylo přepnutí WordPressu na HTTPS opravdovým utrpením. Zejména pro majitele malých webů, kteří potřebovali pouze doménově ověřené certifikáty.

Informace: K dispozici jsou tyto typy certifikátů SSL

  • Certifikáty DV: DV je zkratka pro Domain Validated. Certifikát DV se tedy používá ke kontrole, zda doména a webový prostor "patří k sobě". Pokud je vše v pořádku, můžete si být jisti, že při přístupu k doméně skutečně skončíte na odpovídajícím webovém prostoru, a nikoli na podvodné stránce. Proces nastavení je zde ještě poměrně jednoduchý: správce domény potvrdí, že má k doméně příslušná práva, a pak může svůj web odpovídajícím způsobem zašifrovat.
  • Certifikáty OV: OV je zkratka pro Organisation Validated (ověřená organizace). Kromě ověření domény tento typ certifikátu zaručuje, že stránka, kterou navštěvujete, skutečně patří společnosti, na jejíž webové stránky se pokoušíte vstoupit.
  • Certifikáty EV: Takzvané rozšířené certifikáty jdou ještě o krok dál: certifikační orgán zde intenzivně kontroluje firemní dokumenty. V certifikátu je mimo jiné uvedena právní forma společnosti.

Dokonce i nastavení jednoduchého certifikátu DV bývalo pro weby WordPress skutečným utrpením a pro netechniky nemuselo být vůbec proveditelné. Proces se totiž skládal z nejméně čtyř kroků:

  1. zakoupit certifikát: Zde jste se museli zorientovat v nabídce poskytovatelů a aktivně porovnávat ceny a podmínky i u jednoduchých certifikátů DV. To také vedlo k tomu, že někteří poskytovatelé vymýšleli velmi kreativní prvky, jako je pojištění, aby své produkty odlišili. V případě rozšířených certifikátů je zde také krok validace, tj. prokázání, že vlastník domény je zároveň vlastníkem společnosti. V závislosti na typu certifikátu může tento proces trvat dny nebo týdny.
  2. Nastavení certifikátu: Dalším krokem bylo uložení informací o certifikátu na webový server. V závislosti na poskytovateli to bylo více či méně časově náročné. Mezitím však všichni poskytovatelé hostingu skutečně vytvořili více či méně dobrý pracovní postup, který vás jako uživatele provede procesem nastavení.
  3. Příprava WordPressu na HTTPS: Po nastavení samotného certifikátu bylo třeba připravit web na přechod z HTTP na HTTPS. Za tímto účelem bylo nutné převést každý záznam v databázi a každý zdroj na webu na HTTPS a výsledek pak zkontrolovat, zda nedošlo k chybám ve smíšeném obsahu.
  4. Konfigurace Google: Po konverzi webu bylo nutné upravit entity v Google Analytics a v Google Search Console (dříve Google Webmaster Tools).

Vývoj iniciovaný společností Let's Encrypt směrem k bezplatným certifikátům DV tento proces výrazně zjednodušil. Mnoho hostitelů nyní také nabízí zjednodušenou instalaci, kdy se v nejlepším případě certifikát aktivuje a nastaví jediným kliknutím a web se automaticky přepne na HTTPS. Bez ohledu na to, zda se jedná o projekt WordPress, nebo ne.

TIP: Potřebujete nastavit SSL bez instalace jedním kliknutím?

Pokud máte smůlu, váš hostitel ještě nenabízí zjednodušenou instalaci. Pak budete muset provést nastavení WordPressu pro HTTPS sami:

HTTP/2 bez Googlu neexistuje

Již jsem se o tom zmínil: v rámci své kampaně "HTTPS všude" má Google vždy zájem na tom, aby co nejvíce webů bylo vybaveno certifikátem SSL. Mimochodem, to je pravděpodobně také důvod, proč je Chrome oficiálním sponzorem Let's Encrypt. Vyhledávací gigant se však také významně podílel na vývoji protokolu HTTP/2.

Protože předchozí protokol, SPDYbyl původně vyvinut společností Google jako experiment, jehož cílem bylo prozkoumat technické možnosti, kterými by bylo možné vylepšit téměř zastaralý protokol HTTP/1. To bylo v roce 2009. V roce 2015 pak byly poznatky z experimentálního projektu SPDY začleněny do protokolu standardizovaného protokolu HTTP/2.

Proč HTTP/2 zrychluje vaše stránky WordPress

Protokol HTTP/2 je vybaven řadou nových funkcí, které umožňují mnohem rychlejší přenos dat:

  • Multiplexování: Pomocí této funkce lze prostřednictvím spojení mezi webovým serverem a klientem (tj. prohlížečem návštěvníků vašich stránek ) načíst několik různých datových toků. V případě protokolu HTTP/1 musí být pro každý datový tok otevřeno samostatné spojení. A otevření těchto spojení trvá dlouho.
  • Komprese záhlaví: Každý požadavek HTTP, který klient zasílá webovému serveru, obsahuje metainformace, aby bylo možné stránku správně sestavit. Tyto metainformace se v průběhu let stále zvětšují. Protokol HTTP/2 tyto informace komprimuje, a tím šetří objem dat.
  • Server Push: Někdy se také nazývá cache push. Princip této funkce je velmi jednoduchý: naprostá většina požadavků na stránku je velmi podobná. Pokud webový server rozpozná typický vzor volání, například pro domovskou stránku, odešle prohlížeči všechny informace, které potřebuje k sestavení stránky, aniž by byl požádán. To znamená, že prohlížeč musí na server posílat mnohem méně požadavků HTTP. Stránka se tak načítá rychleji.

Teoreticky to zní docela dobře. Ale co to znamená v praxi? Testovací stránka HTTPS vs. HTTP působivě ukazuje, jak velký je rozdíl mezi oběma generacemi protokolů.

Při srovnání HTTPS a HTTP může být HTTPS v některých případech mnohem rychlejší.
V jednom z našich testů jsme při porovnání HTTP/1 a HTTP/2 zjistili rozdíly v časech načítání, které byly jako den a noc. Verze testu HTTP byla o 914 procent pomalejší než verze HTTP/2. To jsou dobrá znamení pro přechod webů WordPress na protokol HTTPS.

Zajímavé je samozřejmě především sledovat, jak tyto nové funkce ovlivňují dobu načítání stránek v reálném světě. Zda vaše stránky běží na serveru podporujícím protokol HTTP/2, můžete snadno zjistit dotazem u svého hostitele (nebo pomocí tohoto jednoduchého triku). Samozřejmě za předpokladu, že WordPress běží pod protokolem HTTPS.

Kyselý test: HTTPS zrychluje WordPress v testu o 45 procent

Nyní však k podstatě věci: Jaké zvýšení výkonu můžete reálně očekávat od přechodu webu WordPress na HTTPS? Protože právě naměřených 914 procent se na hotovém webu neprojeví. Proto jsme celou věc otestovali na naší domovské stránce. Jinými slovy, testovali jsme raidboxes.de jednou s HTTPS a jednou bez něj.

WordPress HTTPS bez SSL potřebuje k načtení Raidboxes více než 5 sekund
WordPress HTTPS s protokolem SSL potřebuje k načtení pouze Raidboxes necelé 3 sekundy.
Aktuální test jsme provedli pomocí nástroje Webpagetest. Prostřednictvím německých testovacích serverů byla měřena doba načítání klonu raidboxes.de. Celkem bylo provedeno sedm po sobě jdoucích testů pro verzi HTTPS i HTTP a výsledky byly zprůměrovány. Je důležité poznamenat, že stránka má velmi špatné skóre výkonu. Je to proto, že některé zdroje fungují pouze pod správnou doménou webu. Proto je pro srovnání rozhodující pouze doba načítání.

Test ukázal, že kopie naší domovské stránky je s protokolem HTTPS o 45 procent rychlejší. Náš podrobný test se sedmi po sobě jdoucími testy německých serverů ukazuje podobné výsledky.

Life hack pro webmastery: Jak na první pohled zjistit, zda váš hostitel používá HTTP/2

A protože HTTPS poskytuje vašim projektům WordPress toto pohodlné zvýšení výkonu, je ještě důležitější, abyste věděli, zda váš hostitel používá HTTP/2. Samozřejmě se můžete jednoduše zeptat podpory, ale existuje také metoda, která vám umožní na první pohled rozpoznat, zda váš web nebo jakýkoli jiný web, který testujete, využívá HTTP/2.

Potřebujete jen jednu věc: vodopádový graf vašeho webu. Ten můžete vytvořit měřením doby načítání pomocí nástrojů Webpagetest, Pingdom . nebo GTmetrix. Stačí zadat testovanou adresu URL a spustit test. U tohoto triku nezáleží na tom, odkud a s jakými specifikacemi je test prováděn.

V hotovém vodopádovém diagramu je nyní třeba věnovat pozornost pouze tomu, zda jsou jednotlivé požadavky načítány současně, nebo pouze chronologicky. Pokud se načítají současně, vaše stránka používá protokol HTTP/2.

WordPress HTTPS vs WordPress HTTP
Jak vidíte, jednotlivé požadavky v levé verzi (HTTP) se načítají chronologicky, tj. jeden po druhém. V pravé verzi (WordPress s HTTPS) se všechny požadavky načítají současně.

Pokud máte na svých projektech WordPressu aktivované HTTPS a požadavky se nenačítají paralelně, měli byste se urychleně obrátit na svého hostitele 😉.

Závěr: HTTPS jako příležitost pro vaše projekty WordPress

Společnost Google nedávno začala zasílat první varovné e-maily provozovatelům stránek HTTP. Od verze 62 bude prohlížeč Chrome označovat stránky, které umožňují uživatelský vstup, jako "nezabezpečené".

Příklad WordPress HTTPS pro stránku HTTP v nové verzi Chrome 62
Takto by například vypadal adresní řádek našich kolegů z t3n, kdyby prohlížeč Chrome zobrazoval na všech stránkách HTTP upozornění "Not secure".

V zásadě to znamená, že každá stránka HTTP s kontaktním formulářem nebo funkcí komentáře je označena značkou Google. Naštěstí nikdy nebylo snazší přepnout web WordPress na HTTPS: SSL certifikáty jsou většinou zdarma a instalace jedním kliknutím ušetří hromadu práce při jejich nastavování, takže přechod mohou provést i technicky méně zdatní webmasteři. A náš test ukázal: I s méně optimalizovaným webem může WordPress z HTTPS výrazně těžit a jednoduše se načítá mnohem rychleji.

V ideálním případě by mělo stačit jedno kliknutí. Pokud tedy stále provozujete weby pod HTTP, můžeme vám přechod jen vřele doporučit.

Líbil se vám tento článek?

Svou recenzí nám pomůžete zlepšit náš obsah.

Jan Hornung

Je v týmu Raidboxes od samého počátku a stal se vedoucím podpory. Na Barcampech a Wordcampech hovoří nejraději o rychlosti a výkonu webových stránek. Podplatit se nechá jedině skvělým espressem nebo bavorským preclíkem.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.