Przejście WordPressa na HTTPS to dziś jedna z tych zmian, które realnie porządkują bezpieczeństwo całej strony. Dobrze wdrożony wordpress ssl zmniejsza ryzyko podsłuchu, poprawia zaufanie użytkownika i usuwa problemy z formularzami, logowaniem oraz mieszanymi zasobami. Pokażę krok po kroku, jak to zrobić, jaki certyfikat wybrać i jak sprawdzić, czy po migracji nic nie rozjechało się w SEO ani w działaniu witryny.
Najważniejsze rzeczy, które trzeba zrobić przed i po zmianie na HTTPS
- Najpierw aktywuj certyfikat po stronie hostingu, dopiero potem zmieniaj adresy w WordPressie.
- Wymuś jedno trwałe przekierowanie 301 z HTTP na HTTPS, zamiast liczyć na przypadek lub samą wtyczkę.
- Najczęstszy problem po migracji to mixed content, czyli stare zasoby nadal ładowane z HTTP.
- W większości stron wystarczy darmowy certyfikat DV, zwykle z automatycznym odnowieniem co 90 dni.
- Po wdrożeniu sprawdź linki kanoniczne, sitemapę, cache, CDN i formularze.
Dlaczego HTTPS na WordPressie robi dziś różnicę
SSL, a dokładniej TLS, szyfruje połączenie między przeglądarką a serwerem. W praktyce oznacza to, że nikt po drodze nie powinien podejrzeć danych logowania, treści formularza, parametrów płatności czy ciasteczek sesyjnych. WordPress jest z tym w pełni zgodny, ale sam z siebie nie zabezpieczy witryny, jeśli certyfikat nie jest aktywny albo adresy strony nadal wskazują na HTTP.
Ja patrzę na to szerzej niż na samą „kłódkę” w przeglądarce. HTTPS porządkuje cały ekosystem strony: ułatwia bezpieczne logowanie, zmniejsza liczbę ostrzeżeń w przeglądarce, a przy stronie firmowej lub sklepie usuwa barierę, która potrafi realnie obniżyć konwersję. Google traktuje przejście na HTTPS jako normalną zmianę adresów URL, więc to także temat techniczny, a nie tylko wizerunkowy.
- Bezpieczeństwo - dane są szyfrowane w transmisji.
- Zaufanie - użytkownik nie widzi ostrzeżeń o niezabezpieczonym połączeniu.
- SEO - samo HTTPS nie zrobi zlej strony dobrej, ale jest dziś standardem i sygnałem jakości.
- Stabilność - mniej problemów z logowaniem, formularzami, koszykiem i cache.
Wniosek jest prosty: jeśli strona nadal działa na HTTP, to nie jest to już „oszczędność”, tylko zbędne ryzyko. A skoro wiemy, po co to robić, przechodzę do najpraktyczniejszej części, czyli wdrożenia bez chaosu.

Jak przejść z HTTP na HTTPS bez chaosu
W praktyce zaczynam zawsze od certyfikatu po stronie hostingu, a dopiero później dotykam ustawień WordPressa. To ważne, bo sam wpis w panelu nic nie da, jeśli serwer nie obsługuje jeszcze bezpiecznego połączenia. Jeśli hosting oferuje Let’s Encrypt, zwykle aktywacja trwa kilka minut i nie wymaga ręcznej instalacji plików certyfikatu.
- Włącz certyfikat SSL w panelu hostingu i sprawdź, czy działa dla głównej domeny oraz ewentualnie dla wersji z
www. - Wejdź na adres strony z
https://i upewnij się, że przeglądarka nie pokazuje błędu certyfikatu. - W WordPressie ustaw Adres WordPressa i Adres witryny na wersję HTTPS.
- Dodaj przekierowanie 301 z HTTP na HTTPS na poziomie serwera, a nie tylko wtyczką.
- Podmień stare adresy HTTP w treści, widżetach, ustawieniach motywu, page builderach i polach własnych.
- Wyczyść cache wtyczki, cache serwera i cache CDN, jeśli go używasz.
- Sprawdź front, panel admina, formularze, koszyk, logowanie i kluczowe podstrony.
Jeśli po zmianie panel administracyjny przestanie odpowiadać, zwykle problem siedzi w błędnym adresie witryny. Wtedy awaryjnie można ustawić WP_HOME i WP_SITEURL w wp-config.php, ale traktuję to jako ratunek, nie docelową konfigurację. Nowsze wersje WordPressa lepiej wykrywają HTTPS i potrafią pomóc w migracji, ale nie zdejmują z ciebie obowiązku sprawdzenia starej treści i zasobów zewnętrznych.
Największy błąd, jaki widuję, to odwrócenie kolejności: ktoś zmienia adresy w WordPressie, zanim certyfikat jest poprawnie aktywny. Efekt bywa prosty do przewidzenia - blokada logowania, pętla przekierowań albo błędy mixed content. Lepiej zrobić to raz, ale we właściwej kolejności.
Jaki certyfikat wybrać do swojej strony
Tu dobrze odróżnić dwie rzeczy: szyfrowanie i weryfikację podmiotu. Dla większości stron WordPress wystarczy certyfikat DV, czyli taki, który potwierdza kontrolę nad domeną. To właśnie dlatego darmowe certyfikaty są dziś najrozsądniejszym wyborem dla blogów, stron firmowych i małych sklepów.
Ja traktuję darmowy certyfikat jako domyślny wybór, chyba że mam konkretny powód, by sięgnąć po coś innego. Płatny certyfikat nie daje „mocniejszego szyfrowania” tylko dlatego, że kosztuje więcej. Zwykle różni się zakresem weryfikacji, wsparciem, możliwością objęcia wielu subdomen albo formalnymi wymaganiami organizacji.
| Typ certyfikatu | Kiedy ma sens | Orientacyjny koszt | Co warto wiedzieć |
|---|---|---|---|
| DV, np. Let’s Encrypt | Blog, strona firmowa, landing page, mały sklep | 0 zł lub symboliczna opłata w ramach hostingu | Najczęściej wystarcza do szyfrowania ruchu; wymaga automatycznego odnowienia, zwykle co 90 dni |
| Płatny DV | Gdy chcesz mieć wsparcie producenta lub certyfikat w pakiecie usług | Około 100-300 zł rocznie | Często płacisz bardziej za obsługę niż za realną przewagę techniczną |
| Wildcard | Masz wiele subdomen, np. sklep, blog, panel, staging | Około 200-800 zł rocznie | Wygodny przy rozbudowanych instalacjach, szczególnie gdy subdomen przybywa |
| OV lub EV | Organizacje z dodatkowymi wymaganiami formalnymi lub procedurami bezpieczeństwa | Od kilkuset złotych wzwyż | Nie poprawia samego szyfrowania bardziej niż DV, ale daje mocniejszą weryfikację podmiotu |
Przy stronie działającej na WordPressie najczęściej wygrywa prostota: darmowy DV z automatycznym odnowieniem, o ile hosting robi to stabilnie. To rozsądne także kosztowo. W wielu przypadkach płatny certyfikat staje się zbędnym wydatkiem, chyba że naprawdę potrzebujesz wildcarda albo formalnego typu OV/EV.
Co psuje wdrożenie najczęściej i jak to naprawić
Po migracji na HTTPS większość problemów nie wynika z samego certyfikatu, tylko z tego, co wokół niego. Najczęściej psują się stare adresy zapisane w treści, w obrazkach, w CSS, w JavaScripcie albo w ustawieniach wtyczek. Tu nie ma magii: trzeba znaleźć źródło HTTP i zamienić je na HTTPS.
Mieszana zawartość
Mixed content pojawia się wtedy, gdy strona ładuje się po HTTPS, ale część zasobów nadal pobiera z HTTP. Przeglądarka może przez to blokować skrypty, fonty, ikony lub obrazki, a użytkownik zobaczy ostrzeżenie albo „niepełny” zamek zamiast czystego połączenia.
- Sprawdź źródło strony i wyszukaj stare odwołania do
http://. - Podmień linki w treści, ustawieniach motywu, widgetach i polach własnych.
- Jeśli problem dotyczy plików z zewnętrznego serwisu, sprawdź, czy ten serwis w ogóle obsługuje HTTPS.
- Nie licz na to, że przeglądarka „sama sobie poradzi”. Automatyczne podmiany pomagają, ale nie leczą źródła problemu.
Pętle przekierowań i błędny adres witryny
Drugi klasyk to sytuacja, w której WordPress i serwer nie zgadzają się co do właściwego adresu. Jeśli w jednym miejscu witryna nadal wskazuje HTTP, a w innym już HTTPS, szybko pojawia się pętla przekierowań albo brak dostępu do panelu. W takim przypadku sprawdzam przede wszystkim Adres WordPressa, Adres witryny i reguły 301 w konfiguracji serwera.
Przeczytaj również: Redis w WordPressie - Czy naprawdę przyspieszy Twoją stronę?
Cache, CDN i zewnętrzne skrypty
Jeśli używasz cache lub CDN, czyszczę je od razu po migracji. Inaczej przeglądarka może przez chwilę serwować stare wersje CSS, JS lub obrazków, co wygląda jak losowy bałagan. To samo dotyczy osadzonych map, filmów i zewnętrznych widgetów. Gdy dostawca nie wspiera HTTPS, lepiej znaleźć zamiennik niż utrzymywać ryzykowne obejście.
W praktyce najbardziej opłaca się potraktować migrację jak porządny audyt. Jedna podmiana adresu nie wystarczy, jeśli temat siedzi w kilkunastu miejscach naraz. Gdy to uporządkujesz, następny krok to weryfikacja, czy wszystko działa tak, jak powinno.
Jak sprawdzić, czy wszystko działa poprawnie
Po wdrożeniu nie ufam samemu zielonemu zamkowi w przeglądarce. To za mało. Sprawdzam komplet rzeczy, bo jeden błąd w przekierowaniu albo stary odnośnik w treści potrafi zepsuć efekt całej migracji. Przy zmianie z HTTP na HTTPS Google traktuje to jak normalne przeniesienie adresów URL, więc liczą się przekierowania, linki kanoniczne i aktualne mapy witryny.
| Co sprawdzić | Jak powinno wyglądać | Co oznacza problem |
|---|---|---|
| Certyfikat w przeglądarce | Brak ostrzeżeń, ważny certyfikat, poprawny łańcuch | Nieaktywny certyfikat, zła data, problem z konfiguracją hostingu |
| Przekierowanie HTTP | Jedno trwałe przekierowanie 301 do HTTPS | Pętla, kilka skoków po drodze albo przekierowanie tymczasowe |
| Mieszana zawartość | Brak zasobów ładowanych z HTTP | Stare obrazki, fonty, skrypty lub arkusze stylów |
| Adresy w WordPressie | Oba pola ustawione na HTTPS | Problemy z logowaniem, canonicalami lub administracją |
| Sitemap i indeksacja | Google widzi nowe adresy i nie trafia na blokady | Stare URL-e, cache, noindex albo zablokowane zasoby |
Jeśli chcesz podejść do tego bardzo pragmatycznie, po migracji wchodzę jeszcze do Search Console i patrzę na błędy indeksowania oraz skoki w liczbie adresów z HTTP. Nie jest to ceremonia, tylko szybka kontrola, czy bot nie utknął na starych linkach. Dobrze zrobiona migracja powinna być dla Google po prostu czytelną zmianą adresu, a nie chaosem do rozplątywania.
Co dopilnować po migracji, żeby HTTPS nie wróciło jako problem
Najwięcej kłopotów po wdrożeniu nie robi sam certyfikat, tylko brak rutyny. Ja pilnuję trzech rzeczy: automatycznego odnawiania, porządnych przekierowań i okresowego sprawdzania starej treści. W przypadku certyfikatów Let’s Encrypt to szczególnie ważne, bo są krótkotrwałe i trzeba je odnawiać bez przerw w działaniu.
- Włącz automatyczne odnowienie certyfikatu i ustaw alert przed wygaśnięciem.
- Nie włączaj HSTS zbyt wcześnie, jeśli nie masz pewności, że wszystkie subdomeny i zasoby działają po HTTPS.
- Po większych zmianach motywu lub wtyczek sprawdź, czy nie wróciły stare odwołania do HTTP.
- Jeśli masz staging, oddziel go od produkcji także pod kątem certyfikatów i przekierowań.
- Po wdrożeniu zrób kopię zapasową konfiguracji serwera, wp-config i reguł przekierowań.
Jeżeli robię to dla strony firmowej albo sklepu, zawsze zostawiam jeszcze chwilę na test formularzy, koszyka i płatności. To właśnie tam najczęściej wychodzą resztkowe błędy po migracji. Dobrze ustawione HTTPS nie powinno być jednorazowym zadaniem, tylko standardem utrzymania strony, który po prostu działa w tle.