AiPress
Připravte svůj WordPress na AI éru.

HTTPS a SSL v roce 2026: jak na bezpečné připojení a platný certifikát ve WordPressu

HTTPS už dávno není „nice to have“ – v roce 2026 je to baseline standard, který používá 97 % všech webů načítaných v Chrome. Web bez HTTPS dnes prohlížeče označují jako „Nezabezpečený“ a od října 2026 začne Chrome 154 dokonce ve výchozím nastavení varovat uživatele před návštěvou HTTP stránek. Pro SEO je HTTPS lehký rankingový signál, ale především jde o důvěru uživatelů, povinné požadavky moderních web technologií a ochranu před úniky dat. V tomto článku si vysvětlíme, jak HTTPS funguje, jaké druhy SSL certifikátů existují, jak migraci provést bez ztráty pozic a jak to celé řešit ve WordPressu.

Co je HTTPS a jak souvisí s SSL/TLS

Tři pojmy, které se často zaměňují:

  • HTTPS (HyperText Transfer Protocol Secure) – protokol pro bezpečnou komunikaci mezi prohlížečem a serverem. Zelený zámeček v adresním řádku.
  • SSL (Secure Sockets Layer) – původní šifrovací protokol z 90. let. Dnes již zastaralý, nepoužívá se.
  • TLS (Transport Layer Security) – moderní nástupce SSL. Aktuální verze je TLS 1.3.

I když lidé pořád říkají „SSL certifikát“, technicky se dnes jedná o TLS certifikát. Termín „SSL“ zůstal jen jako jméno z marketingových důvodů. Cokoli, čemu říkáme dnes „SSL“, je ve skutečnosti TLS.

Co dělá:

  • Šifrování – komunikace mezi uživatelem a webem je šifrovaná. Útočník na veřejné Wi-Fi nemůže přečíst, co píšete
  • Autentizace – ověřuje, že web, na který se připojujete, je opravdu ten, za kterého se vydává
  • Integrita dat – nikdo do přenášených dat „cestou“ nezasáhne

HTTPS a SEO: realita roku 2026

Tady musíme být upřímní. Hodně článků na internetu tvrdí, že HTTPS „obrovsky zlepší SEO“. Pravda je střízlivější.

Google v srpnu 2014 oznámil HTTPS jako rankingový signál. Ale od začátku byl tento signál „lehký“ – ovlivňoval méně než 1 % globálních dotazů. John Mueller z Googlu opakovaně potvrdil, že HTTPS samo o sobě neboostuje SEO dramaticky.

Co to znamená v praxi:

  • HTTPS je baseline. Nedostanete se s ním na první stránku, ale bez něj se tam ani nedostanete.
  • Tiebreaker faktor. Mezi dvěma podobnými stránkami Google preferuje tu s HTTPS.
  • Žádný dramatický boost. Když dnes přepnete z HTTP na HTTPS, neočekávejte raketový růst pozic.

Skutečný důvod, proč mít HTTPS, není SEO ranking. Jsou to úplně jiné věci:

  • Důvěra uživatelů – nezabezpečený web vypadá pochybně
  • Browser warnings – Chrome a další prohlížeče HTTP stránky označují jako „Nezabezpečené“
  • Funkce moderního webu – PWA, geolocation API, service workers, WebShare API a další moderní technologie HTTPS vyžadují
  • Bezpečnost – ochrana dat zákazníků
  • GDPR a další regulace – HTTPS je dnes prakticky vyžadováno pro zpracování osobních údajů

Důležitá změna: Chrome 154 v říjnu 2026

Google v Chrome 154 (vydání plánováno na říjen 2026) udělá funkci „Always Use Secure Connections“ výchozím nastavením. Co to znamená?

Když uživatel klikne na HTTP odkaz, Chrome ho dříve, než stránku zobrazí, varuje upozorněním přes celou obrazovku. Uživatel musí aktivně potvrdit, že chce na nezabezpečený web pokračovat.

Praktický důsledek: pokud váš web stále běží na HTTP, počítejte s dramatickým propadem návštěvnosti od října 2026. Většina uživatelů takové varování zavře a odejde.

Druhy SSL certifikátů

SSL certifikáty se liší podle dvou hledisek: úrovně validace a počtu domén, které pokrývají.

Podle úrovně validace

  • DV (Domain Validation) – nejzákladnější. Ověřuje pouze, že vlastníte doménu. Vydání během minut. Vhodné pro většinu webů, blogů, malých firem.
  • OV (Organization Validation) – ověřuje navíc identitu organizace. Vydání trvá několik dní, vyžaduje dokumentaci. Vhodné pro firmy, které chtějí vyšší úroveň důvěryhodnosti.
  • EV (Extended Validation) – nejvyšší úroveň. Důkladná kontrola identity firmy. Dříve zobrazoval zelený panel s názvem firmy v adresním řádku, dnes prohlížeče toto rozlišení odstranily. Vhodné pro banky, e-shopy s velkými transakcemi, korporace.

Důležité: Pro SEO je úroveň validace irelevantní. Google žádný typ certifikátu nepreferuje. EV certifikát vás nenavyšuje v rankingu oproti DV.

Podle počtu domén

  • Single-Domain – jeden konkrétní hostname (např. vasedomena.cz NEBO www.vasedomena.cz, ne obojí)
  • Multi-Domain (SAN) – několik různých domén jedním certifikátem (např. vasedomena.cz, vasedomena.com, vaseslužba.cz)
  • Wildcard – pokrývá hlavní doménu i všechny subdomény (např. *.vasedomena.cz pokrývá blog.vasedomena.cz, shop.vasedomena.cz atd.)

Let’s Encrypt: zdarma a stačí

Pro většinu webů je nejlepší volbou Let’s Encrypt – nezisková certifikační autorita, která vydává SSL certifikáty zdarma. V roce 2026 chrání téměř miliardu webů.

Vlastnosti Let’s Encrypt:

  • Zdarma. Žádné ekonomické překážky.
  • Důvěryhodný. Akceptovaný všemi prohlížeči.
  • Automatická obnova. Certifikát platí 90 dní, ale obnova je automatická (auto-renewal).
  • Jednoduché nasazení. Většina hostingů Let’s Encrypt podporuje out-of-the-box.
  • DV pouze. Není OV ani EV – pokud potřebujete vyšší validaci, musíte si koupit komerční certifikát.

Kdo Let’s Encrypt nestačí: Banky, finanční instituce s regulatorními požadavky, weby zpracovávající velké transakce – tam má smysl placený OV nebo EV certifikát.

Pro 99 % běžných webů (včetně e-shopů, blogů, korporátních stránek, lokálních firem) je Let’s Encrypt naprosto dostačující.

HTTPS ve WordPressu: implementace

1. Aktivace SSL na hostingu

Většina českých hostingů nabízí SSL přes Let’s Encrypt zdarma:

  • WEDOS – Let’s Encrypt zdarma, jedním kliknutím v administraci
  • Forpsi – Let’s Encrypt zdarma na všech tarifech
  • Stable.cz – Let’s Encrypt automaticky
  • Český hosting (active24) – Let’s Encrypt v administraci
  • Cloudflare – Universal SSL zdarma jako součást free tieru

U managed WordPress hostingů (WPEngine, Kinsta, Cloudways) je SSL zahrnuto v ceně a aktivuje se automaticky.

2. Změna URL ve WordPress administraci

V Nastavení → Obecné změňte:

  • WordPress adresa (URL) z http:// na https://
  • Adresa stránek (URL) z http:// na https://

Po uložení vás WordPress odhlásí a budete se muset přihlásit přes nové HTTPS URL.

3. Plugin Really Simple SSL

Nejjednodušší způsob pro netechnické uživatele. Plugin Really Simple SSL:

  • Automaticky detekuje SSL certifikát na hostingu
  • Přesměrovává všechny HTTP požadavky na HTTPS (301 redirect)
  • Opravuje mixed content problémy
  • Nastavuje bezpečnostní hlavičky

V Pro verzi navíc HSTS, monitoring expirace certifikátu a další pokročilé funkce.

4. Manuální 301 redirect přes .htaccess

Pokud chcete plnou kontrolu, přidejte do souboru .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Tím přesměrujete všechny HTTP požadavky na HTTPS verzi.

Mixed content: nejčastější problém po migraci

Mixed content je situace, kdy stránka načtená přes HTTPS obsahuje resources (obrázky, skripty, styly) přes HTTP. Prohlížeč to může:

  • Zablokovat – skripty a styly přes HTTP se nenačtou. Web vypadá rozbitě.
  • Označit jako nezabezpečené – obrázky se načtou, ale uživatel vidí varování v adresním řádku.

Časté zdroje mixed content ve WordPressu:

  • Staré články s vloženými HTTP obrázky
  • Externí YouTube/Vimeo embed kódy s HTTP
  • Šablony nebo pluginy s hardcoded HTTP URL
  • Custom widgety v Customizeru

Jak mixed content opravit

  • Plugin Better Search Replace. Najde a nahradí všechny http://vasedomena.cz za https://vasedomena.cz v databázi. Jeden klik.
  • Really Simple SSL. Automaticky řeší většinu mixed content problémů přes content scanner.
  • Chrome DevTools → Console. Otevřete stránku a podívejte se na varování. Konzole vám přesně řekne, který resource je problém.
  • Why No Padlock (whynopadlock.com) – online nástroj, který otestuje vaši URL a najde mixed content.

Bezpečnostní hlavičky (HTTP Security Headers)

HTTPS je základ, ale plnou bezpečnost zajistí teprve další HTTP security headers. Server je odesílá s každou odpovědí a prohlížeč podle nich postupuje.

HSTS (HTTP Strict Transport Security)

Říká prohlížeči: „Tento web vždy navštěvuj jen přes HTTPS, i když uživatel zadá HTTP.“

Strict-Transport-Security: max-age=31536000; includeSubDomains

Po prvním načtení si prohlížeč zapamatuje, že má vždy používat HTTPS. Útočník nemůže uživatele přesměrovat na HTTP verzi (man-in-the-middle attack).

CSP (Content Security Policy)

Definuje, odkud smí web načítat resources. Chrání před XSS (Cross-Site Scripting) útoky.

Content-Security-Policy: default-src 'self'; img-src 'self' https:; script-src 'self'

X-Frame-Options

Zabraňuje, aby váš web byl vložen do iframe na cizí stránce. Chrání před clickjacking útoky.

X-Frame-Options: SAMEORIGIN

X-Content-Type-Options

X-Content-Type-Options: nosniff

Zabraňuje prohlížeči „hádat“ typ obsahu (MIME-type sniffing), což může vést k bezpečnostním rizikům.

Jak hlavičky nastavit ve WordPressu

  • Plugin HTTP Headers – jednoduchá konfigurace v administraci
  • Really Simple SSL Pro – obsahuje konfiguraci hlaviček
  • Manuálně přes .htaccess – pro Apache server
  • Přes Cloudflare – Page Rules nebo Transform Rules

Migrace z HTTP na HTTPS bez ztráty pozic

Migrace na HTTPS je technicky změna všech URL na webu – z pohledu Googlu jde o mini stěhování. Špatně provedená migrace může dočasně shodit vaše pozice. Tady je správný postup:

Krok 1: Před migrací

  • Zálohujte celý web (databáze + soubory)
  • Aktivujte SSL certifikát na hostingu
  • Otestujte certifikát na SSL Labs (cíl: A nebo A+)

Krok 2: Migrace najednou, ne po částech

Nikdy nemigrujte jen některé stránky. Smíšený stav (část HTTP, část HTTPS) způsobuje SEO chaos. Migrujte celý web naráz.

  • Změňte URL ve WordPress administraci
  • Nainstalujte Really Simple SSL nebo nastavte 301 redirecty manuálně
  • Spusťte Better Search Replace – nahraďte HTTP odkazy HTTPS v celé databázi

Krok 3: Po migraci

  • Search Console: Přidejte HTTPS verzi jako novou property. HTTP verzi nechte (Google podle ní mapuje historii).
  • Sitemap: Aktualizujte URL v sitemapě a znovu odešlete v Search Console.
  • robots.txt: Pokud odkazujete na sitemap, použijte HTTPS URL.
  • Google Analytics / GA4: Aktualizujte URL nastavení.
  • Externí backlinky: Nemůžete je všechny opravit, ale 301 redirect zajistí, že hodnota přejde na HTTPS verzi.
  • Sociální sítě: Aktualizujte URL na profilech.
  • Strukturovaná data: Pokud máte v JSON-LD hardcoded URL, aktualizujte je.

Krok 4: Sledujte první týdny

První 1–2 týdny po migraci se může mírně propadnout traffic. Je to normální – Google reindexuje váš web. Sledujte:

  • Search Console → Indexace stránek (HTTPS verze by měla růst, HTTP klesat)
  • Search Console → Vylepšení (mixed content varování)
  • Analytics – propad trafficu nesmí trvat víc než 4–6 týdnů

Časté chyby při HTTPS migraci

  • Migrace jen části webu. Smíšený HTTP/HTTPS stav je horší než čisté HTTP.
  • Zapomenutí 301 redirectů. Bez nich Google vidí staré URL jako 404 a HTTPS jako úplně nový web. Ztratíte SEO autoritu.
  • Mixed content nezopracovaný. Web vypadá jako rozbitý, prohlížeč zobrazuje varování.
  • Hardcoded HTTP URL v šabloně/pluginech. Vyžaduje úpravu kódu nebo Better Search Replace.
  • Zapomenutí na canonical tagy. Pokud máte v HTML <link rel="canonical" href="http://...">, musíte aktualizovat.
  • Strukturovaná data s HTTP URL. Schema.org JSON-LD často obsahuje plné URL.
  • Nezapsání HTTPS verze do Search Console. Pro Google jsou HTTP a HTTPS dvě různé property.
  • Self-signed certifikát. Funguje technicky, ale prohlížeče ho označí jako neplatný.
  • Expirovaný certifikát. Návštěvníci dostanou velké červené varování. Pokud nemáte auto-renewal, hlídejte expirace.
  • Špatně nakonfigurovaný server. Web říká HTTPS, ale podporuje jen staré TLS 1.0/1.1. Moderní prohlížeče toto odmítají.

Jak ověřit, že HTTPS funguje správně

  • SSL Labs Test (ssllabs.com/ssltest) – nejdetailnější analýza SSL konfigurace. Cíl: hodnocení A nebo A+.
  • Why No Padlock (whynopadlock.com) – rychlá kontrola mixed content
  • Security Headers (securityheaders.com) – kontrola HTTP security headers
  • Chrome DevTools → Security tab – přehled stavu zabezpečení stránky
  • Chrome DevTools → Console – varování o mixed content
  • Search Console → Vylepšení – přehled HTTPS problémů

HTTPS a AI vyhledávání

Pro AI nástroje (ChatGPT, Perplexity, Claude) je HTTPS dnes prakticky vstupní podmínka. AI crawleři (GPTBot, ClaudeBot, PerplexityBot) primárně preferují HTTPS zdroje. Je to pochopitelné:

  • Důvěryhodnost zdroje. Web bez HTTPS působí amatérsky, AI to vyhodnocuje jako negativní E-E-A-T signál.
  • Bezpečnost dat. AI nechce uživatelům doporučovat weby, které mohou ohrozit jejich data.
  • Konzistence se zbytkem webu. 97 % webů používá HTTPS – výjimka vypadá podezřele.

Zatímco u Googlu je HTTPS „lehký signál“, u AI nástrojů je to spíš binární filtr. Pravidlo platí: žádné HTTPS, žádné AI citace.

Závěr

HTTPS je v roce 2026 standard, který si žádný profesionální web nemůže dovolit ignorovat. Není to dramatický SEO boost, ale je to baseline – minimum, bez kterého ztrácíte návštěvníky, důvěru, AI citace a od října 2026 i přístup uživatelů Chrome. Dobrá zpráva: instalace je dnes jednoduchá, certifikát zdarma a celý proces zvládnete za odpoledne.

Akční plán:

  1. Aktivujte Let’s Encrypt certifikát u svého hostingu
  2. Změňte URL ve WordPress administraci na HTTPS
  3. Nainstalujte Really Simple SSL nebo nastavte 301 redirect přes .htaccess
  4. Spusťte Better Search Replace pro nahrazení HTTP odkazů v databázi
  5. Vyřešte mixed content (Chrome DevTools, Why No Padlock)
  6. Otestujte na SSL Labs (cíl A nebo A+)
  7. Přidejte HTTPS verzi do Search Console a aktualizujte sitemap
  8. Nastavte HSTS a další security headers
  9. Zkontrolujte automatickou obnovu certifikátu

Pravidlo na závěr: HTTPS dnes není konkurenční výhoda – je to vstupní podmínka. Stejně jako střechu na domě nepovažujete za benefit, ale za samozřejmost. V roce 2026 platí: web bez HTTPS je web, který se chová, jako by stále žil v roce 2010. A tak se k němu i přistupuje.