如何修复 Chrome 中的“不安全”网站消息

Chrome 中的“不安全”网站消息对访问者来说看起来非常可怕——足以让大多数人离开。因此，您可以告别转化、销售、新订阅者或您想要完成的任何其他任务。

换句话说，无论您在优化广告文案、用户体验设计或网站性能方面投入了多少工作，“不安全”消息都会使您的网站几乎毫无用处。听起来令人担忧？值得庆幸的是，原因和解决方案都相当简单。

当您站点的安全套接字层 (SSL) 证书或 HTTPS 配置存在问题时，会出现此错误消息。

在本文中，我们将讨论您需要了解的有关 Chrome 中“不安全”网站消息的所有信息，包括其含义以及如何修复它。我们还将讨论您可以采取的其他安全措施来进一步保护您的网站，以及您应该使用哪些工具（例如 Jetpack 安全套件）。

“不安全”网站消息是什么意思？

Chrome 中的“不安全”消息可能会出现在任何网站上，无论该网站是基于 WordPress 还是任何其他平台构建的。它表明该网站未使用 HTTPS 或没有有效的 SSL 证书。

使用 HTTPS 现在基本上是所有网站所有者的要求。如果您没有，搜索引擎将通过降低您的排名并警告网站访问者来惩罚您。

可以肯定地说，如果访问者看到其中一个警告，他们可能不会留在该网站上。有时，他们的浏览器甚至不允许他们这样做。

如果您在网站上遇到此错误，您应该停止一切并寻找解决方案。

什么是 HTTPS？

HTTPS 是 HTTP 的安全版本。它代表“安全超文本传输​​协议”。通过使用 HTTPS，站点可以为其发送和接收的数据提供更安全的通信通道。

这是保护访问者的现代标准，浏览器和搜索引擎本质上都要求您使用它。

要为您的站点启用 HTTPS，您首先需要 SSL 证书。这是一种数字证书，可验证您网站的身份和所有权。

大多数信誉良好的网络主机都提供自动 SSL 证书配置，并将作为您的托管计划的一部分免费执行此操作。他们将负责大部分工作，包括按时更新证书。

这只是选择优秀托管提供商的众多原因之一。

为什么 HTTPS 对于网站安全至关重要？

您可以采取很多措施来提高网站的安全性。您可以保持软件最新、启用双因素身份验证、使用安全插件、定期备份网站等等。

但启用 HTTPS 是您可以采取的最基本但最有效的措施之一。除了防止“不安全”警告之外，您还需要使用 HTTPS，因为它：

• 促进数据加密。启用 HTTPS 后，访问者和站点服务器之间传输的所有数据都将被加密。这意味着，即使有人设法拦截数据，他们也无法理解它。
• 防止数据篡改。加密数据还有助于防止篡改。一些常见的网络攻击（例如重放攻击或数据包注入）涉及更改传输中的数据以利用漏洞。
• 提供数据认证。使用 HTTPS，您可以确保连接到目标网站，而不是网络钓鱼诈骗或其他类型的虚假内容。
• 启用信任和安全信号。设置 SSL 证书并使用 HTTPS 将使某些浏览器在导航栏中显示信任信号。看到这些信号可以帮助访客放心，让他们更有信心进行购买或采取其他重要行动。

您如何知道您正在访问的网站是否使用 HTTPS？

如果您使用的是 Chrome，则可以单击导航栏左侧的图标。它就位于您正在访问的网站地址旁边。

单击该图标将显示该站点是否使用安全连接并具有有效的 SSL 证书。如果您看到“不安全”消息，则意味着 HTTPS 配置或 SSL 证书存在问题。

对于网站访问者：当您看到“不安全”消息时该怎么办

如果您在 Chrome 中遇到“不安全”消息，您可能希望避免访问该网站，直到所有者修复它。它通常表示站点的 SSL 证书或 HTTPS 配置存在问题。

在某些情况下，这可能是一个简单的疏忽。如果网站所有者忘记续订 SSL 证书，可能会导致网站安全，但 Chrome 仍会警告用户，直到问题得到解决。

作为最终用户，您可以通过一些方法来尝试确定“不安全”错误是否是一个错误。在 Chrome 中，您可以检查网站的 SSL 证书并查看其详细信息是否与网站匹配以及是否已过期：

您可以根据自己的判断来决定是否访问标记为“不安全”的网站。即便如此，如果您访问不安全的网站，请避免输入密码等敏感信息，直到错误得到修复。

对于网站所有者：如何修复 Chrome 中的“不安全”网站消息

如果您的网站显示“不安全”错误，您需要立即修复。大多数访问者会避开您的网站，最终可能会访问竞争对手的网站。

正如我们之前提到的，Chrome 中出现“不安全”消息的原因是网站的 SSL 证书（例如没有证书）或其 HTTPS 配置存在问题。让我们首先讨论证书。

购买并安装 SSL 证书（或获取免费证书）

为您的网站使用 SSL 证书应该是不容协商的。如果您担心成本，可以设置来自 Let's Encrypt 等权威机构的免费 SSL 证书。

这些证书（入门级证书称为域验证 (DV) 证书）非常适合个人和小型企业网站。

如果您正在为大型企业、流量较大的电子商务商店或企业项目运行网站，您将需要选择更强大的类型，例如组织验证 (OV) 或扩展验证 SSL 证书。

与这些相关的成本将会产生，应用程序可能需要一定程度的验证和安全测试，但从合规性的角度来看，这通常是必要的。

如果您正在寻找能够为您安装 SSL 证书并管理续订的网络主机，请查看我们的托管合作伙伴。

更新您的网站以仅提供 HTTPS URL

为站点设置 SSL 证书后，您还需要将其配置为通过 HTTPS 加载。否则，无论您使用什么浏览器，在尝试访问该网站时都会遇到错误消息。

有多种方法可以将您的网站配置为仅使用 HTTPS 提供内容。如果您的站点使用 Apache 服务器，您可以修改其. htaccess文件通过 HTTPS 重定向所有 HTTP 内容。

如果您想使用这种方法，首先创建站点的备份很重要，因为您需要编辑其一些代码。在 WordPress 中，您可以使用 Jetpack VaultPress Backup 来执行此操作，每当您对其进行更改时，它也会为您的网站创建实时备份。

然后，通过文件传输协议 (FTP) 连接到该站点。导航到站点的根目录并在其中查找.htaccess文件。

使用文本编辑器打开该文件。它应该类似于下面的屏幕截图，也许有一些自定义配置，具体取决于您站点的设置：

现在，复制以下代码片段并将其添加到 # END WordPress 行之前，确保不要触及任何其他代码：

 RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

该代码实现 301 或永久重定向，以通过 HTTPS 路由所有 HTTP 流量。我们使用 301 重定向，因为这应该是永久性更改，这样您就可以将链接资产传递给 HTTPS URL。

如果您有 WordPress 网站，您还可以使用插件仅提供 HTTPS 流量。例如，Really Simple SSL 使您能够从仪表板安装免费的 SSL 证书，以及将 301 重定向添加到您的站点，而无需手动修改文件。

检查是否存在混合内容

在某些情况下，站点配置问题可能会导致其通过 HTTPS 加载部分内容，但不是全部内容。这会导致混合内容错误，在 Chrome 中可能以“不安全”网站消息的形式出现。

要检查混合内容错误，您可以使用 Chrome 访问该网站，并通过检查其页面之一来打开浏览器的开发人员工具。

移至“安全”选项卡并检查“安全概述” → “资源”下的内容。

理想情况下，您会看到“所有服务安全”消息。混合内容警告意味着您需要重新审视网站使用 HTTPS 的方式。您的网站使用的通过 HTTP 加载的第三方资源也可能存在问题。

您可以使用开发人员工具的控制台来查看正在为您的网站加载哪些资源。控制台将突出显示混合内容资源，以便您可以轻松识别它们。

我们之前分享的有关如何通过 HTTPS 为 Apache 服务器路由 HTTP 流量的代码应该适用于所有内容。如果您使用该代码，请仔细检查它是否已正确添加到站点的.htaccess文件中。

对于 WordPress 用户，您可能会遇到混合内容警告的其他原因。有时，旧媒体文件会顽固地坚持使用 HTTP。您可能需要重新上传这些文件或使用诸如Really Simple SSL 之类的插件来强制所有内容通过HTTPS 加载。

验证 Chrome 是否将您的网站识别为安全网站

实施上述任何修复后，您需要检查 Chrome 中是否仍然存在错误。如果您仍然看到“不安全”的网站消息，则意味着您实施的​​修复不起作用。

由于“不安全”消息与 SSL 证书或 HTTPS 问题相关，因此您需要确保两者都在您的网站上正常运行。如果您设置了有效的证书并且所有内容都已正确配置为通过 HTTPS 加载，则错误消息应该完全消失。

网站所有者的其他重要安全措施

使用 SSL 证书和 HTTPS 是很好的安全措施。但是，您还可以采取更多措施来确保网站安全并保护访问者免受恶意行为者的侵害。

让我们看看一些进一步保护您的网站的有效方法。

1. 安装安全插件以提供 24/7 保护

此建议适用于 WordPress 网站。即使您不使用 WordPress，您也可以利用许多令人惊叹的安全工具和服务来保护您的网站 - 只需找到正确的选项即可。

如果您不确定从哪里开始，请寻找包含我们将在本节中讨论的一些功能的工具。作为 WordPress 用户，您最好的选择是找到从多个方面保护您的网站的安全解决方案。

Jetpack Security 是一套 WordPress 工具，旨在保护您的网站免受攻击，并在出现问题时恢复您的内容。它包括实时备份解决方案、实时恶意软件扫描和修复、垃圾邮件防护、停机监控、活动日志和暴力攻击防护。

如果您有特定的安全问题，您还可以选择捆绑包中的单个产品。例如，VaultPress Backup 作为专用插件提供。它本身或作为 Jetpack Security 的一部分提供实时备份 - 因此您所做的每项更改、您收到的评论或您接受的订单始终都是安全的。

同时，Jetpack Scan 利用最大的 WordPress 漏洞数据库（定期更新）来检查您的网站是否存在任何漏洞。您还可以使用该插件，只需点击几下即可修复大多数已知问题。

Jetpack 套件还包括 Akismet Anti-Spam。该插件使用机器学习来审查您网站上提交的文本（评论、表单，甚至用户注册），并以 99.99% 的准确率自动阻止垃圾邮件，并且没有烦人的验证码。

Akismet Anti-Spam 在使用它的网站网络中每小时阻止大约七百五十万个垃圾邮件提交。借助所有这些数据，它还不断学习检测新形式的垃圾邮件。

2. 保持软件、主题和插件更新

如果您使用 WordPress，您需要确保其所有组件始终是最新的 - 核心软件以及您安装和激活的插件和主题。

您可以通过访问仪表板并导航到“更新”选项卡来快速检查可用的更新。这将为您提供网站上需要更新的所有元素的概览。

软件更新至关重要，因为它们通常包含安全修复程序。开发人员可能会发现他们最初没有意识到的漏洞，或者他们可能会修复攻击者发现的安全漏洞。

插件或主题没有更新的时间越长，就越有可能受到攻击。 WordPress 也是如此。例如，如果您仍在使用 WordPress 5.0，您就会面临一长串已知漏洞。

当然，在更新任何内容之前，您需要进行备份，以便在更新导致错误时可以进行恢复。如果您有 Jetpack VaultPress Backup，那么工作已经为您完成。

无论如何，您需要确保经常更新 WordPress。理想情况下，您应该在每次登录仪表板时检查更新。

3. 使用双因素身份验证 (2FA) 进行管理访问

每个对您的网站具有管理权限的人都应该使用 2FA。这增加了除密码之外的另一个安全因素，并使攻击者更难访问该网站，即使他们掌握了用户凭据。

您可能已经在您访问的某些网站上使用了 2FA。实施方式可能会有所不同，因为有些网站会要求您使用身份验证应用程序，而其他网站则通过电子邮件或短信发送验证码。

虽然 2FA 可能会给某些用户带来一些困难，但它对于任何有权访问网站后端的人来说都是至关重要的。这些是具有更多管理权限的用户帐户。如果攻击者获得了它们的访问权限，他们可能会对您的网站造成很大的损害。

如果您使用 WordPress，则可以利用 Jetpack 插件要求管理员使用 WordPress.com 帐户登录。然后，您可以启用两步身份验证的要求。

免费的 Jetpack 插件提供了此功能，因此任何人都可以使用它。这是创建更安全的 WordPress 登录过程的快速而简单的方法。

4.安装Web应用程序防火墙（WAF）

Web 应用程序防火墙是一种根据一组规则监视和阻止与您的站点的连接的软件。最好的 WAF 产品和插件能够成功阻止大量恶意流量，通常是因为它们拥有大量已知攻击者的数据库。

根据 WAF，它还可能能够识别攻击模式或可疑用户活动。总的来说，使用正确的 WAF 可以极大地提高网站的安全性。

如果您使用的是 WordPress，Jetpack 插件包含一个 WAF，您可以打开它来帮助保护您的网站。您可以直接从插件的设置中打开该选项。

使用 Jetpack 防火墙使您能够利用已知攻击者的海量数据库。要启用自动规则，您需要 Jetpack Scan 或 Jetpack Security 许可证。

5.定期备份您的网站

对站点进行最新备份是规避安全问题和漏洞的最佳方法之一。如果攻击者设法获得访问权限，您通常可以通过恢复最近的备份并从那时起实施其他安全措施来解决问题。

备份的最大问题是，将站点恢复到较早的状态时，您经常会丢失数据。如果您最后一次备份是在几周前，则尤其如此。

Jetpack VaultPress Backup 为 WordPress 网站提供实时备份。这意味着每次您对网站进行更改时，插件都会保存它。

VaultPress Backup 消除了无法访问最近备份的问题。它还在异地存储备份，因此如果您的服务器发生问题，您的站点副本仍然是安全的。

WordPress 网站的 Jetpack 安全性

Jetpack Security 提供了一整套产品，可以帮助您保护您的 WordPress 网站。其中包括 Jetpack Scan、VaultPress Backup、Akismet Anti-Spam 等。

您可以使用 Jetpack Scan 在您的网站上运行自动恶意软件和漏洞扫描，只需单击几下即可快速修复大多数问题。该插件利用最大的已知 WordPress 安全漏洞数据库来确保您的网站安全。

Jetpack Scan 还允许您访问插件 Web 应用程序防火墙的自动规则。由于 Jetpack 不断增长的已知恶意行为者数据库，这些规则有助于保护您的网站免受攻击。

借助 VaultPress Backup，您可以高枕无忧，因为您知道无论何时对网站进行更改，该插件都会保证其安全。这种实时备份技术使您在需要将网站恢复到之前的状态时永远不会丢失重要数据。

借助 Jetpack Security，您还可以进行停机监控和活动日志，使您能够检查网站上发生的所有情况并确定哪些操作（以及执行这些操作的人员）可能导致了问题。每次有人登录您的站点、更新页面、更改配置或向核心文件添加代码时，这些内容都会出现在活动日志中。

Jetpack Security 是 WordPress 的理想、全面的安全解决方案，安装量超过 2700 万并且还在不断增加。

常见问题

如果您对如何修复 Chrome 中的“不安全”网站消息以及如何保护您的网站仍有任何疑问，本节将解答这些问题。

什么是 HTTPS，它与 HTTP 有何不同？

HTTPS 是 HTTP 的安全版本。您通过 HTTPS 发送或接收的数据经过加密以防止篡改。使用 HTTPS 的网站也意味着它拥有有效的 SSL 证书。

SSL 证书如何保护网站上的信息？

SSL 证书是证明网站真实性的数字证书。它可以通过允许您使用 HTTPS 来保护网站上的信息。安全的 HTTPS 连接不易受到网络攻击。

如何为我的网站购买 SSL 证书？

根据您的站点及其范围，您可能需要支付 SSL 证书费用。但很多网站都可以使用免费的。 Let's Encrypt 等一些证书颁发机构提供免费证书，您可以在网站上轻松设置这些证书。

我可以使用免费的 SSL 证书吗？它安全吗？

大多数网站都可以使用免费的 SSL 证书，但不建议用于具有较高安全需求的项目，例如大型电子商务商店。对于大多数网站，免费的 SSL 证书将满足您的所有要求。

SSL 证书会过期吗？如果是这样，我可以自动续订吗？

SSL 证书确实会过期。出于安全考虑，它们需要定期更新，以便网站所有者可以验证他们是否仍在运营该网站。即便如此，您仍然可以自动化大多数证书的续订过程。如果您使用提供免费证书的网络主机，他们也可能会为您续订该证书。

如果我的网站显示“混合内容”警告，我该怎么办？

如果您的网站显示混合内容警告，请检查其所有组件是否都通过 HTTPS 加载。您可能需要实施重定向以强制请求通过 HTTPS 或识别导致错误的内容并替换它。

我还应该遵循哪些其他最佳实践来保护我的网站？

除了使用 SSL 证书和 HTTPS 之外，最好定期备份您的网站。您还应该设置 WAF 来阻止恶意流量、使用垃圾邮件防护工具、启用 2FA 并保持网站组件更新。

建议使用哪些类型的工具来增强网站安全？

在为您的站点寻找安全解决方案时，请考虑提供实时备份、恶意软件和漏洞扫描程序、活动日志、2FA 和 WAF 的选项。 Jetpack Security 包含所有这些功能以及更多功能。

Jetpack Security：保护 WordPress 网站安全的快速简单方法

Chrome 中的“不安全”网站消息是您可能遇到的多个 SSL 错误之一。 SSL 证书和 HTTPS 是现代网站的基本安全措施，但它们并不是唯一可以保护您的网站的东西。

设置 SSL 证书并启用 HTTPS 后，您将需要继续采取其他安全措施。借助 Jetpack Security，您可以使用一套工具实现多项安全改进。这包括实时备份和恶意软件扫描、停机监控、暴力攻击防护、活动日志等等。

如果您想保证 WordPress 网站的安全，请尝试 Jetpack Security 套件。您还可以选择通过各个插件访问某些功能，包括 Jetpack VaultPress Backup、Jetpack Protect 和 Akismet Anti-Spam。立即增强您网站的安全性！