WordPress HTTPS 和 SSL 终极指南

已发表: 2021-12-30

你有没有注意到你最喜欢的大多数网站都有一个以 HTTPS 开头的 URL? 当表示 URL 安全的 S 不存在时,您更有可能注意到。 这是因为谷歌现在会标记没有 SSL 证书的网站——这是安全网站的重要组成部分。 由于网站安全非常重要,因此了解 WordPress 的 HTTPS 和 SSL 至关重要。

如果您运行 WordPress 网站,您会希望它具有 SSL 和 HTTPS 以提高安全性和访问者信任度。 作为额外的奖励,您的网站将拥有更高的 SEO 搜索排名。 因此,如果您准备为您的站点和访问它的用户添加额外的安全和保护层,请继续阅读。

什么是 HTTPS 和 SSL?

用于 WordPress 的 HTTPS 和 SSL 齐头并进。 就其本身而言,HTTP(原始 URL 前缀)代表超文本传输​​协议。 在您的网站上安装 SSL(安全套接字层)证书可以保护它。 当您在网站上安装了正确的 SSL 或 TLS 证书时,URL 前缀会从 HTTP 切换到 HTTPS:超文本传输​​协议安全。

让我们更深入地了解 HTTPS 和 SSL 是什么以及它们是如何工作的。 根据 Mozilla 开发者网络 (MDN):

HTTPS(安全超文本传输​​协议)是 HTTP 协议的加密版本。 它使用 SSL 或 TLS 来加密客户端和服务器之间的所有通信。 这种安全连接允许客户安全地与服务器交换敏感数据,例如在执行银行活动或在线购物时。

本质上,HTTPS 意味着您的站点是端到端加密的。 这意味着只有事务两端的两个客户端能够读取数据。 如果恶意用户或实体拦截通信,他们只会得到一堆乱七八糟的乱码。

现在,让我们跳到 MDN 对 SSL 的定义:

安全套接字层 (SSL) 是旧的标准安全技术,用于在服务器和客户端之间创建加密网络链接,确保传递的所有数据都是私密和安全的。 SSL 的当前版本是 3.0 版,由 Netscape 于 1996 年发布,已被传输层安全 (TLS) 协议取代。

当谈到 TLS 与 SSL 时,TLS 本质上是 SSL 的后续。 与 SSL 一样,TLS 在服务器和客户端之间建立加密连接。 这两种协议可为您的 WordPress 网站带来更好的安全性。

您需要 HTTPS 和 SSL 吗?

简短的回答是肯定的:您确实需要 HTTPS 和 SSL。 除了与您的访问者建立信任之外,网站安全性也是可靠的 SEO 的一项能力。 2018 年,谷歌开始标记没有 SSL 或 TLS 证书的网站。 这会阻止用户导航到没有 SSL 证书的站点。

多年前,SSL 证书非常昂贵——实际上是数千美元。 推动收入增长的大型网站,如 Facebook 和亚马逊,在用户的浏览器窗口中显示了锁定图标。 那是因为他们有购买证书的预算。 另一方面,普通用户的 WordPress 网站只是有一个 HTTP 前缀。 如今,SSL 证书既必要又实惠。

虽然 WordPress 现在会在每个新网站上自动安装 SSL 证书,但您可能拥有需要保护的旧域或历史悠久的网站。 如果您还没有,可以为您的 WordPress 网站获得免费的 SSL 证书。 大多数主机还提供免费或打折的 SSL 证书作为其主机包的一部分。 现在 WordPress 的 HTTPS 和 SSL 如此易于访问,没有理由让您的网站易受攻击。

如何为 WordPress 安装 SSL

想知道如何为 WordPress 安装 SSL? 我们将引导您完成这些步骤并向您展示它是如何完成的。

使用插件

让我们从使用插件为 WordPress 安装 SSL 开始。 对于本教程,我们使用的是真正简单的 SSL。 此插件会自动将您的 WordPress 网站移至 SSL。 因此,如果您的 URL 仍然显示 HTTP 而不是 HTTPS,此插件将解决此问题并帮助您保护您的网站。

让我们开始吧。

1. 导航到真正简单的 SSL 插件页面并单击下载。 将插件 .zip 文件保存到您的计算机。

2. 打开一个新的浏览器选项卡,登录到您的 WordPress 仪表板,然后单击插件。

3. 在您的插件屏幕中,单击添加新的。

4. 在添加插件页面中,单击上传插件。

5. 接下来,上传与您的插件关联的 .zip 文件。 选择您的文件,然后单击立即安装。

6. WordPress 将显示一个页面,显示您的上传进度。 插件上传后,只需单击激活插件。

可能的插件调整

7. 如您所见,在我正在处理的网站上已经检测到 SSL 证书。 但是,如果我们还没有 SSL,接下来我们需要完成的步骤是:

  • 将 .css 和 .js 文件中的任何 http:// 引用更改为 https://
  • 删除源自没有 SSL 的域的任何脚本、样式表或图像
  • 再次登录(因为一旦您激活插件,WordPress 就会将您注销)

准备就绪后,单击激活 SSL 以完成安装。 此插件会将您的默认 URL 更改为 HTTPS。

8. 现在,SSL 已激活。 插件窗口向我展示了需要采取哪些步骤来进一步保护网站。 真正简单的 SSL 提供文章和资源来帮助我将安全设置调整到最佳水平。 我可以一一检查以优化我的安全性。

您是否在 WordPress 网站上运行 Divi? 一些使用 Divi 的用户在安装真正简单的 SSL 时会遇到混合内容的问题。 如果是这种情况,则必须清除 Divi 缓存以解决问题。 在此处阅读有关如何解决此问题的更多信息。

查看 SSL 插件设置

现在,是时候导航到插件主页面并检查 SSL 插件的设置了。 只需单击设置即可开始。 您将看到与以前相同的资源清单。 只需向下滚动页面即可查看可以切换设置的位置。

该插件的默认设置应该足够了,但您可以随时进行调整。 首先,您要确保检查混合内容修复程序。 最有可能的是,那个人已经被选中了。 如果不是,请检查并保存页面。

在更改设置之前,请务必阅读所有附加文档。

就是这样! 您已经通过插件为 WordPress 安装了 SSL。

手动安装

现在,让我们看看如何手动为 WordPress 安装 SSL。 我们将首先打开一个新的浏览器选项卡并导航到 SSL For Free (ZeroSSL)。

1. 在主页上,在文本栏中输入您网站的 URL,然后单击创建免费 SSL 证书。

2. 系统会提示您创建一个帐户。 完成此操作后,该站点会将您重定向到 ZeroSSL 主页。 从那里,单击新证书。

3. 在下一页,您可以在文本框中输入您的域,然后单击下一步。

4.您可以选择是免费创建90天的证书,还是1年的证书(付费)。 如果您选择持续 90 天的一个,则您需要每 90 天返回并重新生成另一个。 选择要使用的选项后,单击下一步。

5. 接下来,如果需要,您可以让程序自动生成证书签名请求 (CSR)。 您也可以手动填写您的信息。 这样做的目的是验证您的身份以及您确实拥有您为其生成 SSL 的域的事实。 然后系统会提示您选择所需的计划。

WordPress 手动安装的域验证和 SSL

6. 现在将要求您验证您的域。 您可以通过以下三种方式之一执行此操作:

  • 通过电子邮件验证
  • 通过在您的主机服务器上添加新的 CNAME 记录
  • 通过 HTTP 文件上传

根据您选择的选项,按照网站上提供的说明进行操作。

7. 验证您的域后,该站点将生成您的 SSL 证书。 您可以下载您的证书,然后单击下一步。

8. 现在,您需要将 SSL 证书上传到您的 cPanel。 根据您使用的主机,此过程可能看起来有些不同。 有关分步说明,请在 ZeroSSL 的此列表中查找您的主机,这将引导您完成用于 WordPress 安装的 SSL 的最终确定。

出于本文的目的,我将通过我的 Bluehost cPanel 向您展示它的外观。

9. 首先,导航到您的 cPanel 并向下滚动到安全部分。 单击 SSL/TLS。

10. 单击“生成、查看、上传或删除 SSL 证书”。

11. 您现在将看到当前在您的服务器上的证书列表。 向下滚动到标有“上传新证书”的部分。

12. 现在,您有几个选择。 您可以:

  • 解压缩从 ZeroSSL 下载的 SSL 证书,然后上传 .crt 文件。
  • 或者,您可以在基本文本编辑器中打开 .crt 文件。 复制证书的全文,然后返回您的 cPanel 并将其粘贴到标有“上传新证书”的文本框中。 这包括表示证书开头和结尾的页眉和页脚文本。

13. 单击上传证书。 之后,您需要仔细检查安装是否成功。 您可以在 ZeroSSL 仪表板上查看您的证书。 或者,尝试使用前缀 https:// 导航到您的 URL 以查看它是否适合您。

就是这样!

SSL 和 HTTPS 常见问题

现在,让我们来看看一些关于 WordPress 的 HTTPS 和 SSL 的常见问题。

我如何知道我的网站是否有 SSL 证书?

打开一个新的浏览器窗口并导航到您的网站。 查看 URL 前缀的左侧。 您的浏览器窗口应在 URL 旁边显示一个锁定图标。 或者,单击文本框,您应该能够看到显示的 HTTPS。

SSL 和 HTTPS 会使我的网站变慢吗?

SSL 和 HTTPS 会使您的网站稍微变慢。 但是,如果您的网站访问者遇到谷歌的错误屏幕,阻止他们首先访问您的 HTTP 网站,那就更成问题了。 您要么为用户信任的安全网站牺牲少量速度,要么要处理来自不安全网站的高跳出率。

我已经安装了 SSL 证书,但我的网站仍然显示它不安全。 现在我该怎么做?

仔细检查您的安装是否成功。 您可以通过导航到插件的设置页面或通过 ZeroSSL 仪表板检查手动安装在 WordPress 中执行此操作。 您可能需要切换某些设置,或者您可能必须执行故障排除。

如果您在您的网站上看到持续的 SSL 错误,您可能需要:

    • 强制 HTTP 到 HTTPS 重定向
    • 修复混合内容错误(损坏的图像)
    • 检查现有插件和主题是否有错误
  • 修复重定向循环
  • 进一步排查您的 SSL 证书,可能会显示无效证书警告(在这种情况下,您可以续订)

要检查 SSL 错误,您可以右键单击您的网站并在下拉菜单中选择检查。 错误以红色突出显示。 您可以向插件或主题的作者、您的网络托管服务提供商或您的技术支持团队报告错误,具体取决于您的网站托管和设置的位置和方式。

如果您不是开发人员,最好不要尝试调整您的插件或主题。 破坏您不知道或对您的网站产生广泛影响的东西太容易了。

根据您选择的工具,您应该能够获得一些帮助。 您可以在开放论坛中提问、遵循故障排除指南或联系您的房东寻求帮助。 如果您经营 Divi,我们也有一个实时聊天团队可以帮助您。 最有可能的是,您将能够从对您遇到的问题具有专业知识的其他人那里获得帮助。

如何修复混合内容错误?

当您为 WordPress 安装 SSL 时会发生混合内容错误,但您的网站仍然认为某些内容不安全。 例如,您可能会注意到缺少图像。 要解决此问题,您可以将 WordPress 网站设置为显示混合内容。

您可以通过安装和激活 SSL Insecure Content Fixer 插件来修复混合内容错误。 如果您继续收到混合内容错误,则可能是您的数据库中有问题。 您需要采取一些额外的步骤来解决该问题,包括安装和运行 Better Search and Replace 插件。 我们已经写了一篇文章来指导您在此处修复混合内容错误。

如何强制使用 HTTPS?

要强制使用 HTTPS,您可能需要设置从 HTTP 到 HTTPS 的自动重定向。 强制自动重定向将使用户无法打开您网站的 HTTP 版本,该版本在技术上仍然存在。

这是来自 Name.com 的教程,通过 cPanel 引导您完成整个过程。 或者,您可以直接在 . htacess文件通过您的 FTP 客户端。 Dreamhost 的本教程将引导您完成强制站点安全加载的步骤。

SSL 证书的费用是多少?

SSL 证书的价格差异很大,从免费到每年大约 1000 美元不等。 平均而言,它们往往要便宜得多。 价格取决于您选择的服务和您需要的支持水平。

免费和付费 SSL 证书有区别吗?

不是在功能方面。 免费和付费 SSL 证书都为最终用户提供相同程度的安全性。 但是,付费 SSL 证书可能会获得额外的技术支持和更彻底的验证。 如果您对 DIY 故障排除 SSL 感到满意,那么使用免费证书可能对您很有效。 但是,如果您认为您可能需要持续的技术支持,并且您不希望每次当前证书过期时都必须重新安装新的免费证书,那么付费 SSL 证书可能是更好的选择。

我必须更新我的 SSL 证书吗?

SSL 证书续订取决于您的主机。 如果您使用的主机包含 SSL 证书作为托管计划的一部分,则可以将其设置为自动续订(如今,许多都是以这种方式设置的,因此用户无需接触它们)。 如果您使用 ZeroSSL 的 90 天或 1 年 SSL 证书选项,则需要定期手动更新您的 SSL 证书。

结论

现在您已经知道如何安装 SSL 证书并对其进行故障排除,是时候保护您的 WordPress 网站了。 用于 WordPress 的 HTTPS 和 SSL 对于您网站的成功和用户(以及 Google)的信任程度至关重要。 如果您想让您的网站不仅现在可行,而且在未来可行,请确保使用 HTTPS 和 SSL 将其锁定。

您是否遇到过用于 WordPress 的 SSL 问题? 你是如何解决这些问题的? 在下面给我们留言,让我们知道。

Eny Setiyowati / shutterstock.com 的文章特色图片