如何将 HTTPS 和 SSL 添加到 WordPress – 分步指南!

虽然互联网带来了许多了不起的东西,但它慢慢侵蚀了我们生活的一部分是隐私.在网上分享关于自己的各种信息已经完全正常.

我不只是在谈论我们现在让每个人知道我们今天午餐吃了什么的方式(我吃了一大份沙拉,你?),而且是我们提供最好保密的信息的方式.

信用卡号、银行帐户信息,更不用说您今天可能已经登录的数十个网站的登录凭据.

是时候让这些信息得到应有的保护了.

然而,这并不是您每天都在抱怨消费者需要更加警惕他们的数据,而是作为网站所有者,我们是您的光.

如果您的 WordPress 网站处理敏感信息,您绝对需要确保您的访问者和客户可以信任您.有很多方法可以做到这一点.

然而,除了避免成为向第三方出售敏感信息的混蛋(我们假设您不是)之外,最重要的步骤之一是学习如何将 HTTPS 和 SSL 添加到 WordPress.

什么是 HTTPS 和 SSL?

您之前可能听说过这两个缩写词.如果没有,您很可能已经在工作中看到过他们.

您可能已经注意到,每当您与安全站点(例如您的网上银行门户)交互时,浏览器栏中的地址前面都有 https:// 而不是通常的http://.

除此之外,当您连接到此类站点时,大多数现代浏览器都会在浏览器栏中显示一个小挂锁.

在某些情况下,您甚至可能会看到显示的整个公司名称.

这些迹象表明您当前所在的网站已采取措施保护其流量和访问者的隐私.

用于此的工具是上述 HTTPS 和 SSL.它们有助于使 Internet 上的通信更加安全.

HTTPS 代表超文本传输​​协议安全.它与普通 HTTP 的不同之处在于它使用 SSL(安全套接字层)证书在浏览器和服务器之间建立连接.

协议在两者之间建立连接,一旦成功建立关系,只会传输加密信息.

这意味着所有可以被任何傻瓜读取的纯文本信息都将与人类无法读取的随机字母和数字字符串交换.

如果任何黑客设法干扰信息交换,加密会使其更难以理解.耶!

用于此类连接的 SSL 证书已附加到网站.证书由所谓的证书颁发机构 (CA) 颁发,并且对于使用它们的站点是唯一的.

虽然理论上任何人都可以颁发 SSL 证书,但浏览器只会将那些来自已知权威机构的证书视为可信的.因此,CA 可以保证您访问的是合法站点.

如果证书不匹配,大多数现代浏览器都会警告您,因为连接将被视为不安全.

极客脚注:加密标准

SSL 和 HTTPS 具有不同的加密标准.最老的一个叫做 SHAo 并且不再使用.它的继任者 SHA1 虽然仍在流通,但目前正在逐步淘汰.例如,谷歌浏览器将在 2016 年初开始向运行此标准的网站发出警告.

SSL 协议的当前加密标准是SHA2.但是,在某些时候它将让位于目前正在开发中的 SHA3.

有趣的事实: SSL 实际上不再是证书的正确名称.该技术在 90 年代后期得到改进,其名称更改为 TLS(传输层安全).然而,首字母缩略词 SSL 仍然存在,并且显然一直沿用至今.

您需要 SSL 和 HTTPS 做什么?

了解如何将 HTTPS 和 SSL 添加到 WordPress 绝对如果您经营电子商务网站并接受付款是必不可少的.您客户的财务信息是不可取的.

但是,Procoal 还可用于保护其他信息,例如登录凭据、地址数据以及人们希望保密的类似内容.

作为网站所有者,您可能还会出于更自私的原因考虑添加 HTTPS,因为它已成为 Google 和其他搜索引擎上的排名因素.虽然目前效果不是很好,但谷歌已经宣布,随着时间的推移,提升会越来越大.

另外,既然我们在谈论 SEO:HTTPS 也将有助于您的排名,因为它加载速度更快.不相信我?您可以在此处试用.我可能不必告诉你页面加载时间是一个排名因素.

切换到 HTTPS

将您的网站迁移到 HTTPS 的第一步是购买 SSL 证书.它们可以从许多不同的来源获得.

一个好的起点是您的托管公司,因为他们通常会提供证书作为其托管包的一部分或补充.

但是,还有许多第三方提供商.有关向谁求助的想法,您可以查看 Mozilla Firefox 中包含的证书颁发机构列表.

费用可能因提供商、(子)域的数量和其他因素而异.不幸的是,尤其是当您运行多个网站时,它会很快变得昂贵.

成本因素也是我等待Let's Encrypt,一个即将到来的免费开源证书颁发机构(Automattic 是赞助商之一).

确定证书后,您需要按照提供商的说明进行操作.过程因人而异,所以我不能在这里告诉你如何去做.

之后,您需要与您的托管服务提供商联系以实施证书并在服务器端切换到 HTTPS.这也是为什么向您的提供商寻求证书可能是最简单的选择的原因.

都完成了吗?好的,现在轮到您对 WordPress 进行必要的更改.

如何为 HTTPS 和 SSL 配置 WordPress

不幸的是,仅仅添加证书是不够的.您需要对 WordPress 进行额外调整.

以下步骤假设您希望在您网站的任何地方都使用 HTTPS,这通常是一个好主意.保存总比后悔好.

但是,也有一些用例仅在您网站的某些部分使用安全连接.我们稍后会谈到.

1.备份!

对于涉及网站重大更改的所有内容,您的第一直觉应该是创建备份.这样,如果出现问题,您始终可以恢复到以前的状态.所以现在就去做!我会等.

2.将 SSL 添加到 WordPress 管理区域

我们要做的第一件事是向 WordPress 后端的所有页面添加 HTTPS 连接.这样,当有人登录您的网站时,所有数据都将安全交换.

为了实现这一点,您需要将以下代码行添加到您的 wp-config.php 文件中:

define('FORCE_SSL_ADMIN', true);

请注意,此代码需要插入到"仅此而已,停止编辑!"行之前的某个位置.否则不会执行.

添加行、保存文件并将其重新上传到您的服务器后,就可以运行快速测试了.转到您的登录页面(即 http://yoursite.com/wp-admin)以检查是否一切正常.

如果一切顺利,您应该有一个安全的连接.但是,如果您遇到问题,请从 wp-config.php 中删除该行,因为它出了问题,您需要进行一些故障排除.

但是,现在我们假设一切正常,我们可以继续下一步.

3.更新您的网站地址

如果您的管理区域已成功移至 HTTPS,那么就该对网站的其余部分执行相同操作了.为此,我们首先需要更改您的网站地址.

就像去设置>一样简单.常规 并将 http:// 添加到您的 WordPress 地址(您的安装所在的位置)和站点地址(您的访问者在浏览器中输入的地址).

保存并完成.之后您可能需要重新登录.

为了确保您的访问者能够真正安全地浏览您的网站,您还必须在 .htaccess 中设置重定向.大多数人应该已经在他们的服务器上有这个文件(确保你的 FTP 显示隐藏文件),但如果没有,现在是时候设置一个了.

.htaccess 文件中,发布以下代码行:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>

现在您的所有访问者都应自动重定向到您网站的安全部分.好多了,对吧?

仅在单个页面上设置 HTTPS

虽然我建议在您网站的任何地方都使用 SSL,但可能有些人只想在单个页面上使用它.

一个用例是,例如,如果您决定仅对网站的敏感部分(例如结账表格、购物车或类似部分)实施安全连接,而其余部分保持原样.

这个目标可以通过 WordPress HTTPS (SSL) 插件.它让您可以选择在您的网站上使用 HTTPS 的位置.

虽然该插件有一段时间没有更新,但有信誉的消息来源说它仍然可以使用.如果遇到问题,替代方法是 iThemes Security 具有类似功能.

问题排查

理论上,上述内容应该足以将您的整个站点迁移到 SSL.但是,由于事情并不总是一帆风顺,这里有一些问题排查提示.

1.混合内容警告

当您的部分内容继续通过 HTTP 传送而您网站的其余部分已转移到更安全的 HTTPS 时,就会发生混合内容.

在这种情况下,现代浏览器会显示警告,导致您的用户认为您的网站不安全.这当然应该避免.

使用免费工具 SSL 检查 扫描整个站点以查找不安全的图像、脚本和 CSS 文件等.有了这些信息,您就可以采取纠正措施.检查单个页面的替代方法是 为什么没有挂锁? .

您还可以在浏览网站时注意浏览器栏中的挂锁符号.当您访问包含混合内容的部分时,它会显示警告.

2.过期的证书

当您的证书到期时,访问者会收到有关它的强烈警告,并建议访问者不要进入您的网站.因此,您不应该让这种情况发生.请务必确保及时更新您的证书.

对于未经外部机构验证的自签名证书,也可能会发出相同的警告.使用信誉良好的 SSL 证书来源的另一个论据.

3.证书域名与站点地址不符

有时您的网站没有获得浏览器批准的原因是证书的域名和您网站的域名不同.如果是这种情况,您需要通过您的域权限来解决.

要确定此错误是否是您遇到的错误,请使用上述 为什么没有挂锁? 可以提供帮助.服务器分析的另一个工具是 SSL 实验室的 SSL 服务器测试.它也可以免费使用,并且可以为您提供有关 SSL 配置的大量信息.

4.CDN 不支持 SSL

如果您是众多使用内容交付网络来加快网站速度的 WordPress 用户之一,则在进行切换之前,您需要确保您的 CDN 支持 SSL.MaxCDN 是我听到的关于 HTTPS 的好消息的一个例子.如果您使用不同的提供商,请事先与他们联系.

如果您决定使用 MaxCDN,我们有一个 独家优惠券代码,可为您提供 25 % 折扣.

总结

如果您正在运行处理敏感数据的 WordPress 网站,您将无法绕过实施 HTTPS.如果没有流量加密,您客户的信息被拦截的风险太大了.

除了作为负责任的服务提供商之外,增加的安全层也是搜索引擎的积极信号.因此,如果您不为客户做这件事,至少要为排名做.

但是,重要的是要注意 HTTPS 并不是 WordPress 安全的全部和最终目的.为了确保您的网站真正安全,需要采取额外措施.

一个好的起点是高质量的安全插件,例如前面提到的 iThemes securityWordFence多合一WP 安全.考虑像 Sucuri 这样的付费服务也是不错的选择.除此之外,还可以在 WPKube 上此处找到许多关于安全性的文章.

请记住,一盎司的预防胜过一磅的治疗.认真对待 WordPress 安全性.您的访客和客户会感谢您.

您是否已切换到 HTTPS/SSL?有什么要补充的吗?请在评论中分享您的想法.

5
订阅评论
提醒
0 评论
内联反馈
查看所有评论