您是否希望将 WordPress 从 HTTP 迁移到 HTTPS 并在您的网站上安装 SSL 证书?
我们收到了很多有关此主题的请求,因为 Google 早在 2018 年 7 月就宣布 Chrome 浏览器将把所有没有 SSL 的网站标记为不安全。
在本文中,我们将向您展示如何通过添加 SSL 证书正确地将 WordPress 从 HTTP 迁移到 HTTPs。
如果您不知道 SSL 或 HTTPS 是什么,请不要担心。我们也将对此进行解释。
什么是 HTTPS?
HTTPS 或安全 HTTP 是一种加密方法,可保护用户浏览器与服务器之间的连接。这使得黑客更难窃听连接。
每天,我们都会与不同的网站分享我们的个人信息,无论是进行购买还是只是登录。
为了保护数据传输,需要创建安全连接。
这就是 SSL 和 HTTPS 的用武之地。
每个站点都会颁发一个唯一的 SSL 证书用于识别目的。如果服务器假装使用 HTTPS,并且其证书不匹配,那么大多数现代浏览器都会警告用户不要连接到该网站。
现在,您可能想知道为什么我需要将 WordPress 网站从 HTTP 迁移到 HTTPS,特别是如果它是一个不收取任何付款的简单博客或小型企业网站。
为什么需要 HTTPS 和 SSL?
2018 年,Google 宣布了一项计划,通过鼓励网站所有者从 HTTP 切换到 HTTPS 来提高整体网络安全性。作为该计划的一部分,他们流行的 Chrome 网络浏览器会将所有没有 SSL 证书的网站标记为“不安全”。
谷歌还表示,采用 SSL 的网站还将看到SEO 的好处,并且会比不安全的网站获得更高的搜索排名。此后,大量网站从 HTTP 切换到 HTTPS。
公告发布后,谷歌开始在 Chrome 中推出“不安全”警告。例如,如果有人使用隐身窗口访问 HTTP 网站,它将被标记为不安全。如果有人以常规模式访问 HTTP 网站并尝试填写联系表单或其他表单,则该网站将被标记为不安全。
当您的读者和客户看到此通知时,他们会对您的业务留下不好的印象。
这就是为什么所有网站都需要从 HTTP 迁移到 HTTPS 并立即安装 SSL。
更不用说,如果您想在电子商务网站上接受在线付款,则需要 SSL。
大多数支付公司,如Stripe、PayPal Pro、Authorize.net 等,在接受付款之前都需要安全连接。
我们的网站使用 SSL,包括 WPBeginner、OptinMonster、WPForms和MonsterInsights。
在 WordPress 网站上使用 HTTPS/SSL 的要求
WordPress中使用SSL的要求不是很高。您所需要做的就是购买 SSL 证书,并且您可能已经免费拥有它。
最好的 WordPress 托管公司为所有用户提供免费的 SSL 证书:
有关更多详细信息,请参阅我们的指南,了解如何为您的 WordPress 网站获取免费的 SSL 证书。
如果您的托管公司不提供免费的 SSL 证书,那么您需要购买 SSL 证书。
我们建议使用Domain.com,因为他们为常规和通配符 SSL 证书提供最佳的 SSL 交易。
通过从他们那里购买 SSL 证书,您还可以为您的网站获得 TrustLogo 站点印章,并且每个 SSL 证书都附带至少 10,000 美元的安全保证。
购买 SSL 证书后,您需要要求托管提供商为您安装。
设置 WordPress 使用 SSL 和 HTTPs
在您的域名上启用 SSL 证书后,您需要将 WordPress 设置为在您的网站上使用 SSL 和 HTTPs 协议。
我们将向您展示两种方法来做到这一点,您可以选择最适合您需要的一种。
视频教程
https://www.youtube.com/embed/aINUkl-Ogp4?version=3&rel=0&fs=1&showsearch=0&showinfo=1&iv_load_policy=1&wmode=transparent订阅 WPBeginner
https://www.youtube.com/subscribe_embed?usegapi=1&channel=wpbeginner&layout=default&count=default&origin=https%3A%2F%2Fwpbeginner.com&gsrc=3p&ic=1&jsh=m%3B%2F_%2Fscs%2Fapps-static%2F_%2Fjs%2Fk%3Doz.gapi.en.vQiXRrxCe40.O%2Fam%3DAQ%2Fd%3D1%2Frs%3DAGLTcCMBxIGVyXSdvvcs43a64yHt_P7dfg%2Fm%3D__features__#_methods=onPlusOne%2C_ready%2C_close%2C_open%2C_resizeMe%2C_renderstart%2Concircled%2Cdrefresh%2Cerefresh&id=I0_1448178294715&parent=https%3A%2F%2Fwpbeginner.com
如果您更喜欢书面说明,请继续阅读
方法 1:使用插件在 WordPress 中设置 SSL/HTTPS
这种方法比较简单,推荐初学者使用。
首先,您需要安装并激活Really Simple SSL插件。有关更多详细信息,请参阅我们有关如何安装 WordPress 插件的分步指南。
激活后,您需要访问设置 » SSL页面。该插件将自动检测您的 SSL 证书,并将您的 WordPress 站点设置为使用 HTTPs。
该插件将处理一切,包括混合内容错误。以下是该插件在幕后执行的操作:
- 检查 SSL 证书
- 将 WordPress 设置为在 URL 中使用 https
- 设置从 HTTP 到 HTTPs 的重定向
- 在内容中查找仍在从不安全的 HTTP 源加载的 URL,并尝试修复它们。
注意:该插件尝试使用输出缓冲技术来修复混合内容错误。它可能会对性能产生负面影响,因为它会在加载页面时替换网站上的内容。这种影响仅在首页加载时出现,如果您使用缓存插件,这种影响应该很小。
虽然该插件表示您可以保留 SSL 并安全地停用该插件,但这并不是 100% 正确。您必须始终保持插件处于活动状态,因为停用插件会返回混合内容错误。
方法 2:在 WordPress 中手动设置 SSL/HTTPS
此方法需要您手动解决问题并编辑 WordPress 文件。然而,这是一个永久且性能更加优化的解决方案。这就是我们在 WPBeginner 上使用的。
如果您发现此方法很困难,那么您可以聘请 WordPress 开发人员或使用第一种方法。
作为此方法的一部分,您可能需要编辑 WordPress 主题和代码文件。如果您以前没有这样做过,请参阅我们关于如何在 WordPress 中复制和粘贴代码片段的指南。
首先,您需要访问“设置”»“常规”页面。从这里,您需要通过将 http 替换为 https 来更新您的 WordPress 和站点 URL 地址字段。
不要忘记单击“保存更改”按钮来存储您的设置。
保存设置后,WordPress 会将您注销,并要求您重新登录。
接下来,您需要通过将以下代码添加到.htaccess 文件来设置 WordPress 从 HTTP 到 HTTPS 的重定向:
| 12345 | <IfModule mod_rewrite.c>RewriteEngine OnRewriteCond %{HTTPS} offRewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]</IfModule> |
由
如果您使用 NGINX 服务器,则需要在配置文件中添加以下代码以从 HTTP 重定向到 HTTPS:
| 12345 | server {listen 80;server_name example.com www.example.com;return301 https://example.com$request_uri;} |
由
不要忘记将 example.com 替换为您的域名。
通过执行这些步骤,您将避免 WordPress HTTPS 无法工作错误,因为 WordPress 现在将使用 https 加载您的整个网站。
如果您想在 WordPress 管理区域或登录页面上强制使用 SSL 和 HTTPS,则需要在wp-config.php 文件中配置 SSL 。
在“就这样,停止编辑!”上方添加以下代码 wp-config.php 文件中的行:
| 1 | define('FORCE_SSL_ADMIN', true); |
由
此行允许 WordPress 在 WordPress 管理区域强制使用 SSL / HTTPs。它也适用于WordPress 多站点网络。
执行此操作后,您的网站已完全设置为使用 SSL/HTTPS,但您仍然会遇到混合内容错误。
这些错误是由仍在使用 URL 中不安全的 HTTP 协议加载的源(图像、脚本或样式表)引起的。如果是这种情况,那么您将无法在网站的地址栏中看到安全挂锁图标。
许多现代浏览器会自动阻止不安全的脚本和资源。您可能会在浏览器的地址栏中看到一个挂锁图标,但会看到相关通知。
您可以使用检查工具找出哪些内容是通过不安全协议提供的。混合内容错误将在控制台中显示为警告,并包含每个混合内容项目的详细信息。
您会注意到,大多数 URL 是图像、iframe 和图像库,而有些是由 WordPress 插件和主题加载的脚本和样式表。
修复 WordPress 数据库中的混合内容
大多数不正确的 URL 是图像、文件、嵌入内容以及存储在 WordPress 数据库中的其他数据。我们先解决它们。
您需要做的就是在数据库中找到所有提及以 http 开头的旧网站 URL 的内容,并将其替换为以 https 开头的新网站 URL。
您可以通过安装并激活Better Search Replace插件轻松完成此操作。有关更多详细信息,请参阅我们有关如何安装 WordPress 插件的分步指南。
激活后,您需要访问工具»更好的搜索替换页面。在“搜索”字段下,您需要添加带有 的网站 URL http。之后,在“替换”字段下添加带有 https 的网站 URL。
在其下方,您将看到所有 WordPress 数据库表。您需要选择所有这些来进行彻底检查。
最后,您需要取消选中“作为试运行运行?”旁边的框。选项,然后单击“运行搜索/替换”按钮。
该插件现在将在您的 WordPress 数据库中搜索以 http 开头的 URL,并将其替换为安全的 https URL。这可能需要一段时间,具体取决于您的 WordPress 数据库大小。
修复 WordPress 主题中的混合内容错误
导致混合内容错误的另一个常见原因是您的 WordPress 主题。任何遵循 WordPress 编码标准的体面WordPress 主题都不会导致此问题。
首先,您需要使用浏览器的检查工具来查找资源及其加载位置。
之后,您需要在 WordPress 主题中找到它们并将其替换为 https。这对于大多数初学者来说会有点困难,因为您将无法看到哪些主题文件包含这些 URL。
修复由插件引起的混合内容错误
一些混合内容资源将由WordPress插件加载。任何遵循 WordPress 编码标准的 WordPress 插件都不会导致混合内容错误。
我们不建议编辑 WordPress 插件文件。相反,您需要联系插件作者并让他们知道。如果他们没有回应或无法解决问题,那么您需要找到合适的替代方案。
注意:如果由于某种原因,您仍然遇到混合内容错误,那么我们建议暂时使用Really Simple SSL 插件,以便您的用户在临时网站上修复问题或雇用开发人员时不会受到影响。
将您的 HTTPS 网站提交到 Google Search Console
像 Google 这样的搜索引擎将 https 和 http 视为两个不同的网站。这意味着您需要让 Google 知道您的网站已迁移,以避免出现任何 SEO 问题。
为此,您只需转到您的Google Search Console帐户并点击“添加属性”按钮即可。
这将弹出一个弹出窗口,您需要在其中添加网站的新 https 地址。
站点验证有两种方法: 域名 或URL前缀。我们推荐使用URL前缀方式,因为它更加灵活。
之后,Google 会要求您验证网站的所有权。
有几种方法可以做到这一点。选择任何方法,您将收到验证网站的说明。我们建议使用 HTML 标记方法。
您现在将看到一个 HTML 代码片段,您需要将其添加到 WordPress 网站的标题部分。
使用 All in One SEO 添加 Search Console 验证码
首先,安装并激活All in One SEO for WordPress插件。有关更多详细信息,请参阅我们有关如何安装 WordPress 插件的教程。
注意:还有一个免费版本的 All in One SEO您可以尝试。
激活后,转至All in One SEO » General Settings页面,然后单击 Google Search Console。
在其下方,您需要添加之前从 Google Search Console 网站复制的验证码。
不要忘记单击“保存更改”按钮来存储您的设置。
接下来,切换回 Google Search Console 选项卡并单击“验证”按钮。
一旦您的网站通过验证,Google 将在此处显示您的搜索控制台报告。
您还需要确保 https 和 http 版本均已添加到您的 Search Console。
这告诉 Google 您希望将网站的 https 版本视为主要版本。结合您之前设置的 301 重定向,Google 会将您的搜索排名转移到您网站的 https 版本,您很可能会看到搜索排名的提高。
我们希望本文能帮助您在 WordPress 中添加 HTTPS 和 SSL。您可能还想查看我们的终极WordPress 安全指南,其中包含确保您的 WordPress 网站安全的分步说明,或者我们的专家精选的WordPress 最佳分析解决方案。
