為什麼 WordPress 網站的 HTTPS 和 SSL 絕對必要

SSL 證書是一種安全措施，可加密您的網站與最終用戶之間的連接，幫助保護雙方。 當安裝在域上時，前綴“https”會出現在網址中。

雖然這不是強制性的，但最好的做法是讓實時服務器上的每個 WordPress 網站都配備 SSL 證書。 這有助於提高安全性，保護您的網站和訪問者免受黑客竊取個人信息、破壞您的網站以及防止垃圾郵件和惡意軟件的傳播，如上述統計數據所述。

在這篇文章中，我將分享有關 WordPress 的 HTTPS 和 SSL 的更多詳細信息，為什麼擁有它們至關重要，以及在您的網站上安裝 SSL 證書的可操作步驟列表。

什麼是 SSL 和 HTTPS？

HTTPS 是超文本傳輸協議 (HTTP) 的安全擴展，它是用於在瀏覽器之間傳輸數據的一組規則。 HTTPS 意味著所有通信都經過加密以防止未經授權的訪問。

HTTPS 通常用於對處理個人詳細信息（例如登錄、銷售和產品頁面以及表單）的網站進行編碼。

安全套接字層 (SSL) 是 HTTPS 使用的一種協議。 它可以作為域的 SSL 證書購買。 它確認該域為網站所有者所有，並且訪問者與網站之間的連接已加密。

當網站使用 SSL 時，URL 中會出現前綴“https”而不是“http”。 地址字段中還會出現一個綠色掛鎖符號。 具有更高安全級別的某些類型的證書包括掛鎖旁邊的公司名稱。

在 Stylemix 主題網站上啟用了 SSL。雖然 SSL 證書提高了網站的安全性，但它並不能保證網站是合法的，因為任何人都可以安裝基本證書，因此盡職調查以確保您仍然很重要'正在訪問一個安全的網站。

雖然，如果網站地址包含“https”前綴但沒有安裝 SSL 證書，最流行的瀏覽器會在連接前通知用戶警告。

還需要注意的是，傳輸層安全性 (TLS) 實際上是 SSL 的前身，並且它們經常可以互換使用。

有關詳細信息，請查看 WordPress 上的 HTTP 到 HTTPS 遷移的詳細指南。

為什麼你需要 WordPress 的 SSL

如果需要訪問 cookie 或任何類型的處理登錄或個人信息（包括信用卡號）的表單，則用於 WordPress 的 SSL 對於防止信息被洩露是絕對必要的。

請記住，默認情況下，每個 WordPress 網站還需要訪問 cookie。

如果沒有 SSL 證書，網站很容易受到 SQL 注入 (SQLI)、跨站點腳本 (XSS)、跨站點請求偽造 (CSRF)、身份驗證繞過、文件上傳和許多其他類型的攻擊等攻擊。 黑客可以竊取個人信息、劫持您的瀏覽器連接、將惡意軟件或垃圾郵件注入您的網站，或者以其他方式獲得訪問權限以做他們想做的任何事情。

擁有 SSL 證書不僅可以保護您和您的用戶，還可以幫助在您的網站與其用戶之間建立信任。

這就是為什麼在 2014 年，谷歌宣布具有 SSL 證書的網站將在搜索引擎排名中得到提升。

歐盟還於 2018 年 5 月制定了《通用數據保護條例》，雖然新法律沒有具體提及 SSL 證書的使用，但它確實要求網站充分確保來自歐盟的任何訪問者的安全和隱私。

雖然僅 SSL 證書不足以確保您的 WordPress 網站的安全，但它是關鍵的第一步。

SSL 證書如何工作？

當一個網站擁有 SSL 證書時，從瀏覽器傳遞到服務器的所有信息都被編碼為一系列隨機的字母和數字，而不是純文本，即人類可讀的單詞。

網站所有者可以從稱為證書頒發機構 (CA) 的發行公司購買 SSL 證書。

以下是獲取您自己的 SSL 證書的步驟：

1. 從 CA 購買證書。
2. 提供您的個人詳細信息，包括您的姓名、電子郵件和其他詳細信息。
3. 您將獲得一個公鑰和私鑰，它們是在數學上組合在一起的神秘的字母和數字字符串。 它們用於在安裝過程中對您的域進行身份驗證和加密。 您的私鑰應該保密。
4. 使用您之前在證書籤名請求 (CSR) 中提供的詳細信息提交您的公鑰。
5. 如果信息匹配且正確，則使用安全散列算法 (SHA) 對證書進行簽名。
6. 頒發 SSL 證書，您可以將其安裝在您的服務器上。

當用戶在瀏覽器中輸入 URL 時，會自動發生 SSL 握手：

1. 瀏覽器與服務器（Web 服務器或網站）連接並請求身份確認。
2. 服務器發送其 SSL 證書的副本，其中包含一個公鑰。
3. 瀏覽器檢查證書頒發機構擁有的證書，確保其信譽良好，然後發回會話的密鑰。
4. 服務器使用私鑰解密會話密鑰並返回加密的會話密鑰。
5. 瀏覽器和服務器之間的鏈接現在是安全的，並且在它們之間傳遞的所有數據都是加密的。

購買 SSL 證書

如前所述，可以通過 CA 購買 SSL 證書，並且大多數網站託管公司也可以通過託管計劃購買證書。

對於不同的網站要求和所需的安全級別，還存在不同類型的 SSL 證書，如下所述。

驗證級別

• 域驗證——CA 確認組織擁有網站的域。 這是一個基本的證書。
• 組織驗證– 對持有證書的組織進行調查和驗證。
• 擴展驗證– CA 確認組織的身份、合法存在、位置等。 這是證書的最高驗證級別。

安全域數

• 單一名稱 SSL – 保護單個子域或主機名
• 通配符 SSL – 對於單個域的無限數量的子域
• 統一/多站點/SAN SSL – 保護多達 100 個不同名稱的域

您還可以頒發並簽署自己的 SSL 證書，稱為自簽名證書，但大多數瀏覽器不認為這些證書是有效的。

為 WordPress 啟用 SSL 的證書的費用從免費到每年 800 美元或更多不等，具體取決於證書的類型和 CA。

與託管無關的免費選項是 Let's Encrypt，這是一個由非營利組織運行的自動化 CA，致力於使互聯網成為一個更安全的地方。 Let's Encrypt 與許多不同的網絡主機合作，以創建快速無縫的安裝。

有關詳細信息，請查看 Server Guy 的 SSL 證書類型終極指南和審查的 5 個最受歡迎的 SSL 證書頒發機構。

為 WordPress 設置 SSL

即使您已獲得 SSL 證書，但這並不意味著您的網站將自動安全。 對於單站點和多站點安裝，您​​首先需要執行幾個步驟，下面將詳細介紹這些步驟。

1.更改網址

在安裝證書之前，您需要更新站點的 URL。

在您的管理儀表板中，轉到“設置”>“常規”並更改您的WordPress 地址和站點地址，以包含“https”而不是“http”，以便使用 Apache 服務器單獨安裝 WordPress。

對於多站點安裝，您​​可以在wp-config.php文件中的以下行上方進行此更改：

 /* 就是這樣，停止編輯！ 快樂的博客。 */

添加以下代碼，但請務必將 mysite.com 替換為您的真實域：

 定義（'WP_HOME'，'https://mysite.com'）；
定義（'WP_SITEURL'，'https://mysite.com'）；

2.強制使用SSL

接下來，配置您的站點，使其強制對 WordPress 登錄頁面和管理儀表板使用 SSL。

將以下代碼添加到您的 wp-config.php 文件中，就在“happy blogging”行的上方：

 定義（'FORCE_SSL_ADMIN'，真）；

3.重定向到HTTPS

最後，設置 301 重定向，以便訪問者被自動重定向到您網站的啟用 SSL 的版本

將此代碼插入您的 <em>.htaccess</em> 文件高於任何已經存在的代碼：


<IfModule mod_rewrite.c>
重寫引擎開啟
RewriteCond %{SERVER_PORT} 80
重寫規則 ^(.*)$ https://www.mysite.com/$1 [R=301,L]
</IfModule>

確保將www.mysite.com替換為您的真實站點 URL，如果您的不是 80，請輸入正確的服務器端口。

保存所有文件並重新訪問您的站點以進行測試。 如果您看到 https 和綠色掛鎖，則您已成功在您的 WordPress 網站上安裝了 SSL 證書。

請記住，如果這些步驟不起作用，您可能需要清除瀏覽器、網站和服務器的緩存。

您還可以選擇使用真正簡單的 SSL 等插件自動執行此過程。

包起來

WordPress 網站的 SSL 對您的訪問者來說是一個重大勝利，因為它是保護您網站的第一步，也是至關重要的一步。

您是否能夠安裝 SSL 證書？ 是否有遺漏的 WordPress 詳細信息的 SSL？ 在下面的評論中分享您的想法。