為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

最後更新於 2021 年 10 月 3 日

  一般來說,你的網站網址都會是http開頭的,且沒有通過SSL憑證的網站瀏覽器會將之視為不安全

為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

什麼是SSL安全憑證?

SSLCertificates Diagram 2 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

  SSL(Secure Sockets Layer)可為瀏覽器或電腦和伺服器或網路之間建立加密連結。在每次會話時(session)時,SSL 連結可保護信用卡資訊等交換機密資料不會遭到非授權方攔截。

那麼你可能要問,我一定要安裝SSL安全憑證嗎?

SSL可以保護瀏覽器與伺服器之間的安全與隱私。

如果你是公司、購物網、會員網這種需要有金錢交易重視資料安全性的網站,建議你的網站要購買付費的SSL憑證。

若你是個人網站、沒有重要資料的網站,建議可以安裝免費的SSL憑證。

因為未申請SSL的網站會被瀏覽器掛上「不安全」的標籤,而且比較不容易被收錄到Google,所以建議無論如何都要安裝SSL憑證。

那麼,SSL安全憑證需要花錢嗎?
  這就要看你的主機商了,若你是使用Siteground、Cloudways或者Bluehost…等大牌主機商,它們都已經有提供免費的安全憑證,只需要在主機控制面板做安裝即可。但若你的主機並沒有提供SSL安全憑證的功能,你可以在ssls、digicert購買,或者Gandi(台灣的)。

根據安全性的等級不同,價格也有所不同,至於憑證分級建議可以參考:

LYJ1uRj 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS
來源: https://www.bearspace.com.tw/ssl/?cli_action=1585490864.856

   我是使用Siteground主機,而Siteground是使用Let’s Encrypt這個免費、自動化和開放的憑證頒發機構提供的SSL憑證服務。

安裝SSL安全憑證

   首先到主機後台 找到「SECURITY – SSL Manager」,選中網站網址,Select SSL「Let’s Encrypt」按下GET安裝SSL憑證。

NccGKZM 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

安裝好後狀態欄會顯示Active

uinmgEs 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

確認SSL憑證正確安裝

   安裝完憑證後使用 SSL Checker 來確認網站SSL的憑證安裝是否成功。

ELJs0vi 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

當出現以下畫面代表憑證安裝完成。

為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

安裝插件

   憑證安裝成功後回到WordPress的後台,安裝並啟用插件「Really Simple SSL」,使用這個插件可以替你完成剩餘的設定而不需要手動去修改。

bqtChs4 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

選擇「繼續啟用SSL」。

9EpPrsm 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS
為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

接著打開網站,會發現網址已經變成https開頭了。

tM2Yoiu 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

而瀏覽器上方網址欄會有一個鎖頭顯示「已建立安全連線」。

kpPK4oi 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

手動重新定向

  你可能會說,那這樣我以前分享的連結都是 HTTP 開頭,我是不是需要手動去修正成HTTPS呢?

答案是不需要。你安裝的Really Simple SSL插件就已經替你自動將HTTP重新定向到HTTPS的位置。

  除非您使用的是CDN,則可能還需要更新CDN設置中的URL。而確切的過程將取決於您使用的CDN,所以無法具體說明。你可以聯繫CDN或查看CDN的支持文檔,以確定是否/如何將URL更新為HTTPS。如果你不知道什麼是CDN,則可以忽略此步驟。

如果要在WordPress強制使用SSL和HTTPS,則可以在wp-config.php文件中添加以下行:

define('FORCE_SSL_ADMIN', true);

如何檢測網站SSL憑證安全等級?

  如果你有這樣的困擾可以使用Qualys SSL LABS這個工具。

輸入你的網站域名,等待約5-10分鐘。

為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

分析完畢之後你可以在下方看到有關SSL憑證的相關資訊。

qgt28OJ 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

等級說明:

  • A+:優良的配置。
  • A:可接受(健全)的商業安全。
  • B:適用於當前客戶的安全性,也適合可能使用過時加密的老客戶,此外有較小的配置問題。
  • C:當前客戶使用過時的加密或是配置有較大的問題,如:過時的配置。
  • D:配置與安全問題。
  • E:未使用。
  • F:可開發的和/或可修補的問題、配置錯誤的伺服器、不安全的協議等。

  從等級來看,A+顯然是最好的安全等級,而A和B是有足夠的商業安全,屬於可接受的範圍;C等級通常用於保留給時間之後的配置,D與F則是用於有嚴重配置及安全性問題的伺服器。

  但在某些情況下不適合歸納在這些等級內,所以將它歸納在T等級,原因是憑證不受信任。它與F的差別在於伺服器沒有公開信任的憑證及配置明顯有問題,簡單來說就是伺服器的TLS配置不適用於。

  當你完成了安裝SSL安全憑證且網址已更改為HTTPS開頭,或許你可以閱讀這篇文章【WordPress】如何讓網友在Google搜索到你的網站?讓Google收錄你的網站。

注:其實Siteground也是有提供HTTPS服務的,只要將「HTTPS Enforce」功能啟用即可。

dYuHISO 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS
qTWXvFu 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

讓Chrome顯示完整網址

順帶一提,在截圖HTTPS的時候發現網路上取消Chrome自動隱藏HTTP的方法都已經失效了,原來是因為Chrome 80 已經不支持使用chrome://flags方式關閉。必須使用擴展「Suspicious Site Reporter」。

為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS
XSt3Uab 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

如此一來Chrome就能顯示完整網址了。

tM2Yoiu 為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS
0 0 評分數
Article Rating
訂閱
通知
guest
0 Comments
在線反饋
查看所有評論