為 WordPress 網站開啟 SSL 安全憑證及設定 HTTPS

最後更新於 2021 年 10 月 3 日

　　一般來說，你的網站網址都會是http開頭的，且沒有通過SSL憑證的網站瀏覽器會將之視為不安全。

什麼是SSL安全憑證？

　　SSL(Secure Sockets Layer)可為瀏覽器或電腦和伺服器或網路之間建立加密連結。在每次會話時（session）時，SSL 連結可保護信用卡資訊等交換機密資料不會遭到非授權方攔截。

那麼你可能要問，我一定要安裝SSL安全憑證嗎？

SSL可以保護瀏覽器與伺服器之間的安全與隱私。

如果你是公司、購物網、會員網這種需要有金錢交易重視資料安全性的網站，建議你的網站要購買付費的SSL憑證。

若你是個人網站、沒有重要資料的網站，建議可以安裝免費的SSL憑證。

因為未申請SSL的網站會被瀏覽器掛上「不安全」的標籤，而且比較不容易被收錄到Google，所以建議無論如何都要安裝SSL憑證。

那麼，SSL安全憑證需要花錢嗎？
　　這就要看你的主機商了，若你是使用Siteground、Cloudways或者Bluehost…等大牌主機商，它們都已經有提供免費的安全憑證，只需要在主機控制面板做安裝即可。但若你的主機並沒有提供SSL安全憑證的功能，你可以在ssls、digicert購買，或者Gandi(台灣的)。

根據安全性的等級不同，價格也有所不同，至於憑證分級建議可以參考：

　　 我是使用Siteground主機，而Siteground是使用Let’s Encrypt這個免費、自動化和開放的憑證頒發機構提供的SSL憑證服務。

安裝SSL安全憑證

　　 首先到主機後台 找到「SECURITY – SSL Manager」，選中網站網址，Select SSL「Let’s Encrypt」按下GET安裝SSL憑證。

安裝好後狀態欄會顯示Active 。

確認SSL憑證正確安裝

　　 安裝完憑證後使用 SSL Checker 來確認網站SSL的憑證安裝是否成功。

當出現以下畫面代表憑證安裝完成。

安裝插件

　　 憑證安裝成功後回到WordPress的後台，安裝並啟用插件「Really Simple SSL」，使用這個插件可以替你完成剩餘的設定而不需要手動去修改。

選擇「繼續啟用SSL」。

接著打開網站，會發現網址已經變成https開頭了。

而瀏覽器上方網址欄會有一個鎖頭顯示「已建立安全連線」。

手動重新定向

　　你可能會說，那這樣我以前分享的連結都是 HTTP 開頭，我是不是需要手動去修正成HTTPS呢？

答案是不需要。你安裝的Really Simple SSL插件就已經替你自動將HTTP重新定向到HTTPS的位置。

　　除非您使用的是CDN，則可能還需要更新CDN設置中的URL。而確切的過程將取決於您使用的CDN，所以無法具體說明。你可以聯繫CDN或查看CDN的支持文檔，以確定是否/如何將URL更新為HTTPS。如果你不知道什麼是CDN，則可以忽略此步驟。

如果要在WordPress強制使用SSL和HTTPS，則可以在wp-config.php文件中添加以下行：

define('FORCE_SSL_ADMIN', true);

如何檢測網站SSL憑證安全等級？

　　如果你有這樣的困擾可以使用Qualys SSL LABS這個工具。

輸入你的網站域名，等待約5-10分鐘。

分析完畢之後你可以在下方看到有關SSL憑證的相關資訊。

等級說明：

• A+：優良的配置。
• A：可接受(健全)的商業安全。
• B：適用於當前客戶的安全性，也適合可能使用過時加密的老客戶，此外有較小的配置問題。
• C：當前客戶使用過時的加密或是配置有較大的問題，如：過時的配置。
• D：配置與安全問題。
• E：未使用。
• F：可開發的和/或可修補的問題、配置錯誤的伺服器、不安全的協議等。

　　從等級來看，A+顯然是最好的安全等級，而A和B是有足夠的商業安全，屬於可接受的範圍；C等級通常用於保留給時間之後的配置，D與F則是用於有嚴重配置及安全性問題的伺服器。

　　但在某些情況下不適合歸納在這些等級內，所以將它歸納在T等級，原因是憑證不受信任。它與F的差別在於伺服器沒有公開信任的憑證及配置明顯有問題，簡單來說就是伺服器的TLS配置不適用於。

　　當你完成了安裝SSL安全憑證且網址已更改為HTTPS開頭，或許你可以閱讀這篇文章【WordPress】如何讓網友在Google搜索到你的網站？讓Google收錄你的網站。

注：其實Siteground也是有提供HTTPS服務的，只要將「HTTPS Enforce」功能啟用即可。

讓Chrome顯示完整網址

順帶一提，在截圖HTTPS的時候發現網路上取消Chrome自動隱藏HTTP的方法都已經失效了，原來是因為Chrome 80 已經不支持使用chrome://flags方式關閉。必須使用擴展「Suspicious Site Reporter」。

如此一來Chrome就能顯示完整網址了。

• About
• Latest Posts

pluto

懶癌末期患者，正以經營博客治癒。

Latest posts by pluto (see all)

• Express + MongoDB 實作使用者增刪改查 API 及登入 API - 2022 年 7 月 2 日
• 解決 React Highcharts 資料筆數過多造成圖表渲染卡頓的情形 - 2022 年 6 月 28 日
• React 那些好看、有趣、實用的函式庫、組件庫推薦(2) - 2022 年 6 月 26 日

相關文章:

React 那些好看、有趣、實用的函式庫、組件庫推薦(1) Express學習筆記(5) – 身分驗證 Session & JWT Token Python 爬蟲 Aiohttp 爬各大小說網站排行榜 2022免費前端初學者學習資源(網站、電子書、趨勢追蹤、工具資源、面試題目…等) React 那些好看、有趣、實用的函式庫、組件庫推薦(2)