WordPress开启HTTPS

你是否想要将您的WordPress网站安装SSL证书并开启强制HTTPS呢?自2018年7月起,Google宣布Chrome浏览器将对没有安装SSL证书的网站标记为不安全,本文将带您了解如何给您的WordPress网站安装SSL证书。

什么是HTTPS

HTTP和HTTPS都是一种通信协议,可以保护浏览器与WEB服务器之间的连接。我们每天都在不同的网站之间共享着我们的个人信息和隐私,无论是购买商品还是登录账户。如果您访问的网站使用的是HTTP协议(用户浏览器与WEB服务器之间是明文通信),这就意味这我们的个人信息和隐私都将在互联网上裸奔,被黑客窃取走,无一例外。

为了保护用户的隐私,就有了HTTPS协议。所谓HTTPS协议就是使用了RSA/ECC加密算法,每个域名都需要在CA机构处申请SSL证书,在您首次访问网站时候会验证传输信息的作者身份,确认没问题才会恢复TLS会话。

TLS握手

每个域名都将拥有唯一的SSL证书,如果服务器盗用其他SSL证书,这样就会证书与域名不匹配,浏览器将会警告用户不要继续访问该网站。

file

如何获取SSL证书

SSL证书分为3种等级,域名验证型、组织验证型、企业拓展型。点击了解SSL证书三种等级的区别与不同

域名验证型是最基础的等级,只需要验证您的域名所属权即可获取到SSL证书文件。组织验证型和企业拓展型则需要在域名验证基础上还要对企业的真实性进行核验,企业拓展型(EV)证书还可以直接在浏览器地址栏展示公司名称或者商标/品牌名称,拓展阅读:使用环智中诚的EV SSL证书在浏览器地址栏展示您的品牌商标

如何安装SSL证书

常见的SSL证书安装方法我们已经帮您整理好了,常见的Nginx、Apache、IIS、Tomcat服务器的安装教程都很简单,具体可以在我们的SSL安装栏目查看

WordPress如何强制跳转HTTPS

在配置完SSL证书后,您的网站任然是显示不安全字样,不要着急。这是因为您没有开启强制跳转HTTPS,只需要再加一段,就可以解决这个问题。点击这里查看如何开启强制HTTPS

file

在开启强制跳转HTTPS后,返回WordPress后台,将WordPress地址(URL)站点地址(URL)的地址也改成HTTPS。

WordPress安装SSL证书后,任然没有显示安全锁

SSL证书对网站代码的安全性要求很高,但许多用户网站中却使用了大量的外链,而这些外部的资源(图片或js)正是不安全的因素所在,因此用户在部署SSL证书后需要对网站代码进行调整,这样才能保障网站的安全;在部署SSL证书后,通过https访问网站时,有些网站会出现以下提示,例:

  1. IE浏览器底部会提示“只显示安全内容”。
  2. 谷歌浏览器中锁型标识会显示异常,并提示:与yourdomain.com的连接采用128/256位加密技术。但是,此页面中包含其他不安全的资源。他人能在传输过程中查看这些资源,攻击者也可以进行修改,从而改变网页的外观。

弹出这些不安全因素的提示是由于网站页面上包含混合内容导致的,也就是说,网站页面上包含 http:// 的资源 也包含 https:// 的资源。通常这种情况是需要在网站页面上做一些调整才能去除提示。以下是常用的解决方法:
例如:在网站页面文件中,包含了其他网站非https的资源。

可以把该外链复制到URL中,并通过在http后添加个”s“访问,测试此外链是否支持https协议的链接。

  1. 如果可以访问,直接在代码中修改http为https的链接。
  2. 如果不可以访问,则可以下载该资源到本地服务器上,并修改资源路径,指向到服务器上,并使用相对路径如 <img src= image/button_111.gif > 或者完整的 https 路径<img src=https://***/image/button_111.gif>

网站出现不安全因素的提示时,请通过以上方法对代码进行调整,充分保障网站的信任。

乔客安全咨询保留著作权,发布者:Dream Nick,转载请注明出处:https://www.qiaokr.com/article/11018