首先获取SSL证书并安装,通过主机控制面板或Certbot工具部署Let’s Encrypt证书;接着在wp-config.php中添加定义强制后台HTTPS,并修改WordPress设置中的站点地址为HTTPS;然后使用插件或手动方式解决混合内容问题,确保所有资源加载采用HTTPS;最后更新网站地图、提交至搜索引擎并配置.htaccess实现HTTP到HTTPS的301重定向,完成全站安全升级。
为WordPress网站添加SSL证书实现HTTPS,主要是为了提升网站安全性、增强用户信任并有利于SEO排名。整个过程包括获取SSL证书、服务器配置以及WordPress端的适配调整。以下是具体操作步骤。
获取并安装SSL证书
大多数情况下,SSL证书由你的主机服务商提供免费选项,比如Let’s Encrypt。你可以通过以下方式获取和安装:
- 如果你使用的是支持自动SSL的主机(如SiteGround、Bluehost、阿里云、腾讯云等),登录主机控制面板,找到“SSL”或“安全”选项,启用免费的Let’s Encrypt证书,一键部署即可。
- 若使用VPS或独立服务器,可通过Certbot工具手动申请和配置Let’s Encrypt证书,命令行运行certbot --nginx或certbot --apache根据提示完成。
- 安装完成后,确保域名已正确指向服务器且DNS解析生效,否则证书申请会失败。
强制WordPress使用HTTPS
证书安装成功后,需让WordPress识别并使用HTTPS协议。有两种常见方法:
-
通过wp-config.php文件设置:在网站根目录的wp-config.php文件中,在
/* That's all, stop editing! */之前添加以下两行: -
修改站点地址:进入WordPress后台 → 设置 → 常规,将“WordPress地址”和“站点地址”从
http://改为https://,保存更改。
define('FORCE_SSL_ADMIN', true);
$_SERVER['HTTPS'] = 'on';处理混合内容问题
即使启用了HTTPS,页面中如果仍加载HTTP资源(如图片、CSS、JS),浏览器会标记为“不安全”。解决方法如下:
- 使用插件自动修复,例如Really Simple SSL或SSL Insecure Content Fixer,它们能自动检测并替换资源链接为HTTPS。
- 手动检查主题和插件中的硬编码URL,确保所有静态资源链接以
https://开头或使用相对协议(如//example.com/image.jpg)。 - 清除缓存(包括浏览器缓存、CDN缓存和WordPress缓存插件),确保新设置生效。
更新网站地图和搜索引擎设置
启用HTTPS后,相当于网站协议变更,建议执行以下操作:
- 重新生成网站地图(可使用Yoast SEO或All in One SEO等插件),提交新的HTTPS版本到Google Search Console和百度站长平台。
- 在Google Search Console中添加HTTPS版本的站点,并验证所有权。
- 设置301重定向,将所有HTTP请求跳转到HTTPS,可在.htaccess文件中添加规则:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
基本上就这些。只要SSL证书安装正确,WordPress配置得当,再处理好资源链接和重定向,你的网站就能稳定运行在HTTPS下,安全又专业。
