WordPress SSL HTTPS – 如何安裝網站安全通訊協定
隨著 WordPress 官網宣告將在 2017年全面推動 HTTPS,因此 2017年開始 max 也開始幫一些朋友的網站網址從HTTP變更為HTTPS網址,讓 WordPress網站支援 SSL 安全通訊協定。在 WordPress網站要將網址從HTTP變更為HTTPS非常容易,只需要在後台管理介面將設定網址的欄位內容直接修改就可以完成了。這一篇文章的內容主要放在分享如何修改 WordPress網站設定與變更網址後的修改要點。
WordPress SSL HTTPS 設定
WordPress網站網址提供HTTPS超文字傳輸安全協定,需要網站主機擁有安全憑證,憑證取得的方式大致上分為購買或是免費憑證,在過去的網站主機如果想要擁有SSL憑證,都是需要透過購買才能取得,購買到的憑證也需要自行在主機上安裝設定,當然如果透過主機商幫忙購買取得的憑證,通常主機商就會幫您安裝設定完成。今天分享的是主機商提供 Let’s Encrypt 的免費 SSL 憑證服務,也因為主機商已經在主機上安裝了 Let’s Encrypt SSL/TLS 免費憑證服務,所以我們只需要修改網址就可以開始使用了。
- 在 WordPress 網站後台管理介面的設定,修改WordPress 位址(URL)與網站位址(URL)這兩個欄位,將網址的 http 修改為 https這樣就可以了(圖一)。
- 完成以後會被 WordPress強迫登出而出現WordPress登入頁面(圖二),只要再重新登入以後就算是完成第一階段。
- 這是使用瀏覽器開啟網站網頁時,就可以看到網址列多了鎖頭但是加了驚嘆號的符號(圖三圖示是 Firefox 瀏覽器所示),這是因為網站的網頁內容圖片還是使用舊網址HTTP開頭的網址(如果開啟 Google Chrome 的開發人員工具,可以在 Security Overview 看到標式類似為 Mixed Content The site includes HTTP resources. View 1 request in Network Panel 的錯誤訊息(圖四))。
- 只要將這些舊的鏈結修正完畢就可以看到正確的綠色鎖頭圖示了(圖五),如果是使用 Google Chrome 瀏覽器則在綠色鎖頭的前面多了安全兩個字(圖六)。
結論
WordPress網站在與訪客的資料傳遞過程,需要具備安全的防護措,來保護這些私密資料,這些舉動將會是網站將來的基本要求。如果您的網站還沒有開始,那麼請儘早規劃 SSL/HTTPS。如果您的網站已經在進行電子商務,那麼您更應該要為您的網站加裝 SSL/HTTPS。不論是免費的或是付費的基本款憑證,都是一個開始,讓自己的網站隨時保持在最安全與穩定的狀態,是網站管理者與網站設計者需要嚴謹對待的一個課題。
(補充說明一)
在修改網站混合內容 Mixed Content The site includes HTTP resources 時,如果錯誤的資料檔案少的話,可以逐一檢視修正。如果非常多的話那應該如何處理呢?以 max的網站來舉例,網址變更到HTTPS後有成千上萬個資料需要修正,這麼多的資料需要修改,max是透過資料庫檔案來一次修改,修改的方式很簡單,將 WordPress網站的資料庫檔案下載回來,透過文字編輯器,編輯這個資料庫檔案。以尋找取代的方式一次修改完畢,當然如果牽扯到資料庫檔案修改,絕對要在進行前做好備份的工作。
(補充說明二)
要強制登入WordPress 網站管理介面使用SSL/HTTPS,可以編輯 wp-config.php檔案,加入以下設定。
1 |
define('FORCE_SSL_ADMIN', true); |
想要讓網站的網址都指向HTTPS,可以編輯網站根目錄的 .htaccess檔案,加入以下設定。
1 2 3 4 |
# 網址指向 HTTPS RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] |
max您好,
很高興獲得您分享的此貼文, 小弟我經過wp-config.php裡define URL為https後, 網址列的https變成綠色了.
目前主要的問題是會員的PO文刪除不能成功, 會進入你沒有權限的頁面, 想請問您怎樣改善此問題呢?
感謝您~
您好,網站管理者與會員是不是可以正確透過https登入各自管理介面?PO文刪除不能成功?是指管理者要刪除會員的文章,還是會員自己刪除文章?
您好,我不小心直接改了網址,在設定中把http改成https,結果網站顯示File not found (404 error)
請問救得回來嗎
如果你的主機商沒有提供網站免費的SSL或是你自己也沒有購買安裝SSL的話,先登入你的主機後台管理介面,找到phpMyAdmin服務選項,WordPress 位址(URL)與網站位址(URL)改回原來的。
Hi
我因為修改了背景主題 登出wordpress 後無法再登入
網址如下http://mumballuporganics.com.au/wp-login.php?redirect_to=http%3A%2F%2Fmumballuporganics.com.au%2Fwp-admin%2F&reauth=1
我看你的文章上面說“透過FTP軟體連上安裝wordpress的主機 來將背景主題改名稱“
我下載了FileZilla 將host 輸入 ftp://mumballuporganics.com.au
username 與password輸入我平常用來登入的資料
卻顯示無法連接伺服器與登入錯誤
現在我的網站顯示isn’t working
請問我要怎麼解決??
謝謝
你好,使用FTP登入主機所使用的帳號密碼,不是你登入WordPress的那一組帳號密碼。而是你承租主機時,主機商給你的帳號密碼,你可以登入主機管理介面(並非WP管理介面)。