隨著 WordPress 官網宣告將在 2017年全面推動 HTTPS,因此 2017年開始 max 也開始幫一些朋友的網站網址從HTTP變更為HTTPS網址,讓 WordPress網站支援 SSL 安全通訊協定。在 WordPress網站要將網址從HTTP變更為HTTPS非常容易,只需要在後台管理介面將設定網址的欄位內容直接修改就可以完成了。這一篇文章的內容主要放在分享如何修改 WordPress網站設定與變更網址後的修改要點。
WordPress SSL HTTPS 設定
WordPress網站網址提供HTTPS超文字傳輸安全協定,需要網站主機擁有安全憑證,憑證取得的方式大致上分為購買或是免費憑證,在過去的網站主機如果想要擁有SSL憑證,都是需要透過購買才能取得,購買到的憑證也需要自行在主機上安裝設定,當然如果透過主機商幫忙購買取得的憑證,通常主機商就會幫您安裝設定完成。今天分享的是主機商提供 Let’s Encrypt 的免費 SSL 憑證服務,也因為主機商已經在主機上安裝了 Let’s Encrypt SSL/TLS 免費憑證服務,所以我們只需要修改網址就可以開始使用了。
- 在 WordPress 網站後台管理介面的設定,修改WordPress 位址(URL)與網站位址(URL)這兩個欄位,將網址的 http 修改為 https這樣就可以了(圖一)。
- 完成以後會被 WordPress強迫登出而出現WordPress登入頁面(圖二),只要再重新登入以後就算是完成第一階段。
- 這是使用瀏覽器開啟網站網頁時,就可以看到網址列多了鎖頭但是加了驚嘆號的符號(圖三圖示是 Firefox 瀏覽器所示),這是因為網站的網頁內容圖片還是使用舊網址HTTP開頭的網址(如果開啟 Google Chrome 的開發人員工具,可以在 Security Overview 看到標式類似為 Mixed Content The site includes HTTP resources. View 1 request in Network Panel 的錯誤訊息(圖四))。
- 只要將這些舊的鏈結修正完畢就可以看到正確的綠色鎖頭圖示了(圖五),如果是使用 Google Chrome 瀏覽器則在綠色鎖頭的前面多了安全兩個字(圖六)。
結論
WordPress網站在與訪客的資料傳遞過程,需要具備安全的防護措,來保護這些私密資料,這些舉動將會是網站將來的基本要求。如果您的網站還沒有開始,那麼請儘早規劃 SSL/HTTPS。如果您的網站已經在進行電子商務,那麼您更應該要為您的網站加裝 SSL/HTTPS。不論是免費的或是付費的基本款憑證,都是一個開始,讓自己的網站隨時保持在最安全與穩定的狀態,是網站管理者與網站設計者需要嚴謹對待的一個課題。
(補充說明一)
在修改網站混合內容 Mixed Content The site includes HTTP resources 時,如果錯誤的資料檔案少的話,可以逐一檢視修正。如果非常多的話那應該如何處理呢?以 max的網站來舉例,網址變更到HTTPS後有成千上萬個資料需要修正,這麼多的資料需要修改,max是透過資料庫檔案來一次修改,修改的方式很簡單,將 WordPress網站的資料庫檔案下載回來,透過文字編輯器,編輯這個資料庫檔案。以尋找取代的方式一次修改完畢,當然如果牽扯到資料庫檔案修改,絕對要在進行前做好備份的工作。
(補充說明二)
要強制登入WordPress 網站管理介面使用SSL/HTTPS,可以編輯 wp-config.php檔案,加入以下設定。
1 |
define('FORCE_SSL_ADMIN', true); |
想要讓網站的網址都指向HTTPS,可以編輯網站根目錄的 .htaccess檔案,加入以下設定。
1 2 3 4 |
# 網址指向 HTTPS RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] |