SSL是什么?SSL证书和WordPress的初学者指南
您可能熟悉SSL证书,也可能不熟悉,但一定见过它们的实际应用。它们是将HTTP URL转换为HTTPS URL所必需的。
它们已经成为某些网站的必要安全协议,特别是传输和/或存储个人数据的网站,例如电子商务站点.它们已经成为保持互联网安全的机器的重要组成部分,以至于谷歌宣布他们在2014年谷歌I/O会议上开始使用它作为排名因素。
然而,值得注意的是,这个排名因素影响“不到1%的全球查询”,而且它“比其他信号(如高质量内容)的权重小”。
他们最后说:
但随着时间的推移,我们可能会决定加强它,因为我们希望鼓励所有网站所有者从HTTP切换到HTTPS,以保证每个人在网络上的安全。
至于WordPress使用SSL和HTTPS, Matt Mullenweg发表了一篇文章博客2016年12月1日,声明如下:
我们正处在一个转折点:2017年我们将看到WordPress要求主机提供HTTPS的特性。就像JavaScript是更流畅的用户体验的必需品,更现代的PHP版本对性能至关重要一样,SSL是我们的用户将面临的下一个障碍。
根据Matt的说法,WordPress的SSL未来只从与提供SSL的web主机证书作为默认的WordPress主机服务。该团队还将评估哪些功能“将从SSL中受益最大,并只在有SSL时启用它们”。Matt以API身份验证为例。
正如你所看到的,有影响力的人正在推动这个安全协议,但它到底是什么,你如何在WordPress中使用它?我们来谈谈这个。
什么是SSL证书?
首先,在开始理解SSL证书是什么之前,您需要先了解SSL是什么。SSL代表“安全套接字层”,但这不是您需要了解的内容。下面是官方定义SSL.com,如果你好奇的话:
SSL(安全套接字层)是在web服务器和浏览器之间建立加密链接的标准安全技术。此链接确保在web服务器和浏览器之间传递的所有数据保持私有和完整。SSL是一种行业标准,被数以百万计的网站用于保护他们与客户的在线交易。
您可以将电子商务网站结帐页面上的SSL连接想象成在恶劣的暴风雨中从商店开车回家。您的身体代表您发送到网站的个人数据(您的运输和付款信息)。商店代表您的浏览器,您的家代表站点的服务器,而雨、冰雹和飞溅的碎片代表黑客。
但是,您的汽车代表SSL连接。它保护你不受雨水、冰雹和飞行碎片的伤害,就像SSL连接保护你的个人数据不受黑客攻击一样。
SSL证书是形成此连接所必需的。如果没有这种保护,黑客可能会在你的数据到达服务器之前窃取或“拦截”你的数据。这就是为什么SSL和HTTPS对于任何处理来自用户的任何类型的个人数据的网站都是必须的,例如接受客户付款的电子商务网站。
作为用户,您可以通过查看地址中的URL是否以“https”开头来判断您正在访问的页面是否使用SSL加密。我们将在下一节中详细讨论不同类型的证书,但有一种特定类型的证书会给您提供绿色文本和挂锁。您可以单击这个挂锁来查看证书的来源。
您甚至可以单击Certificate Information查看它何时到期。
没有使用SSL加密的网站在Chrome中会有一个简单的纸质图标。在Firefox中,此区域将为空白。如果你在这两种浏览器中单击论文或“i”图标,你会发现一条消息告诉你,你与该网站的连接不安全。
如果浏览器认为应该加密的页面没有加密,Firefox将在锁定符号前显示黄色警告图标或红色对角线。
这可能会误导不知情的互联网用户,认为您的网站已被黑客攻击或包含垃圾邮件/恶意数据,旨在窃取他们的个人资料。
如何获得SSL证书?
获取SSL证书主要有两种方式:
- 您的主机。
- SSL证书提供者,通常称为“证书颁发机构”。
以下是在其托管计划中包含SSL证书的网络主机的快速列表:
- WPX托管
- 狗万手机网页版
- SiteGround (WordPress官方托管合作伙伴)
- WP引擎
- Kinsta
- 飞轮(WordPress官方主机合作伙伴)
- InMotion托管
- DreamHost (WordPress官方主机合作伙伴)
- Bluehost (WordPress官方主机合作伙伴)
无论如何,这都不是一个详尽的清单。好消息是,您可能会发现免费SSL证书甚至在最便宜的共享主机.
但是,如果您的主机不提供SSL证书,或者您的计划中不包括SSL证书,则需要从第三方处获取SSL证书。以下是出售SSL证书的服务列表:
您还可以从开源CA获得免费证书让我们加密.您必须具有shell访问权限(SSH)才能使用Let’s Encrypt提供的证书,如果主机没有为您安装证书,则必须手动安装证书。你可以学习更多关于如何使用这个Certbot指南.
幸运的是,许多网络主机,包括上面提到的一些,都通过Let 's Encrypt提供免费的SSL证书,这是它们的主机包中的标准功能,你不需要手动安装Let 's Encrypt证书。
下面是一个简短的列表:
- SiteGround
- 狗万手机网页版
- WP引擎
- Kinsta
- WPX托管
- 飞轮
- DreamHost
无论您从哪里获得SSL证书,价格都会根据您购买的证书类型和证书提供的保护级别而有很大差异。价格低至免费,高至800美元以上。
SSL证书有哪些不同类型?
当您访问这些网站或试图从您的主机上安装SSL证书时,您将看到许多不同的名称弹出。有“DV证书”、“EV证书”、“通配符证书”等等。
下面是现有的不同类型的SSL证书的快速概述。
领域验证(DV)
这是最便宜的SSL证书类型。它是不处理用户任何形式个人信息的博客和网站的理想选择,因为它只提供基本的加密。它要求您验证域的所有权,但验证过程最多只需要几个小时。
组织验证(OV)
OV证书比DV证书更高级一些。它们是电子商务网站和任何处理用户个人数据的网站所要求的最低保护级别。
DV证书由您自己验证。另一方面,OV证书由我们已经解释过的“证书颁发机构”进行验证。DigiCert是证书颁发机构的一个例子。验证通常也需要比与DV证书相关的验证过程更长的时间。
扩展验证(EV)
如前所述,这是为您提供绿色文本和挂锁图标的SSL证书类型。这是一种比DV或OV更高级的证书。它也是最受欢迎的证书,尤其是在电子商务网站中。
按照前两种类型证书的趋势,验证EV证书的过程比验证DV或OV证书的过程严格得多。
圣
SAN证书允许您使用一个证书加密多个域。它们通常比单域DV、OV或EV证书昂贵得多。
通配符
通配符证书允许您加密单个域下无限数量的子域。
是否需要SSL证书?
这似乎是你只有在接受付款时才需要的东西,但它远不止于此……
就像我们在本文开头讨论的那样,SSL是一种保护网站和用户设备之间发送数据的方法。
这并不能让你的网站更安全,但从安全的角度来看,这仍然很重要。
例如,如果用户正在使用公共wi-fi或被劫持的路由器浏览互联网,SSL就是用来防止信息被拦截的。这是保护我们用户的重要一步,它提高了信任。
还有一些技术可以提高网站的性能(例如http/2和Brotli压缩)。我们都想要更快的网站,不是吗?
现在Chrome将把所有没有SSL的网站标记为“不安全”。
所以,由于现在获得SSL证书是多么容易和便宜(感谢Let 's Encrypt!),没有好的理由避免切换到https。
也就是说,如果你能得到一个比“让我们加密”更好的SSL证书——这是非常值得做的。
安装SSL证书
这就是事情变得有点复杂,甚至有点模糊的地方。在服务器上获取和安装SSL证书的过程因主机而异。例如,像SiteGround这样的主机允许您通过cPanel在站点上安装SSL证书。你所需要做的就是进入你的cPanel仪表板,滚动到安全部分,选择Let’s Encrypt,然后安装它。
阅读主机发布的关于获取、安装和配置SSL证书的所有教程和知识库文章。如果你找不到信息,直接问他们。
如何使用SSL证书WordPress
好吧,你已经确定你需要一个SSL证书,你已经购买了一个而且您已经在服务器上安装了它。只有一个问题。您的网站还没有切换到HTTPS。
不幸的是,在WordPress站点上正确启用SSL还需要一些步骤。我们来看一下。
如果站点是新的
如果站点是新的,那么您的工作就非常简单。你只需要去设置→常规,并在“WordPress地址(URL)”和“网站地址(URL)”框中输入网站的HTTPS URL。点击保存更改一旦你完成了。
如果失败了,或者你的网站不是新的
我们将在一分钟内了解如何在WordPress站点上使用代码启用SSL,但让我们先介绍一种更简单的方法。这种方式是一个叫做非常简单的SSL.在您的服务器上安装SSL证书后,您所需要做的就是安装并激活此插件,以正确配置站点上的SSL。
如果没有生效,请转设置→SSL查看插件是否检测并启用了站点上的SSL。如果没有,启用它。
这个插件到底做什么?以下是概述:
- 将您的站点URL和主页URL更改为HTTPS。
- 通过.htaccess或JavaScript将传入的请求重定向到HTTPS。
- 修复不安全的内容并将其更改为HTTPS。
- 配置第一次在WordPress站点上启用SSL时可能出现的服务器问题。
如果你想走手动路线
如果您不想使用插件,并且正在向现有站点添加SSL,请将这段代码添加到您的. htaccess文件:
RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.example.com/$1 [R,L] .c> RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.example.com/$1 [R,L] .c> RewriteEngine On RewriteCond %
将“example.com”替换为您的URL。此外,如果你的URL不使用“www”,请删除它。
如果要加密多站点管理页面
如果您有一个多站点网络,并且希望使用SSL加密管理区域和登录页面,请将这段代码添加到您的wp-config.php文件:
定义(“FORCE_SSL_ADMIN”,真正的);
如果你使用WooCommerce
您仍然需要使用Really Simple SSL或将该代码片段添加到您的.htaccess文件中,但如果您运行的是WooCommerce站点,则需要采取额外的步骤。
去WooCommerce→设置→结账中,选择强制安全签出,并保存更改。指这个页面如果你在这之后遇到任何问题。
如果你使用的是简易数字下载
与WooCommerce类似,您仍然需要使用Really Simple SSL或将该代码添加到您的. htaccess文件,如果您使用EDD。然而,还有最后一步要做。
去下载→设置→杂项→结帐设置中,选择在签出时强制SSL,并保存更改。
确保SEO排名的其他步骤
使用像Really Simple SSL这样的插件会有很大的帮助,但是通常还有很多事情需要做,才能从HTTP迁移到HTTPS,而不会对你的网站的谷歌排名产生负面影响。
这里有一些额外的步骤,你可以采取防止你的网站的SEO排名下降太多:
- 更新硬编码链接—硬编码的url可能无法正确重定向。使用如下插件更好的搜索替换搜索“http://yourdomain.com”,并将其替换为“https://yourdomain.com”。
- 将CDN从HTTP迁移到HTTPS-如果您使用CDN提供某些内容,则需要将其从HTTP迁移到HTTPS。您需要参考CDN的文档来完成此操作。一旦你这样做了,打开你正在用于CDN集成的WordPress插件的设置区域,并将CDN URL切换为HTTPS。
- 修复混合/不安全的内容-您网站的某些内容可能会向浏览器发送混合内容或不安全内容警告,您的用户将会看到这些警告。使用如下工具SSL检查扫描您的网站的混合内容。
- 更新谷歌搜索控制台-在谷歌搜索控制台中为您的站点的HTTPS版本创建一个新的配置文件,并使用它重新提交您的站点地图。确保您下载了任何拒绝文件的HTTP版本,并在HTTPS配置文件下提交它们。
关注你的排名。当您第一次从HTTP迁移到HTTPS时,您可能会看到略有下降,但最终应该会有所改善。稍微深入一点,看看如果你的排名一直没有提高,你是否错过了什么。
最终的想法
我们关于SSL证书和WordPress的文章到此结束。在您的站点上启用此安全协议可能很困难,但我们希望我们为您简化了这个过程。
下面是关于SSL证书和WordPress你需要知道的所有事情的快速总结:
- 了解SSL加密是什么,以及它对某些网站(如电子商务网站)的重要性。
- 了解不同类型的SSL证书之间的差异,并确定哪种SSL证书适合您。
- 了解您的主机是否提供SSL证书,如果不提供,请寻找证书颁发机构。
- 在服务器上安装SSL证书。
- 在WordPress中通过插件或手动代码配置SSL。
- 如果你正在使用WordPress的电子商务平台,请配置好。
现在就看你了。好运!
相关阅读:
