什么是SSL?SSL证书和WordPress初学者指南
您可能熟悉SSL证书,也可能不熟悉,但您肯定已经看到了它们的实际应用。它们是将HTTP URL转换为HTTPS URL所必需的。
它们已经成为某些网站的必要安全协议,特别是传输和/或存储个人数据的网站,例如电子商务网站. 它们已经成为确保互联网安全的机器中的一个重要组成部分,以至于谷歌宣布在2014年谷歌I/O大会上,他们开始将其作为排名因素。
然而,应该注意的是,这个排名因子影响“不到1%的全局查询”,并且“比其他信号(如高质量内容)的权重更小”
他们最后确实说:
但随着时间的推移,我们可能会决定加强它,因为我们希望鼓励所有网站所有者从HTTP切换到HTTPS,以确保每个人在网络上的安全。
至于WordPress支持SSL和HTTPS,Matt Mullenweg发布了一个博客帖子2016年12月1日,声明如下:
我们正处于一个转折点:2017年将是我们在WordPress中看到需要主机提供HTTPS的功能的一年。正如JavaScript对于更流畅的用户体验几乎是必不可少的,而更现代的PHP版本对于性能至关重要一样,SSL只是我们用户将要面临的下一个障碍。
据马特说,WordPress与SSL的未来始于与提供SSL的web主机证书作为其WordPress托管服务的默认值。该团队还将评估哪些功能“将从SSL中受益最大,并使其仅在存在SSL时启用”Matt以API身份验证为例。
正如你所见,有影响力的人正在推动这个安全协议,但它到底是什么,你如何将它与WordPress结合使用?让我们谈谈这个。
什么是SSL证书?
首先,您需要先了解SSL是什么,然后才能开始了解SSL证书是什么。SSL代表“安全套接字层”,但这不是您需要知道的。以下是SSL。通用域名格式,如果您好奇:
SSL(安全套接字层)是用于在web服务器和浏览器之间建立加密链接的标准安全技术。此链接确保了web服务器和浏览器之间传递的所有数据保持私有和完整。SSL是一种行业标准,被数百万网站用于保护其与客户的在线交易。
你可以把电子商务网站的结账页面上的SSL连接想象成在暴风雨中从商店开车回家。您的身体代表您发送到网站的个人数据(您的发货和付款信息)。商店代表你的浏览器,你的家代表网站的服务器,雨水、冰雹和飞扬的碎片代表黑客。
然而,您的汽车代表SSL连接。就像SSL连接保护您的个人数据免受黑客攻击一样,它保护您免受雨、冰雹和飞行碎片的侵袭。
SSL证书是形成此连接所需的。如果没有这种保护,黑客可能会在数据进入服务器之前窃取或“截获”您的数据。这就是为什么SSL和HTTPS对于任何处理来自用户的任何类型的个人数据的网站来说都是必须的,例如接受客户付款的电子商务网站。
作为用户,您可以通过查看地址中的URL是否以“https”开头来判断您访问的页面是否使用SSL加密在下一节中,我们将更多地讨论不同类型的证书,但有一种特定类型的证书可以为您提供绿色文本和挂锁。您可以单击此挂锁查看证书的来源。
您甚至可以单击证书信息以查看其到期时间。
未使用SSL加密的站点将在Chrome中在其旁边有一个简单的纸图标。这个区域在Firefox中是空白的。如果你在这些浏览器中点击纸张或“i”图标,你会发现一条消息,告诉你你的网站连接不安全。
如果浏览器认为应该加密的页面未加密,Firefox将在锁符号前显示黄色警告图标或红色对角线。
这可能会误导不知情的互联网用户,使他们认为您的网站已被黑客攻击或包含旨在窃取其个人信息的垃圾邮件/恶意数据。
如何获得SSL证书?
获取SSL证书的主要方法有两种:
- 你的主人。
- SSL证书提供程序,通常称为“证书颁发机构”
以下是在其托管计划中包含SSL证书的web主机的快速列表:
- WPX托管
- 狗万手机网页版
- SiteGround(官方WordPress托管合作伙伴)
- WP发动机
- 谢斯塔
- 飞轮(官方WordPress托管合作伙伴)
- InMotion托管
- DreamHost(官方WordPress托管合作伙伴)
- Bluehost(官方WordPress托管合作伙伴)
无论如何,这不是一份详尽的清单。好消息是,您可能会发现即使在最便宜的共享主机.
但是,如果您的主机不提供SSL证书,或者您的计划中没有包含SSL证书,则需要从第三方获得SSL证书。以下是销售SSL证书的服务列表:
您还可以从开源CA获得免费证书让我们加密. 您必须具有shell访问权限(SSH)才能使用Let’s Encrypt中的证书,如果您的主机不为您安装证书,则必须手动安装证书。您可以了解更多有关如何使用此功能的信息Certbot指南.
幸运的是,许多web主机(包括上面提到的一些主机)将通过Let’s Encrypt作为其主机包中的标准功能提供免费SSL证书,从而消除了手动安装Let’s Encrypt证书的需要。
以下是它们的简短列表:
- 现场地面
- 狗万手机网页版
- WP发动机
- 谢斯塔
- WPX托管
- 飞轮
- DreamHost
无论您从哪里获得SSL证书,价格都会因您购买的证书类型和证书提供的保护级别而异。价格可以低至免费,高达800美元以上。
SSL证书有哪些不同类型?
当您访问这些站点或尝试从主机安装SSL证书时,您会看到许多不同的名称弹出。有“DV证书”、“EV证书”、“通配符证书”等等。
下面是现有的不同类型的SSL证书的快速汇总。
域验证(DV)
这是最便宜的SSL证书类型。它非常适合不处理用户任何形式的个人信息的博客和网站,因为它只提供基本的加密。它要求您验证域所有权,但验证过程最多只需要几个小时。
组织验证(OV)
OV证书比DV证书更高级。它们是电子商务网站和任何处理用户个人数据的网站所需的最低保护级别。
DV证书由您自己验证。另一方面,OV证书由我们已经解释过的“证书颁发机构”进行验证DigiCert是证书颁发机构的一个示例。验证通常也比与DV证书相关的验证过程耗时更长。
扩展验证(EV)
如前所述,这是一种提供绿色文本和挂锁图标的SSL证书。这是比DV或OV更高级的证书。它也是最受欢迎的证书,尤其是在电子商务网站中。
遵循前两种证书的趋势,验证EV证书的过程比验证DV或OV证书的过程要严格得多。
存储区域网络
SAN证书允许您使用单个证书加密多个域。它们通常比单域DV、OV或EV证书昂贵得多。
通配符
通配符证书允许您在单个域下加密无限数量的子域。
您需要SSL证书吗?
这可能看起来像是只有在你接受付款时才需要的东西,但它远不止这些…
正如我们在本文开头所讨论的,SSL是一种保护您的网站和用户设备之间发送的数据的方法。
这并不能让你的网站更加安全,但从安全角度来看,这仍然很重要。
例如,如果用户使用公共wi-fi或被劫持的路由器浏览互联网,SSL的设计目的是阻止信息被拦截。这是保护我们的用户的重要一步,它提高了信任。
然后是提高网站性能的技术(例如http/2和Brotli压缩)。我们都想要更快的网站,对吗?!
现在,Chrome将所有没有SSL的网站标记为“不安全”
因此,现在获得SSL证书是多么容易和廉价(谢谢,让我们加密!),没有什么好的理由可以避免切换到https。
这就是说,如果您可以获得比加密更好的SSL证书,那么这很值得一做。
安装SSL证书
这就是事情变得有点复杂,甚至有点模糊的地方。在服务器上获取和安装SSL证书的过程因主机而异。例如,类似主机的SiteGround允许您通过cPanel在站点上安装SSL证书。你所需要做的就是进入你的cPanel仪表板,滚动到安全部分,选择让我们加密,然后安装它。
阅读主机发布的关于获取、安装和配置SSL证书的所有教程和知识库文章。如果你找不到信息,直接问他们。
如何在WordPress中使用SSL证书
好的,您已经确定需要SSL证书,您已经购买了一个和您已经在服务器上安装了它。只有一个问题。您的网站尚未切换到HTTPS。
不幸的是,在WordPress站点上正确启用SSL还需要几个步骤。让我们看一下。
如果网站是新的
如果网站是新的,你的工作真的很容易。你只需要去设置→ 全体的,然后在WordPress地址(URL)和站点地址(URL)框中输入站点的HTTPS URL。点击保存更改一旦你完成了。
如果失败或者你的网站不是新的
我们将在一分钟内了解如何使用代码在WordPress站点上启用SSL,但让我们先来看一种更简单的方法。这样一个插件叫做非常简单的SSL. 在服务器上安装SSL证书后,只需安装并激活此插件即可在站点上正确配置SSL。
如果未生效,请转至设置→ SSL查看插件是否在您的站点上检测并启用SSL。如果没有,请启用它。
这个插件到底做什么?下面是一个摘要:
- 为您将站点URL和主页URL更改为HTTPS。
- 通过将传入请求重定向到HTTPS。htaccess或JavaScript。
- 修复不安全内容并将其更改为HTTPS。
- 配置首次在WordPress站点上启用SSL时可能出现的服务器问题。
如果你想走人工路线
如果您不想使用插件,并且正在将SSL添加到现有站点,请将这段代码添加到您的.htaccess文件:
RewriteCond%{SERVER_PORT}80 RewriteRule^(.*)上的RewriteEngine$https://www.example.com/$1[R,L]
将“example.com”替换为您的URL。此外,如果你的URL不使用“www”,请删除它。
如果要加密多站点管理页面
如果您有一个多站点网络,并且希望使用SSL加密管理区域和登录页面,请将这段代码添加到您的wp配置。php文件:
define('FORCE\u SSL\u ADMIN',true);
如果你使用WooCommerce
您仍然需要使用非常简单的SSL或将该代码片段添加到您的。htaccess文件,但如果您正在运行WooCommerce网站,则需要采取一个额外的步骤。
去WooCommerce公司→ 设置→ 结账选择强制安全签出,并保存更改。提到本页如果你在这之后遇到任何问题。
如果您使用的是轻松的数字下载
与WooCommerce类似,您仍然需要使用非常简单的SSL或将该代码添加到您的.htaccess如果使用EDD,请归档。然而,还有最后一步要走。
去下载→ 设置→ 其他→ 签出设置选择签出时强制SSL,并保存更改。
采取其他步骤来确保搜索引擎优化排名
使用像“真正简单的SSL”这样的插件非常有帮助,但要想从HTTP迁移到HTTPS而不对网站的谷歌排名产生负面影响,通常还需要做更多的工作。
以下是一些额外的步骤,你可以采取,以防止你的网站的搜索引擎优化排名下降太多:
- 更新硬编码链接–硬编码URL可能无法正确重定向。使用类似的插件更好的搜索替换搜索“http://yourdomain.com“并将其替换为”https://yourdomain.com”.
- 将CDN从HTTP迁移到HTTPS–如果您使用CDN提供某些内容,则需要将其从HTTP迁移到HTTPS。为此,您需要参考CDN的文档。一旦你这样做了,打开你用于CDN集成的WordPress插件的设置区域,并将CDN URL切换到HTTPS。
- 修复混合/不安全的内容–您网站上的某些内容可能会向浏览器发送混合内容或不安全的内容警告,您的用户会看到这些警告。使用以下工具SSL检查扫描您的站点以查找混合内容。
- 更新谷歌搜索控制台–在谷歌搜索控制台中为您的网站的HTTPS版本创建一个新的配置文件,并使用它重新提交您的网站地图。确保从惩罚中下载所有否认文件的HTTP版本,并在HTTPS配置文件下提交。
关注你的排名。当您第一次从HTTP迁移到HTTPS时,您可能会看到略有下降,但最终应该会有所改善。再深入一点,看看如果你的排名没有提高,你是否错过了什么。
最后的想法
我们关于SSL证书和WordPress的文章到此结束。在您的站点上启用此安全协议可能会很困难,但我们希望我们为您简化了过程。
以下是您需要了解的有关SSL证书和WordPress的所有信息的快速总结:
- 了解SSL加密是什么,以及它对某些站点(如电子商务站点)的重要性。
- 了解不同类型的SSL证书之间的差异,并确定哪个SSL证书适合您。
- 了解您的主机是否提供SSL证书,如果不提供,请查找证书颁发机构。
- 在服务器上安装SSL证书。
- 通过插件或手动代码在WordPress中配置SSL。
- 如果你在WordPress上使用电子商务平台,请配置你的电子商务平台。
现在由你决定。祝你好运
相关阅读:
