你是否擔心你的WordPress網站的安全性?你是否希望在網址前方看到一個綠色的小鎖,代表你的網站已經取得SSL憑證,擁有加密的資訊傳輸協定?
在網址前端時常看到網址前方出現綠色小鎖,並帶有安全的字樣,代表該網站已經取得SSL憑證,擁有加密的資訊傳輸協定。
不過設定SSL是必要的事嗎?自己經營的WordPress站是否需要擁有SSL憑證呢?
隨著網路資訊與隱私越加重視,設定SSL憑證已成為網站營運的必要步驟。本文將完整解析SSL憑證與HTTPS的重要性,整理安裝6步驟,讓你的網站擁有安全可靠的傳輸保障。
SSL憑證以及HTTPS加密是什麼?
隨著網路資訊與隱私越加重視,過去網站使用的HTTP通訊傳輸協定並非加密過的明文通訊傳輸技術,因此容易讓網站暴露在駭客攻擊之下,出現資料被盜取,導致嚴重財產損失的情況。
像是Google便要求每個網站將HTTP轉變成HTTPS(HyperText Transfer Protocol Secure 安全超文本通訊協定),HTTPS需要認證網站伺服器的存取雙方,經由確認身份後,再透過SSL憑證解密傳輸內容。
SSL憑證的等級
SSL憑證的等級有3種:
- DV SSL:最基本的加密傳輸。
- OV SSL:除了加密傳輸外,還會有真人驗證營利組織,給予網域憑證。
- EV SSL:由專業公司進行驗證保障,甚至會在驗證失敗時提供損失賠償服務。
憑證類型 | 驗證方式 | 適用對象 | 特點 |
---|---|---|---|
DV (Domain Validation) | 只驗證域名所有權,透過 DNS 記錄、Email 驗證或 HTTP 文件驗證 | 個人網站、小型部落格、非商業用途 | 簡單快速,價格最低,但不顯示公司資訊 |
OV (Organization Validation) | 驗證域名所有權 + 組織身份(需提交公司營業登記文件) | 中小型企業、政府機構、非營利組織 | 顯示組織名稱,安全性較高,適用於商業網站 |
EV (Extended Validation) | 嚴格驗證企業身份,包括法律、營運、物理地址、電話等細節 | 電商平台、大型企業、金融機構 | 瀏覽器顯示組織名稱,信任度最高,適用於敏感資料傳輸 |
如果是個人部落格或測試環境,DV 憑證就夠了。企業網站建議用 OV 或 EV,以增加信任度。銀行、支付平台等需要最高安全性的服務,通常使用 EV 憑證。
SSL憑證傳輸的運作方式
當SSL憑證進行連線時,會在伺服器與用戶端之間進行以下5個步驟,以確保資訊存取時,經過加密保障傳輸安全。
- 步驟一:伺服器生成Private Key密鑰,同時附帶Certificate Signing Request憑證簽署請求。
- 步驟二:將CSR憑證簽署請求送往Certificate Authority認證機構,取得CRT公鑰憑證。
- 步驟三:伺服器與用戶端建立連線請求。
- 步驟四:伺服器提供公鑰憑證,用戶端向Certificate Authority認證機構確認憑證真偽。
- 步驟五:雙方確認彼此身份及加密連線方式,資料由公鑰進行加密、密鑰解密,再進行傳輸。
為什麼WordPress一定需要HTTPS?
如果你是選擇WordPress作為自家電商的開店平台,並搭配WooCommerce作為金流系統的話,改成HTTPS只有百利而無一害,其主要原因有以下:
原因一:Google演算法偏好HTTPS
Google於2014年已經公告,會將HTTPS列為演算法的評分標準之一,搜尋結果會優先呈現有HTTPS的網站。先前尚未設定成HTTPS的網站,Google都會在網址前列加上「Not secure」的紅色字樣,提醒網站管理者及早進行變更,以免網站排名不佳。
案例研究表明,切換到 HTTPS 後,許多網站的搜尋可見性和整體流量顯著增加。例如,一個大型電子商務網站在實施 HTTPS 後,自然流量增加了 13%。
原因二:保護公司及客戶的個資
用WordPress作為電商平台,更需要HTTPS通訊協定保護公司資料及客戶資訊,能夠避免遇到駭客入侵、更改網站資訊或是商品金額,或是盜刷顧客留下的信用卡資料,造成公司或顧客的財產損失。
(延伸閱讀:何謂SSL、TLS 以及HTTPS?為什麼網站都須要安裝SSL?)
台灣主要WordPress SSL憑證費用比較
公司名稱 | SSL憑證方案費用 | 詳細SSL資訊 |
戰國策 | SSL費用3600元/年
(最便宜) |
• 買貴退2倍價差政策 • 快速簽發:從提交訂單申請,到SSL證書籤發最快只需要20分鐘 • SSL證書不限服務器:只要在同一域名下的證書,可部署在無限數量的服務器上 • 24小時中文客服專員:戰國策提供365天24小時專家級服務,時刻在線,快速解決問題 • SSL免費代客安裝到好:付款完成後本公司會提供免費幫您安裝SSL至網站(非本公司主機亦可)的服務 |
寰宇數位 | 7,200元/年 | • 提供全球知名品牌憑證與在地專業服務 • 購買前提供技術說明,並有完善售後服務 • 30 天或 60 天免費更換服務 |
匯智資訊 | 8,500元/年 | • SSL 分為域名型、企業型、增強型等級- 具國際公信力(Webtrust、瀏覽器認可) • 提供 SSL 安裝導入服務 • 產品類型:GlobalSign DVSSL、OVSSL、EVSSL,GeoTrust QuickSSL、企業識別憑證等 |
中華電信 | 9,600元/年 | • 組織驗證 (OV) SSL 憑證,確認企業真實性 • 符合電子簽章法保障 • 具 WebTrust for CAs 認證 • 支援多作業系統及瀏覽器 • 產品類型:單網域、多網域、萬用網域 SSL |
遠振資訊 | 5,000元/年 | • 提供 DV、OV、EV、Multi-Domain SSL 憑證 • 遠振會員中心提供快速 CSR 生成與 SSL 管理 |
臺灣網路認證股份有限公司(TWCA) | 8,000元/ 年 | • 台灣數位憑證管理機構 • SSL 通過 WebTrust、EAL3+ 認證 |
如何幫 WordPress 設定 SSL 憑證,轉變成 HTTPS(詳細步驟)
設定 SSL 憑證並將 WordPress 網站轉為 HTTPS,有助於提升安全性和搜尋引擎排名。以下是完整的 6 個步驟,涵蓋 SSL 憑證申請、安裝、設定及網站內部連結調整。
1. 取得並安裝 SSL 憑證
在轉換 HTTPS 之前,必須先取得並安裝 SSL 憑證。
- 選擇 SSL 憑證類型:依網站性質選擇適合的憑證(DV、OV、EV)。
- 購買或免費取得:
- 付費方案:可向戰國策、GlobalSign、DigiCert 等 SSL 憑證供應商購買。
- 免費方案:Let’s Encrypt 提供免費 DV 憑證,適用於個人網站與部落格。
- 安裝 SSL 憑證:
- 進入主機管理後台(如 cPanel、Plesk、DirectAdmin),上傳憑證檔案並設定伺服器參數以啟用 SSL 連線。
- 部分主機商(如 SiteGround、Cloudways)提供一鍵安裝功能,可簡化過程。
2. 設定 WordPress HTTPS 強制使用 SSL
安裝 SSL 憑證後,需強制 WordPress 後台與前台使用 HTTPS。
- 修改
wp-config.php
檔案:- 使用 FTP 或主機管理後台(如 cPanel)開啟
wp-config.php
。 - 在
/* That’s all, stop editing! Happy publishing. */
上方加入:define('FORCE_SSL_ADMIN', true);
- 存檔後重新整理 WordPress 後台,確認網址變為
https://
。
- 使用 FTP 或主機管理後台(如 cPanel)開啟
- 驗證 HTTPS 狀態:
- 使用無痕模式打開 WordPress 網站。
- 確認網址列的鎖頭是否顯示灰色或綠色,表示 SSL 啟用成功。
3. 修改網站內部連結
安裝 SSL 只是第一步,網站內部所有連結也需要改為 HTTPS。
- 自動更新網址:
- 安裝 Really Simple SSL 外掛,自動更新所有 HTTP 連結並啟用 SSL 設定。
- 手動批次修改:
- 安裝 Search Regex 外掛,批次修改所有網頁內的 HTTP 連結:
- 搜尋模式 (Search Pattern):
http://你的網站
- 取代模式 (Replace Pattern):
https://你的網站
- 預覽確認無誤後,點擊 Replace & Save。
- 搜尋模式 (Search Pattern):
- 安裝 Search Regex 外掛,批次修改所有網頁內的 HTTP 連結:
- 確認更新狀態:
- 在前台檢視網站,按 Ctrl + U 檢查原始碼,確認沒有 HTTP 連結殘留。
4. 修改 WordPress 網址設定
確保 WordPress 內部設定也完全轉為 HTTPS。
- 進入 WordPress 後台 → 設定 → 一般設定:
- 修改「WordPress 位址(URL)」為
https://你的網站
- 修改「網站位址(URL)」為
https://你的網站
- 儲存變更並重新登入。
- 修改「WordPress 位址(URL)」為
5. 強制全站 HTTPS(修改 .htaccess
檔案)
即使手動輸入 HTTP,網站仍可能載入舊版頁面,因此需要透過 .htaccess
進行 301 轉址。
- 步驟:
- 進入 主機管理後台(或使用 FTP)。
- 在網站根目錄找到
.htaccess
檔案(若找不到,可能是隱藏檔)。 - 編輯
.htaccess
,加入以下程式碼:# 強制所有 HTTP 轉為 HTTPS RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
- 存檔後測試,確認所有 HTTP 請求自動轉為 HTTPS。
6. 移除強制 HTTPS 指令並進行最後測試
在 .htaccess
轉址設定完成後,移除 wp-config.php
內的 HTTPS 強制指令,以避免衝突。
- 移除
wp-config.php
的define('FORCE_SSL_ADMIN', true);
。 - 測試最終結果:
- 打開網站,檢查是否所有頁面都顯示 HTTPS 鎖頭。
- 瀏覽器開發工具 (
F12
→ Console) 檢查是否還有 HTTP 資源錯誤(Mixed Content)。 - 使用 HTTPS 檢查工具(如 Why No Padlock)確認 HTTPS 設定是否完整。
更改WordPress的HTTPS可以用SSL外掛嗎?
如果你覺得手動一個一個更改網址的http成https太麻煩,可以試著下載「Really Simple SSL」外掛,安裝後直接啟用,便可以將WordPress全站的頁面改成https囉!不過缺點也顯而易見,網站能改成https全因為這個外掛的效果,若這個外掛出現問題,網站就會改回http的狀態。
其他SSL外掛選擇
儘管 Really Simple SSL 具有許多優點,但它可能無法永久修復舊內容,您需要隨時保持外掛程式的啟用狀態,並且可能會看到輕微的效能影響。
除了 Really Simple SSL 之外,還有其他外掛程式可用於簡化 SSL 設定。例如,Better Search Replace 可用於在資料庫中搜尋和替換內容,例如更新 URL3。
你知道嗎?
定期檢查 SSL 憑證的有效期限,避免憑證過期影響網站安全
常見WordPress 設定 SSL 憑證疑難排解
混合內容錯誤 (Mixed Content)
當網站透過 HTTPS 載入,但部分資源卻透過不安全的 HTTP 連線載入時,會發生此錯誤。
- 解決方案:
- 檢查網頁原始碼,找出 “http://” 的 URL。
- 確認資源是否支援 HTTPS。
- 更新資源連結,使用 HTTPS URL。
- 使用內容安全策略 (CSP) 強制瀏覽器透過 HTTPS 請求所有資源。
- 使用外掛程式修正混合內容問題。
重新導向迴圈 (Redirect Loop):
不當的重新導向規則可能導致瀏覽器不斷循環重新導向。
- 解決方案:
- 檢查 .htaccess 檔案,避免衝突規則。
- 檢查 WordPress URL 設定,確保
siteurl
和home
欄位正確設定為 HTTPS。 - 檢查 Cloudflare 設定,確認 SSL/TLS 設定正確。
憑證不受信任 (Untrusted Certificate)
瀏覽器無法驗證 SSL 憑證的有效性。
- 解決方案:
- 確認憑證由信任的 CA 簽發。
- 安裝所有必要的中繼憑證。
- 確保瀏覽器和作業系統為最新版本。
WordPress SSL憑證推薦:戰國策提供4種SSL憑證,從單一網站到多網域都能加密保護
設定SSL不僅是保障公司與客戶的資安,也是為了更符合SEO偏好的排名因素。
如需要購買SSL憑證,歡迎找戰國策為你處理及免費安裝,我們提供DV SSL、OV SSL、EV SSL,以及多域名SSL4種SSL憑證,從單一網站到多網域都能涵蓋,確保各網站的資訊安全,為網站加上安全保障!
戰國策SSL憑證服務的五大服務優勢如下:
1. 國際認證,品質保障
戰國策SSL憑證通過多間國際大廠的認證,確保憑證的品質和安全性值得信賴。這些憑證經過嚴格的測試和認證,能夠有效保護您的網站和使用者資料,讓您在進行線上交易時更加安心。
2. 業界最具競爭力的CP值
戰國策提供多種SSL安全憑證,價格在同業中擁有絕對的競爭優勢。我們的費用不僅透明且無隱藏費用,還比同業便宜50%以上,確保您以最實惠的價格獲得最高品質的SSL保護。此外,我們還提供「買三年送三年」的超值優惠方案。
3. 快速簽發與靈活部署
戰國策的SSL憑證從提交訂單申請到證書簽發,最快只需20分鐘,讓您能夠迅速部署並保護網站。此外,我們的SSL證書可以在同一域名下部署至無限數量的服務器,提供您極大的靈活性和便利性。
4. 24小時專業售後支援
戰國策提供365天24小時全年無休的專家級服務,無論您遇到什麼問題,都能隨時獲得即時的協助。我們的中文客服專員隨時待命,確保您在使用SSL憑證時不會因為技術問題而中斷服務。
5. 免費安裝服務,無憂上線
為了讓您使用SSL憑證更加輕鬆,戰國策提供免費的代客安裝服務,即使您的網站並非使用我們的主機服務,也能免費享有此服務。我們的專業技術團隊將確保您的SSL憑證正確安裝,讓您的網站迅速、安全地上線。
目前本公司客戶加購SSL有優惠價,費用3600元/年(月底前購買三年SSL送三年的優惠 ),如要訂購請上網 付款完成本公司會免費幫您把SSL安裝到好
有任何問題歡迎致電免付費諮詢電話: 0800-003-191 或LINE ID: @119m希望有幸能為貴公司服務 !