WordPress 設定SSL憑證設定詳解：取得綠色鎖頭，提升流量與資安

你是否擔心你的WordPress網站的安全性？你是否希望在網址前方看到一個綠色的小鎖，代表你的網站已經取得SSL憑證，擁有加密的資訊傳輸協定？

在網址前端時常看到網址前方出現綠色小鎖，並帶有安全的字樣，代表該網站已經取得SSL憑證，擁有加密的資訊傳輸協定。

不過設定SSL是必要的事嗎？自己經營的WordPress站是否需要擁有SSL憑證呢？

隨著網路資訊與隱私越加重視，設定SSL憑證已成為網站營運的必要步驟。本文將完整解析SSL憑證與HTTPS的重要性，整理安裝6步驟，讓你的網站擁有安全可靠的傳輸保障。

SSL憑證以及HTTPS加密是什麼？

隨著網路資訊與隱私越加重視，過去網站使用的HTTP通訊傳輸協定並非加密過的明文通訊傳輸技術，因此容易讓網站暴露在駭客攻擊之下，出現資料被盜取，導致嚴重財產損失的情況。

像是Google便要求每個網站將HTTP轉變成HTTPS（HyperText Transfer Protocol Secure 安全超文本通訊協定），HTTPS需要認證網站伺服器的存取雙方，經由確認身份後，再透過SSL憑證解密傳輸內容。

SSL憑證的等級

SSL憑證的等級有3種：

1. DV SSL：最基本的加密傳輸。
2. OV SSL：除了加密傳輸外，還會有真人驗證營利組織，給予網域憑證。
3. EV SSL：由專業公司進行驗證保障，甚至會在驗證失敗時提供損失賠償服務。

如果是個人部落格或測試環境，DV 憑證就夠了。企業網站建議用 OV 或 EV，以增加信任度。銀行、支付平台等需要最高安全性的服務，通常使用 EV 憑證。

SSL憑證傳輸的運作方式

當SSL憑證進行連線時，會在伺服器與用戶端之間進行以下5個步驟，以確保資訊存取時，經過加密保障傳輸安全。

• 步驟一：伺服器生成Private Key密鑰，同時附帶Certificate Signing Request憑證簽署請求。
• 步驟二：將CSR憑證簽署請求送往Certificate Authority認證機構，取得CRT公鑰憑證。
• 步驟三：伺服器與用戶端建立連線請求。
• 步驟四：伺服器提供公鑰憑證，用戶端向Certificate Authority認證機構確認憑證真偽。
• 步驟五：雙方確認彼此身份及加密連線方式，資料由公鑰進行加密、密鑰解密，再進行傳輸。

為什麼WordPress一定需要HTTPS？

如果你是選擇WordPress作為自家電商的開店平台，並搭配WooCommerce作為金流系統的話，改成HTTPS只有百利而無一害，其主要原因有以下：

原因一：Google演算法偏好HTTPS

Google於2014年已經公告，會將HTTPS列為演算法的評分標準之一，搜尋結果會優先呈現有HTTPS的網站。先前尚未設定成HTTPS的網站，Google都會在網址前列加上「Not secure」的紅色字樣，提醒網站管理者及早進行變更，以免網站排名不佳。

案例研究表明，切換到 HTTPS 後，許多網站的搜尋可見性和整體流量顯著增加。例如，一個大型電子商務網站在實施 HTTPS 後，自然流量增加了 13%。

原因二：保護公司及客戶的個資

用WordPress作為電商平台，更需要HTTPS通訊協定保護公司資料及客戶資訊，能夠避免遇到駭客入侵、更改網站資訊或是商品金額，或是盜刷顧客留下的信用卡資料，造成公司或顧客的財產損失。

（延伸閱讀：何謂SSL、TLS 以及HTTPS？為什麼網站都須要安裝SSL？）

台灣主要WordPress SSL憑證費用比較

如何幫 WordPress 設定 SSL 憑證，轉變成 HTTPS（詳細步驟）

設定 SSL 憑證並將 WordPress 網站轉為 HTTPS，有助於提升安全性和搜尋引擎排名。以下是完整的 6 個步驟，涵蓋 SSL 憑證申請、安裝、設定及網站內部連結調整。

1. 取得並安裝 SSL 憑證

在轉換 HTTPS 之前，必須先取得並安裝 SSL 憑證。

• 選擇 SSL 憑證類型：依網站性質選擇適合的憑證（DV、OV、EV）。
• 購買或免費取得：
  • 付費方案：可向戰國策、GlobalSign、DigiCert 等 SSL 憑證供應商購買。
  • 免費方案：Let’s Encrypt 提供免費 DV 憑證，適用於個人網站與部落格。
• 安裝 SSL 憑證：
  • 進入主機管理後台（如 cPanel、Plesk、DirectAdmin），上傳憑證檔案並設定伺服器參數以啟用 SSL 連線。
  • 部分主機商（如 SiteGround、Cloudways）提供一鍵安裝功能，可簡化過程。

2. 設定 WordPress HTTPS 強制使用 SSL

安裝 SSL 憑證後，需強制 WordPress 後台與前台使用 HTTPS。

• 修改 wp-config.php 檔案：
  1. 使用 FTP 或主機管理後台（如 cPanel）開啟 wp-config.php。
  2. 在 /* That’s all, stop editing! Happy publishing. */ 上方加入：

     define('FORCE_SSL_ADMIN', true);
     
     

  3. 存檔後重新整理 WordPress 後台，確認網址變為 https://。
• 驗證 HTTPS 狀態：
  1. 使用無痕模式打開 WordPress 網站。
  2. 確認網址列的鎖頭是否顯示灰色或綠色，表示 SSL 啟用成功。

3. 修改網站內部連結

安裝 SSL 只是第一步，網站內部所有連結也需要改為 HTTPS。

• 自動更新網址：
  • 安裝 Really Simple SSL 外掛，自動更新所有 HTTP 連結並啟用 SSL 設定。
• 手動批次修改：
  • 安裝 Search Regex 外掛，批次修改所有網頁內的 HTTP 連結：
    1. 搜尋模式 (Search Pattern)：http://你的網站
    2. 取代模式 (Replace Pattern)：https://你的網站
    3. 預覽確認無誤後，點擊 Replace & Save。
• 確認更新狀態：
  • 在前台檢視網站，按 Ctrl + U 檢查原始碼，確認沒有 HTTP 連結殘留。

4. 修改 WordPress 網址設定

確保 WordPress 內部設定也完全轉為 HTTPS。

• 進入 WordPress 後台 → 設定 → 一般設定：
  1. 修改「WordPress 位址（URL）」為 https://你的網站
  2. 修改「網站位址（URL）」為 https://你的網站
  3. 儲存變更並重新登入。

5. 強制全站 HTTPS（修改 .htaccess 檔案）

即使手動輸入 HTTP，網站仍可能載入舊版頁面，因此需要透過 .htaccess 進行 301 轉址。

• 步驟：
  1. 進入 主機管理後台（或使用 FTP）。
  2. 在網站根目錄找到 .htaccess 檔案（若找不到，可能是隱藏檔）。
  3. 編輯 .htaccess，加入以下程式碼：

     # 強制所有 HTTP 轉為 HTTPS
     RewriteEngine On
     RewriteCond %{HTTPS} off
     RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
     
     

  4. 存檔後測試，確認所有 HTTP 請求自動轉為 HTTPS。

6. 移除強制 HTTPS 指令並進行最後測試

在 .htaccess 轉址設定完成後，移除 wp-config.php 內的 HTTPS 強制指令，以避免衝突。

• 移除 wp-config.php 的 define('FORCE_SSL_ADMIN', true);。
• 測試最終結果：
  • 打開網站，檢查是否所有頁面都顯示 HTTPS 鎖頭。
  • 瀏覽器開發工具 (F12 → Console) 檢查是否還有 HTTP 資源錯誤（Mixed Content）。
  • 使用 HTTPS 檢查工具（如 Why No Padlock）確認 HTTPS 設定是否完整。

更改WordPress的HTTPS可以用SSL外掛嗎？

如果你覺得手動一個一個更改網址的http成https太麻煩，可以試著下載「Really Simple SSL」外掛，安裝後直接啟用，便可以將WordPress全站的頁面改成https囉！不過缺點也顯而易見，網站能改成https全因為這個外掛的效果，若這個外掛出現問題，網站就會改回http的狀態。

其他SSL外掛選擇

儘管 Really Simple SSL 具有許多優點，但它可能無法永久修復舊內容，您需要隨時保持外掛程式的啟用狀態，並且可能會看到輕微的效能影響。

除了 Really Simple SSL 之外，還有其他外掛程式可用於簡化 SSL 設定。例如，Better Search Replace 可用於在資料庫中搜尋和替換內容，例如更新 URL3。

你知道嗎？

定期檢查 SSL 憑證的有效期限，避免憑證過期影響網站安全

常見WordPress 設定 SSL 憑證疑難排解

混合內容錯誤 (Mixed Content)

當網站透過 HTTPS 載入，但部分資源卻透過不安全的 HTTP 連線載入時，會發生此錯誤。

• 解決方案：
  • 檢查網頁原始碼，找出 “http://” 的 URL。
  • 確認資源是否支援 HTTPS。
  • 更新資源連結，使用 HTTPS URL。
  • 使用內容安全策略 (CSP) 強制瀏覽器透過 HTTPS 請求所有資源。
  • 使用外掛程式修正混合內容問題。

重新導向迴圈 (Redirect Loop)：

不當的重新導向規則可能導致瀏覽器不斷循環重新導向。

• 解決方案：
  • 檢查 .htaccess 檔案，避免衝突規則。
  • 檢查 WordPress URL 設定，確保 siteurl 和 home 欄位正確設定為 HTTPS。
  • 檢查 Cloudflare 設定，確認 SSL/TLS 設定正確。

憑證不受信任 (Untrusted Certificate)

瀏覽器無法驗證 SSL 憑證的有效性。

• 解決方案：
  • 確認憑證由信任的 CA 簽發。
  • 安裝所有必要的中繼憑證。
  • 確保瀏覽器和作業系統為最新版本。

WordPress SSL憑證推薦：戰國策提供4種SSL憑證，從單一網站到多網域都能加密保護

設定SSL不僅是保障公司與客戶的資安，也是為了更符合SEO偏好的排名因素。

如需要購買SSL憑證，歡迎找戰國策為你處理及免費安裝，我們提供DV SSL、OV SSL、EV SSL，以及多域名SSL4種SSL憑證，從單一網站到多網域都能涵蓋，確保各網站的資訊安全，為網站加上安全保障！

戰國策SSL憑證服務的五大服務優勢如下：

1. 國際認證，品質保障

戰國策SSL憑證通過多間國際大廠的認證，確保憑證的品質和安全性值得信賴。這些憑證經過嚴格的測試和認證，能夠有效保護您的網站和使用者資料，讓您在進行線上交易時更加安心。

2. 業界最具競爭力的CP值

戰國策提供多種SSL安全憑證，價格在同業中擁有絕對的競爭優勢。我們的費用不僅透明且無隱藏費用，還比同業便宜50%以上，確保您以最實惠的價格獲得最高品質的SSL保護。此外，我們還提供「買三年送三年」的超值優惠方案。

3. 快速簽發與靈活部署

戰國策的SSL憑證從提交訂單申請到證書簽發，最快只需20分鐘，讓您能夠迅速部署並保護網站。此外，我們的SSL證書可以在同一域名下部署至無限數量的服務器，提供您極大的靈活性和便利性。

4. 24小時專業售後支援

戰國策提供365天24小時全年無休的專家級服務，無論您遇到什麼問題，都能隨時獲得即時的協助。我們的中文客服專員隨時待命，確保您在使用SSL憑證時不會因為技術問題而中斷服務。

5. 免費安裝服務，無憂上線

為了讓您使用SSL憑證更加輕鬆，戰國策提供免費的代客安裝服務，即使您的網站並非使用我們的主機服務，也能免費享有此服務。我們的專業技術團隊將確保您的SSL憑證正確安裝，讓您的網站迅速、安全地上線。

目前本公司客戶加購SSL有優惠價，費用3600元/年(月底前購買三年SSL送三年的優惠 )，如要訂購請上網 付款完成本公司會免費幫您把SSL安裝到好
有任何問題歡迎致電免付費諮詢電話: 0800-003-191 或LINE ID: @119m希望有幸能為貴公司服務 !