您现在的位置是：首页 > WordPress教程WordPress教程

WordPress如何设置HSTS

WP集市 2025-08-30 【WordPress教程】 1024人已围观

首先登录WordPress后台，别急着找HSTS选项——它压根不在常规设置里。你得明白，这玩意儿实际是服务器层面的配置，跟Apache或Nginx打交道才行。比如在Nginx里，找到站点配置文件（通常在/etc/nginx/sites-available/），加上这么一段：

server {
    listen 443 ssl;
    server_name yourdomain.com;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    # 其他SSL配置...
}

这时候你可能会懵：“为啥WordPress自己不能搞？” 其实有插件能模拟，比如用.htaccess操作——但本质上还是改服务器响应头。装个"HTTP Headers"插件，在设置里添加HSTS规则，勾选"Force HTTPS"和"Subdomains"，但记住：插件方式可能被缓存干扰，不如直接动服务器可靠。
测试时别光用浏览器刷新，打开开发者工具看网络响应头，应该出现Strict-Transport-Security字段。如果没生效，检查CDN是否覆盖了头部（比如Cloudflare要在SSL/TLS设置里单独开启HSTS）。这时候WordPress的缓存插件也得清空，不然可能卡在旧配置。
最后提醒：一旦启用HSTS，至少半年内别想退回HTTP——浏览器会强制HTTPS。所以先确保全站SSL没问题，别让CSS或脚本被混合内容策略阻断。WordPress后台的"站点地址"最好手动改为https开头，否则重定向循环可能让你登录不了管理员。

Tags：

上一篇：WordPress如何启用HTTP/2

下一篇：WordPress如何选择SSL证书