WordPress SSL证书设置

1. 先唠唠为啥要给WordPress上SSL证书。简单说就是把你的网站从http变成https，地址栏里多个小锁头。这玩意儿不光看着专业，主要能加密数据传输，防止别人窃听或者篡改内容。现在浏览器对非HT站点都不太友好，还会吓唬用户说"不安全"，所以搞SSL算是基本操作了。

2. 整证书前先确认服务器环境。如果你是用的宝塔面板就简单了，直接找到"网站"设置，选SSL选项卡，Let's Encrypt免费证书勾选域名点申请就行。用cPanel面板的可以在安全模块找到SSL/TLS，安装证书的地方上传文件。手动配置的话得准备三个东西：证书文件(.crt)、私钥(.key)和中间证书链(CA bundle)。

3. 传证书到服务器这一步，很多人喜欢用SFTP连上去扔到/etc/ssl/目录下。其实放哪里都行，只要nginx或apache能读到就行。记得设置400权限，不然太开放了不安全：

   chmod 400 /path/to/your/private.key

4. 接下来是重头戏配置web服务器。nginx的配置大概长这样，在server块里加这几行：

   server {
   listen 443 ssl;
   ssl_certificate /path/to/your/cert.crt;
   ssl_certificate_key /path/to/your/private.key;
   ssl_protocols TLSv1.2 TLSv1.3;
   }

   apache的则在虚拟主机配置里加：

   <VirtualHost *:443>
   SSLEngine on
   SSLCertificateFile /path/to/your/cert.crt
   SSLCertificateKeyFile /path/to/your/private.key
   SSLCertificateChainFile /path/to/your/chain.crt
   </VirtualHost>

5. 现在该折腾WordPress本身了。到数据库里执行条SQL改站点地址，不然会循环重定向：

   UPDATE wp_options SET option_value = 'https://你的域名' WHERE option_name IN ('siteurl', 'home');

   或者更简单的办法是往wp-config.php里塞两行：

   define('WP_HOME', 'https://你的域名');
   define('WP_SITEURL', 'https://你的域名');

6. 混合内容问题最头疼。虽然用了SSL，但文章里要是嵌了http的图片或脚本，浏览器还是会报不安全。这时候可以用Really Simple SSL插件，它能自动替换内容里的资源链接。不想装插件的话就在functions.php里加过滤器：

   function ssl_content_fix($content) {
   if(is_ssl()) {
       return str_replace('http:', 'https:', $content);
   }
   return $content;
   }
   add_filter('the_content', 'ssl_content_fix');

7. 最后别忘了做301重定向，把所有http流量转到https。nginx配置里加这么一段：

   server {
   listen 80;
   server_name yourdomain.com;
   return 301 https://$server_name$request_uri;
   }

   apache用户可以在.htaccess里写：

   RewriteEngine On
   RewriteCond %{HTTPS} off
   RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

8. 检查成果的时候别光看小锁头，最好用SSL Labs的测试工具跑个分。有时候中间证书没链全会得B级，那种感觉就像考试及格但没优秀般难受。要是看到HSTS头就舒坦了，这玩意儿告诉浏览器以后都强制用HTTPS，连第一次都不走明文。

9. 证书到期续期要记得，Let's Encrypt的免费证书只有90天。写个cronjob自动续期最省心，不然哪天突然失效了用户访问会报红色警告。宝塔面板自动续期是默认开启的，手动部署的可以用certbot工具加个定时任务：

   0 0 1 * * /usr/bin/certbot renew --quiet

10. 最后扯点闲篇，现在有些云厂商提供免费证书，阿里云腾讯云都有一年期的DV证书。不过TrustAsia的证书在部分老旧安卓机上可能链不全，Let's Encrypt兼容性反而更好些。要是企业站还是买付费OV证书靠谱，地址栏能显示公司名，那个绿条看着就贵气。

折腾完SSL之后记得备份数据库，有时候插件替换链接会把序列化数据搞坏。出现白屏就查debug.log，八成是正则替换时把数据格式玩坏了。总之https是大势所趋，早点弄完早点踏实，毕竟谷歌搜索排名也把这个当权重因子不是？

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。