WordPress如何設定SSL憑證?取得綠色小鎖,保障企業與客戶資安

分享在 facebook
分享在 twitter
分享在 linkedin
分享在 email
分享在 print

在網址前端時常看到網址前方出現綠色小鎖,並帶有安全的字樣,代表該網站已經取得SSL憑證,擁有加密的資訊傳輸協定。不過設定SSL是必要的事嗎?自己經營的WordPress站是否需要擁有SSL憑證呢?接下來我們將完整解析SSL憑證與HTTPS的重要性,整理安裝6步驟,讓你的網站擁有安全可靠的傳輸保障。

 

SSL憑證以及HTTPS加密是什麼?

隨著網路資訊與隱私越加重視,過去網站使用的HTTP通訊傳輸協定並非加密過的明文通訊傳輸技術,因此容易讓網站暴露在駭客攻擊之下,出現資料被盜取,導致嚴重財產損失的情況。

像是Google便要求每個網站將HTTP轉變成HTTPS(HyperText Transfer Protocol Secure 安全超文本通訊協定),HTTPS需要認證網站伺服器的存取雙方,經由確認身份後,再透過SSL憑證解密傳輸內容。

SSL憑證的等級

SSL憑證的等級有3種:

  1. DV SSL:最基本的加密傳輸。
  2. OV SSL:除了加密傳輸外,還會有真人驗證營利組織,給予網域憑證。
  3. EV SSL:由專業公司進行驗證保障,甚至會在驗證失敗時提供損失賠償服務。

SSL憑證傳輸的運作方式

當SSL憑證進行連線時,會在伺服器與用戶端之間進行以下5個步驟,以確保資訊存取時,經過加密保障傳輸安全。

步驟一:

伺服器生成Private Key密鑰,同時附帶Certificate Signing Request憑證簽署請求。

步驟二:

將CSR憑證簽署請求送往Certificate Authority認證機構,取得CRT公鑰憑證。

步驟三:

伺服器與用戶端建立連線請求。

步驟四:

伺服器提供公鑰憑證,用戶端向Certificate Authority認證機構確認憑證真偽。

步驟五:

雙方確認彼此身份及加密連線方式,資料由公鑰進行加密、密鑰解密,再進行傳輸。

 

為什麼WordPress需要HTTPS?

WordPress取得SSL憑證

如果你是選擇WordPress作為自家電商的開店平台,並搭配WooCommerce作為金流系統的話,改成HTTPS只有百利而無一害,其主要原因有以下2點:

1.Google演算法偏好HTTPS

Google於2014年已經公告,會將HTTPS列為演算法的評分標準之一,搜尋結果會優先呈現有HTTPS的網站。先前尚未設定成HTTPS的網站,Google都會在網址前列加上「Not secure」的紅色字樣,提醒網站管理者及早進行變更,以免網站排名不佳。

2.保護公司及客戶的個資

用WordPress作為電商平台,更需要HTTPS通訊協定保護公司資料及客戶資訊,能夠避免遇到駭客入侵、更改網站資訊或是商品金額,或是盜刷顧客留下的信用卡資料,造成公司或顧客的財產損失。

(延伸閱讀:何謂SSL、TLS 以及HTTPS?為什麼網站都須要安裝SSL?

 

如何幫WordPress設定SSL憑證,轉變成HTTPS?

要替WordPress設定成https加密協定,只需經過以下6步驟:

1.取得SSL憑證

目前網路有許多公司提供SSL憑證服務,如CloudwaysBluehost等,可以直接免費下載,安裝到網站主機後台。

2.從WordPress後台更改

進入WordPress後台,從根目錄的「wp-config.php」檔案中放入指令:

define(‘FORCE_SSL_ADMIN’, ture);

強制系統後台直接使用SSL憑證,再由無痕模式開啟你的WordPress網站,在網址前端的http改成https,確認出現灰色鎖頭。

3.修改所有網頁網址

安裝Search Regex外掛到WordPress中,並手動修改全部網頁的https網址。方法是在Search pattern欄位中填入舊的網址,再到下方的Replace pattern欄位中填入帶有https的網址,並選擇預覽確認無誤後,點擊Replace & Save就可以完全覆蓋。

4.修改後台位址

完成上一步驟後,進入WordPress的後台設定,在一般設定頁面中找到WordPress 位址(URL)與網站位址(URL)兩個欄位,將網址中的http修改成https。

5.調整.htaccess檔

進入後台的根目錄,找到「.htaccess」設定檔,加入:

# Always https

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

從此讓全站都採用SSL加密狀態。

6.移除步驟1的指令

最後回到「wp-config.php」檔案,將最一開始加入的 define(‘FORCE_SSL_ADMIN’, ture); 指令刪除。

 

更改WordPress的HTTPS可以用SSL外掛嗎?

如果你覺得手動一個一個更改網址的http成https太麻煩,可以試著下載「Really Simple SSL」外掛,安裝後直接啟用,便可以將WordPress全站的頁面改成https囉!不過缺點也顯而易見,網站能改成https全因為這個外掛的效果,若這個外掛出現問題,網站就會改回http的狀態。

 

戰國策提供4種SSL憑證,從單一網站到多網域都能加密保護

設定SSL不僅是保障公司與客戶的資安,也是為了更符合SEO偏好的排名因素。如需要設置SSL憑證,歡迎找戰國策為你搞定,我們提供DV SSL、OV SSL、EV SSL,以及多網SSL4種SSL憑證,從單一網站到多網域都能涵蓋,確保各網站的資訊安全。聯繫我們,為網站加上安全保障!

(延伸閱讀:網站適合安裝哪一種的SSL? SSL憑證的各式種類與費用的比較

Click Me