WordPress 驅動著 43% 的網站。新增 SSL/HTTPS 需要三個步驟:獲取證書、安裝到伺服器、更新 WordPress 使用 HTTPS URL。本指南涵蓋所有三個步驟。
第一步:獲取證書
大多數 WordPress 主機包含免費 SSL——先檢查:
| 主機型別 | 如何檢查 |
|---|---|
| 託管 WordPress(SiteGround、Bluehost、WP Engine) | 控制面板 → 安全/SSL 部分——通常自動啟用 |
| cPanel 共享主機 | cPanel → SSL/TLS Status — 檢視 AutoSSL |
| VPS/獨立伺服器 | 無內建 SSL — 需要自己安裝 |
如果你的主機不提供 SSL,從 GetHTTPS 獲取免費證書並透過 cPanel、Nginx 或 Apache 安裝。
第二步:更新 WordPress URL
證書安裝到伺服器後,告訴 WordPress 使用 HTTPS:
方法 A:WordPress 設定(最簡單)
- 前往 設定 → 常規
- 將兩個 URL 從
http://改為https://:- WordPress 地址 (URL):
https://yourdomain.com - 站點地址 (URL):
https://yourdomain.com
- WordPress 地址 (URL):
- 點選 儲存更改
你會被登出——用新的 https:// URL 重新登入。
方法 B:wp-config.php(如果你無法訪問儀表板)
在 /* That's all, stop editing! */ 之前新增:
define('WP_HOME', 'https://yourdomain.com');
define('WP_SITEURL', 'https://yourdomain.com');
define('FORCE_SSL_ADMIN', true);第三步:修復混合內容
WordPress 在資料庫中儲存絕對 URL(文章內容、圖片、小工具文字)。切換到 HTTPS 後,舊的 http:// 引用會導致混合內容警告。
快速修復:Really Simple SSL 外掛
- 安裝 Really Simple SSL 外掛
- 啟用它——它會檢測你的證書並自動修復大部分混合內容
- 它新增
upgrade-insecure-requests頭並動態改寫 URL
永久修復:資料庫搜尋替換
無需外掛依賴的乾淨方案:
# Using WP-CLI (recommended)
wp search-replace 'http://yourdomain.com' 'https://yourdomain.com' --all-tables或使用 Better Search Replace 外掛:
- 搜尋:
http://yourdomain.com - 替換為:
https://yourdomain.com - 選擇所有表
- 執行(先做幹執行)
手動 SQL(高階)
UPDATE wp_options SET option_value = REPLACE(option_value, 'http://yourdomain.com', 'https://yourdomain.com') WHERE option_name IN ('home', 'siteurl');
UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');第四步:設定 HTTP → HTTPS 重新導向
確保所有訪客都使用 HTTPS,即使他們輸入 http://:
.htaccess(Apache — WordPress 最常見)
在 .htaccess 檔案頂部新增(在 WordPress 規則之前):
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Nginx
server {
listen 80;
server_name yourdomain.com www.yourdomain.com;
return 301 https://$host$request_uri;
}參見完整的重新導向指南。
第五步:更新外部服務
遷移到 HTTPS 後,在以下位置更新你的 URL:
- Google Search Console — 新增
https://資源 - Google Analytics — 設定 → 預設 URL → 改為
https:// - 站點地圖 — 用
https://URL 重新生成(Yoast/Rank Math 會自動處理) - 社交資料 — Facebook、Twitter 到你網站的連結
- CDN — 如果使用 CDN,確保它透過 HTTPS 提供服務
驗證
- 訪問
https://yourdomain.com— 應該出現鎖頭圖示 - 開啟 DevTools(F12)→ Console — 檢查混合內容警告
- 測試幾個內部頁面和部落格文章
- 檢查 Google Search Console 中的抓取錯誤
故障排查
啟用 HTTPS 後重新導向迴圈
在代理後面(Cloudflare、負載均衡器)時常見。代理向 WordPress 傳送 HTTP,WordPress 重新導向到 HTTPS,代理又以 HTTP 傳送。修復:
// Add to wp-config.php if behind a proxy
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
$_SERVER['HTTPS'] = 'on';
}安裝 SSL 後顯示”您的連線不是私密連線”
證書可能在伺服器級別沒有正確安裝。在排查 WordPress 問題之前,先檢查伺服器配置(Nginx 或 Apache)。
某些圖片/資源仍透過 HTTP 載入
執行資料庫搜尋替換(第三步)。檢查主題檔案和自定義 CSS 中硬編碼的 http:// URL。使用 upgrade-insecure-requests CSP 頭作為安全網。
常見問題
WordPress 需要外掛來配置 SSL 嗎?
不需要。Really Simple SSL 等外掛讓過渡更容易(特別是混合內容),但不是必需的。你可以手動更新 URL 並在 .htaccess 中新增重新導向。外掛在每次頁面載入時有少量開銷。
切換到 HTTPS 會影響 SEO 嗎?
暫時可能有輕微的排名波動,因為 Google 重新抓取你的網站。長期來看,HTTPS 改善 SEO——它是 Google 的排名訊號。使用從 HTTP 到 HTTPS 的 301 重新導向以便連結權重轉移。
可以在 WordPress 上使用免費的 Let’s Encrypt 證書嗎?
可以。Let’s Encrypt 證書適用於任何網站,包括 WordPress。從 GetHTTPS 獲取一個並安裝到伺服器或透過 cPanel。證書不知道也不在乎後面執行的是 WordPress。
如何為 WordPress 續簽證書?
證書安裝在伺服器級別,不在 WordPress 中。透過獲取新證書並替換伺服器上的檔案來續簽它。WordPress 本身不管理證書。
WooCommerce / WordPress 電商怎麼處理?
免費的 Let’s Encrypt DV 證書對 WooCommerce 來說足夠了。PCI DSS 不要求 OV 或 EV 證書——它要求加密,DV 就能提供。你的支付閘道器(Stripe、PayPal、Square)無論如何都會處理最敏感的支付卡資料。
WordPress 多站點可以用 SSL 嗎?
可以。對於使用子域名的 WordPress 多站點(如 site1.example.com、site2.example.com),使用萬用字元證書(*.example.com)。對於使用子目錄的多站點(如 example.com/site1/),單個域名證書就可以。
我的主機說他們提供免費 SSL — 還需要 GetHTTPS 嗎?
如果你的主機提供免費 SSL(透過 AutoSSL 或類似系統),使用它——這是最簡單的路徑。GetHTTPS 適用於主機不提供免費 SSL、你需要特定證書型別(萬用字元、多域名)或你想自己控制私鑰的情況。