如何修复 WordPress 混合内容 SSL 警告 (2022)
已发表: 2022-04-21在尝试构建功能性网站时,保护用户数据非常重要。 安全套接层证书为您的网站增加了一层保护,减少了攻击的可能性。 但是,许多人在将 SSL 证书集成到他们的应用程序中时会遇到许多问题。 本文概述了 SSL 如何将 SSL 证书无缝集成到 WordPress 站点中。
什么是 SSL ?
网站通常很容易受到攻击,因为它们包含敏感的用户数据。 它可以是信用卡详细信息、个人信息、银行详细信息等。在线企业和门户网站需要创建一个用户可以共享其数据的环境。SSL 证书有助于创建加密连接并建立这种信任基础。 这是浏览器和接收数据的服务器之间的中间层。
公钥和私钥一起工作以创建加密连接。 还有一个标识证书所有者的主题。 SSL 站点使用 HTTPS 协议。 它们可以通过浏览器地址栏旁边的挂锁符号来识别。 SSL 启动设备之间的握手,以确保两个设备都是它们声称的身份。 发送的数据也经过数字签名以保持数据完整性。 证书颁发机构 (CA) 负责颁发 SSL 证书。
SSL 证书的类型
SSL 证书分为许多类别。
根据种类,一个证书可以适用于一个或多个网站:
- 单域 SSL 证书仅适用于一个域(“域”是网站的名称,例如 www.cloudflare.com)。
- 与单域证书一样,通配符 SSL 证书仅适用于一个域。 但是,它确实包含域的子域。
- 例如,通配符证书可能涵盖 www.cloudflare.com、blog.cloudflare.com 和 developers.cloudflare.com,但单域证书可能仅涵盖第一个。
- 顾名思义,多域 SSL 证书用于许多不相关的域。
SSL 证书也有多种有效级别:
验证级别类似于背景检查,因为它根据检查的深度而变化。
域验证:这是最基本且成本最低的验证类型。 公司所要做的就是证明对域的所有权。
组织验证:这是一种更实用的方法,CA 直接联系请求证书的个人或公司。 这些认证在用户眼中更值得信赖。
扩展验证:在颁发 SSL 证书之前,公司必须经过彻底的背景调查。
为什么 WordPress 应用程序需要 SSL 证书?
搜索引擎使用基于索引的排名向用户显示结果。 Google 已将 HTTPS 作为对网站进行排名的参数。 因此,拥有 SSL 证书将提高知名度排名并改善 SEO。
这也提高了访客的信任度。 客户对购买更有信心,并且不太可能放弃产品。 漏洞和数据被盗的风险似乎更小。
当网站上没有 SSL 证书时,HTTP 会引发安全警告。 这可能会导致访问者更加谨慎,他们可能会很快点击离开。
如何获得 SSL 证书?
这些方法专门用于 WordPress 网站。
1. 通过流行的证书提供商获取 SSL 证书。 Let's Encrypt 是一个免费的域级 SSL 证书提供商。 集成很简单,主要涉及单击。 如果主机不提供单击安装,则您必须手动将证书添加到站点。 您需要访问您的服务器才能执行此操作。
2. 使用无需手动安装证书的在线工具。 您所要做的就是输入站点 URL 和宾果游戏。 整个过程大约需要十分钟才能完成。 SSL for free SSL checker 就是一些例子。
将证书集成到网站中并不能保证浏览器将立即不再显示不安全弹出窗口。 通常由于设置配置错误,仍会显示此消息。 未正确配置设置也会导致混合内容警告,这些警告将进一步解释。
WordPress 混合内容警告
如果您在 WordPress 网站上成功安装并设置了 SSL 证书,那么当您访问它时,您应该会在浏览器地址栏中看到挂锁图标。
但是,在某些页面上,您可能会注意到带有 I 符号的信息。
如果您的 WordPress 站点运行 HTTPS 和 HTTP 脚本,则会在用户的浏览器中显示混合内容警告。 此错误的文本可能因您使用的浏览器而异。 但是,在大多数情况下,它会将您的网站标记为“不安全”。
混合内容警告的常见示例
您与该站点的连接并不完全安全。”
“连接不安全”
“这里要小心。这个页面上的一些内容没有加密。”
“只显示安全内容。”
尽管您的网站可能是安全的并且可以访问和运行,但 WordPress 混合内容警告意味着页面上的某些元素或资产不受保护。 更具体地说,这意味着某些 URL 通过 HTTP 而不是 HTTPS 提供内容
是什么导致了这个错误?
以下是您可能会收到此错误的一些原因。
- 您的 CSS 和 JS 文件中仍有 HTTP 链接。 在对主题或插件进行硬编码时,链接可能包含 HTTP。
- 从其他来源加载图像时,图像可能有一个硬编码 HTTP 的链接。
- 外部脚本链接包含在您的 CSS 和 JS 文件中。 与热链接一样,如果您从未启用 HTTPS 的外部站点调用文件,WordPress 可能会显示混合内容警告。
混合内容错误有两种类型:主动和被动。 活跃、多样化的内容是指通过包含 HTTP 脚本的安全 HTTPS 连接提供的网页。 通过 HTTP 加载的图像、视频和音频数据是被动混合内容的示例。
如何识别此错误
以下是一些快速识别和修复 WordPress 网站上的混合内容错误的方法。
使用 Chrome 开发工具 - 您必须确定使用 HTTP 加载哪些资产。 开发工具将有助于快速识别这一点。 在谷歌浏览器中打开您的网站。 右键单击页面并选择检查。 在控制台选项卡中,任何被识别为不安全的内容都将与警告一起列出。 可以手动修复使用 HTTP 加载的一两个资产。 如果显示任何警报,使用外部 SSL 检查器会有所帮助。 这些工具会爬取您的页面并显示包含不安全内容的页面。 此类工具的示例是 JitBit 和 WhyNoPadlock。 您必须输入您的网站 URL。
如何修复混合内容错误
如果您在 WordPress 网站上收到混合内容警告,您应该尽快修复它们。 这些问题可能会损害您网站的用户体验 (UX) 和 SEO,此外还会使其看起来不值得访问者信任。 这是修复混合内容警告的清单
1.确认您的SSL证书的有效性
如前所述,安装 SSL 证书对于保护您的网站至关重要。 但是,确保它是最新的和真实的同样重要。 Let's Encrypt 证书默认有效期为 90 天。 您必须定期更新它才能继续有效地工作。 少数托管公司提供内置的自动 SSL 证书更新功能。 然而,情况并非总是如此。 因此,除非您最近在您的网站上安装了 SSL 证书,否则它可能已经过期。 虽然这不太可能是 WordPress 混合内容警告的来源,但值得调查。
检查 SSL 证书的状态:
- 单击浏览器地址栏中显示的信息符号,挂锁应位于的位置。
- 选择证书(有效)。
- 如果您的证书已过期,请联系您的托管服务提供商或证书颁发机构进行更新。
2. 更改所有内部 URL 以通过 HTTPS 加载
如果您在安装有效的 SSL 证书后仍然收到 WordPress 混合内容警告,则可能是没有为 HTTPS 加密正确设置集成。
因此,下一步是将 WordPress 中的内部 URL 从 HTTP 切换到 HTTPS。 为此,请登录您的仪表板并转到设置 > 常规:在 WordPress 和站点地址中,将 HTTP 替换为 HTTPS。 完成后,转到屏幕底部并单击保存更改按钮。 现在,您的 WordPress 网站上的每个 URL 都应该通过 HTTPS 传送。
另一方面,使用以“http://yoursite.com”开头的链接或在浏览您的网站时在浏览器中输入“HTTP”的用户将不会收到 HTTPS 内容。 因此,您必须创建一个规则以将 HTTP 重定向到 HTTPS。
检查 SSL 证书的状态:
- 单击浏览器地址栏中显示的信息符号,挂锁应位于的位置。
- 选择证书(有效)。
- 如果您的证书已过期,请联系您的托管服务提供商或证书颁发机构进行更新。
3.添加重定向到HTTPS的规则
另一个可能在您的网站上创建 WordPress 混合内容警告的问题是,如果您从未使用过重定向自动将用户移动到您的页面的受保护版本。 为此,请在站点的.htaccess 文件中添加一个规则,强制 WordPress 使用 HTTPS。
这可以手动完成或使用插件完成。 如果您不熟悉.htaccess文件,则可以使用WP Force SSL等插件。 该插件会自动在您的 WordPress 网站的所有页面上实施 SSL。 安装并激活它后,从仪表板转到选项 > 强制 SSL 以查看其设置。
4.更新内容和数据库中的链接
下一步是在您的 WordPress 数据库和内容中使用 HTTPS 更新所有具有 HTTP 的链接。 一种有效的方法是使用像 Better Search Replace 这样的插件。 安装并激活它后,从 WordPress 仪表板转到工具 > 更好的搜索替换。 在搜索框中,在替换为字段中输入站点的 HTTP 版本 (http://yourdomain.com) 和 HTTPS 版本 (https://yourdomain.com)。 选择所有表
并取消选择运行/干燥选项。 完成后,转到屏幕底部并选择运行搜索/替换选项。 当您清除浏览器的缓存并返回您的网站时,应该不再有 WordPress 混合内容警告。
如果您喜欢这篇文章,您会喜欢 Helpbot 的 WordPress 网站管理和支持服务,这些服务全年都可用! 与提供全面优质 WordPress 支持服务的团队合作。 我们技术娴熟的工程师可以为您提供从性能优化服务到无限网站修改、安全性、24/7 支持,甚至是代理和自由职业者的白标网站管理等任何方面的帮助。