WordPress SSL: นี่คือสิ่งที่คุณควรทราบเกี่ยวกับมัน

หากธุรกิจของคุณมีตัวตนบนโลกออนไลน์ และไม่ว่าคุณจะใช้กลยุทธ์ SEO กี่กลยุทธ์ คุณก็ดูเหมือนจะไม่สามารถบรรลุอันดับของเครื่องมือค้นหาที่ดีได้ หรือผู้เข้าชมเพิ่งกลับมาจากเว็บไซต์ของคุณ

คุณตัดสินใจตรวจสอบเว็บไซต์ของคุณและค้นพบความจริงอันเจ็บปวด: ไม่มีใบรับรอง SSL ติดตั้งบนเว็บไซต์ของคุณ! กล่าวอีกนัยหนึ่ง ความปลอดภัยของเว็บไซต์ของคุณดูเหมือนจะไม่น่าเชื่อถือไม่เพียงต่อเครื่องมือค้นหาเท่านั้น แต่ยังรวมถึงผู้เยี่ยมชมด้วย

ในบทความนี้ คุณจะได้เรียนรู้ว่า SSL คืออะไรและมีความสำคัญอย่างไร ใบรับรอง SSL มีข้อดีอะไรบ้างและทำงานอย่างไร มีใบรับรอง WordPress SSL ประเภทใดและประเภทใดที่เหมาะสมที่สุดสำหรับเว็บไซต์ของคุณ

นี่เป็นเพียงคำถามบางส่วนที่คุณควรรู้ก่อนติดตั้ง WordPress SSL

SSL คืออะไรและเหตุใดจึงสำคัญ

Secure Sockets Layer (SSL) เป็นมาตรฐานสำหรับการสื่อสารที่เข้ารหัสระหว่างเซิร์ฟเวอร์และเบราว์เซอร์ เบราว์เซอร์รับและตีความใบรับรองนี้และยืนยันความถูกต้อง เมื่อทำการตรวจสอบแล้ว ข้อมูลทั้งหมดที่ส่งผ่านการเชื่อมต่อที่ปลอดภัยจะถูกเข้ารหัส เบราว์เซอร์จะแสดงการเชื่อมต่อนี้ด้วยไอคอนแม่กุญแจแบบปิดและเพิ่ม https ก่อนที่อยู่เว็บไซต์

Hypertext Transfer Protocol Secure (HTTPS) คือการรวมกันของสองโปรโตคอล: HTTP และ SSL HTTP เป็นช่องสัญญาณที่ส่งข้อมูลและ SSL เป็นโปรโตคอลความปลอดภัยที่เข้ารหัสข้อมูลในอุโมงค์ข้อมูล ด้วยเหตุนี้ การเข้าถึงโดยไม่ได้รับอนุญาตในการอ่าน คัดลอก หรือถอดรหัสการสื่อสารระหว่างเซิร์ฟเวอร์และไคลเอ็นต์ (เกือบ) เป็นไปไม่ได้ ใบรับรอง SSL ทั่วไปประกอบด้วย:

• ชื่อโดเมนและคีย์สาธารณะ
• ข้อมูลความถูกต้องและหมายเลขซีเรียล
• ลายเซ็นของผู้ออกใบรับรอง

ใบรับรอง SSL มีอายุการใช้งานชั่วคราว (ส่วนใหญ่ไม่เกิน 90 วัน) ดังนั้นจึงต้องต่ออายุเป็นระยะเพื่อรับประกันความน่าเชื่อถืออย่างต่อเนื่องของเว็บไซต์ของคุณ ใบรับรองเหล่านี้เป็นข้อกำหนดบังคับสำหรับเว็บไซต์ทั้งหมดที่จัดการข้อมูลส่วนบุคคลและข้อมูลทางการเงินที่ละเอียดอ่อน

ความคิดริเริ่มของ Google ในการทำให้เว็บไซต์ที่มีการรักษาความปลอดภัยด้วย SSL มีการจัดอันดับ SERP ที่ดีขึ้น ยังบ่งบอกถึงความสำคัญของการติดตั้งใบรับรอง SSL ตั้งแต่ปี 2014 ใบรับรอง SSL ได้กลายเป็นองค์ประกอบที่ต้องมีสำหรับทุกเว็บไซต์ แผนภูมิต่อไปนี้แสดงการเติบโตอย่างมากในเปอร์เซ็นต์ของหน้าที่โหลดผ่านเว็บไซต์ที่ได้รับการรับรอง SSL

Matt Mullenweg ผู้ร่วมก่อตั้ง WordPress เคยกล่าวไว้ว่า “ เราจะส่งเสริมเฉพาะพันธมิตรโฮสติ้งที่ให้ใบรับรอง SSL เป็นค่าเริ่มต้นในบัญชีของพวกเขาเท่านั้น ” นอกจากนี้ คุณยังสามารถเห็นการกล่าวถึงเป็นพิเศษเกี่ยวกับการสนับสนุน HTTP สำหรับข้อกำหนดการโฮสต์

ใบรับรอง SSL ทำงานอย่างไร

โปรโตคอล SSL เป็นโครงสร้างสี่ชั้น (บันทึก SSL, Handshake, Change-cipher spec และ Alert protocol) ที่เข้ารหัสข้อมูลระหว่างเซิร์ฟเวอร์และเบราว์เซอร์อย่างปลอดภัย เลเยอร์เหล่านี้อนุญาตให้ใช้คีย์สำหรับการเข้ารหัส/ถอดรหัสและรูปแบบการตรวจสอบสิทธิ์ตามการใช้คีย์สาธารณะและคีย์ส่วนตัว

ในรูปแบบนี้ พับลิกคีย์จะเข้ารหัสข้อมูล ในขณะที่ไพรเวตคีย์ใช้เพื่อถอดรหัส สิ่งนี้เกิดขึ้นที่เลเยอร์ Handshake ของโปรโตคอล SSL ซึ่งมีการแลกเปลี่ยนคีย์การเข้ารหัสแบบอสมมาตรสำหรับการเข้ารหัสและถอดรหัสข้อมูล

ใบรับรอง SSL: การตรวจสอบและประเภท

ใบรับรอง SSL โดยทั่วไปมีสามระดับการตรวจสอบ:

1. การตรวจสอบความถูกต้องของโดเมน (DV)

ผู้ออกใบรับรองจะตรวจสอบสิทธิ์ของผู้สมัครในการใช้ชื่อโดเมนเฉพาะ ไม่มีการตรวจสอบตัวตนของบริษัทที่อยู่เบื้องหลังโดเมน ข้อมูลจะปรากฏขึ้นเมื่อผู้ใช้คลิกที่แม่กุญแจเว็บไซต์ที่ปลอดภัย อย่างที่คุณเดาได้ นี่เป็นระดับพื้นฐานของการตรวจสอบ SSL ที่ค่อนข้างดี

2. การตรวจสอบองค์กร (OV)

ผู้ออกใบรับรองจะตรวจสอบสิทธิ์ของผู้สมัครในการใช้ชื่อโดเมนเฉพาะและความถูกต้องขององค์กรที่อยู่เบื้องหลังโดเมน

การตรวจสอบความถูกต้องขององค์กร (OV) นั้นซับซ้อนกว่า แต่รับประกันความถูกต้องของโดเมนและระบุเจ้าของบริษัท ซึ่งทำให้ผู้เข้าชมมีความมั่นใจมากขึ้น มักใช้โดยธุรกิจอีคอมเมิร์ซและเว็บไซต์องค์กร

3. การตรวจสอบเพิ่มเติม (EV)

ผู้ออกใบรับรองจะตรวจสอบสิทธิ์ของผู้สมัครในการใช้ชื่อโดเมนเฉพาะ และกำหนดให้องค์กรได้รับการตรวจสอบอย่างละเอียด กระบวนการออกใบรับรองด้วย Extended Validation (EV) กำหนดไว้อย่างครอบคลุมในแนวทางปฏิบัติของฟอรัม CA/เบราว์เซอร์

Extended Validation (EV) เป็นระดับสูงสุดของการตรวจสอบใบรับรอง SSL และต้องมีการนำเสนอเอกสารและใบอนุญาตทางกฎหมายเพื่อยืนยันการมีอยู่ของบริษัท ด้วย EV ผู้ใช้จะเห็นตราประทับเว็บไซต์ที่ปลอดภัยในแถบที่อยู่ของเบราว์เซอร์

นอกจากการตรวจสอบความถูกต้องแล้ว ใบรับรอง SSL ยังมีอยู่ในการกำหนดค่าแอปพลิเคชันต่างๆ:

1. โดเมนเดียว

หากคุณต้องการปกป้องโดเมนเพียงอย่างเดียว ใบรับรองโดเมนเดียวคือตัวเลือกที่ดีที่สุดของคุณ ใบรับรองเหล่านี้ใช้กับโดเมนระดับบนสุดเท่านั้น (เช่น website.com) ใบรับรอง SSL ประเภทนี้ใช้ได้กับทุกระดับการตรวจสอบ

2. หลายโดเมน

ใบรับรองประเภทนี้รับรองหลายโดเมน (เช่น website.com , website.com.uk) ด้วยใบรับรอง SSL เดียว โปรดทราบว่าจำนวนโดเมนที่ได้รับการป้องกันอาจแตกต่างกันไปขึ้นอยู่กับผู้ออกใบรับรอง ใบรับรอง SSL แบบหลายโดเมนใช้ได้กับทุกระดับการตรวจสอบ ยกเว้น EV

3. ไวลด์การ์ด

ใช้สำหรับโดเมนเดียวที่มีหลายโดเมนย่อย ผู้ออกใบรับรองที่ออกใบรับรองไวด์การ์ด SSL มีสิทธิ์จำกัดจำนวนโดเมนย่อยที่ได้รับการป้องกัน ใบรับรอง SSL ประเภทนี้ใช้ได้กับทุกระดับการตรวจสอบ ยกเว้น EV

4. Wildcard แบบหลายโดเมน

ใบรับรองเหล่านี้เป็นการรวมกันของใบรับรองหลายโดเมนและไวด์การ์ด คุณสามารถใช้ใบรับรองเหล่านี้เพื่อปกป้องโดเมนระดับบนสุดจำนวนหนึ่งพร้อมกับโดเมนย่อย อีกครั้ง ขีดจำกัดอาจแตกต่างกันไปขึ้นอยู่กับผู้ออกใบรับรอง ใบรับรอง SSL ประเภทนี้มีให้ในทุกระดับการตรวจสอบ ยกเว้น EV

ข้อดีของการใช้ใบรับรอง SSL ของ WordPress

ณ จุดนี้ คุณสามารถทราบถึงความสำคัญของใบรับรอง SSL แล้ว ถึงเวลาแล้วที่จะรู้เกี่ยวกับข้อดีของใบรับรอง SSL

• ความน่าเชื่อถือ: ด้วยใบรับรอง SSL ผู้เข้าชมจะรู้ว่าการเชื่อมต่อไปยังเว็บไซต์นั้นได้รับการเข้ารหัส ดังนั้นจึงเป็นการปรับปรุงความน่าเชื่อถือและความน่าเชื่อถือ
• ความถูกต้องตามกฎหมาย: เนื่องจากเป็นที่ชัดเจนว่ากิจกรรมทั้งหมดเกิดขึ้นบนเว็บไซต์ที่เป็นที่รู้จักและมีความปลอดภัยอย่างเหมาะสม
• ความปลอดภัย: ผู้เยี่ยมชมทราบว่าข้อมูลถูกเข้ารหัส ดังนั้นข้อมูลจะปลอดภัยจากการเข้าถึงหรือการโจมตีของบุคคลที่สามโดยไม่ได้รับอนุญาต
• การจัดอันดับ: Google ชอบหน้าเว็บที่มี SSL และมี HTTPS ในที่อยู่

ใบรับรอง SSL ได้รับการแนะนำเป็นพิเศษสำหรับธุรกิจ โดยเฉพาะร้านค้าออนไลน์ที่ทำงานกับข้อมูลส่วนบุคคลของผู้ใช้

มาเข้ารหัสกันเถอะ: ใบรับรอง SSL/TLS ฟรี

Let's Encrypt เป็นผู้ออกใบรับรองอัตโนมัติ (CA) ที่ให้บริการฟรีและให้ใบรับรอง Domain Validated (DV) ฟรี โดยมีระยะเวลาใช้งานได้ 90 วัน บริการนี้จัดทำโดย Internet Security Research Group (ISRG) ใครก็ตามที่เป็นเจ้าของโดเมนและโฮสติ้งสามารถเพิ่ม Let's Encrypt SSL Certificates ให้กับ WordPress ได้โดยไม่มีค่าใช้จ่ายใดๆ

เวลาเปิดใช้งานใบรับรองอาจขึ้นอยู่กับความพร้อมใช้งานของทรัพยากร Let's Encrypt และข้อจำกัดต่างๆ ของผู้ออกใบรับรองเอง ข้อจำกัดเหล่านี้รวมถึง:

• ใบรับรองต่อโดเมนที่ลงทะเบียน (50 ต่อสัปดาห์)
• ชื่อต่อใบรับรอง (สูงสุด 100)
• โดเมนย่อยที่ไม่ซ้ำ (มากถึง 5,000 ต่อสัปดาห์)
• ใบรับรองซ้ำ (5 ต่อสัปดาห์)

เพื่อตรวจสอบรายละเอียดของข้อจำกัดเหล่านี้ โปรดดูที่ Let's Encrypt Rate Limits ฉันจะใช้ใบรับรอง Let's Encrypt SSL เพื่อแสดงแนวคิดที่ใช้งานได้จริงนับจากนี้เป็นต้นไป

ก่อนย้ายไปยังส่วนถัดไป ฉันแนะนำให้สำรองข้อมูลเว็บไซต์ WordPress ของคุณ เพื่อให้คุณสามารถกู้คืนได้เสมอในกรณีที่เกิดปัญหา คุณสามารถสำรองข้อมูลได้สองวิธี: ผ่านปลั๊กอินสำรองของ WordPress หรือการสำรองข้อมูลทางฝั่งเซิร์ฟเวอร์ อีกทางหนึ่ง คุณสามารถสร้างสภาพแวดล้อมการแสดงละครของ WordPress หรือโคลนทั้งเว็บไซต์เพื่อทำการทดสอบ

ติดตั้งใบรับรอง SSL ฟรีบน WordPress

ฉันใช้แพลตฟอร์ม Cloudways สำหรับบทความนี้ และถือว่าคุณได้ลงทะเบียนสำหรับบัญชีแล้ว เปิดเซิร์ฟเวอร์ด้วยแอปพลิเคชัน WordPress และชี้ไปที่โดเมนของคุณ ถ้าไม่ นี่คือวิธีที่คุณสามารถเปิดเซิร์ฟเวอร์ของคุณด้วย WordPress

ในขั้นตอนถัดไป ไปที่ Applications จากแถบเมนูด้านซ้ายบน คุณสามารถดูแอปพลิเคชัน WordPress ที่ติดตั้งบนเซิร์ฟเวอร์ของคุณได้ คลิกที่แอปพลิเคชันของคุณเพื่อเข้าสู่แดชบอร์ด การจัดการแอปพลิเคชัน

เพิ่มโดเมนเดียว WordPress SSL บนเว็บไซต์ของคุณ

ก่อนติดตั้ง WordPress SSL โปรดตรวจสอบให้แน่ใจว่าโดเมนของคุณใช้งานได้พร้อมการเผยแพร่ DNS ที่สมบูรณ์ มิฉะนั้น คุณจะไม่สามารถติดตั้งใบรับรอง SSL ได้

ในขั้นตอนถัดไป ให้ป้อน ชื่อโดเมน และที่ อยู่อีเมล เดียวกับ ที่ คุณใช้สร้างบัญชี Cloudways ตอนนี้ คลิก ติดตั้งใบรับรอง

เพิ่ม WordPress SSL แบบหลายโดเมนบนเว็บไซต์ของคุณ

ในการติดตั้ง Let's Encrypt WordPress SSL Certificate บนหลายโดเมน ให้คลิก Add Domain และป้อนชื่อโดเมนที่เชื่อมโยงกับเว็บไซต์ WordPress ของคุณ เมื่อเสร็จแล้ว ให้คลิก ติดตั้งใบรับรอง

เพิ่ม Wildcard SSL Certificate สำหรับโดเมนย่อย

คุณเพียงแค่ต้องทำเครื่องหมายที่ช่องทำเครื่องหมาย ใช้สัญลักษณ์แทน จะใช้เวลาสักครู่ในการจัดเตรียมระเบียน CNAME ที่จำเป็นต้องเพิ่มในผู้รับจดทะเบียนโดเมน

เข้าสู่ระบบผู้รับจดทะเบียนโดเมนของคุณและเพิ่มระเบียน CNAME ด้วยข้อมูลที่คล้ายกัน:

• ประเภท: CNAME
• พิธีกร: _acme-challenge
• ค่า: [URL เว็บไซต์ของคุณ]

เมื่อเสร็จแล้ว ให้กลับไปที่ส่วน ใบรับรอง SSL และคลิก ยืนยัน DNS มันจะตรวจสอบการตั้งค่าและแจ้งให้คุณทราบตามนั้น ในขั้นตอนถัดไป คลิก ติดตั้งใบรับรอง เพื่อติดตั้ง WordPress SSL บนไซต์ของคุณ

การต่ออายุอัตโนมัติของ Let's Encrypt WordPress SSL Certificate

แพลตฟอร์ม Cloudways จัดการกระบวนการต่ออายุโดยอัตโนมัติหากคุณตั้งค่าตัวเลือก การต่ออายุอัตโนมัติ เป็น เปิดใช้งาน คุณยังสามารถต่ออายุได้ตลอดเวลาโดยคลิกปุ่ม ต่ออายุ ทันที

หรือคุณสามารถใช้บริการตรวจสอบ SSL เพื่อให้แน่ใจว่าใบรับรอง SSL ทั้งหมดถูกต้องและไคลเอ็นต์ของคุณไม่ได้รับคำเตือนด้านความปลอดภัย

ติดตั้งใบรับรอง WordPress SSL แบบชำระเงิน

สำหรับใบรับรอง SSL แบบชำระเงิน ก่อนอื่นคุณต้องเปิดใช้งานคำขอลงนามใบรับรอง (CSR) บนแอปพลิเคชัน WordPress ของคุณ

ไปที่ส่วน ใบรับรอง SSL เลือก " ฉันไม่มีใบรับรอง " จากเมนูแบบเลื่อนลง จากนั้นคลิก สร้าง CSR

หากคุณต้องการใช้ใบรับรอง SSL ของ WordPress เดียวในหลายโดเมน ให้ทำเครื่องหมายในช่องที่มีข้อความว่า SAN และเพิ่มชื่อโดเมนในแบบฟอร์ม

เมื่อคุณส่งแบบฟอร์ม CSR จะถูกสร้างขึ้น ในขั้นตอนต่อไป ให้คลิกที่ปุ่ม ดาวน์โหลด CSR เพื่อดาวน์โหลดไฟล์ CSR

ส่งไฟล์ CSR ที่ดาวน์โหลดไปยังผู้ให้บริการใบรับรอง SSL ของ WordPress เพื่อสร้างใบรับรอง SSL ตามความต้องการของคุณ

ผู้ให้บริการใบรับรอง SSL จะให้ไฟล์สองไฟล์แก่คุณ: [yourdomain].crt (Certificate Code) และ [yourdomain].ca (Chain File) คลิก ติดตั้งใบรับรอง แล้วคุณจะเห็นป๊อปอัปขอ รหัสใบรับรอง และสาย โซ่ของ CA ส่งข้อมูลนี้ในช่องที่เกี่ยวข้อง

เมื่อคุณส่งข้อมูลนี้แล้ว ให้คลิก ส่ง และคุณพร้อมแล้ว SSL ควรใช้งานได้กับเว็บไซต์ WordPress ของคุณแล้ว

HSTS คืออะไรและทำไมคุณจึงควรใช้

HTTP Strict Transport Security (HSTS) เป็นคำสั่งเว็บเซิร์ฟเวอร์ที่บอกเว็บเบราว์เซอร์และตัวแทนผู้ใช้ถึงวิธีจัดการกับการเชื่อมต่อกับเว็บไซต์ของคุณ จะส่งส่วนหัวตอบกลับพร้อมคำแนะนำในตอนต้น

บางครั้ง HTTPS ก็ไม่เพียงพอ เนื่องจากผู้โจมตียังคงพบวิธีเข้าถึงเว็บไซต์ของคุณผ่าน http:// HSTS บังคับให้เบราว์เซอร์ใช้ HTTPS หากมี การกำหนดค่า HSTS สำหรับใบรับรอง WordPress SSL นั้นค่อนข้างง่าย หากคุณกำลังโฮสต์บนเซิร์ฟเวอร์ Apache ให้เพิ่มบรรทัดต่อไปนี้ในไฟล์ .htaccess

 # ใช้ HSTS เพื่อบังคับให้ลูกค้าใช้การเชื่อมต่อที่ปลอดภัยเท่านั้น

ส่วนหัวจะตั้งค่า Strict-Transport-Security "max-age=300; includeSubDomains; preload" เสมอ

ก่อนเพิ่ม HSTS ลงในเว็บไซต์ WordPress ของคุณ อย่าลืมอ่านข้อกำหนดเบื้องต้นต่อไปนี้:

• เว็บไซต์ต้องติดตั้งใบรับรอง SSL ที่ถูกต้อง
• เปลี่ยนเส้นทางลิงก์ HTTP ทั้งหมดไปยัง HTTPS ด้วยการเปลี่ยนเส้นทางถาวร 301
• ตรวจสอบให้แน่ใจว่าโดเมนย่อยทั้งหมดครอบคลุมอยู่ในใบรับรอง SSL ของคุณ (พิจารณาใบรับรองตัวแทน)

ใบรับรอง WordPress SSL บน Cloudflare (ไม่บังคับ)

หากคุณกำลังใช้ Cloudflare ไม่ทางใดก็ทางหนึ่ง คุณต้องทำตามขั้นตอนเพิ่มเติมสองสามขั้นตอน ก่อนอื่น ปิดใช้งาน Cloudflare ไม่เช่นนั้น กระบวนการกำหนดค่าอาจล้มเหลว

ขั้นตอนที่ 1

ลงชื่อเข้าใช้แดชบอร์ด Cloudflare ของคุณและใต้แท็บ DNS ให้ปิดใช้งานทั้งตัวเลือก www และ [โดเมนของคุณ] .com โดยใช้สวิตช์สลับ หากเป็นสีเทา แสดงว่าบริการถูกปิดใช้งาน

ขั้นตอนที่ 2

ตอนนี้ ไปที่ส่วน แพลตฟอร์ม Cloudways → การจัดการเซิร์ฟเวอร์ → ส่วน การตั้งค่าและแพ็คเกจ ภายในแท็บ ขั้นสูง และภายใต้ โมดูล WAF ให้ เลือก Cloudflare จากนั้นคลิกที่ปุ่ม บันทึกการเปลี่ยนแปลง

ขั้นตอนที่ 3

กลับไปที่แดชบอร์ด Cloudflare และเปิดใช้งานตัวเลือกที่คุณปิดใช้งานใน ขั้นตอนที่ 1 คลิกแท็บ SSL/TLS ที่ด้านบน และเปลี่ยนโหมดการเข้ารหัส SSL/TLS เป็น Flexible Cloudflare อาจใช้เวลาถึง 24 ชั่วโมงในการเปิดใช้งานใบรับรอง อย่างไรก็ตาม หากคุณเคยใช้โดเมนเดิมมาก่อน โดเมนนั้นจะเปิดใช้งานทันที

เมื่อเปิดใช้งานใบรับรองแล้ว ให้เปลี่ยนเป็น แบบเต็ม (เข้มงวด)

ล้างเว็บไซต์ โฮสติ้ง และแคชของเบราว์เซอร์

ตอนนี้ได้เวลาตรวจสอบว่ามีการติดตั้งใบรับรอง WordPress SSL ฟรีหรือไม่ ก่อนดำเนินการต่อ ให้ ล้าง แคชของเว็บไซต์รวมถึงการแคชฝั่งเซิร์ฟเวอร์ เช่น Varnish โดยไปที่ Cloudways Platform → การจัดการเซิร์ฟเวอร์ → Manage Services

ตรวจสอบว่าใบรับรอง SSL ทำงานอย่างถูกต้อง

ฉันคิดว่าคุณได้ติดตั้ง Let's Encrypt WordPress SSL Certificate สำหรับเว็บไซต์ของคุณและกำหนดค่าทุกอย่างอย่างถูกต้อง ตอนนี้ ได้เวลาทดสอบใบรับรอง SSL แล้ว เยี่ยมชมเว็บไซต์ของคุณและตรวจสอบไอคอนที่แสดง

หากคุณเห็นไอคอนที่สอง แสดงว่าใบรับรอง SSL ทำงานได้ดี หากคุณเห็นไอคอนที่สาม แสดงว่าเว็บไซต์กำลังใช้ใบรับรอง SSL แต่มีองค์ประกอบบางอย่างบนหน้าเว็บที่ไม่ได้ใช้ HTTPS ซึ่งเป็นปรากฏการณ์ที่เรียกว่าเนื้อหาผสม

SSL Labs นำเสนอเครื่องมือตรวจสอบ SSL ที่ยอดเยี่ยม ซึ่งคุณเพียงแค่ป้อนชื่อโดเมนของคุณ และมันจะวิเคราะห์และจัดทำรายงานดังต่อไปนี้

ผู้ใช้ Cloudflare หลายรายรายงานปัญหาเมื่อพยายามนำเข้าใบรับรอง Let's Encrypt WordPress SSL ฟรีไปยังโดเมนของตนในบัญชี Cloudflare ฟรี การตั้งค่าข้างต้นควรใช้งานได้ แต่หากไม่ได้ผล ให้ลองทำตามขั้นตอนต่อไปนี้:

1. เข้าสู่ระบบ Cloudflare และเลือกโดเมนที่คุณต้องการใช้งาน
2. เลือก SSL/TLS จากตัวเลือกเมนูด้านบน
3. เปลี่ยนโหมดการเข้ารหัส SSL/TLS เป็น Flexible
4. ตั้งค่า Always Use HTTPS เป็น On
5. ในส่วน HSTS ให้ เปิดใช้งาน HSTS
   • ตั้งค่าอายุสูงสุดเป็น 3 เดือน
   • รวมโดเมนย่อย: ปิด (เปลี่ยนตามที่คุณต้องการ – อ่านด้านบน)
   • พรีโหลด: ปิด
6. ตั้งค่าเวอร์ชัน TLS ขั้นต่ำเป็น TLS 1.2
7. การเข้ารหัสฉวยโอกาส: เปิด
8. ตั้งค่า TLS 1.3: เปิด
9. การเขียน HTTPS ใหม่โดยอัตโนมัติ: เปิด (เพื่อเปิดใช้งานการเปลี่ยนเส้นทาง)
10. ปิดการใช้งาน Universal SSL (อ่านด้านบนอีกครั้ง) เมื่อทำเช่นนี้ คุณจะไม่ได้ใช้ใบรับรอง Cloudflare SSL อีกต่อไป และใช้เฉพาะใบรับรองที่เซิร์ฟเวอร์ของคุณให้มาเท่านั้น

กระบวนการข้างต้นสนับสนุนโดย Gary Stevens จาก Hosting Canada – Web Hosting Reviews

เปลี่ยน URL จาก HTTP เป็น HTTPS

ไปที่ แดชบอร์ด WordPress → การตั้งค่า → ทั่วไป → ก่อน ที่อยู่ WordPress (URL) และ ที่อยู่เว็บไซต์ (URL) → ป้อน https แทน http → แล้วคลิก บันทึกการเปลี่ยนแปลง ที่ด้านล่างของหน้า การดำเนินการนี้จะแทนที่ URL ภายในทั้งหมดเป็น https://

บังคับใช้ SSL สำหรับหน้าเข้าสู่ระบบ WordPress

ด้วยการเปลี่ยน URL ในแดชบอร์ด WordPress URL ของเว็บไซต์ทั้งหมดก็ควรเปลี่ยนเช่นกัน หากไม่เป็นเช่นนั้น คุณอาจต้องการบังคับ SSL สำหรับพื้นที่เข้าสู่ระบบ WordPress โดยกำหนดค่า SSL ในไฟล์ wp-config.php

ในไฟล์ wp-config.php ให้เพิ่มบรรทัดต่อไปนี้ตรงที่เขียนว่า " แค่ นั้น หยุดแก้ไข! ”

 กำหนด ('FORCE_SSL_ADMIN', จริง);

บรรทัดด้านบนจะบังคับ SSL สำหรับหน้าเข้าสู่ระบบ WordPress (โดยทั่วไป URL คือ: wp-admin/wp-login.php)

เปลี่ยนเส้นทาง HTTP เป็น HTTPS ผ่าน .htaccess File

หากมีผู้เยี่ยมชมเว็บไซต์ของคุณด้วย HTTP เซิร์ฟเวอร์จะไม่ถูกบังคับให้ให้บริการผ่าน HTTPS ในขั้นตอนต่อไป ฉันจะเพิ่มกฎลงในไฟล์ .htaccess เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลทั้งหมดจาก HTTP เป็น HTTPS ก่อนทำการเปลี่ยนแปลงใดๆ โปรดสำรองไฟล์ .htaccess ไปยังตำแหน่งภายนอก เนื่องจากจุดเดียวอาจส่งผลต่อ WordPress ของคุณ

เข้าสู่ระบบโฮสติ้ง WordPress ของคุณ → ไปที่ไดเรกทอรีรากของ WordPress → เปิดไฟล์ .htaccess ด้วยโปรแกรมแก้ไขใดๆ → วางบรรทัดต่อไปนี้ที่จุดเริ่มต้นของไฟล์ .htaccess

 RewriteEngine บน

RewriteCond %{http:X-Forwarded-Proto} !HTTPS

RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

ไฟล์ .htaccess ควรมีลักษณะดังนี้:

 RewriteEngine บน

RewriteCond %{http:X-Forwarded-Proto} !HTTPS

RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine บน

รีไรท์เบส /

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

เขียนกฎใหม่ /index.php [L]

</IfModule>

# END WordPress

อัปเดต CDN URL เป็น HTTPS

หากคุณกำลังใช้ WordPress CDN ให้อัปเดต URL ของ WordPress เป็น https:// (เช่นเดียวกับที่ฉันกล่าวถึงในส่วน Cloudflare ด้านบน)

คำเตือนเนื้อหาผสม

เยี่ยมชมเว็บไซต์ของคุณและตรวจสอบว่าลิงก์ภายในทั้งหมดถูกย้ายไปที่ https:// หากคุณยังคงเห็นไอคอนข้อมูลในหน้าเว็บบางหน้าของคุณ แสดงว่า URL อย่างน้อยหนึ่งรายการกำลังให้บริการผ่าน HTTP คุณต้องระบุ URL เหล่านั้น

ระบุ URL คำเตือนเนื้อหาผสม

เพื่อแสดงสถานการณ์ผสมเนื้อหา ฉันได้เพิ่มรูปภาพในโพสต์และเปลี่ยน URL เป็น HTTP โดยไปที่โปรแกรมแก้ไขข้อความของโพสต์ ต่อไป ฉันไปที่โพสต์และเปิด Developer Console (ตรวจสอบองค์ประกอบ) คลิกไอคอนข้อผิดพลาดและป้อน "ผสม" ในแถบค้นหา ซึ่งจะแสดง URL ทั้งหมดที่ให้บริการผ่าน HTTP และจำเป็นต้องอัปเดตเป็น HTTPS

ในกรณีของฉัน เป็นเพียง URL รูปภาพเท่านั้น อย่างไรก็ตาม มีโอกาสที่รูปภาพ สไตล์ชีต หรือสคริปต์ภายนอกบางรายการจากโดเมนที่ไม่มีใบรับรอง WordPress SSL จะถูกใช้บนเว็บไซต์ของคุณ คุณต้องย้ายไปที่ https:// ด้วยตนเอง หรือคุณสามารถลบออกหรือย้ายไฟล์เหล่านี้ไปยังเซิร์ฟเวอร์ของคุณ

URL ที่ไม่ใช่ SSL ของ JitBit เป็นเครื่องมือออนไลน์ที่ยอดเยี่ยมที่รวบรวมข้อมูลและตรวจสอบลิงก์ที่ไม่ใช่ SSL บนเว็บไซต์ ฉันสแกนเว็บไซต์ทดสอบแล้ว และภาพหน้าจอต่อไปนี้แสดง URL ที่ให้บริการผ่าน HTTP

มีหลายวิธีในการแก้ไขปัญหาคำเตือนเนื้อหาผสม มาพูดคุยกันสองสามเรื่อง:

วิธีที่ 1: การใช้ปลั๊กอินอัปเดต URL ของ Velvet Blues

มีปลั๊กอินที่เป็นประโยชน์ Velvet Blues อัปเดต URL ที่ตรวจสอบ URL ทั้งหมดและอัปเดตตามนั้น หลังจากติดตั้งปลั๊กอินแล้ว ให้ไปที่ แดชบอร์ดของ WordPress → เครื่องมือ → อัปเดต URL → กำหนดค่าปลั๊กอินตามด้านล่าง → จากนั้นคลิก อัปเดต URL ทันที

วิธีที่ 2: การใช้ปลั๊กอินแทนที่การค้นหาที่ดีกว่า

Better Search Replace เป็นปลั๊กอินที่ยอดเยี่ยมอีกตัวหนึ่งที่แทนที่ HTTP URLs เป็น HTTPS ในฐานข้อมูล หลังจากติดตั้งปลั๊กอินแล้ว ให้ไปที่ WordPress Dashboard → Tools → Better Search Replace → กำหนดค่าปลั๊กอินตามด้านล่าง → จากนั้นคลิก Run Search/Replace

วิธีที่ 3: การใช้ปลั๊กอิน SSL แบบง่ายจริงๆ

วิธีที่ง่ายที่สุดในการกำหนดค่า HTTPS ฟรีคือการใช้ปลั๊กอิน Really Simple SSL หลังจากติดตั้งปลั๊กอินแล้ว ให้ไปที่ WordPress Dashboard → Settings → SSL หากทุกอย่างถูกต้อง คุณจะเห็นบางอย่างด้านล่าง และหากมีบางอย่างที่กำหนดค่าผิดพลาด คุณจะเห็นกาชาดพร้อมกับคำแนะนำในการแก้ไขคำเตือนนั้น

Really Simple SSL แทนที่ URL ในขณะที่กำลังโหลดหน้า ซึ่งอาจส่งผลกระทบต่อประสิทธิภาพเล็กน้อย และหากคุณใช้ปลั๊กอินแคชของ WordPress ผลกระทบจะอยู่ที่การโหลดครั้งแรกเท่านั้น

กำหนดค่า HTTPS สำหรับ Google Search Console

หากต้องการติดตามลิงก์ HTTPS ใน Search Console ให้ไปที่ Google Analytics Dashboard → Admin → เลือกพ ร็อพเพอร์ตี้ที่ จำเป็นแล้วคลิก การตั้งค่าพร็อพเพอร์ตี้ → เปลี่ยน URL เริ่มต้น จาก http:// เป็น https:// → แล้วคลิก บันทึก ที่ท้ายหน้า

คุณเสร็จสิ้นวิธีการรับใบรับรอง SSL ฟรีสำหรับ WordPress โปรดอย่าลืมเปลี่ยน URL ที่กำหนดไว้ล่วงหน้าทั้งหมดจาก HTTP เป็น HTTPS เนื่องจากจะมีการติดตามผ่าน Google Analytics

ห่อ!

หากคุณมาถึงจุดนี้แล้ว คุณสามารถจินตนาการถึงความสำคัญของ WordPress SSL และวิธีติดตั้งใน WordPress ของคุณได้ หากคุณไม่ใช้งาน คุณจะสูญเสียผู้มีโอกาสเป็นลูกค้า ผู้เยี่ยมชมจะละทิ้งเว็บไซต์ของคุณเนื่องจากรู้สึกไม่ปลอดภัย และที่สำคัญที่สุด คุณจะสูญเสียอันดับของเครื่องมือค้นหา

คำถามสุดท้ายนี้มีความสำคัญอย่างยิ่งในกรณีของ Google สิ่งนี้มีหน้าที่ลงโทษหน้าที่ไม่มีใบรับรอง SSL ไม่ต้องพูดถึงความเป็นไปได้ในการเปิดประตูสู่ฟิชชิ่งและการขโมยข้อมูล หากคุณมีคำถามใด ๆ โปรดถามในส่วนความคิดเห็นด้านล่าง