如何在WordPress中获得SSL证书

每次你访问一个网页，你都在与网站的服务器建立一个虚拟连接，并来回传输文件。每个网站都是这样运作的。然而，这种连接是否安全取决于网站。

通过启用名为安全套接字层(SSL)，网站可以确保他们的服务器和访客的浏览器之间的所有连接都是受保护的。今天,在70%的网站使用这种技术，包括所有你可能最经常使用的。如果你正在建立或管理一个WordPress的网站，你也应该这样做。

那么，如果大多数人都没有听说过这项技术，它是如何如此普及的呢?好吧，你可能已经注意到网址从“http”变成了“https”。当URL以“https”开头时，这意味着该URL是受SSL保护的。

每一天，旧的HTTP越来越不常见，HTTPS越来越成为人们的期望。为了确保你的WordPress站点能够保护访客，让我们学习更多关于SSL/HTTPS如何给网站带来好处以及为什么你应该使用它。然后，我将解释如何获得SSL证书并使用这个新配置设置WordPress站点。

SSL证书的作用是什么?

要理解SSL证书是什么，我们首先需要将SSL理解为一个概念。SSL是安全套接字层(Secure Sockets Layer)的缩写，是一种协议(即一套规则和程序)，用于确保请求网站的浏览器和传送网站的网络服务器之间的数据传输安全。

更具体地说,SSL加密数据在两台机器之间传输，只有浏览器和服务器可以解密文件。通过这种方式，如果文件以某种方式被坏人拦截，他们将无法解释或修改被窃取的数据。

SSL与您可能听说过的另一种互联网协议——超文本传输协议(HTTP)协同工作。HTTP规定了web服务器和web浏览器如何互相发送文件。当SSL协议应用于网站时，HTTP协议就会变成HTTPS——额外的“S”代表“安全”或“SSL”。

你可以通过检查URL开头的“https”来验证一个网站是否使用SSL。大多数浏览器还会显示一个挂锁图标，表明您的连接是安全的SSL加密。以下是谷歌Chrome的外观:

这就引出了一个问题:如何在网站上激活SSL ?

这就是SSL证书发挥作用的地方。SSL证书是位于web服务器上的小数据文件的集合，它在服务器和访问该服务器的浏览器之间建立了加密链接。当浏览器第一次访问一个网站时，它会检查主机是否有SSL证书。如果其中一个被找到并验证，小挂锁图标就会出现。

证书文件本身包含关于证书持有人、过期日期和用于加密数据的公钥的标识信息。有几种可用的SSL证书，我们将在后面讨论。

要快速了解什么是HTTPS以及如何使用它，请查看我们的视频指南。

为什么WordPress需要SSL ?

如今，SSL不是奢侈品。对于大多数网站来说，这是必须的，主要有三个原因。

首先，当然是安全问题。网站通常会处理支付信息、登录凭据和健康记录等机密数据的传输。如果这些数据被拦截，访问者和web服务的后果可能是灾难性的。如果您是一个需要登录的在线商店或网站，那么与一次成功的攻击所造成的潜在损害相比，SSL证书的成本微不足道。

另外，WordPress用户特别容易受到这类攻击。根据Sucuri安全在美国，WordPress网站比其他任何类型的网站更容易被黑客成功入侵。这是由于WordPress的安全漏洞，再加上许多WordPress用户往往是忽视安全原则的新网站所有者。不要成为他们中的一员。

第二，SSL影响您在搜索中的出现。自2014年以来,谷歌将HTTPS列为一个因素在它的排序算法中。如果你的网站缺乏这种功能，你就不太可能出现在潜在的访问者面前。即使您不处理安全的交易，SSL对于搜索引擎优化也是值得的。

SSL的第三个也是最后一个重要原因是用户体验因素。还记得浏览器是如何在连接加密时显示的吗?如果连接没有加密，用户会在浏览器中看到如下内容:

…这可不是让你的访客信任你的好办法。我们习惯于在浏览器栏上看到挂锁，所以当我们登录到一个不安全的页面时，没有挂锁会立即影响我们的体验。糟糕的用户体验的后果可能没有糟糕的安全性那么可怕，但它们仍然会损害您的业务。而且,不像在你的页脚的WordPress品牌，你不能摆脱这种警告与聪明的编码。

考虑到这些原因，让我们看看如何为你的WordPress网站获得SSL证书。

如何在WordPress中获得SSL证书

由于SSL证书非常流行，所以很容易获得。具体的流程将取决于您的主机提供商。但总的来说，我们可以把它分成三个步骤:

1.确定需要的SSL证书类型。

SSL证书的类型和成本各不相同。一个证书可以让你每年花费从0到数百美元不等，这取决于你选择的证书和你从谁那里获得它。下面是你可以安装的SSL证书类型:

域验证证书

DV (domain validation)证书是最便宜、最基本的SSL证书。接收DV证书的验证过程非常简单，它只显示浏览器栏上的挂锁图标。此证书最适合不处理任何敏感信息传输的低预算站点。

组织验证证书

组织验证(OV)证书是保护的下一步——它们在浏览器栏中显示公司名称的挂锁，并对证书持有人的身份进行更彻底的验证。raybet电子竞技

扩展验证证书

扩展验证(EV)证书是最昂贵的证书，因为它要求您证明已授权使用所提交的域。在浏览器中，它在企业名称和地理位置旁边显示一个挂锁。处理支付信息或医疗数据等高度敏感信息的业务使用EV证书，但不使用OV证书。

统一通信证书

UCC (unified communications)证书适用于同一证书上的多个域的SSL保护，适用于多个网站的在线属性。这个和a相对单域SSL证书，它只保护一个域。

通配符SSL证书

一个通配符SSL证书将SSL保护应用到它购买的域，以及所有与域相关的域子域。例如，为mysite.com购买的通配符SSL证书也将覆盖blog.mysite.com和store.mysite.com。

2.获取SSL证书。

一旦您选择了所需的SSL证书，下一步就是通过证书颁发机构(CA)获得一个证书。CA是生成SSL证书并验证请求证书的网站的组织。

下面列出的任何资源都可以为您提供SSL证书。根据证书的类型，CA的验证可能需要一个小时或几天的时间，所以请耐心等待!

你的托管服务提供商

在搜索第三方CA之前，检查是否您的当前WordPress的主机通过它们的服务提供SSL证书。许多方案至少包含一个SSL证书，并将为您处理设置过程。因此，有必要检查您的主机是否提供所需的SSL证书类型。

让我们加密

Let’s Encrypt是一个非营利CA，它发布免费SSL证书。它的目标是使SSL保护更加常见和更容易获得。让我们加密每天发行超过一百万张证书该公司得到了谷歌、亚马逊(Amazon)和Shopify等大公司的支持。

而从头开始需要一些编码知识，许多主机已经集成了Let’s Encrypt，并允许您通过托管管理面板获得免费证书。来自Let 's Encrypt的证书有效期只有90天，但您可以无限次更新它们，并将证书设置为自动更新。

其他证书颁发机构

有许多信誉良好的第三方ca可以为你提供WordPress网站所需要的任何证书——流行的选项包括科摩多,Cloudflare,GoDaddy。看到我们的SSL证书颁发机构列表更多的建议。

3.安装SSL证书。

您的SSL证书文件将位于您的web服务器上，因此安装过程因主机提供商而异。请参考您的主机的文档来安装SSL—您可能需要使用FTP来上传您的SSL证书。不过，这应该是这个过程中最省时的步骤。

4.为你的SSL证书配置WordPress。

在你的服务器上安装SSL证书之后，你必须在你的WordPress网站上采取几个步骤来将你的网站完全过渡到SSL。

首先，请记住您的站点现在遵循HTTPS协议。如果你要把你的网站切换到SSL，你必须把你现有的url从“http”更新为“https”。否则，人们(和搜索引擎爬虫)试图访问你的“http”链接将显示一个过时的版本的网站和/或在浏览器中警告。要解决此问题，必须将HTTP url设置为永久重定向到新的HTTPS url。

这一步可以手动完成，或者使用插件很简单的SSL。真正简单的SSL插件自动重定向所有传入的请求到“https”url。它还将内容源链接中的“http”替换为“https”。

接下来，确保你的WordPress地址和网站地址遵循HTTPS协议。登录到你的WordPress仪表盘，然后选择设置>一般。来，检查一下你的WordPress的地址和网站地址从“https://”开始。如果不是，请更改这些url。

Really Simple SSL插件也为您处理这一步。

你还想找到任何链接到您的网站位于您的网站上和外部，并将这些更改为HTTPS。浏览你的博客帖子、社交媒体简介和其他链接到你网站的地方。虽然您的永久重定向将处理您丢失的任何链接，但更改您可以找到的链接是一个好主意。

最后，在你的安全域下进行一次最后的网页扫描。查看每个URL，确保上面写着“https”。如果您发现任何不符之处，请查看我们的SSL错误解释为解决方案。

使用SSL保护您的访问者和您的业务

SSL协议是当今网络安全的基石，也是保护WordPress网站访问者最重要的措施之一。

然而，你的安全并不止于此。WordPress网站比其他cms网站受到的攻击比例高得不成比例，这是一个很大的原因——黑客认为WordPress用户缺乏经验，不会采取适当的预防措施。

但这并不一定适用于你的网站。有关更多安全最佳实践，请参阅我们的WordPress安全终极指南。你的访问者应该得到保护，你的企业也需要保护。