WordPress网站HTTPS迁移安全指南

2018年7月，谷歌浏览器开始将所有非HTTPS网站标记为“不安全”，无论它们是否收集数据。这一举措标志着HTTPS的重要性达到了前所未有的高度。在本文中，我们将深入探讨从HTTP到HTTPS的迁移过程，并分享实用技巧，帮助您的WordPress网站顺利完成过渡。对于WordPress网站所有者而言，积极主动地采取行动总是明智之举。随着新的网络协议、SEO优势以及更准确的推荐数据的涌现，现在正是将您的WordPress网站迁移到HTTPS的最佳时机。下面，我们将详细介绍迁移的原因和方法。

### 什么是HTTPS？

HTTPS（安全超文本传输协议）是一种允许您的浏览器或Web应用程序与网站安全连接的机制。它通过加密SSL证书确保数据在传输过程中不被窃取或篡改，从而保护您的浏览安全。无论是登录银行网站、获取信用卡信息，还是登录WordPress网站的后台，HTTPS都能提供可靠的安全保障。

根据Builtwith的数据，截至2022年10月，前10,000个网站中有73.73%使用HTTPS，相较于2018年2月的49.8%有了显著提升。MozCast报告称，截至2022年5月，超过98.9%的搜索查询是通过HTTPS进行的，远高于2016年1月的26%。谷歌也在积极推动其产品和服务的100%加密标记，截至2022年5月，大约95%的Google流量是通过HTTPS传输的，高于2013年12月的48%。Firefox遥测数据和Let’s Encrypt统计数据也显示，超过78%的页面加载现在是HTTPS。

### 为什么要使用HTTPS？

WordPress网站所有者应该关注HTTPS并考虑立即从HTTP迁移到HTTPS的原因有很多。

#### 1. 安全性
HTTPS的最大优势在于其安全性。通过加密的SSL/TLS连接为您的网站提供服务，确保数据和信息不再以纯文本形式传递。这对于处理信用卡信息的电子商务网站至关重要。虽然技术上没有法律要求，但作为企业，保护客户数据是您的责任。对于多作者WordPress网站，每次登录时，信息都会以纯文本形式传递给服务器，而HTTPS可以有效防止黑客访问您的网站。

#### 2. 搜索引擎优化
Google已经明确表示HTTPS是一个排名因素。虽然这只是一个较小的排名因素，但利用这一优势可以在SERP中超越竞争对手。谷歌积极推动HTTP重定向到HTTPS，可以预见这一排名因素的权重在未来会进一步提升。Semrush的一项研究发现，Google上98%的表现最佳的精选片段内容使用HTTPS。

#### 3. 信任和信誉
大多数互联网用户担心他们的数据在网上被截获或滥用。HTTPS通过建立SSL信任来帮助您的业务，客户在看到URL旁边的挂锁图标时会更加安心，因为他们知道自己的数据更安全。

#### 4. 推荐数据
对于所有营销人员而言，推荐数据至关重要。如果您使用Google Analytics，可能会发现HTTPS到HTTP的推荐数据在Google Analytics中被阻止。大部分数据会与“直接流量”部分混为一谈。如果有人从HTTP转到HTTPS，仍会传递引荐来源网址。这也很重要，因为如果您的引荐流量突然下降，但直接流量上升，可能意味着您的较大引荐来源之一最近已迁移到HTTPS。

#### 5. Chrome警告
截至2018年，Chrome 68及更高版本已将所有非HTTPS网站标记为“不安全”，即使它们不收集数据。2021年，对于不完整的URL，浏览器开始默认使用HTTPS。例如，如果用户键入“domain.com”，Chrome将自动使用“https://domain.com”。如果HTTPS由于缺少SSL/TLS而失败，它将恢复为HTTP。Chrome拥有超过77%的浏览器市场份额，因此这将影响您的许多访问者。

#### 6. 性能
最后但同样重要的是，由于HTTP/2协议，那些通过HTTPS运行并经过适当优化的站点通常可以看到速度提升。HTTP/2需要HTTPS，它支持更好的多路复用、并行性、Huffman编码的HPACK压缩、ALPN扩展和服务器推送。过去在HTTPS上运行的TLS开销相当大，但现在要少得多。TLS 1.3的发布进一步加快了HTTPS连接！

### HTTP到HTTPS迁移指南

是时候进入迁移的具体步骤了。将您的WordPress网站从HTTP迁移到HTTPS需要仔细规划和执行。以下是详细的步骤和注意事项。

#### 基本要求
在开始迁移之前，您需要准备以下事项：
– SSL证书：您需要购买或获取SSL证书。
– HTTP/2支持：确保您的WordPress主机和CDN提供商支持HTTP/2。
– 时间规划：迁移不是5分钟就能完成的事情，需要留出大量时间。
– 外部服务：确保您使用的所有外部服务和脚本都有可用的HTTPS版本。
– 社交分享计数：迁移后，您将失去所有文章和页面上的社交分享计数，因为它们基于HTTP版本。
– 流量变化：Google可能需要一段时间才能重新抓取所有新的HTTPS页面和文章，在此期间，您可能会看到流量或排名的变化。
– 本地引用：不要忘记本地引用，确保所有内部链接都更新为HTTPS。
– 禁用缓存：建议在开始之前关闭CDN集成并禁用任何缓存插件。

#### 选择SSL证书
如果您没有SSL证书，需要购买或获取SSL证书。主要类型包括：
– 域验证证书：适用于单个域或子域，验证简单，发布快速，价格低廉。
– 业务/组织验证证书：需要提供更高级别的安全/信任的业务验证，发布时间稍长。
– 扩展验证证书：需要提供更高级别的安全/信任的业务验证，发布时间较长。

Google建议使用2048位或更高的密钥证书。您可以从Comodo、DigiCert、GeoTrust、Thawte、Rapid SSL或Trustwave购买证书。Let’s Encrypt提供免费SSL证书，您可以咨询您的WordPress主机和CDN提供商，看看他们是否有Let’s Encrypt集成。

#### 安装自定义SSL证书
如果您购买了SSL证书，需要在您的WordPress网站上安装SSL证书。具体步骤如下：
1. 提供服务器类型：如果您的网络服务器是Nginx，选择相应的选项。
2. 生成CSR代码：填写CSR表格，生成私钥文件和CSR。
3. 上传证书：使用SSL提供商上传您的CSR以重新生成SSL证书。
4. 提交证书和私钥：将证书和私钥提交给您的WordPress主机。

#### 验证SSL证书
安装SSL证书后，需要验证一切设置正确。使用Qualys SSL Labs提供的免费SSL检查工具，如果一切正确，您应该获得A字母等级。

#### 将HTTP重定向到HTTPS
验证SSL证书后，必须将所有HTTP流量永久重定向到HTTPS。在WordPress中有几个选项：
– 服务器级别重定向：在Nginx或Apache服务器配置中添加重定向代码。
– 使用插件：使用Really Simple SSL插件进行临时重定向。

实施HSTS标头（可选）：HSTS（HTTP严格传输安全）是您添加到Web服务器的安全标头，当站点通过HTTPS运行时，它会强制浏览器使用安全连接。

#### 检查重定向过多
添加重定向后，检查确保没有过多重定向。使用Patrick Sexton的重定向映射器工具快速查看您的网站上有多少重定向。

#### 更新硬编码的HTTP链接
更新所有硬编码的HTTP URL。以下是一些选项：
– Better Search Replace插件：免费使用，可以导航到工具 > Better Search Replace以开始使用它。
– interconnect/it Search Replace DB PHP Script：运行WordPress搜索和替换的第二种选择，但需要谨慎使用。
– WP-CLI搜索和替换：适用于喜欢命令行的用户。

#### 更新自定义脚本和外部库
检查并更新所有自定义脚本或外部库，确保它们指向HTTPS版本。

#### 将CDN从HTTP迁移到HTTPS
如果您使用CDN，需要将其迁移到HTTPS。以下是一些受欢迎的CDN替代品：
– KeyCDN：高性能CDN，提供安全性和保护。
– Amazon CloudFront：AWS的一部分，提供广泛的安全功能。
– Sucuri：优化网站性能和速度，具有广泛的安全功能。

更新CDN后，确保在用于集成的任何WordPress插件中更新它。

#### 检查您的网站是否有混合内容警告
检查您的WordPress网站以确保您没有收到混合内容警告。加载HTTPS和HTTP脚本或内容时会出现这些警告。确保所有内容都通过HTTPS加载。

#### 更新谷歌搜索控制台配置文件
为HTTPS版本创建一个新的Google Search Console配置文件，并重新提交站点地图文件。如果受到处罚，重新提交拒绝文件。

#### 必应网站管理员工具
无需创建新的HTTPS配置文件，只需提交新创建的HTTPS站点地图。

#### 谷歌分析
更新您的Google Analytics（分析）媒体资源和数据视图，并将新的HTTPS GSC配置文件与您的Google Analytics帐户重新关联。

#### YouTube频道
在Google Search Console中将您的网站与新的HTTPS版本重新关联。

#### 杂项
确保检查您的robots.txt是否可访问且正常工作，所有规范标签都指向HTTPS版本。更新Disqus评论、电子邮件营销软件、PPC广告网址和社交媒体链接。

### 小结
HTTPS不仅仅是Google排名因素，它是一个重要的安全协议，有助于保护您的网站和访问者免受攻击。通过迁移到HTTPS，您不仅可以提升网站的安全性，还能增强用户信任，优化搜索引擎排名，并提升网站性能。现在正是将您的WordPress网站迁移到HTTPS的最佳时机，立即行动，为您的网站和用户创造一个更安全、更可靠的在线环境。