Przejdź do treści 
WordPress HTTPS chroni dane logowania, formularze kontaktowe i pliki cookie oraz pomaga mi zwiększyć ranking i konwersję. W tym przewodniku pokażę ci kompletne przejście z HTTP na HTTPS w WordPress - z certyfikatem, konwersją adresów URL, przekierowaniami 301, poprawką mieszanej treści i czystymi krokami SEO.
Punkty centralne
- SSL Prawidłowa aktywacja i pokrycie domeny
- Adresy URL konwersja do WordPress
- 301 Wymuś przekierowanie
- Zawartość mieszana Ukierunkowana korekta
- SEO dokręcić i sprawdzić
Dlaczego HTTPS ma znaczenie dla WordPress
Bez szyfrowania atakujący mogą przejąć sesje lub odczytać formularze, dlatego też zabezpieczam całą stronę Transmisja między przeglądarką a serwerem za pomocą protokołu TLS. HTTPS zapobiega ostrzeżeniom w przeglądarce, zwiększa zaufanie i wzmacnia sygnały, które wyszukiwarki oceniają pozytywnie. Wiele interfejsów API, usług płatniczych i funkcji przeglądarki i tak wymaga bezpiecznych połączeń. Korzystam również z HTTP/2 i HTTP/3, które ładują się szybciej pod TLS i umożliwiają równoległość. Czyste przejście na HTTPS zapobiega duplikowaniu treści, ponieważ mogę ograniczyć wszystkie warianty do unikalnego Armata (Kanoniczny).
Przygotowanie kopii zapasowej i certyfikatu SSL
Zanim dotknę jakichkolwiek ustawień, wykonuję pełną kopię zapasową plików i bazy danych, aby mieć do nich dostęp w dowolnym momencie. Kopia zapasowa może wrócić. Następnie zamawiam lub aktywuję certyfikat - Let's Encrypt jest często wystarczający bez dodatkowych kosztów, alternatywnie używam certyfikatu DV/OV/EV w zależności od moich wymagań. Wielu hosterów udostępnia kreator, który automatycznie wydaje i odnawia certyfikaty. Jeśli potrzebujesz pomocy krok po kroku, skorzystaj z tego samouczka na stronie Skonfiguruj bezpłatny SSL. Następnie sprawdzam, czy łańcuch certyfikatów jest kompletny i czy zarówno domeny www, jak i domeny apex (bez www) są objęte certyfikatem; biorę również pod uwagę subdomeny, takie jak staging lub cdn, i zachowuję ich zawartość. Ważność w skrócie.
Wybór certyfikatu i zarządzanie kluczami
Oprócz początkowej aktywacji zauważyłem również kilka szczegółów, których brakuje w wielu instrukcjach: Czy potrzebuję certyfikatu wieloznacznego (*.domain.tld) dla wielu subdomen, czy wystarczy certyfikat SAN z kilkoma wyraźnymi nazwami hostów? Jeśli chodzi o wydajność, w miarę możliwości polegam na certyfikatach ECDSA (krzywe eliptyczne) zamiast klasycznych kluczy RSA - są one mniejsze i przyspieszają uścisk dłoni TLS. Ściśle chronię klucz prywatny (uprawnienia do plików 600, tylko użytkownicy serwera) i dokumentuję Odnowienie-chain: Czy automatyczne odnowienie rzeczywiście przechodzi, nawet jeśli CDN lub odwrotne proxy jest podłączone upstream? W przypadku wyzwań ACME sprawdzam, czy przekierowania, limity stawek lub strony konserwacji nie zakłócają walidacji. Aktywuję również zszywanie OCSP i nowoczesne protokoły (TLS 1.2/1.3) bezpośrednio na serwerze internetowym, aby przeglądarki mogły szybciej przetwarzać sprawdzanie certyfikatów.
Zmiana adresów URL WordPress
Loguję się do pulpitu nawigacyjnego i otwieram Ustawienia → Ogólne, a następnie ustawiam "Adres WordPress (URL)" i "Adres strony internetowej (URL)" na https://. Po zapisaniu loguję się ponownie, jeśli sesja uruchomi się ponownie. Następnie usuwam pamięć podręczną przeglądarki i, jeśli jest dostępna, pamięć podręczną mojej wtyczki buforującej, aby odwiedzający natychmiast otrzymali bezpieczną wersję. Następnie sprawdzam widżety, menu i twarde linki, ponieważ mogą one nadal zawierać linki http. W przypadku multimediów w postach, edytuję poszczególne treści lub planuję ich wyczyszczenie. Wyszukiwanie w bazie danych (patrz poniżej).
Bezpieczne logowanie i administracja
Dla obszaru administracyjnego wymuszam TLS z małym dodatkiem w sekcji wp-config.php. Aby to zrobić, dodaję następujący tekst nad linią "/* To wszystko, przestań edytować! */" i przesyłam plik:
define('FORCE_SSL_ADMIN', true);
Oznacza to, że logowanie, pliki cookie i cały backend działają wyłącznie przez HTTPS. Jeśli odwrotne proxy lub warstwa CDN jest podłączona do góry, upewniam się, że WordPress poprawnie interpretuje nagłówek "X-Forwarded-Proto: https". W przeciwnym razie aplikacja nieprawidłowo traktuje połączenie jako niezabezpieczone i ustawia pliki cookie bez Bezpieczeństwo-flaga.
Bezpieczniejsze stałe WordPress i wykrywanie proxy
Jeśli nie mogę dotrzeć do adresów URL w zapleczu (np. pętla przez wtyczki), tymczasowo ustawiam jawne stałe w wp-config.php i w ten sposób eliminuję nieprawidłowe ustawienia:
define('WP_HOME', 'https://deinedomain.de');
define('WP_SITEURL', 'https://deinedomain.de');
Dodałem również wykrywanie za serwerami proxy, aby is_ssl() prawidłowo:
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') {
$_SERVER['HTTPS'] = 'on';
}
Zapobiega to niepoprawnemu generowaniu zawartości mieszanej w backend i zapewnia, że pliki cookie autoryzacji są konsekwentnie powiązane z Bezpieczeństwo-atrybut są dostarczane.
Konfiguracja przekierowań 301 w .htaccess
Aby upewnić się, że wszystkie żądania na stałe trafiają do bezpiecznej wersji, skonfigurowałem Przekazywanie z http na https. W klasycznym środowisku Apache otwieram .htaccess w katalogu głównym WordPress i dodaję reguły nad blokiem WordPress:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
W przypadku Nginx przekierowanie odbywa się w konfiguracji serwera (server { listen 80; return 301 https://$host$request_uri; }). Aby uzyskać szczegółowe informacje, warianty i rozwiązywanie problemów, można znaleźć przejrzysty przewodnik na stronie Przekierowanie HTTPS. Ważne: utrzymuję krótki łańcuch przekierowań, tj. http→https i, jeśli to konieczne, www→non-www lub odwrotnie w jednym skoku, aby nie było niepotrzebnych przeskoków w łańcuchu przekierowań. Czas załadunku wzrost.
Strategia czystego przekierowania bez pętli
Oprócz podstawowego przekierowania ustawiam reguły spójności: Albo www albo nie-www - nigdy oba. W przypadku Apache rozwiązuję to w jednym kroku za pomocą sprawdzania hosta:
RewriteEngine On
RewriteCond %{HTTPS} !=on [OR]
RewriteCond %{HTTP_HOST} !^deinedomain\.de$ [NC]
RewriteRule ^ https://deinedomain.de%{REQUEST_URI} [L,R=301]
Automatycznie odbieram ciągi zapytań (parametry UTM), ograniczam przekierowania do jednego przeskoku i unikam pętli, nie aktywując żadnych konkurencyjnych reguł we wtyczce lub CDN. Jeśli proxy brzegowe korzysta z "Elastycznego SSL" (szyfrowanie przeglądarki→CDN, CDN→Origin bez szyfrowania), przełączam się na "Pełny (ścisły)", aby TLS był wymuszany zarówno dla odwiedzającego, jak i źródła - w przeciwnym razie istnieje ryzyko problemów z pętlami i mieszanymi protokołami.
Rozpoznawanie i eliminowanie treści mieszanych
Po przekierowaniu sprawdzam stronę za pomocą narzędzi przeglądarki pod kątem "zawartości mieszanej", tj. zawartości, do której nadal można uzyskać dostęp za pośrednictwem http są ładowane. Często dotyczy to obrazów, czcionek, skryptów lub arkuszy stylów w motywach, kreatorach stron lub widżetach. Poprawiam zakodowane adresy URL, zmieniając je na https w edytorze, w kreatorze lub w ustawieniach wtyczki. Narzędzia takie jak "Really Simple SSL" pomagają na krótką metę, ale stałe czyszczenie źródeł jest lepsze. Zablokowana zawartość powoduje błędy stylizacji lub ukryte funkcje, więc czyszczę wszystko, dopóki przeglądarka nie zablokuje żadnej zawartości. Ostrzeżenia pokazuje więcej.
Profesjonalna lista kontrolna zawartości mieszanej
- Aktywuję dyrektywę CSP jako test
upgrade-insecure-requestsw trybie tylko do raportowania, aby zobaczyć, co przeglądarka automatycznie aktualizuje do https - następnie trwale czyszczę źródła. - Czcionki i style zewnętrzne często wymagają nagłówków CORS; bez nich
Access-Control-Allow-Originpojawiają się jako zablokowane. - Rozpoznaję obrazy tła CSS z bezwzględnymi linkami http w narzędziach programistycznych i zastępuję je względnymi ścieżkami lub https.
- Ramki iframe (np. mapy, filmy) muszą również korzystać z protokołu https, w przeciwnym razie przeglądarka je ukryje.
- W motywach unikam zakodowanych ścieżek i używam funkcji takich jak
home_url(),site_url(),plugins_url()orazcontent_url()aby WordPress dostarczył prawidłowy bazowy adres URL.
Przegląd krok po kroku
Poniższa tabela podsumowuje wszystkie zadania związane z przejściem na nowy system w kompaktowym formacie i pomaga mi Sekwencja należy przestrzegać.
| Krok | Zalecenie/wyjaśnienie |
|---|---|
| Tworzenie kopii zapasowej | Przed każdą zmianą należy wykonać Kopia zapasowa plików i bazy danych |
| Konfiguracja certyfikatu SSL | Aktywuj Let's Encrypt lub płatną wersję u hostera |
| Dostosowywanie adresów URL | Ustaw https na zapleczu w Ustawienia → Ogólne |
| Ustaw przekierowania | Skonfiguruj .htaccess lub blok serwera Nginx dla 301 do HTTPS |
| Sprawdź zawartość mieszaną | Zastąp twarde linki http w treści, motywach i wtyczkach. |
| Zastąp bazę danych | Zastąp wszystkie wystąpienia http kopią zapasową i renomowanym narzędziem |
| Aktualizacja Google/SEO | Dostosuj właściwości Search Console, mapę witryny, dane analityczne i kanoniczne |
Czyste zastępowanie adresów URL baz danych
Czasami linki http leżą uśpione w widżetach, skrótach lub polach zdefiniowanych przez użytkownika, więc używam wypróbowanego i przetestowanego rozwiązania Narzędzie jak "Better Search Replace". Wyszukuję "http://deinedomain.de" i zamieniam go na "https://deinedomain.de", najpierw na sucho, a następnie naprawdę z kopią zapasową. Do seryjnej zmiany nazwy za pomocą WP-CLI używam "wp search-replace", który jest znacznie szybszy w przypadku dużych stron. Serializowane tablice i obiekty muszą być obsługiwane poprawnie, więc polegam na narzędziach, które obsługują to poprawnie. Po zastąpieniu sprawdzam losowe próbki we frontendzie i w ważnych plikach. Układy.
Baza danych: czego nie wymieniam na ślepo
Dotykam kolumny GUID w wp_posts tylko wtedy, gdy faktycznie zmieniam domenę. Czysta zmiana protokołu na https zwykle wymaga brak Zmiana identyfikatorów GUID, ponieważ służą one przede wszystkim jako unikalny identyfikator. Przed globalnym zastąpieniem sprawdzam również, czy wtyczki odwołują się do zewnętrznych punktów końcowych (webhooków, API) za pomocą http - wolę je specjalnie zaktualizować i przetestować kanał zwrotny. W przypadku dużych projektów planuję krótką fazę zamrożenia treści, aby podczas zastępowania wyszukiwania nie były tworzone nowe posty ze starymi schematami. Używam WP-CLI, aby zapewnić szybkość i powtarzalność:
wp search-replace 'http://deinedomain.de' 'https://deinedomain.de' --all-tables-with-prefix --precise --dry-run
wp search-replace 'http://deinedomain.de' 'https://deinedomain.de' --all-tables-with-prefix --precise
Kontrole SEO po przejściu na nowy system
Po zmianie utworzyłem nową właściwość z https w Search Console i przesłałem zaktualizowaną wiadomość Sitemap na. Sprawdzam linki wewnętrzne, tagi kanoniczne, odniesienia hreflang i tagi open graph pod kątem https. Fragmenty śledzenia (analityka, menedżer tagów, piksel) również muszą używać bezpiecznego adresu. We wtyczkach SEO sprawdzam reguły przekierowań i upewniam się, że nie ma "miękkich 404". Jeśli liczniki udostępnień społecznościowych są ważne, testuję, jak narzędzie działa z nowym adresem. Adres uchwyty.
Dostosuj kanały, roboty i kanony
Sprawdzam, czy kanały RSS/Atom są dostępne przez https i dostarczają prawidłową zawartość. W statycznie utrzymywanym pliku robots.txt dostosowuję ścieżki mapy witryny do https, jeśli to konieczne. Ustawiam kanoniczne adresy URL konsekwentnie bezwzględnie z https, aby wyszukiwarki jednoznacznie interpretowały sygnały. Pary hreflang (witryny wielojęzyczne) nie mogą różnić się protokołem, w przeciwnym razie powstaje niespójność.
Buforowanie, CDN i wydajność w HTTPS
HTTPS jest również opłacalny pod względem szybkości, ponieważ HTTP/2/3 umożliwia multipleksowanie i kompresję nagłówków za pośrednictwem Połączenie. Zwracam uwagę na wznawianie sesji TLS, zszywanie OCSP i nowoczesne zestawy szyfrów, które przyspieszają uściski dłoni. CDN dostarcza statyczne zasoby bliżej odwiedzającego, ale musi działać konsekwentnie na https. We wtyczkach buforujących aktywuję opcję "Cache for HTTPS", jeśli jest dostępna, i usuwam stare artefakty. Następnie mierzę za pomocą narzędzi takich jak Lighthouse i porównuję Czasy przed i po zmianie.
Funkcje CDN/Proxy
W przypadku upstream CDN zawsze ustawiam "Full (strict)" na Origin, przesyłam tam certyfikat lub używam certyfikatu Origin i zezwalam tylko na dostarczanie https. Sprawdzam, czy CDN buforuje przekierowania (w przeciwnym razie widzę stare stany) i czyszczę pamięć podręczną krawędzi po przełączeniu. Kompresja Brotli, HTTP/3/QUIC i 0-RTT również mogą pomóc - ale ważne jest, aby reguły dla całej strony nie wstrzykiwały już zasobów http. Na koniec wysyłam prawidłowe Adres IP klienta-header (np. X-Forwarded-For) i skonfigurować serwer WWW tak, aby dzienniki pokazywały rzeczywisty adres IP odwiedzającego.
HSTS i inne nagłówki zabezpieczeń
Jeśli witryna działa w całości na HTTPS, aktywuję HTTP Strict Transport Security (HSTS), aby przeglądarki korzystały tylko z protokołu HTTPS-variant. Ustawiam nagłówek na przykład w ten sposób: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload - ale tylko jeśli wszystkie subdomeny są naprawdę bezpiecznie dostępne. Jeśli chodzi o możliwości i pułapki, polecam przewodnik Aktywuj HSTS. Ponadto ustawiłem nagłówki bezpieczeństwa, takie jak X-Content-Type-Options, X-Frame-Options i ścisłą politykę bezpieczeństwa treści, która zezwala na źródła https. Nagłówki te wzmacniają warstwy ochrony przed wstrzykiwaniem treści, atakami typu clickjacking i MIME-Wąchanie.
Dostosowanie nagłówka zabezpieczeń
Oprócz HSTS, dodaję pragmatyczną konfigurację nagłówka: Polityka odsyłaczy: strict-origin-when-cross-origin ogranicza transfer wrażliwych ścieżek, Polityka uprawnień ogranicza interfejsy API przeglądarki (np. kamera, mikrofon), a umiarkowany CSP z default-src 'self' https: zapobiega niepożądanym źródłom zagranicznym. Zaczynam od Tylko raportZbieram naruszenia, a następnie zaostrzam wytyczne. W ten sposób zapobiegam niezamierzonemu "zepsuciu" witryny przez nagłówki zabezpieczeń.
Testowanie, monitorowanie i rozwiązywanie problemów
Testuję zmianę w prywatnym oknie i na urządzeniach mobilnych, aby nie było żadnych starych Cookies lub pamięci podręcznej. Dziennik konsoli przeglądarki szybko pokazuje ostrzeżenia o mieszanej zawartości i zablokowane zasoby. Używam "curl -I http://deinedomain.de", aby sprawdzić, czy następuje przekierowanie 301 na wersję https i czy występują inne łańcuchy. Następnie monitoruję dzienniki błędów na serwerze i raporty 404 we wtyczce SEO lub w Search Console. Jeśli poszczególne wtyczki przestają się ładować, sprawdzam ich zewnętrzne strony. Zależności i zaktualizować ją do najnowszej wersji.
Kontrola uruchomienia i bieżące monitorowanie
- Opcjonalnie aktywuję krótki tryb konserwacji przed przełączeniem, aby ustanowić spójne przekierowania i pamięci podręczne.
- Monitoruję wygaśnięcie certyfikatu (alarmy), aby nie było przykrych niespodzianek.
- W ciągu pierwszych kilku dni monitorowałem wskaźnik 404, krzywe rankingowe, statystyki indeksowania i Core Web Vitals, aby podjąć wczesne środki zaradcze.
- W przypadku kampanii sprawdzam, czy parametry UTM są w pełni zachowane poprzez przekierowanie 301.
Specjalne funkcje multisite, proxy i staging
W przypadku wielu witryn zmieniam adres sieciowy na https i dostosowuję mapowania, aby wszystkie witryny miały jednolite Przekazywanie użycie. Za load balancerami lub CDN serwer WWW musi obserwować nagłówek "X-Forwarded-Proto", w przeciwnym razie WordPress pomyśli, że połączenie jest niezabezpieczone i ustawi nieprawidłowe adresy URL. W przypadku systemów przejściowych używam własnych certyfikatów lub chronię je za pomocą Basic Auth, aby wyszukiwarki ich nie indeksowały. Po zmianie na żywo ponownie włączam pamięć podręczną, rozgrzewam ją i monitoruję obciążenie. W środowiskach z własnymi serwerami proxy lub zaporami ogniowymi dokumentuję wszystkie zmiany, aby późniejsze wdrożenia mogły korzystać z Konfiguracja przejąć kontrolę.
Szczegóły dotyczące multisite i handlu, których często brakuje
W konfiguracjach wielostanowiskowych aktualizuję dla każdej witryny plik siteurl oraz dom wartości, zwłaszcza jeśli w grę wchodzi mapowanie domeny. Jeśli sunrise.php lub specjalnych wtyczek mapujących, sprawdzam, czy obsługują one protokół https. W sklepach (np. WooCommerce) konsekwentnie ustawiam "Kasa" i "Moje konto" na https, testuję płatności i Webhook-Zwroty i strony z podziękowaniami. Dostawcy płatności i interfejsy API wysyłki często wymagają zaktualizowanych zwrotnych adresów URL - dostosowuję je i weryfikuję podpis po zmianie.
Najczęstsze pułapki i szybkie rozwiązania
Nieprawidłowe certyfikaty powodują czerwone znaki ostrzegawcze - dlatego sprawdzam okres wystawienia, łańcuch i czy wszystkie domeny są zawarte w certyfikacie, tak aby Połączenie działa bez zakłóceń. Brakujące przekierowania 301 tworzą zduplikowaną zawartość; reguluję to za pomocą jasnych, krótkich reguł i unikam wielu przeskoków. Mieszana zawartość często pochodzi z zakodowanych na stałe plików motywów; tutaj zastępuję schematy http lub używam bezschematycznych adresów URL ("//...") w odpowiednich miejscach. Usługi zewnętrzne, które nadal odwołują się do żądań blokowania http; tutaj aktualizuję webhooki, punkty końcowe i klucze. Jeśli wtyczka nie może obsłużyć zmiany, testuję aktualizację lub zastępuję ją rozwiązaniem, które w pełni obsługuje HTTPS. Wsparcie.
Podsumowanie: Bezpieczne przejście na HTTPS
Zaczynam od pełnej kopii zapasowej, aktywuję CertyfikatZmieniam adresy URL WordPress na https, wymuszam przekierowania 301 i konsekwentnie usuwam mieszane treści. Następnie zastępuję wszelkie pozostałe wpisy http w bazie danych, aktualizuję ustawienia SEO i mierzę wydajność. HSTS i nagłówki bezpieczeństwa dodatkowo zwiększają bezpieczeństwo, o ile wszystkie subdomeny prawidłowo reagują na https. Jeśli chodzi o hosting, polegam na dostawcach z dobrym wsparciem, automatycznym odnawianiem i szybkim udostępnianiem TLS, takich jak webhoster.de, co znacznie ułatwia mi pracę. Dzięki temu strona jest bezpieczna, szybka i widoczna - czyli dokładnie taka, jakiej oczekuję od zrównoważonej witryny. HTTPS-wymiana.
