WordPress整站轻松开启HTTPS

近两年来HTTPS取代HTTP已经成为大势所趋。早在2014年google Chromium安全团队提议将全部的HTTP协议网站标注为不安全。如今，Chrome浏览器已经开始执行这一标准了。从 Chrome 56 开始，任何网页，若是有输入密码或者信用卡资料的，却没有使用 HTTPS，将被 Chrome 浏览器标识为不安全；逐步的，任何没有使用 HTTPS 协议的网页chrome浏览器都会被标识为”不安全”，或者 “Not Secure”。

从chrome 56 版本开始，查看网站的SSL证书的方式作了调整，原来的版本能够点击绿色的小锁进入查看页面，新版本的进入方式：按F12 ，打开开发者工具窗口，进入Security选项卡,而后点击View certificate，以下图所示：

HTTP是目前互联网上使用最普遍的传输协议，可是它没有安全加密功能，很容易遭遇劫持，致使用户流量、隐私被窃。HTTPS则会全程加密传输，并有第三方安全机构认证的数字证书。特别在中国，某些ISP服务商会经过宽带上网服务，进行流量劫持，插入广告代码，使用HTTPS后，这些损招就机关用尽了。

搜索引擎逐步支持HTTPS网站的收录，HTTPS做为排名的因素之一，在SEO方面愈来愈重要。google搜索会把HTTPS做为排名的因素之一，虽然当前只是比较小的因素。2015年百度站长平台发布消息，百度对https页面优先收录、优先排名：

一、从相关性的角度，百度搜索引擎认为权值相同的站点，采用https协议的页面更加安全，排名上会优先对待。
二、这次技术升级以后，百度搜索将同一个域名的HTTP版和HTTPS版做为一个站点来处理，优先收录HTTPS页面。
2017年1月1日，苹果将对Apple Store里全部应用启用一项名为ATS的重要安全功能（App Transport Security，应用程序安全传输，简称 ATS)，在启用 ATS 以后，它会强制开发者的应用经过 HTTPS（而不是 HTTP）链接网络服务。

个人网站是基于wordpress构建的，整站转换成HTTPS，能够轻松搞定。

SSL证书的选择

一、对于国内用户来讲，能够实用与百度云、腾讯云、阿里云合做的赛门铁克签署的证书，一年免费，申请和使用都很方便。

二、自从Let’s Encrypt免费签发证书后，SSL证书的价格就开始平民化了，有很多付费和收费的SSL能够选择。Let’s Encrypt的证书虽然只有90的天，不过自动续期也很方便，对于小站来讲，是很不错的选择。Let’s Encrypt的申请安装方法能够参考文章：为你的Blog快速开启https支持。在安装证书的过程当中要注意：须要中止web 服务器，好比 Nginx 、Apache ,不然可能报端口占用的错误。

三、由于篡改、伪造等问题，慎重选择沃通、StartCom颁发的证书。
1)2016年9月30日，苹果 Apple于iOS可信根证书列表中宣布：屏蔽其对中级CA WoSign CA Free SSL Certificate G2（ CA 沃通免费 SSL 证书 G2）的信任。

2)2016年10月24日，Mozilla在其安全博客公布了对沃通CA和StartCom的最终处理措施：Mozilla 决定再也不信任目前包含在 Mozilla 根证书项目中的沃通根证书（Root certificate）和StartCom 根证书从此颁发的服务器证书。即：它再也不信任在10月21日以后签发的沃通CA证书，并从 Firefox 51 起移除对4个沃通根证书的信任。

3)2016年10月31日，Google在其安全博客中宣布了：从Chrome 56开始，再也不信任WoSign和StartCom在2016年10月21往后颁发的证书。

4.SSL 要用 ECC 证书，即便由于某种缘由必需要用 RSA 证书的，那么也要用双证书，就是 ECC + RSA两个证书。在加密算法上，要去掉 RC4。

5.只使用 TLS 协议，包括 TLSv1.0， TLSv1.1，TLSv1.2。禁止 SSL 协议。

6.SSL 证书的签名算法，要使用 SHA-2，不要使用已经被证实有严重缺陷的 SHA-1了。

调整wordpress网站配置

1.修改wordpress后台配置中的地址改成https版本

经过上面的设置，绝大部分导航中的连接就由wordpress系统自动改成HTTPS版本。
二、对于正文中的内部连接须要手工修改，修改的方法有两种：
1）直接在数据库中更新，更新的sql以下：

update wp_posts set post_content = replace(post_content, ‘//www.watch-life.net/’,‘https://www.watch-life.net/’)
对于数据库不熟悉的站长不推荐这种方法，对数据库错误的更新对网站多是毁灭性的打击，建议更新前最好备份数据库。
2）利用wordpress提供的api来重写连接。在使用的主题（themes）的目录下的 function.php加入以下代码：

//转换http为https
function change_ssl(){
if( is_ssl() ){
function change_ssl_main ($content){
$siteurl = get_option(‘siteurl’);
$upload_dir = wp_upload_dir();
$content = str_replace( ‘http:’.strstr($siteurl, ‘//’), strstr($siteurl, ‘//’), $content);
$content = str_replace( ‘http:’.strstr($upload_dir[‘baseurl’], ‘//’), strstr($upload_dir[‘baseurl’], ‘//’), $content);
return $content;
}
ob_start(“change_ssl_main”);
}
}
add_filter(‘get_header’, ‘change_ssl’);
这个方法优势是可逆，不会对网站的数据库有什么影响，可使网站在HTTP和HTTPS之间自由转换，推荐使用这种方法。

调整完内部连接后，检查整个网站的页面，包括首页，栏目页，内容页，sitemap，页面head部份内容，好比：css，js，canonical等，是否都转换成了HTTPS版本。

整站301跳转

整站若是启用HTTPS后运行正常，就能够开始考虑进行整站301跳转了。若是是Apache服务器，在.htaccess文件添加以下代码：

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.watch-life.net/$1 [R=301,L]
RewriteCond %{HTTP_HOST} ^watch-life.net [NC]
RewriteRule ^(.*)$ https://www.watch-life.net/$1 [L,R=301]
若是是Nginx服务器，在nginx.conf配置以下代码：

server {
listen 80 default_server;
server_name www.watch-life.net;
return 301 https://$server_name$request_uri;
}
以上代码，更换相应的域名便可使用。注意修改或增长配置代码后，须要重启web 服务器。重启后，访问原来HTTP的版本，看是否301跳转为HTTPS的版本。

自此，WordPress整站开启HTTPS开启工做所有完成。后续就是观察各大搜索引擎抓取、收录的状况。

本文首发连接:https://www.watch-life.net/wo...