WordPress网站从HTTP迁移到HTTPS的深度指南

2018年7月，谷歌Chrome开始将所有非HTTPS网站标记为“不安全”，无论它们是否收集数据。从那以后，HTTPS变得比以往任何时候都重要！

在今天的文章中，我们将深入探讨从HTTP到HTTPS的迁移，并分享一些实用的技巧，以使你的WordPress网站尽可能平稳地过渡。对于WordPress网站所有者来说，如果你能积极主动，总是很好的。

因为新的网络协议，SEO优势和更准确的推荐数据，现在是把你的WordPress网站迁移到HTTPS的最好时机。下面详细了解原因和方法。

什么是HTTPS？

为什么用HTTPS？

HTTP到HTTPS迁移指南

什么是HTTPS？

HTTPS(安全超文本传输协议)是一种机制，允许您的浏览器或Web应用程序安全地连接到网站。HTTPS是帮助确保您的网络安全的措施之一。

这包括登录你的银行网站，获取信用卡信息，甚至登录你的WordPress网站的后端。WordPress网站上的HTTPS要求你有SSL证书进行加密。这确保了不会以纯文本形式传递任何数据。

根据Builtwith的数据，截至2022年3月，排名前10000的网站中有73.08%使用HTTPS。这高于2018年2月的49.8%；

流行网站的HTTPS使用情况

MozCast报告称，截至2022年5月，超过98.9%的搜索查询是通过HTTPS进行的，高于2016年1月的26%。这表明许多网站正在从HTTP迁移到HTTPS。

甚至谷歌也在推动其产品和服务的100%加密标记。截至2022年5月，约95%的谷歌流量通过HTTPS传输，高于2013年12月的48%。

MozCast HTTPS查询

根据Firefox遥测数据和加密统计，现在超过78%的页面负载是HTTPS。

为什么用HTTPS？

WordPress网站所有者应该关心HTTPS并考虑现在而不是以后从HTTP迁移到HTTPS有很多原因。

1.安全

当然，HTTPS最大的原因是它增加了安全性。现在，通过从HTTP迁移到HTTPS，您可以通过加密的SSL/TLS连接为您的网站提供服务。这意味着数据和信息不再以纯文本形式传输。这对于处理信用卡信息的电子商务网站至关重要。技术上没有法律要求，但作为企业，您有责任保护您的客户数据。

这也适用于你的WordPress登录页面或博客。如果你通过HTTP运行一个多作者的WordPress网站，每当有人登录时，这些信息将以纯文本的形式传递给服务器。HTTPS对于维护安全的网站和浏览器连接至关重要。这样，您可以更好地防止黑客访问您的网站。

2.搜索引擎优化

谷歌已经正式表示，HTTPS是一个排名因素。虽然这只是一个很小的排名因素，但你们中的大多数人可能会利用在SERP中获得的任何优势来击败竞争对手。

随着谷歌推动每个人将HTTP重定向到HTTPS，你可以打赌，这个排名因素的权重在未来很可能会增加。Semrush的一项研究发现，谷歌上98%表现最好的精选片段使用了HTTPS。

3.信任和可信度

根据最近的研究，大多数互联网用户担心他们的数据如何在网上被截取或滥用。

HTTPS可以通过建立我们所说的SSL信任来帮助您的企业。通过查看URL旁边的挂锁图标，客户会更放心，因为他们知道自己的数据更安全。

4.推荐数据

这个道理适用于所有营销人员。如果你使用谷歌分析，你可能对推荐数据很熟悉。很多人没有意识到HTTPS到HTTP的推荐数据在Google Analytics中被屏蔽了。那么数据会怎么样呢？大部分只是和“直接流量”部分混淆了。如果有人从HTTP切换到HTTPS，推荐源URL仍然会被发送。

这也很重要，因为如果你的推荐流量突然下降，但直接流量上升，这可能意味着你的一个更大的推荐来源最近迁移到HTTPS。反之亦然，达拉斯到礼堂检查出Moz的更深入的指导直接交通。

5.铬警告

截至2018年，Chrome 68和更高版本已经将所有非HTTPS网站标记为“不安全”，即使它们不收集数据:

Chrome上的连接不安全

2021年，浏览器开始默认使用HTTPS处理不完整的网址。比如用户输入“domain.com”，Chrome会自动使用“https://domain.com”。如果HTTPS由于缺乏SSL/TLS而失败，它将恢复到HTTP。

Chrome拥有超过77%的浏览器市场份额，所以这将影响你的许多访问者。你也可以在Google Analytics的受众>技术>浏览器和操作系统下查看访问者使用的浏览器:

在谷歌分析中检查浏览器

让谷歌访问者清楚，你的WordPress网站可能无法在安全连接上工作。以下是谷歌关于如何避免警告的一些提示。

Firefox也紧随其后，在2017年发布了Firefox 51，显示了一个灰色的挂锁，上面有一条红线，用于收集密码的不安全网站。当然，如果您将整个站点迁移到HTTPS，那么您不必担心这一点:

您的连接不是私人的。

如果您还没有迁移到HTTPS，您也可能会开始收到来自Google搜索控制台的以下警告:

给http://www.domain.com的主人。

以下URL包含将触发新的Chrome警告的密码或信用卡详细信息的输入字段。检查这些例子，看看这些警告会出现在哪里，你可以采取措施来帮助保护用户的数据。这个列表并不详尽。

http://www.domain.com

新的警告是一项长期计划的第一步，该计划旨在将所有通过未加密的HTTP协议提供的页面标记为“不安全”。

6.表演

但最后但同样重要的是，由于称为HTTP/2的协议，那些通过HTTPS运行并经过适当优化的网站通常可以看到速度的提高。

由于浏览器支持，HTTP/2需要HTTPS。性能提升的原因有很多，比如HTTP/2可以支持更好的复用、并行、霍夫曼编码的HPACK压缩、ALPN扩展和服务器推送。在HTTPS上运行TLS过去成本很高，但现在便宜多了。

TLS 1.3也已经发布，可以进一步加快HTTPS连接！

同样需要注意的是，诸如域分段和连接等Web性能优化可能会损害您的性能。这些现在都过时了，大多数情况下都不应该再用了。

默认情况下，网络上的所有内容都应该加密。–杰夫·阿特伍德，Stack Overflow的联合创始人

HTTP到HTTPS迁移指南

是时候进入有趣的部分了:把你的WordPress网站从HTTP迁移到HTTPS。我们先来复习一些基本要求和一些注意事项。

您将需要一个SSL证书。我们将在下面详细介绍这一点。

仔细检查以确保你的WordPress主机和CDN提供商支持HTTP/2。

您需要留出大量时间将HTTP重定向到HTTPS。迁移不是5分钟就能完成的。

仔细检查以确保您使用的所有外部服务和脚本都有可用的HTTPS版本。

要知道，除非你使用支持分享恢复的插件，否则你会失去所有文章和页面的社交分享计数。这是因为你的分享数是基于查看API的HTTP版本，你无法控制第三方社交网络。

根据你网站的大小，谷歌可能需要一段时间来重新抓取所有新的HTTPS网页和文章。在这段时间里，你可能会看到流量或排名的变化。

不要忘记当地的参考。

我们建议在开始之前关闭CDN集成并禁用任何缓存插件，因为这些会使事情变得复杂。

1.选择SSL证书

如果你没有SSL证书，你需要做的第一件事就是买一个SSL证书。您可以选择三种主要类型的证书:

域验证:单个域或子域(电子邮件或DNS验证)，在几分钟内发布。这些通常只需每年9美元就能买到。

业务/组织验证:单个域或子域需要提供更高等级的安全/信任业务验证，1-3天内发布。

扩展:单个域或子域需要提供更高级别的安全/信任业务验证，2-7天内发布。

Google建议使用2048位或更高的密钥证书。您可以从Comodo、DigiCert、GeoTrust、Thawte、Rapid SSL或Trustwave购买证书。还有更便宜的替代品，比如GoGetSSL，Namecheap和GoDaddy。

Let’s Encrypt还提供了一种获取免费SSL证书的方法。请检查你的WordPress主机和CDN提供商，看看他们是否有让我们加密集成。您也可以按照Certbot指南来学习如何手动安装它们。让我们加密每90天到期的证书，所以必须有一个自动化系统。

2.安装自定义SSL证书

如果你已经购买了SSL证书，你需要把它安装在你的WordPress网站上。当您通过供应商设置的证书时，会要求您提供服务器类型。如果你的网络服务器是Nginx。如果此选项不可用，也可以使用“其他”。

SSL提供商将需要CSR代码来创建/签署证书文件。要生成CSR代码和RSA密钥，请填写以下表格:https://www.ssl.com/online-csr-and-key-generator/.

我们建议填写每个字段，但至少应填写以下内容(如下图所示):

通用名称(域名)

电子邮件地址

组织

城市/地区

州/县/地区

国家

注意:对于通用名称字段，如果您正在生成通配符证书，则需要输入您的域名，例如* .domain.com。

生成CSR表单

该表单将生成您的私钥文件和CSR。请务必保存它们，因为没有它们，证书将无法使用:

和CSR私钥。

接下来，使用您的SSL提供商上传您的CSR以重新生成您的SSL证书(。证书)。

然后，你需要去你的WordPress主机，给他们证书和私钥。如果你是Pagoda用户，可以登录Dashboard-Website，然后找到需要配置SSL的网站，点击该网站对应的SSL证书操作项。

选择其他证书，然后，您可以在那里添加您的私钥和证书:

添加自定义SSL

完成后，选择保存退出。

3.验证您的SSL证书

现在您已经安装了SSL证书，您需要对其进行验证以确保一切设置正确。一种快速简便的方法是使用Qualys SSL Labs提供的免费SSL检查工具。如果一切都正确，你应该在测试中获得A字母等级，如下图所示： 现在您已经安装了SSL证书，您需要验证它以确保一切设置正确。一种快速简单的方法是使用Qualys SSL Labs提供的免费SSL检查工具。如果一切都是正确的，您应该在测试中获得A字母的成绩，如下图所示:

检查SSL证书级别

查看关于如何执行SSL检查的更深入的教程。

4.将HTTP重定向到HTTPS

SSL证书通过验证后，所有HTTP流量必须永久重定向到HTTPS。在WordPress中将HTTP重定向到HTTPS时有几个选项。

这允许您在服务器级别上点击几下，自动将HTTP流量重定向到HTTPS。你也可以在网络服务器的配置中手动完成，或者使用免费的WordPress插件。

注意:我们的例子都包含一个301重定向指令，从SEO的角度来看，这是实现它的正确方法。使用不同类型的重定向可能会损害您的排名。同样重要的是要知道，301重定向可能不会通过100%的链接权重，即使谷歌可能会说他们会。查看Cyrus在Moz上发表的这篇关于HTTPS迁移和301重定向的文章。

选项1:在Nginx中将HTTP重定向到HTTPS

如果您的Web服务器运行的是Nginx，您可以通过将以下代码添加到Nginx配置文件中，轻松地将HTTP重定向到HTTPS:

server {listen 80;server_name domain.com www.domain.com;return 301 https://domain.com$request_uri;}

这是重定向运行在Nginx上的WordPress的推荐方式。

在Apache中将HTTP重定向到HTTPS

如果您的Web服务器运行的是Apache，您可以通过将以下代码添加到您的。htaccess文件:

RewriteEngine OnRewriteCond %{HTTPS} offRewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

这是重定向运行在Apache上的WordPress的推荐方法。

选项2:通过使用非常简单的SSL插件将HTTP重定向到HTTPS

您必须从HTTP重定向到HTTPS的第三个选项是使用免费的Simple SSL插件： 您必须从HTTP重定向到HTTPS的第三个选项是使用免费的简单SSL插件:

非常简单的SSL

我们不建议将这种方法作为永久的解决方案，因为第三方插件可能会引入另一层问题和兼容性问题。这是一个很好的临时解决方案，但是您应该更新硬编码的HTTP链接，我们将在下一步中向您展示。

实施HSTS割台(可选)

HSTS(HTTP严格传输安全)是添加到Web服务器的安全标头。当网站通过HTTPS时，它会强制浏览器使用安全连接。这有助于防止中间人攻击(MitM)和cookie劫持。你可以使用上述301重定向与HSTS头。查看我们关于如何添加HSTS的深入文章。

5.检查是否有太多重定向。

添加从HTTP到HTTPS的重定向后，您应该仔细检查以确保没有太多的重定向。这个问题很常见，会影响你的WordPress网站速度。你可以使用Patrick Sexton的重定向映射工具快速查看你的网站上有多少重定向。

下面你会看到一个不正确的设置重定向的例子。使用重定向映射器时，这很容易找到:

重定向设置不正确。

您可以看到，在www和非www版本中都出现了重复的HTTPS重定向。

以下是正确设置重定向的示例:

重定向设置正确。

如您所见，只有一个重定向。你可以查看我们关于WordPress重定向和更快性能的最佳实践的深入文章。

6.更新硬编码的HTTP链接

现在有了重定向，是时候修复所有那些硬编码的HTTP URL了。通常，不建议对URL进行硬编码。然而，随着时间的推移，你可能会(我们都这样)。这里有一些更新你的HTTP链接到HTTPS的选项。

1:更好的搜索替换插件

你可以使用WordPress团队在Delicious Brains中提供的免费插件Better Search Replace:

更好的搜索替换

插件可以免费使用。在您的站点上安装并激活后，您可以导航到工具>更好的搜索替换以开始使用它。

选项2:互连/it搜索替换db PHP脚本

运行WordPress search and replace的第二个选项是使用来自Internet/it的免费PHP脚本，称为Search Replace DB。对于任何从HTTP到HTTPS的迁移，这是我们最喜欢的工具之一。

重要！如果你不知道你在做什么，使用这个脚本可能会破坏你的WordPress网站。如果您对此感到不舒服，请先咨询开发人员或您的虚拟主机服务提供商。

要使用这个脚本，只需下载zip文件，提取名为search-replace-db-master的文件夹，然后将其重命名为另一个名称。在我们的示例中，我们将其重命名为update-db-1551。然后，通过FTP、SFTP或SCP上传到Web服务器的公共目录。这通常与包含/wp-content文件夹的目录相同。

然后在浏览器中导航到您的私人文件夹，如https://domain.com/update-db-1551:

互连搜索和替换脚本

该脚本将自动尝试查找并填充数据库字段，但您必须检查详细信息是否正确，以及它是否适用于您要执行搜索/替换操作的数据库。您可以先单击预演，看看它将更新/替换什么。然后，当你准备好了，点击实时运行，它将执行数据库更新和WordPress搜索和替换。

HTTPS迁移的一个例子是将“http://yourdomain.com”替换为“https://yourdomain.com”。

搜索选项

出于安全原因，完成后删除该脚本也很重要。您可以单击“删除我”按钮。如果你不这样做，它可能会使你的网站易受攻击。

还建议您仔细检查您的Web服务器，并确认文件夹/脚本已被完全删除。注意:这个脚本将更新你数据库中的所有条目，包括你的WordPress站点URL，页面和文章上的硬编码链接等等。

如果您在wp-config.php文件中硬编码了您的主页、网站或WP内容区域，请确保将它们更新到HTTPS:

define(‘WP_HOME’, ‘https://yourdomain.com’);define(‘WP_SITEURL’, ‘https://yourdomain.com’);define( ‘WP_CONTENT_URL’, ‘https://yourdomain.com/wp-content’ );

如果你有一个CDN，并使用cdn.domain.com等CNAME，你可能还想再次运行上述脚本，找到任何硬编码的URL http://cdn.domain.com，并将其替换为https://cdn.domain.com。

选项3:使用WP-CLI进行搜索和替换

您还可以使用WP-CLI为那些不喜欢离开命令行的精通技术的人和开发人员更新链接。我们建议检查此高级搜索并替换WP-CLI指南。

7.更新自定义脚本和外部库

现在您已经更新了旧的硬编码URL，您将需要检查您可能已经添加到页眉、页脚等的任何自定义脚本或外部库。这可能包括Google jQuery、Font Awesome、CrazyEgg、AdRoll、脸书、Hotjar等。

对于Google jQuery，你只需要更新它指向HTTPS版本:

每个提供商和服务都应该有一个可以切换到的HTTPS版本。

8.将CDN从HTTP迁移到HTTPS

接下来，如果你正在使用CDN，你也需要把它迁移到HTTPS。否则，你会在WordPress网站上遇到混合内容警告问题。

Cloudflare CDN替代品

如果您正在寻找Cloudflare CDN替代方案，有许多选择。最受欢迎的是KeyCDN。

这款高性能CD N通过在全球服务器上缓存您的网站内容，加快了向访问者交付网站内容的速度。它还提供安全保护，抵御DDoS攻击和其他威胁。

另外两个选项是Amazon CloudFront，它是Amazon Web Services (AWS)的一部分，以及Sucuri，它有助于优化网站性能和速度。它具有广泛的安全功能。

下面是一些有用的链接和教程，介绍如何为不同的第三方CDN提供商安装和设置SSL。

在KeyCDN上设置SSL

在Cloudflare上设置SSL(我们建议使用完整的SSL)

在MaxCDN上设置SSL

在Amazon CloudFront上设置SSL

注意:有些甚至集成了Let’s Encrypt，也就是说SSL是免费的。如果您遇到问题，您可以随时咨询您的CDN提供商，以帮助您完成从HTTP到HTTPS的迁移。

更新CDN后，你需要确保在任何用于集成的WordPress插件中更新它。在以下示例中，我们使用CDN Enabler:

把CDN改成HTTPS

我们通过HTTP将URL翻转到HTTPS，然后启用底部的CDN HTTPS选项。完成后，选择保存更改按钮。

9.检查您的网站是否有混合内容警告。

接下来，你需要检查你的WordPress网站，确保你不会收到混合内容的警告。这些警告在加载HTTPS和HTTP脚本或内容时出现。您不能同时加载两者。

当你迁移到HTTPS，一切都需要通过HTTPS。《连线》记录了他们从HTTP到HTTPS的转变，以及他们遇到的一个障碍:

迁移到HTTPS的最大挑战之一是准备好我们所有的内容，以便通过安全连接进行交付。如果页面是通过HTTPS加载的，那么所有其他资源(比如图像和Javascript文件)也必须通过HTTPS加载。我们看到很多关于这些“混合内容”问题的报道，或者在安全的HTTPS页面环境中加载不安全的HTTP资产的事件。为了正确部署，我们需要确保混合内容的问题更少，以确保我们尽可能安全地提供WIRED.com的内容。

以下是一些例子，说明如果不修复这些警告，浏览器会发生什么情况。

Chrome混合内容警告示例

下面是Chrome中触发混合内容警告时发生的情况:

铬混合内容警告

Firefox混合内容警告示例

以下是Firefox提醒混合内容时发生的情况的示例:

Firefox混合内容警告

Internet Explorer混合内容警告示例

IE混合内容警告

以下是触发混合内容警告时在Internet Explorer中发生的情况的示例:

如你所见，IE可能是最糟糕的一个，因为它会破坏页面的渲染，直到弹出窗口被点击。

JitBit有一个很棒的免费小工具叫做SSL Check，你可以运行它来快速扫描你的网站或URL中不安全的内容。这个工具将抓取你的HTTPS WordPress站点，搜索不安全的图片，脚本和CSS文件，这些文件将会在你的浏览器中触发警告信息。每个网站抓取的页面数量限制在200个以内。

你也可以使用Chrome DevTools通过查看web请求面板来快速检查任何页面。安全面板实际上也非常有用。您可以立即看到任何不安全的来源，然后点击请求以查看其来源:

在Chrome Devtools中检查HTTPS

还有一个叫做HTTPS检查器的桌面软件，你可以安装它来扫描你的网站:

HTTPS检验软件

重大改动后，可以帮你检查“不安全”的警告和内容。它适用于Windows、Mac和Ubuntu。免费计划允许您查看多达100页。

10.更新Google搜索控制台配置文件

现在你的WordPress网站已经在HTTPS上运行了(希望没有警告)，是时候深入研究营销方面了。有些很重要，不要跳过！

首先，您需要为HTTPS版本创建一个新的Google搜索控制台配置文件。

在GSC添加HTTPS属性

创建新的HTTPS版本后，您需要重新提交站点地图文件。新HTTPS版本:

HTTPS站点地图文件

如果您拒绝了不良反向链接的文档或受到处罚，您将需要重新提交它们。如果你现在不这样做，你可能会永久性地损害你的网站。

去谷歌的否认工具，点击你原来的HTTP档案。下载被拒绝的文件(如果存在)。然后回到这个工具，在HTTPS版本下提交你的拒绝文件。

注意:完成所有这些操作后，您可以在Google搜索控制台中安全地删除HTTP配置文件。

11.Bing网站管理员工具

必应网站管理员工具与谷歌搜索控制台略有不同:

必应站长工具HTTPS

您不需要创建新的HTTPS配置文件。相反，你可以提交新创建的HTTPS网站地图。

2.谷歌分析

接下来，你需要更新你的谷歌分析媒体资源和数据视图。这不会影响你的分析数据:它只会在你的网站链接到谷歌搜索控制台时有所帮助。

要更新您的属性，请单击您的域属性设置，然后在默认URL下将其更改为HTTPS://版本:

更新谷歌分析媒体资源到HTTPS。

要更新您的视图，请单击您的域视图设置。在网站的URL下，将其更改为HTTPS://版本:

将谷歌分析视图更新为HTTPS

将谷歌分析链接到GSC

您还需要将您在步骤8中创建的新创建的Google搜索控制台配置文件与您的Google Analytics帐户重新关联。为此，请单击您的域的属性设置，然后选择调整搜索控制台:

然后，您可以链接新的HTTPS GSC配置文件。将这些链接在一起可以让搜索查询数据流入你的谷歌分析账户。

13.YouTube频道

如果你有YouTube频道，你需要在谷歌搜索控制台中重新关联你的网站和新的HTTPS版本。否则，您将收到一条错误消息，其中包含关于无效HTTPS链接的评论和其他消息。

在YouTube dashboard中，点按您的频道，然后前往“高级”。接下来，将您的域更改为新的HTTPS版本，然后单击添加。您可能需要删除旧的，然后重新添加。然后，你必须通过进入谷歌搜索控制台，导航到该网站的信息，并选择批准它。

14.多方面的

说到从HTTP迁移到HTTPS，就是这样！这里有一些您仍想更新的杂项。其中一些可能适用，也可能不适用，这取决于您使用的是什么。

确保您的robots.txt可以访问并正常工作。

确保所有规范标签都指向HTTPS版本(如果您遵循上面的步骤3，这应该已经完成了)。

如果运行Disqus之类的注释插件，必须将Disqus注释从HTTP迁移到HTTPS。

在你的电子邮件营销软件中更新你的网址

更新PPC广告网址:AdWords，Bing广告，AdRoll，脸书广告等。

更新社交媒体链接(脸书、Twitter、Pinterest、Google+等。)

总结

HTTPS不仅仅是谷歌排名的一个因素。这是一个重要的安全协议，有助于保护您的网站和访问者免受攻击。