开启SSL/TLS访问,也就是在访问后台时,链接将以Https开头,并且浏览器上会出现”挂锁标志”,如下图。
接下来谈谈:
- 开启SSL/TLS访问的前提要求
- 为什么开启
- 开启方法
- 开启后的影响
前提要求:
- 一个SSL证书
这个可以免费申请到,国内外都有可以免费申请的提供商.为避免广告嫌疑我就不”指名道姓”了. - 独立IP主机/VPS/Dedicated Server(土豪の选?一般人不会拿这个做博客吧.)
总而言之言而总之就是你的WordPress Site要有独立IP,不能使共享IP - 在后台设置了SSL证书,并开启了SSL访问
为什么开启SSL
几天前我曾用Chrome的开发者工具进行”抓包”,来查找一个CSS加载的问题。但由于前段时间清除了Cookies导致需要重新登录,而我又勾选了Preserve Log选项,来保存先前的抓包记录(若不勾选,打开新页面时旧的记录将被清除),于是发现了登陆时的POST包,点开一看,竟发现Wordpress使用明文发送用户名和登陆密码(如下图)
联想起前段时间,宽带通网络劫持DNS的流氓行径,对不加密链接(Http://)中发送的明文密码深感不放心,故对后台(/wp-admin)以及后台登陆页面(/wp-login.php)开启SSL.
如何开启SSL
1.用FTP工具或通过后台将Wordpress安装目录中的wp-config.php文件下载到本地
2.用文本编辑器打开wp-config.php
3.找到
/* 好了!请不要再继续编辑。请保存本文件。使用愉快! */
这一行(大约在90行左右)
4.在此行上方插入如下内容:
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
5.保存,并将文件上传回原路径.
可能存在的问题
1.某些未使用(不支持)SSL/TLS加密(Https链接)的站外内容,比如我使用的多说评论框的后台,不能正常被加载。如下图所示,本应由内容的区域变为空白。
而打开Chrome的开发者工具-Console,可看到它被”Blocked”了,原因是存在高危的混合内容.
2.设有密码的页面无法验证密码(验证时似乎需要用到wp-login.php,但仍调用其http链接)
没有独立IP也可以部署ssl,比如我,但前提是放弃winxp+ie的广大人民群众
查了一下…HSTS貌似需要修改Web服务器(Apache NGINX等)的配置文件吧 在虚拟主机上做不到啊
额,为嘛要折腾SSL
第一条独立IP就把我刷下来了,个人博客用ssl加密没什么意思吧
我这个独立ip也是趁某创独立ip主机打折时候买的 虽然有独立ip但十分不稳定可谓便宜没好货 感觉买虚拟主机还是稳定性重要.
SSL可以直接加载gravatar头像啊~但是感觉麻烦只让头像加载了SSL,而不是全局~
在主题的function.php中把gravatar链接改成https://secure.开头的也行啊
没打算用SSL的路过
好吧 我也是不太放心才用的
自己的网站不喜欢用多说
嗯 也许吧 貌似国内这些社会化评论框多说 友言什么的都不支持SSL
。。。
…
没有独立IP的屌丝博主
我这独立IP主机也是某主机上活动时买的 其实也可以考虑vps 就是lamp什么的都得自己弄
为嘛不整站呢?
唉 还是多说不支持https 要是上全站SSL评论框就没了,以后考虑换DISQUS了
wordpress 自带的评论不是好好的?
就是感觉不是很好看…所以才换的
原来域名注册的时候送了一个,我一直没用。:-)
感觉这个挺有用啊…
当然有用,逼格更高一点。
其实也不全是逼格的问题
我访问你的站是黄的,不是绿的。