WordPress后台开启SSL/TLS

开启SSL/TLS访问,也就是在访问后台时,链接将以Https开头,并且浏览器上会出现”挂锁标志”,如下图。

接下来谈谈:

  1. 开启SSL/TLS访问的前提要求
  2. 为什么开启
  3. 开启方法
  4. 开启后的影响


前提要求:

  1. 一个SSL证书
    这个可以免费申请到,国内外都有可以免费申请的提供商.为避免广告嫌疑我就不”指名道姓”了.
  2. 独立IP主机/VPS/Dedicated Server(土豪の选?一般人不会拿这个做博客吧.)
    总而言之言而总之就是你的WordPress Site要有独立IP,不能使共享IP
  3. 在后台设置了SSL证书,并开启了SSL访问

为什么开启SSL

几天前我曾用Chrome的开发者工具进行”抓包”,来查找一个CSS加载的问题。但由于前段时间清除了Cookies导致需要重新登录,而我又勾选了Preserve Log选项,来保存先前的抓包记录(若不勾选,打开新页面时旧的记录将被清除),于是发现了登陆时的POST包,点开一看,竟发现Wordpress使用明文发送用户名和登陆密码(如下图)

WordPress登录时POST的信息(已开启SSL后,故链接为HTTPS)

联想起前段时间,宽带通网络劫持DNS的流氓行径,对不加密链接(Http://)中发送的明文密码深感不放心,故对后台(/wp-admin)以及后台登陆页面(/wp-login.php)开启SSL.


如何开启SSL

1.用FTP工具或通过后台将Wordpress安装目录中的wp-config.php文件下载到本地

2.用文本编辑器打开wp-config.php

3.找到

/* 好了!请不要再继续编辑。请保存本文件。使用愉快! */

这一行(大约在90行左右)

4.在此行上方插入如下内容:

define('FORCE_SSL_LOGIN', true); 
define('FORCE_SSL_ADMIN', true);

5.保存,并将文件上传回原路径.


可能存在的问题

1.某些未使用(不支持)SSL/TLS加密(Https链接)的站外内容,比如我使用的多说评论框的后台,不能正常被加载。如下图所示,本应由内容的区域变为空白。

多说的后台不能正常加载

而打开Chrome的开发者工具-Console,可看到它被”Blocked”了,原因是存在高危的混合内容.

多说 的后台无法加载

2.设有密码的页面无法验证密码(验证时似乎需要用到wp-login.php,但仍调用其http链接)

 

24条评论

    1. 查了一下…HSTS貌似需要修改Web服务器(Apache NGINX等)的配置文件吧 在虚拟主机上做不到啊

    1. 我这个独立ip也是趁某创独立ip主机打折时候买的 虽然有独立ip但十分不稳定可谓便宜没好货 感觉买虚拟主机还是稳定性重要.

  1. SSL可以直接加载gravatar头像啊~但是感觉麻烦只让头像加载了SSL,而不是全局~

    1. 在主题的function.php中把gravatar链接改成https://secure.开头的也行啊

    1. 嗯 也许吧 貌似国内这些社会化评论框多说 友言什么的都不支持SSL

    1. 我这独立IP主机也是某主机上活动时买的 其实也可以考虑vps 就是lamp什么的都得自己弄

    1. 唉 还是多说不支持https 要是上全站SSL评论框就没了,以后考虑换DISQUS了

  2. 原来域名注册的时候送了一个,我一直没用。:-)

评论已关闭。