Cài đặt chứng chỉ SSL có vẻ như là một quá trình không bao giờ kết thúc.
Ngay khi bạn nghĩ rằng bạn đang ở gần vạch đích, vẫn còn một khoảng cách còn lại để bao quát.
Bạn đã cài đặt chứng chỉ SSL và bây giờ đã đến lúc đảm bảo rằng chứng chỉ SSL trên thực tế đã được cài đặt trên mọi trang trên trang web của bạn.
Đây là lúc buộc HTTPS ra đời.
Nhiều trang web gặp sự cố khi định cấu hình SSL. Chứng chỉ không được kích hoạt đúng cách trên một số trang. Do đó, bạn cần phải buộc chứng chỉ (hoặc HTTPS) trên các trang đó.
Trong bài viết này, bạn sẽ học cách thực hiện điều đó.
Việc ép buộc HTTPS được cho là nguyên nhân gây ra sự cố. Đừng lo lắng, chúng tôi đã hỗ trợ bạn. Chúng tôi sẽ chỉ cho bạn cách khắc phục những vấn đề đó. Toàn bộ trang web của bạn sẽ nhanh chóng chạy trên SSL.
TL; DR: Cách nhanh nhất để buộc trang web của bạn sử dụng HTTPS là cài đặt và kích hoạt plugin Really Simple SSL. Nó hoạt động tự động, bạn không phải nhấc một ngón tay nào. Trong trường hợp ép buộc HTTPS dẫn đến sự cố, hãy quay lại bài viết này và xem phần khắc phục sự cố của chúng tôi.
Bạn đã cài đặt chứng chỉ SSL chưa?
Trước khi tiến hành ép buộc HTTPS trong WordPress, bạn cần phải cài đặt chứng chỉ SSL. Không cài đặt bất kỳ plugin nào sẽ giúp bạn thực thi mà không cần cài đặt chứng chỉ trước.
Chúng tôi đã gặp phải tình huống chủ sở hữu trang web đã kích hoạt plugin Really Simple SSL mà không cần cài đặt chứng chỉ SSL. Do đó, các trang web của họ đã bị hỏng và quyền truy cập vào bảng điều khiển quản trị của họ bị mất.
Do đó, hãy đảm bảo rằng bạn đã cài đặt chứng chỉ SSL trên trang web của mình trước khi chuyển sang phần tiếp theo. Dưới đây là hướng dẫn sẽ giúp bạn thực hiện điều đó - Cách cài đặt chứng chỉ SSL?
Làm thế nào để buộc HTTPS trong WordPress?
Có hai cách để buộc WordPress sử dụng HTTPS:
- Bắt buộc sử dụng HTTPS bằng một plugin (cách dễ dàng)
- Bắt buộc HTTPS theo cách thủ công (cách khó)
Hãy đi sâu vào cả hai phương pháp -
1. Buộc sử dụng HTTPS bằng một plugin (Cách dễ dàng)
Bước 1: Tạo một trang web dàn dựng. Đó là một bản sao chính xác của trang web trực tiếp của bạn. Trên trang web dàn dựng, bạn có thể kiểm tra xem plugin có thể thực thi HTTPS đúng cách hay không.
Nếu không, trang web trực tiếp của bạn vẫn bình an vô sự. Hơn nữa, bạn có thể khắc phục sự cố và khắc phục sự cố trên trang web dàn dựng. Sau đó, bạn có thể hợp nhất trang web dàn dựng với trang web trực tiếp để kết hợp các thay đổi mà không cần sao chép các bước.
→ Vì vậy, hãy cài đặt và kích hoạt BlogVault Staging trên trang web WordPress trực tiếp của bạn.
→ Từ bảng điều khiển trang web của bạn, chọn BlogVault.
→ Tiếp theo, chèn ID email của bạn, sau đó nhấp vào Bắt đầu.
→ BlogVault sẽ yêu cầu bạn tạo một tài khoản. Tất cả những gì bạn cần làm là nhập mật khẩu.
→ Thêm trang web của bạn vào trang tổng quan BlogVault chỉ bằng cách nhấp vào Thêm.
→ Plugin sẽ bắt đầu sao lưu toàn bộ trang web của bạn. Khi quá trình hoàn tất, trên trang tổng quan BlogVault của bạn, nhấp vào Trang web và sau đó chọn trang web của bạn.
→ Cuộn xuống phần Giai đoạn và chọn Thêm giai đoạn> Gửi. BlogVault sẽ bắt đầu tạo một trang web dàn dựng cho bạn.
→ Khi trang web dàn dựng đã sẵn sàng, bạn sẽ được cấp một tên người dùng và mật khẩu. Ghi lại chúng, bạn sẽ cần chúng.
→ Sau đó, mở trang web dàn dựng bằng cách nhấp vào Truy cập trang web dàn dựng nút .
→ Trang web dàn dựng sẽ mở ra trong một tab mới và bạn sẽ được yêu cầu nhập thông tin đăng nhập mà bạn đã ghi lại.
→ Bây giờ bạn có thể truy cập trang web dàn dựng của mình. Chỉ cần thêm / wp-admin / ở cuối URL của bạn để mở trang đăng nhập.
→ Và đăng nhập thông qua thông tin đăng nhập tương tự mà bạn sử dụng để đăng nhập vào trang web trực tiếp của mình.
Bước 2: Bây giờ hãy cài đặt và kích hoạt plugin Really Simple SSL trên trang web dàn dựng của bạn.
Bước 3: Sau khi kích hoạt, plugin HTTPS bắt buộc WordPress cụ thể này sẽ yêu cầu bạn thực hiện một bản sao lưu mà bạn đã thực hiện. Tiếp theo, nó sẽ yêu cầu bạn tiếp tục và nhấp vào “ Tiếp tục, kích hoạt SSL . ” Làm điều đó và HTTPS sẽ bị bắt buộc trên toàn bộ trang web.
Bước 4: Xóa trang web của bạn và bộ nhớ cache của trình duyệt. Dưới đây là hướng dẫn sẽ giúp bạn thực hiện điều đó - Cách xóa bộ nhớ cache của WordPress?
Bước 5: Kiểm tra tất cả các trang của trang web dàn dựng của bạn. Những trang quan trọng nhất bao gồm trang đăng nhập và quản trị, trang liên hệ, trang giỏ hàng, trang dịch vụ hoặc sản phẩm, trang lưu trữ, trang đích quan trọng và bài đăng.
Nếu chỉ có quá nhiều trang trên trang web của bạn để kiểm tra theo cách thủ công? Sử dụng một trong các công cụ dưới đây để thực hiện tự động. Nếu chứng chỉ SSL không hoạt động trên bất kỳ trang nào, bạn sẽ nhận được thông báo.
- https://www.jitbit.com/sslcheck/
- https://www.sslchecker.com/insecuresources
- https://www.ssllabs.com/ssltest
- https://www.whynopadlock.com/
Nếu chứng chỉ không được buộc đúng cách thì bạn sẽ gặp phải các vấn đề như nội dung hỗn hợp, vòng lặp chuyển hướng hoặc không có HTTPS trên trang đăng nhập và quản trị.
May mắn thay, trang web thử nghiệm của chúng tôi không có vấn đề về nội dung hỗn hợp.
Nếu bạn phát hiện ra vấn đề, đừng lo lắng, có một giải pháp. Chuyển đến phần khắc phục sự cố để sửa trang web của bạn.
Sau khi bạn đã sửa trang web, hãy hợp nhất trang web dàn dựng với trang web trực tiếp của bạn.
Bước 6: Mở trang tổng quan của BlogVault và chuyển đến phần Giai đoạn. Nhấp vào Hợp nhất , sau đó chọn Tiếp tục và quá trình hợp nhất sẽ bắt đầu. ( Làm theo hướng dẫn này nếu cần: Hợp nhất trang web theo giai đoạn với trang web ban đầu . )
Đó là tất cả, các bạn. Chứng chỉ SSL đã bị buộc trên trang web của bạn.
2. Buộc HTTPS theo cách thủ công (Cách khó)
Sử dụng plugin là cách được khuyến nghị vì nó tự động. Bạn không phải làm gì nhiều ngoài việc kích hoạt plugin.
Với phương pháp thủ công, bạn cần có kinh nghiệm hơn một chút và cảm thấy thoải mái hơn với việc xử lý các tệp phụ trợ WordPress. Nếu bạn không thành thạo trong việc làm việc trên phần phụ trợ của trang web, bạn có thể mắc sai lầm.
Thật không may, sai lầm nhỏ nhất có thể dẫn đến kết quả thảm khốc, chẳng hạn như trang web của bạn bị hỏng và bạn mất quyền truy cập vào trang tổng quan quản trị của mình.
Trong trường hợp chúng tôi không rõ ràng:bạn không nên sử dụng phương pháp thủ công. Tuy nhiên, nếu bạn cảm thấy mạo hiểm trong ngày hôm nay, thì hãy tiếp tục và thử phương pháp thủ công.
Đây là hai bước bạn cần thực hiện để buộc WordPress HTTPS không có plugin:
Bước 1:Sao lưu trang web của bạn
Hãy sao lưu toàn bộ trang web của bạn trước khi thực hiện bất kỳ bước nào bên dưới. Nếu có sự cố xảy ra, bạn có thể nhanh chóng khôi phục trang web của mình về trạng thái bình thường. Đây là một biện pháp phòng ngừa an toàn mà ngay cả những nhà phát triển có kinh nghiệm nhất cũng thực hiện.
Nếu bạn chưa đăng ký dịch vụ sao lưu, đây là các dịch vụ sao lưu tốt nhất mà bạn có thể nhận được cho WordPress.
Bước 2:Thay đổi cài đặt địa chỉ trang web &WordPress
→ Đăng nhập vào trang tổng quan WordPress của bạn và đi tới Cài đặt> Chung .
→ Đi tới WordPress &Địa chỉ trang web.
→ Thay đổi URL từ https:// thành https://
→ Lưu và đóng cửa sổ.
Bước 3:Chèn đoạn mã vào máy chủ của bạn
Có hai loại máy chủ -
- Apache
- Nginx
Đoạn mã bạn cần chèn vào máy chủ Apache khác với đoạn mã bạn cần chèn vào máy chủ Nginx.
Do đó, trước tiên bạn cần phải tìm ra máy chủ nào được lưu trữ trên trang web của bạn. Đây là cách thực hiện điều đó -
> Trang web của bạn được lưu trữ trên máy chủ nào?
Bạn chỉ có thể nói chuyện với nhà cung cấp dịch vụ lưu trữ của mình. Nhưng có một cách nhanh hơn mà chúng tôi sẽ chỉ cho bạn bên dưới:
→ Mở trang web của bạn, nhấp chuột phải vào bất kỳ đâu trong cửa sổ và chọn Kiểm tra . Một cửa sổ bật lên từ bên dưới.
→ Từ cửa sổ đó, chọn Mạng , sau đó là tên trang web của bạn rồi nhấp vào Tiêu đề .
→ Trong phần tiêu đề, cuộn xuống để tìm máy chủ của trang web của bạn.
> Chèn đoạn mã vào máy chủ Apache
→ Tải xuống và cài đặt Filezilla vào máy tính của bạn.
→ Mở phần mềm và nhập chi tiết FTP của bạn ở đầu cửa sổ. Bạn có thể tìm thông tin đăng nhập FTP của mình với sự trợ giúp của hướng dẫn này và video này. Hoặc chỉ cần nói chuyện với nhà cung cấp dịch vụ lưu trữ của bạn.
→ Trang web từ xa bảng điều khiển sẽ chứa các tệp và thư mục của trang web của bạn. Bạn sẽ tìm thấy public_html thư mục trong bảng điều khiển đó. Mở rộng thư mục đó.
→ Bên trong public_html thư mục, bạn sẽ tìm thấy .htaccess tập tin. Nhấp chuột phải vào nó và chọn Xem / Chỉnh sửa .
→ Bên trong thư mục .htaccess, hãy chèn đoạn mã sau:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Hãy đảm bảo rằng bạn đang chèn nó giữa “# BEGIN WordPress” và “# END WordPress.”
→ Nhớ lưu tệp và thoát.
Đó là nó. Nó sẽ thực thi HTTPS trên trang web của bạn.
> Chèn đoạn mã vào máy chủ Nginx
→ Tải xuống và cài đặt Filezilla vào máy tính của bạn.
→ Mở nó và nhập thông tin đăng nhập FTP của bạn. Bạn có thể tìm thấy chi tiết FTP của mình từ nhà cung cấp dịch vụ lưu trữ. Nếu bạn không biết cách tìm thông tin đăng nhập của mình, hướng dẫn này và video này sẽ cung cấp cho bạn hướng dẫn từng bước.
→ Trang web từ xa bảng điều khiển sẽ chứa các tệp và thư mục WordPress. Bạn sẽ tìm thấy public_html thư mục tại đây. Nhấp để mở rộng thư mục đó.
→ Bên trong public_html thư mục, bạn sẽ tìm thấy wp-config.php tập tin. Nhấp chuột phải vào nó và chọn Xem / Chỉnh sửa .
→ Bên trong .htaccess thư mục, hãy chèn đoạn mã sau:
server {
listen 80;
return 301 https://domain.com$request_uri;
} Hãy nhớ thay thế domain.com trong đoạn mã với URL trang web của riêng bạn.
Ngoài ra, hãy nhớ chèn mã phía trên câu / * Vậy là xong, dừng chỉnh sửa! Chúc bạn viết blog vui vẻ. * /
→ Nhớ lưu tệp và thoát.
→ Tiếp theo, xóa bộ nhớ cache trang web của bạn, cũng như bộ nhớ cache của trình duyệt. Hướng dẫn này sẽ giúp bạn làm điều đó - Làm thế nào để Xóa bộ nhớ cache của WordPress?
→ Kiểm tra trang web của bạn một cách kỹ lưỡng. Các trang quan trọng trên trang web của bạn bao gồm trang đăng nhập và quản trị, trang liên hệ, trang giỏ hàng, trang dịch vụ hoặc sản phẩm, trang lưu trữ, trang đích quan trọng và bài đăng.
Nếu trang web của bạn có quá nhiều trang để xác minh theo cách thủ công, hãy sử dụng các công cụ để kiểm tra xem HTTPS có được buộc đúng cách hay không.
- https://www.jitbit.com/sslcheck/
- https://www.sslchecker.com/insecuresources
- https://www.ssllabs.com/ssltest
- https://www.whynopadlock.com/
Các công cụ sẽ thông báo cho bạn nếu chứng chỉ SSL không được phản ánh trên bất kỳ trang nào của bạn.
Nếu có thông báo, đừng hoảng sợ. Có một giải pháp. Chuyển đến phần khắc phục sự cố để sửa trang web của bạn.
Nhưng nếu mọi việc suôn sẻ, thì hãy chuyển sang phần tiếp theo.
Cập nhật trang web của bạn lên dịch vụ web
Nếu bạn giống chúng tôi, có thể bạn đang sử dụng nhiều dịch vụ web. Ví dụ về các dịch vụ thường được sử dụng là X, Y và Z. Việc cập nhật URL trên tất cả các tài khoản của bạn là rất quan trọng để chúng tiếp tục hoạt động.
→ Cập nhật Sơ đồ trang web của bạn: Tốt nhất, các plugin SEO như Yoast nên tự động cập nhật sơ đồ trang web. Nếu không thì bạn cần phải đăng nhập vào quản trị viên WordPress của mình và điều hướng đến SEO> Tính năng> Sơ đồ trang web XML> tắt sơ đồ trang web. Sau đó kích hoạt lại. Thao tác này sẽ tạo lại sơ đồ trang web với các URL đã thay đổi.
→ Cập nhật URL trên các Dịch vụ của Google: Google Analytics coi HTTP và HTTPS là các trang web khác nhau, do đó bạn cần cập nhật liên kết đến trang web của mình trên Analytics. Đăng nhập vào tài khoản Analytics của bạn, sau đó chuyển đến Quản trị> Cài đặt thuộc tính> URL mặc định. Chọn HTTPS từ trình đơn thả xuống ngay trước URL của bạn.
Trên Google Search Console, bạn cần thêm nó làm thuộc tính mới. Sau đó, tải sơ đồ trang web đã cập nhật của bạn lên Search Console.
→ Cập nhật CDN của bạn: Hầu hết các CDN đều được trang bị một tính năng tích hợp cho phép bạn thay đổi URL. Nếu CDN của bạn không có, thì tốt nhất bạn nên nói chuyện với bộ phận hỗ trợ của họ.
→ Cập nhật tài khoản mạng xã hội của bạn: Bạn nên cập nhật URL của trang web trên các hồ sơ xã hội của mình.
Khắc phục sự cố do ép buộc HTTPS
Khi buộc HTTPS trên trang web WordPress của mình, bạn có thể gặp một trong ba vấn đề sau:
- Không có SSL trên trang đăng nhập và quản trị
- Ổ khóa bị hỏng hoặc ổ khóa có dấu hiệu cảnh báo (vấn đề về nội dung hỗn hợp)
- Vòng lặp chuyển hướng
Đây là cách khắc phục chúng -
1. Không có SSL trên trang đăng nhập &quản trị
Trang đăng nhập và khu vực quản trị của bạn có hiển thị cảnh báo “Không an toàn” không?
Điều này xảy ra khi chứng chỉ SSL không được định cấu hình đúng cách.
Nếu bạn tiếp tục đăng nhập mà không có chứng chỉ SSL, thông tin đăng nhập, nếu bị tin tặc lấy, có thể dễ dàng bị khai thác. Trước khi thảm họa như vậy xảy ra, bạn cần bắt buộc sử dụng HTTPS trên trang đăng nhập và trang quản trị.
Bài viết này sẽ giúp bạn làm điều đó - Đăng nhập WordPress không an toàn.
2. Ổ khóa bị hỏng hoặc ổ khóa có dấu hiệu cảnh báo (Vấn đề về nội dung hỗn hợp)
Chứng chỉ SSL của bạn có dấu hiệu cảnh báo không?
Điều này là do một vấn đề nội dung hỗn hợp. Điều đó có nghĩa là bạn có các liên kết, hình ảnh, tập lệnh và / hoặc bảng định kiểu từ các plugin và chủ đề WordPress không sử dụng HTTPS.
Để xác định xem trang web của bạn có nội dung hỗn hợp hay không, tất cả những gì bạn cần làm là chạy trang web của mình trên các trình kiểm tra SSL như Whynopadlock &Jitbit. Ngoài ra, bạn có thể kiểm tra thủ công bằng cách làm theo các bước bên dưới:
1. Mở trang web của bạn. Nhấp chuột phải và chọn Kiểm tra .
2. Một cửa sổ nhỏ hiện lên từ bên dưới. Trong đó, đi tới Bảng điều khiển và nó sẽ hiển thị cho bạn cảnh báo về nội dung hỗn hợp, cùng với thông tin chi tiết về nguồn gốc của các vấn đề về nội dung hỗn hợp.
Ví dụ:sự cố có thể do plugin hoặc chủ đề WordPress gây ra.
Nó có thể được gây ra bởi một hình ảnh trên trang web của bạn.
Để khắc phục sự cố này, hãy làm theo hướng dẫn này về Xóa nội dung hỗn hợp trong WordPress.
3. Vòng lặp chuyển hướng
Trang web của bạn có được chuyển hướng liên tục không?
Các vòng lặp chuyển hướng xảy ra do một số lý do. Đó là:
- Địa chỉ WordPress &Địa chỉ trang web của bạn không đúng
- Hướng dẫn chuyển hướng sai trong tệp .htaccess
- Bắt buộc sử dụng HTTPS mà không cần cài đặt chứng chỉ SSL
- Sự cố cấu hình với plugin chuyển hướng
Nếu bạn đã làm theo hướng dẫn của chúng tôi một cách cẩn thận, thì ba vấn đề đầu tiên không có khả năng xảy ra. Tuy nhiên, chúng tôi khuyên bạn nên xem lại các bước bạn đã thực hiện một lần nữa. Vì đây là một thay đổi quan trọng, một sai sót nhỏ có thể dẫn đến vòng lặp chuyển hướng.
Tất cả đều tốt? Sau đó, rất có thể một plugin chuyển hướng trên trang web của bạn là thủ phạm thực sự. Hãy thử vô hiệu hóa nó.
Vòng lặp chuyển hướng sẽ ngăn bạn truy cập bảng điều khiển quản trị. Vì vậy, bạn cần vô hiệu hóa plugin thông qua FTP.
→ Mở Filezilla và đi tới public_html> wp-content> plugin .
→ Chọn plugin chuyển hướng được cài đặt trên trang web của bạn. Nhấp chuột phải và chọn Đổi tên nó. Chỉ cần thêm .deactivate và plugin sẽ bị vô hiệu hóa.
→ Tiếp theo, xóa bộ nhớ cache của bạn và kiểm tra xem trang web có còn chuyển hướng hay không. Hy vọng rằng nó đã được khắc phục. Nếu không, hãy xem xét đăng về nó trên diễn đàn hỗ trợ WordPress và trên các nhóm Facebook như Chuyên gia WordPress, WPCrafter, WordPress, WPSecure, trong số những người khác.
Khi tất cả đều thất bại, bạn có thể thuê các nhà phát triển để điều tra vấn đề. Hãy đảm bảo rằng bạn thuê các nhà phát triển từ các nguồn đáng tin cậy như -
- Việc làm WordPress
- Công việc đột phá
- Có thể mã hóa.io
- Chuyên gia phát triển WPMU
- Nghề nghiệp StackOverflow
Đó là tất cả mọi người. Và đó là cách bạn buộc HTTP thành HTTPS trong WordPress. Chúng tôi hy vọng bạn thấy hướng dẫn này có giá trị và dễ làm theo.
Tiếp theo là gì?
Chúng tôi tin tưởng rằng, nếu bạn tuân theo các nguyên tắc của chúng tôi một cách cẩn thận, bạn có thể áp dụng HTTPS trên toàn bộ trang web WordPress của mình.
Nhưng chỉ chuyển trang web của bạn sang HTTP sẽ không bảo mật nó khỏi tin tặc và bot.
Bạn cần thực hiện các biện pháp bảo mật chủ động khác.
Biện pháp bảo mật quan trọng nhất mà bạn có thể thực hiện cho trang web WordPress của mình là cài đặt một plugin bảo mật đáng tin cậy và đáng tin cậy.
Một plugin bảo mật hiệu quả sẽ bảo vệ trang web của bạn bằng cách thực hiện các bước bên dưới:
- Chặn lưu lượng truy cập xấu vào trang web của bạn bằng tường lửa và các tính năng bảo vệ đăng nhập.
- Tiến hành quét tự động trang web của bạn hàng ngày.
- Làm sạch trang web của bạn kỹ lưỡng và trong vòng vài giờ.
- Giúp thực hiện các biện pháp cải thiện trang web.
Bảo mật trang web của bạn với Dịch vụ bảo mật MalCare