Để bảo vệ người dùng của họ, Google đã đều đặn thực hiện các biện pháp khuyến khích chủ sở hữu trang web ưu tiên bảo mật bằng các phương pháp hay nhất. Thông báo “Trang web không an toàn” trên một trang web là một trong những biện pháp đó. Nó chỉ ra rằng trang web không được cài đặt SSL.
Rõ ràng là chủ sở hữu trang web, chúng tôi muốn làm những điều tốt nhất cho khách truy cập và do đó muốn có các biện pháp bảo mật WordPress tốt nhất cho trang web của chúng tôi.
Vì vậy, nếu bạn thấy trang web WordPress không an toàn thông báo trên trang web của bạn, bài viết này sẽ giúp bạn khắc phục mọi thứ và đảm bảo an toàn cho trang web của bạn đối với khách truy cập và dữ liệu của họ.
TL; DR: Cài đặt chứng chỉ SSL, chuyển hướng trang web của bạn đến https, thay đổi tất cả các liên kết nội bộ thành các liên kết an toàn và cập nhật Google Search Console để khắc phục sự cố trang web WordPress không an toàn. Sao lưu toàn bộ trang web của bạn trước khi bạn thực hiện bất kỳ thay đổi nào.
Tại sao bạn thấy trang web WordPress không có thông báo an toàn?
Bạn thấy trang web WordPress thông báo không an toàn vì trang web của bạn không có chứng chỉ SSL hoặc có chứng chỉ SSL không được định cấu hình đúng trong quá trình cài đặt. Cài đặt chứng chỉ SSL cải thiện đáng kể trải nghiệm người dùng và lớp bảo mật của bạn. Vì vậy, nếu có vấn đề với SSL của bạn, Google sẽ gửi cho bạn thông báo "Không an toàn".
Đây chủ yếu là những gì khách truy cập trang web của bạn sẽ thấy:
Lý tưởng nhất, đây là những gì bạn (và khách truy cập của bạn) nên thấy:
Bằng cách thiết lập SSL hoặc HTTPS trên trang web của mình, bạn nhận được hai lợi ích chính. Đầu tiên, tất cả lưu lượng truy cập vào trang web của bạn đều được mã hóa. Điều này có lợi thế về quyền riêng tư và bảo mật đáng kể. Và thứ hai, cảnh báo không an toàn của trang web WordPress được thay thế bằng một khóa màu xanh lá cây yên tâm hơn.
Làm cách nào để khắc phục cảnh báo trang web WordPress không an toàn?
Chúng tôi đã chia nhỏ quy trình thành các bước rời rạc để bạn làm theo. Nhìn chung, quá trình này mất vài giờ để hoàn thành, vì vậy chúng tôi khuyên bạn nên đánh dấu trang này và thực hiện theo từng giai đoạn.
Ngoài ra, đừng lo lắng nếu một số phần tiếp theo có vẻ hơi kỹ thuật. Thực hiện theo các hướng dẫn một cách cẩn thận và bạn sẽ sửa thành công cảnh báo trang web không an toàn WordPress. Để yên tâm hơn, hãy sao lưu trang web của bạn trước khi bắt đầu.
- Bắt đầu với kiểm tra trước SSL
Một số máy chủ web hoặc nhà phát triển trang web sẽ thiết lập chứng chỉ SSL khi trang web hoạt động. Mở trang web của bạn trong cửa sổ ẩn danh và kiểm tra xem chứng chỉ SSL đã được cài đặt chưa.
Nếu URL trang web của bạn là www.mybizsite.com, hãy thêm “https://” trước URL và nhập nó vào thanh địa chỉ của trình duyệt dưới dạng https://www.bizsite.com.
Việc thêm “https://” sẽ cho trình duyệt của bạn thử và kết nối với phiên bản an toàn của trang web của bạn. Nếu bạn nhìn thấy ổ khóa màu xanh lá cây, thì bạn đang gặp may. Bạn có thể bỏ qua hoàn toàn việc cài đặt chứng chỉ SSL và bắt đầu giải quyết các vấn đề về nội dung hỗn hợp trên trang web của mình.
Sao lưu trang web của bạn
Trước khi thực hiện bất kỳ bước nào khác để khắc phục cảnh báo trang web không an toàn WordPress, bạn chắc chắn nên thực hiện một bản sao lưu toàn bộ trang web WordPress. Thực hành tốt là sao lưu trang web của bạn trước khi thực hiện bất kỳ thay đổi nào đối với trang web của bạn, đặc biệt nếu chúng là chính.
Chúng tôi khuyên bạn nên sử dụng BlogVault để sao lưu trang web của mình. Nếu bạn gặp sự cố, bạn có thể khôi phục trang web của mình chỉ bằng một cú nhấp chuột.
Sau khi trang web của bạn kết nối với BlogVault, bạn cũng có thể bật cập nhật theo thời gian thực. Các bản sao lưu trong thời gian thực bắt đầu tự động lưu các thay đổi được thực hiện cho trang web của bạn. Điều này có nghĩa là bạn có thể chọn phiên bản hoạt động cuối cùng của bản sao lưu trang web của mình mà không phải phiền phức và không mất tất cả công việc của mình vì bất kỳ sai lầm ngớ ngẩn nào.
Cài đặt chứng chỉ SSL để kết nối an toàn
Hầu hết mọi người đều bị đe dọa khi cài đặt chứng chỉ SSL; và một thời gian trước, họ sẽ có lý do chính đáng. Giờ đây, mọi thứ đơn giản hơn nhiều với các plugin thực hiện hầu hết các công việc nặng nhọc.
Tuy nhiên, đó là một quá trình lâu dài. Làm theo hướng dẫn của chúng tôi về cách cài đặt chứng chỉ SSL một cách cẩn thận. Nó bao gồm mọi thứ bạn cần biết về cài đặt chứng chỉ SSL như:
- Chọn chứng chỉ SSL
- Cài đặt chứng chỉ tùy chỉnh
- Xác minh chứng chỉ SSL
Nếu bạn có thắc mắc về các loại chứng chỉ và cách thức và nơi mua chúng, bài viết này sẽ trình bày tất cả.
Sau khi bạn hoàn tất việc cài đặt chứng chỉ, hãy quay lại bài viết này và hoàn thành phần còn lại của các bước.
Quan trọng:Chỉ cài đặt chứng chỉ là không đủ.
Chuyển hướng liên kết từ HTTP sang HTTPS
Bước tiếp theo sử dụng một chút ngôn ngữ công nghệ và điều quan trọng là phải biết các thuật ngữ này với tư cách là chủ sở hữu trang web. Sẽ rất hữu ích nếu biết sự khác biệt giữa HTTP và HTTPS.
Bây giờ, bạn sẽ phải đảm bảo rằng mọi trang trên trang web của bạn đều được phân phát một cách an toàn, có nghĩa là tất cả khách truy cập đều sử dụng phiên bản SSL của trang web của bạn. Đó là lúc chuyển hướng HTTP sang HTTPS phát huy tác dụng.
Đừng lo lắng nếu điều này nghe có vẻ hơi phức tạp. Như với tất cả mọi thứ trên WordPress, bạn có thể chuyển hướng URL từ HTTP sang HTTPS theo hai cách:
- Với một plugin
- Không có plugin
Chúng tôi thực sự khuyên bạn nên sử dụng một plugin như Really Simple SSL để chuyển hướng trang web của bạn từ HTTP sang HTTPS. Việc buộc trang web chuyển hướng theo cách thủ công sang SSL có thể gây ra một số hậu quả không mong muốn, vì nó đòi hỏi bạn phải tìm kiếm các tệp lõi WordPress tốt nhất nên để một mình.
Trong cả hai trường hợp, chúng tôi đã tạo một bài viết hướng dẫn đầy đủ để giúp bạn buộc chuyển hướng từ HTTP sang HTTPS. Hãy tiếp tục theo dõi bài viết để được hướng dẫn từng bước. Sau đó, hãy quay lại và theo dõi phần còn lại của bài viết này.
Nếu chuyển hướng bắt buộc không hoạt động bình thường, bạn sẽ thấy một số vấn đề về nội dung hỗn hợp. Một cách rất đơn giản để xác định điều đó là truy cập vào một trong những trang web này và kiểm tra các vấn đề về nội dung hỗn hợp:
- https://www.jitbit.com/sslcheck/
- https://www.sslchecker.com/insecuresources
- https://www.ssllabs.com/ssltest
- https://www.whynopadlock.com/
Tìm kiếm và thay thế tất cả các liên kết nội bộ sang phiên bản HTTPS
Nội dung hỗn hợp có nghĩa là trang web của bạn đang cung cấp các URL không an toàn cùng với những URL được bảo mật. Điều này có nghĩa là trong khi trang web của bạn đã cài đặt chứng chỉ SSL, một số trang cũ nhất định vẫn đang được cung cấp với các URL HTTP.
Đây là một vấn đề rất phổ biến với các chủ đề và hình ảnh WordPress.
Một lần nữa, bạn có thể thực hiện việc này theo hai cách:
- Với một plugin
- Không có plugin
Loại bỏ các vấn đề nội dung hỗn hợp theo cách thủ công là một việc nguy hiểm phải làm vì nó liên quan đến việc thay đổi các mục nhập cơ sở dữ liệu. Nếu bạn làm sai bằng cách nào đó, bạn sẽ phá hủy toàn bộ trang web của mình. Vì vậy, hãy sao lưu toàn bộ trang web của bạn ngay bây giờ với BlogVault.
Chúng tôi sẽ cố gắng và giảm thiểu rủi ro đối với điều đó nhiều nhất có thể nhưng sử dụng plugin để khắc phục các vấn đề về nội dung hỗn hợp luôn là một lựa chọn an toàn hơn. Bài viết này của WPBeginner sẽ chỉ cho bạn cách sử dụng plugin SSL Insecure Content Fixer.
Nhưng nếu bạn vẫn muốn làm điều đó theo cách thủ công, chúng tôi khuyên bạn nên thực hiện các bước sau:
- Thực hiện một bản sao lưu khác: Nếu đã từng có thời gian để sao lưu toàn bộ trang web thì bây giờ là như vậy.
- Tạo danh sách các URL HTTP: Sử dụng WhyNoPadlock để tìm các URL HTTP và tạo danh sách.
- Cài đặt Thay thế Tìm kiếm Tốt hơn: Sử dụng plugin để tìm và thay thế các liên kết HTTP đó bằng HTTPS.
“Tìm kiếm” URL HTTP, dán cùng một URL vào “Thay thế bằng” và thay đổi liên kết từ HTTP thành HTTPS.
Nhược điểm lớn nhất của phương pháp này là mặc dù nó sử dụng một plugin, nó vẫn yêu cầu bạn thực hiện việc này theo cách thủ công tại một thời điểm cho mỗi URL.
Cập nhật Google Search Console và Analytics
Now that you’re done with installing the SSL certificate and making sure that you serve the HTTPS version of your WordPress site, it’s time to let Google know about it. If you don’t make this change, Google Search Console will keep collecting data from the HTTP version which will keep getting lesser and lesser traffic from now on.
So, head over to Google Search Console and add a new property for the HTTPS version.
Then re-submit your sitemap files, with the updated HTTPS versions.
If your site has any link disavow files on Search Console, head over to the Google Disavow Tool and click on your HTTP version. Download the file and upload it to the new profile.
Then delete the old profile permanently.
Once this is done, head over to Google Analytics and update your Google Analytics property and view. If your Analytics is connected to your Search Console, then all you’ll have to do is click on Property Settings>> Default URL>> click on the dropdown and select “https://”.
Do the same thing for the view. Click on View Settings>> Website’s URL >> click on the dropdown and select “https://”.
That’s the only thing you need to do to fix the WordPress site not secure warning.
Why you should implement SSL on your website?
The important thing to remember is that the advantages of this process will outweigh the minor discomfort you may experience by stepping into this new territory.
You will have:
- Added site security: Serving a site on HTTPS means that you encrypt your site information over an SSL/TLS connection and make WordPress site secure. In simple terms, this means that even if a hacker intercepts your website’s information, they’ll never be able to decrypt the sensitive information and understand what it actually says.
This is absolutely vital for eCommerce sites where financial transactions occur on your site. If that transaction isn’t encrypted, a hacker could steal financial information directly from your site.
- No more Chrome warnings: Chrome holds over 73% of the browser market share. So, a Chrome warning will impact a major share of your web traffic. Resolving a few small technical issues will remove the WordPress site not secure issue permanently.
However, this issue extends to all major browsers including Firefox and Mozilla. You may also start receiving warnings from Google Search Console as well. We recommend that you follow along with the exact steps outlined in this article for a permanent fix.
- Site loading speed: The new HTTP/2 protocol for connecting to a site is way faster than HTTP connections. Now, HTTP/2 actually requires SSL connections. So, installing an SSL certificate may just improve your site loading speed by a lot.
We say “may” because not all web hosts will automatically provide you with HTTP/2 protocols. Before you jump into GTMetrix to check your performance, you should talk to your web host and check if HTTP/2 is enabled on your accounts.
- SEO traffic: According to a Google Search Central article, HTTPS is a ranking factor on Google SERPs. When Google tells you how to get better rankings and traffic from SEO, you listen. Period. It’s not just Google Search Central, though. Independent SEO blogs conducted a bunch of analysis reports who all came to the same conclusion.
- Brand credibility: According to reputed SSL certificate vendor GlobalSign, 77% of online users are scared of their personal information being hacked or misused online. Having the green padlock on your site simply improves your brand’s credibility.
For eCommerce sites, it’s practically a mandate now as no one trusts an online store with a site not secure warning. Financial institutions and major marketplaces even use an Extended Validation SSL certificate. But simple portfolio sites should also install SSL for the sake of brand credibility.
- Referral Traffic: Like SEO, this is more of a marketing reason than an actual security reason. But HTTPS can give you a clearer picture of referral traffic. What most marketers don’t realize is that HTTPS to HTTP referral data is blocked in Google Analytics. So, if your HTTP site gets referral traffic from an HTTPS site the data gets filed under “Direct Traffic.”.
This is severely misleading and can cause you to take some very ill-advised marketing decisions. So, if you’re wondering why your Direct Traffic has gone up in Google Analytics and your Referral Traffic has gone down, this could be a significant reason.
What’s next?
As you probably found out the hard way, there’s a lot more to fixing the WordPress site not secure issue than you might think. Installing the SSL certificate the right way is a good step in the right direction in terms of site security. But that’s not enough.
We highly recommend that you sign up for MalCare. MalCare is a comprehensive WordPress security plugin that automatically scans your site for malware. If your site gets infected or hacked, MalCare will help you remove the malware with one simple click.
You also get an advanced WordPress firewall that protects your site from hackers and bad bots. Armed with a powerful learning algorithm, the firewall automatically blocks malicious IPs discovered across any of the 250,000+ sites that MalCare protects.
Câu hỏi thường gặp
Why is my WordPress site not secure?
Google says your WordPress website not secure because your site doesn’t have an SSL certificate or has an SSL certificate that is poorly configured. The simplest way to resolve this Chrome error is to install an SSL certificate. For comprehensive security, though, we recommend installing a WordPress security plugin.
How do I make my WordPress site secure?
Install an SSL certificate the right way using our guide. Then update your Google Search Console and Analytics with the HTTPS version of your site. But this is only the start for making your WordPress secure. If you’re seriously interested in making sure that your site doesn’t get hacked, install MalCare right away.
Is it safe to use a website that says not secure?
Câu trả lời ngắn gọn là không. Especially if the site in question is an eCommerce site that handles your financial information. Sites without an SSL certificate are more likely to get hacked and this has serious consequences. Simply visiting an unsecured site can automatically download malware to your PCs without you even realizing it.
Can WordPress sites be hacked?
Đúng. In fact, all sites on the internet can be hacked in some way or form. There is no such thing as airtight cybersecurity. WordPress is an incredibly popular site-building platform and loads of hackers try to hack WordPress sites every day. There are definitive ways to secure a WordPress site, though.
How safe is a website on WordPress?
The safety of your WordPress site depends on what security measures you have in place. We recommend conducting a thorough WordPress security audit and taking the necessary countermeasures suggested in our article.