WordPress 免费 SSL 怎么装:证书、跳转与排错(2026)
WordPress 装免费 SSL,关键不只是申请证书,还包括 HTTPS 切换、301 跳转、混合内容清理和续期检查。本文讲清免费 SSL 的安装路径与常见报错。
// 相关文章
WordPress 装免费 SSL,关键不只是申请证书,还包括 HTTPS 切换、301 跳转、混合内容清理和续期检查。本文讲清免费 SSL 的安装路径与常见报错。
WordPress 装 SSL,不难。真正容易出问题的,不是“证书有没有申请下来”,而是申请完之后,站点有没有全站切到 HTTPS,浏览器有没有混合内容警告,续期有没有失效,反代或 CDN 有没有把证书链路搞乱。
所以这篇不再做杂乱的平台堆砌,只讲更实用的事:免费 SSL 到底是什么,WordPress 常见的免费证书从哪里来,安装后为什么还会报不安全,以及上线前后该怎么检查。涉及的证书和文档,尽量以 Let’s Encrypt、ZeroSSL、阿里云免费证书文档 和 腾讯云 SSL 证书服务 这类可查的公开资料为准。
如果你后面还要继续做 WordPress 运维和 SEO,可以配合我们的 技术 SEO 指南、页面速度优化指南、SEO 审计清单 和 服务器日志分析指南 一起看。因为 HTTPS 问题,经常不只是安全问题,也会影响抓取、跳转和页面信任感。
对大多数企业站、博客站、独立站来说,免费的 DV 证书已经够用。它能完成最核心的事:让浏览器和服务器之间的连接加密,让地址栏切到 HTTPS,避免表单、登录、支付前的基础数据在传输过程里裸奔。
它解决不了的,是更高等级的企业身份展示需求。比如 OV、EV 这类证书,会有更多主体校验和更偏合规的应用场景。但如果你现在只是要让 WordPress 正常、安全地跑起来,免费 SSL 通常已经足够。
| 证书类型 | 更适合谁 | 特点 |
|---|---|---|
| DV | 大多数 WordPress 站点 | 验证域名控制权,申请快,常见免费证书都属于这一类 |
| OV | 更强调主体校验的企业站 | 除域名外,还会校验组织信息 |
| EV | 合规要求更高的场景 | 审核更严格,成本和申请复杂度也更高 |
很多人把 SSL 和 HTTPS 当成一个词用,交流时问题不大,技术上还是可以分一下。SSL 或更准确地说 TLS,解决的是加密传输;HTTPS 是把 HTTP 跑在安全传输层上之后的访问方式。你给站点装了证书,浏览器和服务器握完手,用户看到的才是 HTTPS。
也就是说,证书只是第一步。后面还要把 WordPress 地址改成 HTTPS,把旧 HTTP 301 到新地址,把图片、脚本、样式里的旧链接处理干净。不然证书装好了,站也不一定完全安全。
最常见的免费 SSL 来源,通常是 Let’s Encrypt、ZeroSSL,以及部分主机商、面板和云服务商集成的免费证书入口。表面上看是不同平台,底层逻辑还是验证域名控制权,然后签发可用的 DV 证书。
如果你是自己管理服务器,常见路线是 Let’s Encrypt。若你用的是面板、托管主机、云控制台,可能直接在后台就能点开免费 SSL 申请。ZeroSSL 也常见,尤其是在一些控制台和工具链里。官方入口可以分别看 Let’s Encrypt getting started、ZeroSSL ACME 和 cPanel 关于 Let’s Encrypt 的说明。
| 来源 | 适合场景 | 注意点 |
|---|---|---|
| Let’s Encrypt | 自管服务器、常见 Linux 面板、部分主机商 | 重点是自动续期,别只看第一次签发 |
| ZeroSSL | 需要图形化入口或 ACME 方案的站点 | 同样要确认续期和域名验证方式 |
| 云厂商免费证书 | 证书统一在云控制台管理的站点 | 看清证书是绑源站、CDN 还是负载均衡 |
别急着点申请。先确认下面 4 件事,能少走很多弯路:
很多证书申请失败,不是证书服务本身有问题,而是域名还没指过来,或者站点实际入口根本不在你以为的那层。尤其是用了 CDN、WAF、反向代理之后,更要先分清链路。
如果你用的是常见主机商、托管面板、宝塔、cPanel 或云控制台,最省事的方式通常就是在后台一键申请。很多平台已经把证书申请、域名验证和安装串起来了。
这种路线的优点是快。缺点也很明显:你要搞清楚它装在哪一层。如果控制台里装的是 CDN 证书,源站可能仍然没开 HTTPS;如果装的是源站证书,而你前面还有代理层,浏览器看到的也未必是完整配置。官方帮助文档可以对照 阿里云 SSL 文档、腾讯云 SSL 文档中心。
如果你的重点不是自己维护整套服务器,而是尽快把 WordPress 站跑稳,那托管型路线通常更省事。像 Cloudways 这种托管平台,往往已经把证书申请、站点部署、备份和基础运维放在同一套后台里,做 SSL 的门槛会低很多。
这也是为什么我们在实际建站里,经常会把 Cloudways 作为更省心的 WordPress 托管方案来推荐。不是因为它能替代你理解 HTTPS,而是因为它能把“申请证书、绑定域名、启用 HTTPS、后续续期”这些动作收进一个更容易维护的流程里。对于不想自己长期盯服务器环境的企业站,这条路通常更稳。
如果你是自己管源站,Let’s Encrypt 仍然是最常见的路线。很多环境会通过 Certbot 或面板插件完成自动化签发。核心不是命令本身,而是两件事:验证通过,续期稳定。
Let’s Encrypt 官方在 文档中心 里把验证、续期、链路都讲得很清楚。对 WordPress 站来说,你至少要确认:证书能自动续,Web 服务器配置已经吃到新证书,续期后会自动 reload 服务。第一次装好不算完,能稳定续下去才算完。
很多人装完证书就以为结束了。其实 WordPress 这边至少还要做 3 个动作:
你可以先在后台设置里改 WordPress Address 和 Site Address,也可以在更复杂的环境里通过配置文件或数据库统一处理。后面要是还有缓存、CDN、Nginx 反代,就继续逐层检查。这里最怕的,不是没装证书,而是半切换状态。
最常见的报错之一,就是证书已经装了,页面还是不显示小锁。原因往往不是证书本身,而是页面里还有 HTTP 资源。比如图片、JS、CSS、字体、iframe 仍然走旧地址,浏览器就会报 mixed content。
这时别急着重装证书。先开浏览器控制台,看是哪个资源还在走 HTTP。再回头查 WordPress 内容、主题设置、硬编码资源、旧媒体链接和第三方脚本。混合内容问题,本质上是页面资源没切干净,不是签发问题。
| 现象 | 更可能原因 | 先查什么 |
|---|---|---|
| 证书已装,但浏览器没锁标 | 混合内容 | 控制台里是哪条资源还在走 HTTP |
| HTTPS 能开,HTTP 也能开 | 没做强制跳转 | 301 规则和反代配置 |
| 部分地区访问证书异常 | CDN 或边缘节点证书配置不一致 | CDN 层证书与源站链路 |
把 HTTP 统一跳到 HTTPS,这一步很重要。否则用户、搜索引擎和外部链接仍然可能访问旧地址。对 SEO 来说,这也会影响规范化和抓取路径的一致性。
但跳转不等于乱跳。最稳的方式,是从 `http://` 直接 301 到最终的 `https://` 版本,而不是先跳一次裸域,再跳一次 www,再跳一次斜杠。跳得太多,会把站点搞成链式跳转。你可以配合我们的 网站迁移 SEO 指南 和 SEO 审计清单 一起排查。
如果你的 WordPress 前面还有 CDN、WAF、负载均衡或 Nginx 反代,HTTPS 不是单机问题,而是链路问题。浏览器到 CDN 一层,CDN 到源站又是一层。前面一层有证书,不代表后面一层也对。
这里最常见的几种情况是:浏览器到 CDN 是 HTTPS,但 CDN 回源走 HTTP;或者 CDN 上已经切证书,源站仍然保留旧证书;又或者源站识别不到代理头,导致 WordPress 判断自己还是 HTTP。排查时要把“浏览器看到什么”和“源站收到什么”分开看。
装完别急着关页面。至少做下面 5 个检查:
SSL Labs 不是万能,但它对证书链、协议和已知配置问题的提示很直观。至于搜索侧的检查,你也可以配合我们的 技术 SEO 指南 和 服务器日志分析指南 继续看。
很多免费证书有效期不长。第一次安装成功,不代表以后一直没事。真正最该盯的是自动续期有没有跑起来,续期失败后有没有告警,续期完 Web 服务有没有正确加载新证书。
对运维来说,SSL 过期通常不是技术难题,而是流程问题。没人看,没人测,没人提醒,最后就到期。尤其是多站点、多域名、多层代理的环境,续期监控比第一次申请更重要。
通常没有你想的那么大。对大多数网站,先把 HTTPS 跑通、跳转和混合内容处理干净,比纠结免费还是付费更重要。
常见原因是站点地址没切到 HTTPS,或者后台页还加载了 HTTP 资源。先查设置,再查控制台报错。
多数情况下建议装。尤其是 CDN 回源也走 HTTPS 时,源站仍然需要可用证书。否则整条链路并不完整。
掉不掉,更多取决于你的续期流程和配置,而不是“免费”两个字本身。自动续期稳定,免费证书也可以长期正常使用。
WordPress 装免费 SSL,真正的重点不是“哪里能申请到证书”,而是证书、跳转、资源链接和续期这四件事有没有一起跑通。前面做得再快,后面没切干净,网站照样会出问题。
