เพื่อปกป้องผู้ใช้ของตน Google ได้ดำเนินมาตรการอย่างต่อเนื่องเพื่อสนับสนุนให้เจ้าของเว็บไซต์ให้ความสำคัญกับการรักษาความปลอดภัยด้วยแนวทางปฏิบัติที่ดีที่สุด ประกาศ "ไซต์ไม่ปลอดภัย" บนเว็บไซต์เป็นหนึ่งในมาตรการเหล่านั้น แสดงว่าเว็บไซต์ไม่ได้ติดตั้ง SSL
เห็นได้ชัดว่าในฐานะเจ้าของเว็บไซต์ เราต้องการทำให้ดีที่สุดสำหรับผู้เยี่ยมชมของเรา และด้วยเหตุนี้จึงต้องการมาตรการรักษาความปลอดภัย WordPress ที่ดีที่สุดสำหรับเว็บไซต์ของเรา
ดังนั้น หากคุณเห็นไซต์ WordPress ไม่ปลอดภัย ประกาศบนเว็บไซต์ของคุณ บทความนี้จะช่วยคุณแก้ไขสิ่งต่างๆ และทำให้ไซต์ของคุณปลอดภัยสำหรับผู้เยี่ยมชมและข้อมูลของพวกเขา
TL;DR: ติดตั้งใบรับรอง SSL เปลี่ยนเส้นทางเว็บไซต์ของคุณไปที่ https เปลี่ยนลิงก์ภายในทั้งหมดเป็นลิงก์ที่ปลอดภัย และอัปเดต Google Search Console เพื่อแก้ไขปัญหาเว็บไซต์ WordPress ไม่ปลอดภัย สำรองข้อมูลทั้งเว็บไซต์ของคุณ ก่อนที่คุณจะทำการเปลี่ยนแปลงใดๆ
เหตุใดคุณจึงเห็นไซต์ WordPress ไม่ปลอดภัย
คุณเห็นไซต์ WordPress ไม่ปลอดภัยเนื่องจากไซต์ของคุณไม่มีใบรับรอง SSL หรือมีใบรับรอง SSL ที่ไม่ได้รับการกำหนดค่าอย่างเหมาะสมระหว่างการติดตั้ง การติดตั้งใบรับรอง SSL ช่วยปรับปรุงประสบการณ์ผู้ใช้และระดับความปลอดภัยได้อย่างมาก ดังนั้น หากมีปัญหากับ SSL ของคุณ Google จะแจ้งเตือนคุณว่า "ไม่ปลอดภัย"
นี่คือสิ่งที่ผู้เข้าชมเว็บไซต์ของคุณจะเห็นเป็นหลัก:
ตามหลักการแล้ว นี่คือสิ่งที่คุณ (และผู้เยี่ยมชมของคุณ) ควรเห็น:
ด้วยการตั้งค่า SSL หรือ HTTPS บนเว็บไซต์ของคุณ คุณจะได้รับประโยชน์หลักสองประการ ขั้นแรก การรับส่งข้อมูลทั้งหมดไปยังเว็บไซต์ของคุณจะถูกเข้ารหัส สิ่งนี้มีข้อดีด้านความเป็นส่วนตัวและความปลอดภัยที่สำคัญ และประการที่สอง คำเตือนเว็บไซต์ WordPress ที่ไม่ปลอดภัยจะถูกแทนที่ด้วยล็อคสีเขียวที่ให้ความมั่นใจมากขึ้น
วิธีแก้ไขไซต์ WordPress ไม่ปลอดภัยจากคำเตือน
เราได้แบ่งกระบวนการออกเป็นขั้นตอนแยกกันเพื่อให้คุณปฏิบัติตาม โดยรวมแล้ว กระบวนการนี้ใช้เวลาสองสามชั่วโมงจึงจะเสร็จสมบูรณ์ ดังนั้นเราขอแนะนำให้คุณบุ๊กมาร์กหน้านี้และทำตามขั้นตอนต่างๆ
นอกจากนี้ อย่ารู้สึกตื่นตระหนกหากส่วนอื่นๆ ถัดไปดูเหมือนเป็นเทคนิคเล็กน้อย ปฏิบัติตามคำแนะนำอย่างระมัดระวัง และคุณจะประสบความสำเร็จในการแก้ไขไซต์ WordPress ไม่ปลอดภัย คำเตือน เพื่อความอุ่นใจยิ่งขึ้น สำรองข้อมูลเว็บไซต์ของคุณก่อนเริ่มต้น
- เริ่มต้นด้วยการตรวจสอบ SSL ล่วงหน้า
โฮสต์เว็บหรือผู้พัฒนาเว็บไซต์บางรายจะตั้งค่าใบรับรอง SSL เมื่อเว็บไซต์เผยแพร่ เปิดเว็บไซต์ของคุณในหน้าต่างที่ไม่ระบุตัวตนและตรวจสอบว่ามีการติดตั้งใบรับรอง SSL แล้วหรือไม่
หาก URL เว็บไซต์ของคุณคือ www.mybizsite.com ให้เพิ่ม “https://” ก่อน URL แล้วพิมพ์ลงในแถบที่อยู่ของเบราว์เซอร์เป็น https://www.bizsite.com
การเพิ่ม “https://” จะเป็นการบอกให้เบราว์เซอร์ของคุณพยายามเชื่อมต่อกับเวอร์ชันที่ปลอดภัยของไซต์ของคุณ หากคุณเห็นแม่กุญแจสีเขียวแสดงว่าคุณโชคดี คุณสามารถข้ามการติดตั้งใบรับรอง SSL ไปได้เลย และตรงไปที่การแก้ไขปัญหาเนื้อหาแบบผสมในเว็บไซต์ของคุณ
สำรองข้อมูลเว็บไซต์ของคุณ
ก่อนที่คุณจะดำเนินการใดๆ เพิ่มเติมเพื่อแก้ไขไซต์ WordPress ที่ไม่ปลอดภัย คำเตือน คุณควรสำรองข้อมูลไซต์ WordPress อย่างเต็มรูปแบบ แนวทางปฏิบัติที่ดีในการสำรองข้อมูลเว็บไซต์ของคุณก่อนทำการเปลี่ยนแปลงใดๆ ในเว็บไซต์ของคุณ โดยเฉพาะอย่างยิ่งหากเป็นเรื่องสำคัญ
เราขอแนะนำให้ใช้ BlogVault เพื่อสำรองข้อมูลไซต์ของคุณ หากคุณเลอะเทอะ คุณสามารถกู้คืนไซต์ของคุณได้ในคลิกเดียว
เมื่อไซต์ของคุณเชื่อมต่อกับ BlogVault คุณยังสามารถเปิดใช้งานการอัปเดตแบบเรียลไทม์ได้อีกด้วย การสำรองข้อมูลตามเวลาจริงจะเริ่มบันทึกการเปลี่ยนแปลงที่ทำกับเว็บไซต์ของคุณโดยอัตโนมัติ ซึ่งหมายความว่าคุณสามารถเลือกเวอร์ชันที่ใช้งานได้ล่าสุดของการสำรองข้อมูลไซต์ของคุณโดยไม่ยุ่งยาก และไม่สูญเสียงานทั้งหมดของคุณในความผิดพลาดโง่ๆ ที่เกิดขึ้น
ติดตั้งใบรับรอง SSL เพื่อรักษาความปลอดภัยในการเชื่อมต่อ
คนส่วนใหญ่ถูกข่มขู่โดยการติดตั้งใบรับรอง SSL; และเมื่อก่อนพวกเขาก็มีเหตุผลที่ดี ตอนนี้สิ่งต่าง ๆ ง่ายขึ้นมากด้วยปลั๊กอินที่ช่วยยกของหนักเป็นส่วนใหญ่
อย่างไรก็ตามมันเป็นกระบวนการที่ยาวนาน ทำตามคำแนะนำของเราเกี่ยวกับวิธีการติดตั้งใบรับรอง SSL อย่างระมัดระวัง ประกอบด้วยทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับการติดตั้งใบรับรอง SSL เช่น:
- การเลือกใบรับรอง SSL
- การติดตั้งใบรับรองที่กำหนดเอง
- กำลังตรวจสอบใบรับรอง SSL
หากคุณมีคำถามเกี่ยวกับประเภทของใบรับรองและวิธีการซื้อใบรับรอง บทความนี้ครอบคลุมทั้งหมด
หลังจากติดตั้งใบรับรองเสร็จแล้ว ให้กลับมาที่บทความนี้และทำตามขั้นตอนที่เหลือให้เสร็จสิ้น
สำคัญ:เพียงแค่ติดตั้งใบรับรองไม่เพียงพอ
เปลี่ยนเส้นทางลิงก์จาก HTTP เป็น HTTPS
ขั้นตอนต่อไปใช้ภาษาเทคโนโลยีเล็กน้อย และสิ่งสำคัญคือต้องทราบข้อกำหนดเหล่านี้ในฐานะเจ้าของเว็บไซต์ การทราบความแตกต่างระหว่าง HTTP และ HTTPS จะเป็นประโยชน์อย่างยิ่ง
ตอนนี้ คุณจะต้องตรวจสอบให้แน่ใจว่าทุกหน้าในไซต์ของคุณได้รับการบริการอย่างปลอดภัย ซึ่งหมายความว่าผู้เยี่ยมชมทั้งหมดเข้าชมเว็บไซต์ของคุณในเวอร์ชัน SSL นั่นคือที่มาของการเปลี่ยนเส้นทาง HTTP เป็น HTTPS
ไม่ต้องกังวลหากฟังดูซับซ้อนเล็กน้อย เช่นเดียวกับทุกสิ่งใน WordPress คุณสามารถเปลี่ยนเส้นทาง URL จาก HTTP เป็น HTTPS ได้สองวิธี:
- พร้อมปลั๊กอิน
- ไม่มีปลั๊กอิน
เราขอแนะนำให้คุณใช้ปลั๊กอิน เช่น Really Simple SSL เพื่อเปลี่ยนเส้นทางไซต์ของคุณจาก HTTP เป็น HTTPS การบังคับให้ไซต์เปลี่ยนเส้นทางไปยัง SSL ด้วยตนเองอาจมีผลที่ไม่คาดคิดหลายประการ เนื่องจากคุณต้องใช้ไฟล์หลักของ WordPress ที่เก็บไว้คนเดียวได้ดีที่สุด
ไม่ว่าในกรณีใด เราได้สร้างบทความแนะนำแบบเต็มเพื่อช่วยคุณบังคับเปลี่ยนเส้นทางจาก HTTP เป็น HTTPS ไปข้างหน้าและปฏิบัติตามบทความเพื่อรับคำแนะนำทีละขั้นตอน จากนั้นกลับมาติดตามส่วนที่เหลือของบทความนี้
หากการบังคับเปลี่ยนเส้นทางทำงานไม่ถูกต้อง คุณจะเห็นปัญหาเนื้อหาผสม วิธีง่ายๆ ในการพิจารณาว่าไปที่ไซต์ใดไซต์หนึ่งเหล่านี้และตรวจหาปัญหาเนื้อหาแบบผสม:
- https://www.jitbit.com/sslcheck/
- https://www.sslchecker.com/insecuresources
- https://www.ssllabs.com/ssltest
- https://www.whynopadlock.com/
ค้นหาและแทนที่ลิงก์ภายในทั้งหมดเป็นเวอร์ชัน HTTPS
เนื้อหาผสมหมายความว่าไซต์ของคุณให้บริการ URL ที่ไม่ปลอดภัยพร้อมกับ URL ที่ปลอดภัย ซึ่งหมายความว่าในขณะที่ไซต์ของคุณมีใบรับรอง SSL ติดตั้งอยู่ หน้าเก่าบางหน้ายังคงแสดงผลด้วย HTTP URL
นี่เป็นปัญหาทั่วไปของธีมและรูปภาพของ WordPress
อีกครั้ง คุณสามารถทำได้สองวิธี:
- พร้อมปลั๊กอิน
- ไม่มีปลั๊กอิน
การลบปัญหาเนื้อหาแบบผสมด้วยตนเองเป็นสิ่งที่อันตรายที่ต้องทำ เนื่องจากเกี่ยวข้องกับการเปลี่ยนรายการฐานข้อมูล หากคุณทำผิดอย่างใด คุณก็จะทำลายไซต์ทั้งหมดของคุณ ดังนั้น สำรองข้อมูลเว็บไซต์ของคุณทั้งหมดด้วย BlogVault
เราจะพยายามลดความเสี่ยงให้มากที่สุด แต่การใช้ปลั๊กอินเพื่อแก้ไขปัญหาเนื้อหาแบบผสมนั้นเป็นตัวเลือกที่ปลอดภัยกว่าเสมอ บทความนี้โดย WPBeginner จะแสดงวิธีใช้ปลั๊กอิน SSL Insecure Content Fixer
แต่ถ้าคุณยังต้องการดำเนินการด้วยตนเอง เราขอแนะนำขั้นตอนต่อไปนี้:
- สำรองข้อมูลอื่น: หากเคยมีเวลาสำรองเว็บไซต์แบบเต็ม ก็ถึงเวลาแล้ว
- สร้างรายการ HTTP URL: ใช้ WhyNoPadlock เพื่อค้นหา HTTP URL และสร้างรายการ
- ติดตั้งการค้นหาที่ดีกว่าแทนที่: ใช้ปลั๊กอินเพื่อค้นหาและแทนที่ลิงก์ HTTP เหล่านั้นด้วย HTTPS
“ค้นหา” HTTP URL วาง URL เดียวกันใน “แทนที่ด้วย” และเปลี่ยนลิงก์จาก HTTP เป็น HTTPS
ข้อเสียที่ใหญ่ที่สุดของวิธีนี้คือแม้ว่าจะใช้ปลั๊กอิน แต่ก็ยังต้องการให้คุณดำเนินการด้วยตนเองทีละรายการสำหรับแต่ละ URL
อัปเดต Google Search Console และ Analytics
เมื่อคุณติดตั้งใบรับรอง SSL เสร็จแล้ว และตรวจดูให้แน่ใจว่าคุณให้บริการไซต์ WordPress เวอร์ชัน HTTPS ของคุณแล้ว ก็ถึงเวลาแจ้งให้ Google ทราบเกี่ยวกับเรื่องนี้ หากคุณไม่ทำการเปลี่ยนแปลงนี้ Google Search Console จะเก็บรวบรวมข้อมูลจากเวอร์ชัน HTTP ต่อไป ซึ่งจะได้รับปริมาณการใช้งานน้อยลงเรื่อยๆ นับจากนี้เป็นต้นไป
ดังนั้น ตรงไปที่ Google Search Console และเพิ่มคุณสมบัติใหม่สำหรับเวอร์ชัน HTTPS
Then re-submit your sitemap files, with the updated HTTPS versions.
If your site has any link disavow files on Search Console, head over to the Google Disavow Tool and click on your HTTP version. Download the file and upload it to the new profile.
Then delete the old profile permanently.
Once this is done, head over to Google Analytics and update your Google Analytics property and view. If your Analytics is connected to your Search Console, then all you’ll have to do is click on Property Settings>> Default URL>> click on the dropdown and select “https://”.
Do the same thing for the view. Click on View Settings>> Website’s URL >> click on the dropdown and select “https://”.
That’s the only thing you need to do to fix the WordPress site not secure warning.
Why you should implement SSL on your website?
The important thing to remember is that the advantages of this process will outweigh the minor discomfort you may experience by stepping into this new territory.
You will have:
- Added site security: Serving a site on HTTPS means that you encrypt your site information over an SSL/TLS connection and make WordPress site secure. In simple terms, this means that even if a hacker intercepts your website’s information, they’ll never be able to decrypt the sensitive information and understand what it actually says.
This is absolutely vital for eCommerce sites where financial transactions occur on your site. If that transaction isn’t encrypted, a hacker could steal financial information directly from your site.
- No more Chrome warnings: Chrome holds over 73% of the browser market share. So, a Chrome warning will impact a major share of your web traffic. Resolving a few small technical issues will remove the WordPress site not secure issue permanently.
However, this issue extends to all major browsers including Firefox and Mozilla. You may also start receiving warnings from Google Search Console as well. We recommend that you follow along with the exact steps outlined in this article for a permanent fix.
- Site loading speed: The new HTTP/2 protocol for connecting to a site is way faster than HTTP connections. Now, HTTP/2 actually requires SSL connections. So, installing an SSL certificate may just improve your site loading speed by a lot.
We say “may” because not all web hosts will automatically provide you with HTTP/2 protocols. Before you jump into GTMetrix to check your performance, you should talk to your web host and check if HTTP/2 is enabled on your accounts.
- SEO traffic: According to a Google Search Central article, HTTPS is a ranking factor on Google SERPs. When Google tells you how to get better rankings and traffic from SEO, you listen. Period. It’s not just Google Search Central, though. Independent SEO blogs conducted a bunch of analysis reports who all came to the same conclusion.
- Brand credibility: According to reputed SSL certificate vendor GlobalSign, 77% of online users are scared of their personal information being hacked or misused online. Having the green padlock on your site simply improves your brand’s credibility.
For eCommerce sites, it’s practically a mandate now as no one trusts an online store with a site not secure warning. Financial institutions and major marketplaces even use an Extended Validation SSL certificate. But simple portfolio sites should also install SSL for the sake of brand credibility.
- Referral Traffic: Like SEO, this is more of a marketing reason than an actual security reason. But HTTPS can give you a clearer picture of referral traffic. What most marketers don’t realize is that HTTPS to HTTP referral data is blocked in Google Analytics. So, if your HTTP site gets referral traffic from an HTTPS site the data gets filed under “Direct Traffic.”.
This is severely misleading and can cause you to take some very ill-advised marketing decisions. So, if you’re wondering why your Direct Traffic has gone up in Google Analytics and your Referral Traffic has gone down, this could be a significant reason.
What’s next?
As you probably found out the hard way, there’s a lot more to fixing the WordPress site not secure issue than you might think. Installing the SSL certificate the right way is a good step in the right direction in terms of site security. But that’s not enough.
We highly recommend that you sign up for MalCare. MalCare is a comprehensive WordPress security plugin that automatically scans your site for malware. If your site gets infected or hacked, MalCare will help you remove the malware with one simple click.
You also get an advanced WordPress firewall that protects your site from hackers and bad bots. Armed with a powerful learning algorithm, the firewall automatically blocks malicious IPs discovered across any of the 250,000+ sites that MalCare protects.
คำถามที่พบบ่อย
Why is my WordPress site not secure?
Google says your WordPress website not secure because your site doesn’t have an SSL certificate or has an SSL certificate that is poorly configured. The simplest way to resolve this Chrome error is to install an SSL certificate. For comprehensive security, though, we recommend installing a WordPress security plugin.
How do I make my WordPress site secure?
Install an SSL certificate the right way using our guide. Then update your Google Search Console and Analytics with the HTTPS version of your site. But this is only the start for making your WordPress secure. If you’re seriously interested in making sure that your site doesn’t get hacked, install MalCare right away.
Is it safe to use a website that says not secure?
The short answer is no. Especially if the site in question is an eCommerce site that handles your financial information. Sites without an SSL certificate are more likely to get hacked and this has serious consequences. Simply visiting an unsecured site can automatically download malware to your PCs without you even realizing it.
Can WordPress sites be hacked?
ใช่. In fact, all sites on the internet can be hacked in some way or form. There is no such thing as airtight cybersecurity. WordPress is an incredibly popular site-building platform and loads of hackers try to hack WordPress sites every day. There are definitive ways to secure a WordPress site, though.
How safe is a website on WordPress?
The safety of your WordPress site depends on what security measures you have in place. We recommend conducting a thorough WordPress security audit and taking the necessary countermeasures suggested in our article.