不會。Google 搜尋聯絡人 John Mueller 在 2020 年 2 月 24 日的公開回覆中明確表示,從 SEO 角度看,HTTPS 網站用普通文字超連結指向一個 HTTP 頁面沒有問題,Google 不會因為你連到一個不安全的頁面就懲罰你的網站。這條規則在 2026 年仍然有效,前提是那是一般 a href 外連,而不是 img、iframe、script 這種你主動載入的嵌入資源。兩者差一個動作,卻是天差地別的結果。
> TL;DR:HTTPS 外連到 HTTP 不會被扣分(John Mueller 2020/2/24 公開證實),真正會傷你的是你自己頁面裡嵌入的 HTTP 資源,也就是混合內容,它走的是跳出率與停留時間這條間接路徑。
文章目錄
先把結論講清楚:HTTPS 外連到 HTTP,Google 不會因此扣你分
我的 HTTPS 頁面用一般 a href 連到別人的 HTTP 網址,Google 會不會懲罰我?答案是不會。這不是含糊的安慰,是 John Mueller 在那串被台灣 SEO 圈反覆引用的推文裡白紙黑字講的(John Mueller 2020/2/24 推文,事件來源為 X 上的公開問答)。他回應的是 SEO 顧問 Vlad Rappoport 的提問(Vlad Rappoport 2020/2/24 推文),問題正是「HTTPS 站外連到 HTTP 會不會有問題」,Mueller 的回答很直白:沒有問題。
但請把這個結論的範圍畫清楚。它只適用 a href 這種「讀者自己決定要不要點」的外連,不適用 img、iframe、script、link(CSS)這些「你主動載入到頁面裡」的資源。後者是另一回事,下面會專門講。我接過的客戶裡,不少人一聽到「不安全」三個字就想把過去幾年文章裡所有 HTTP 外連全部刪光,這其實是白忙一場,真正該動手的地方在後面章節。
Google 的邏輯也不難理解。網路上有大量有價值的舊資源還沒搬到 HTTPS(許多學術單位、政府公開資料、早期的工具文件都還是 HTTP),如果連到這類頁面就扣分,等於懲罰合理的引用行為,這跟 Google 鼓勵網站引用權威來源的立場直接衝突。想更深入了解引用對 SEO 的價值,可以看我們整理的 外部連結策略為何連出去反而贏得更多,以及 外部連結建立的高品質獲取術。
不要把這個結論過度延伸。「不扣分」不代表「對方網站跟你一樣好」,對方少了 HTTPS 這條輕量排名訊號,那是對方自己的事,跟你無關。如果你想系統性了解排名訊號到底有哪些,Google 公開最重要的前 3 個 SEO 排名因素和 SEO 搜尋引擎最佳化的完整指南有更全面的整理。講白了,這個問題的答案只有一個動作的差別:給地址跟請進門。
為什麼 Google 容忍你連到 HTTP?背後的排名訊號邏輯
既然 HTTPS 是排名訊號,為什麼連到 HTTP 不會連累我?因為排名訊號評估的是「你自己網站與使用者之間的連線是否加密」,而不是「你引用的目標是否加密」。Google 把 HTTPS 當成你站點的安全與信任訊號,外連目標的協定屬於第三方,不在你可控、可負責的範圍內,所以不會回頭扣你分。混合內容與外連是兩套完全不同的機制,把它們混在一起談,就是焦慮的來源。
訊號歸屬:評的是你的連線,不是別人的
排名訊號的歸屬要分清楚。HTTPS 訊號評估的是來源頁(你的頁面)與瀏覽器之間的 TLS 連線是否成立,目標頁是否加密不影響這個判斷。換句話說,Google 看的是「你這條門到使用者的路有沒有鎖好」,而不是「你介紹客人去的那間店有沒有鎖」。想知道 HTTPS 從加分項變成基本標準的來龍去脈,可以看 Chrome 69 移除安全標籤的完整脈絡和 HTTPS 對 SEO 的影響與重要性。
可控性原則:你無法為別人的網站背書
Google 不會要求你為你無法控制的外部網站背書。否則等於鼓勵大家把所有舊的權威來源刪掉,反而傷害內容品質。這也是為什麼 高品質反向連結的辨別原則強調的是「自然」與「相關」,而不是「對方是不是 HTTPS」。實務上,你引用一篇 2010 年的學術論文,它就是 HTTP 的,你硬要改掉或刪掉,只是讓自己的內容少了一個有份量的出處。
與連結價值傳遞的差別
一般 dofollow 外連會傳遞連結價值,但傳的是「相關性與權威」訊號,跟目標是 HTTP 或 HTTPS 無關。要不要加 rel sponsored 或 nofollow 是另一個獨立決策,取決於你跟目標頁的關係,不是取決於協定。這部分可以參考 nofollow、sponsored、ugc 三大連結屬性一次搞懂。
這裡要誠實承認一個限制。這套邏輯是基於 Google 多年來公開聲明的整理,Google 沒有公布完整演算法,所以我用「官方立場」而不是「絕對保證」來描述。如果你正在做 技術 SEO 的全面體檢,把這個區別放在心裡,會讓你不會在這個問題上鑽牛角尖。
安全紅線在這裡:給地址可以,把 HTTP 的東西嵌進你家不行
什麼時候連到 HTTP 才會真的出事?答案是當你把 HTTP 的資源「嵌入」到你自己的 HTTPS 頁面裡,而不是只放一條給讀者點的外連。John Mueller 在同一串回覆裡的提醒是:圖片、iframe 這類嵌入資源必須使用 HTTPS。原因不是 Google 直接扣分,而是瀏覽器會把這種情形判定為混合內容(mixed content),輕則跳出「不安全」警告,重則直接封鎖資源不載入。
給地址 vs. 請進門:八個字記住紅線
核心比喻其實很簡單。給地址(a href)等於你給讀者一張名片,讀者自己去不去、安不安全是他自己的事;請進門(img、iframe、script)等於你直接把別人家的家具搬進你家客廳展示,出了事算你的。前者讀者自負風險,後者出事算你的。如果你只能記一句話,就記這八個字:給地址可以,請進門不行。這八個字記住,就能應付九成情境,剩下的只是細節。
哪些資源屬於「請進門」等級
要嵌入的資源類型清單要記清楚:img、iframe、script、link(CSS)、video、audio、fetch 與 XHR、字型檔,這些都屬於「請進門」等級。它們的共通點是,頁面一打開你就主動把它們拉進來,使用者根本沒有選擇要不要載入。這也是為什麼 網站程式碼最佳化 和 網站速度 的討論裡,這些資源一直被當成重點。
為什麼瀏覽器這麼兇
一個加密頁面裡混入未加密資源,等於在加密通道旁開了一扇沒鎖的門。中間人攻擊可以透過這個未加密資源竄改頁面內容,例如把你的圖換成釣魚訊息,或把你的腳本換成挖礦程式。所以現代瀏覽器預設封鎖或降級這類資源,這是安全考量,不是 SEO 懲罰。這條線才是真的會傷 SEO 的地方,但它走的是「使用者體驗與信任」這條間接路徑,不是直接排名懲罰,下面會展開。
混合內容警告長怎樣?為什麼它才是真正會傷你的兇手
混合內容指的是你的 HTTPS 頁面載入了 HTTP 協定的子資源,包括圖片、CSS、JS、iframe 等。現代瀏覽器(Chrome、Edge、Firefox、Safari)會對這類資源做自動升級或直接封鎖,結果就是瀏覽器網址列的安全鎖頭消失或顯示「不安全」,圖片破圖、功能失效,使用者跳出。這才是真正會拖累 SEO 的元兇,但它走的是跳出率、停留時間、轉換率這條使用者行為訊號,而不是 Google 直接扣分。
主動混合內容與被動混合內容的差別
混合內容分兩種,處理方式不同。
| 類型 | 涵蓋資源 | 瀏覽器處理方式 | 對使用者的影響 |
|---|---|---|---|
| 主動混合內容(active) | script、iframe、link CSS、fetch、XHR | 直接封鎖,完全不載入 | 功能會壞(表單送不出、按鈕沒反應) |
| 被動混合內容(passive) | img、video、audio | 自動嘗試升級成 HTTPS,升級失敗才封鎖 | 破圖、影片放不出來 |
Chrome 自 81 版起對被動混合內容採取自動升級政策(Chromium 官方部落格有完整說明),這就是為什麼你有時候改完 HTTPS 卻還是看到破圖:因為對方根本沒有 HTTPS 版本,升級失敗,於是封鎖。想知道 HTTPS 遷移的全貌,Chrome 把 HTTP 標成不安全的遷移指南是很完整的參考。
使用者感知與間接 SEO 路徑
使用者看到什麼?網址列的鎖頭變成三角驚嘆號,或直接顯示「不安全」三個字。如果是電商、需要填表單、需要登入的頁面,這等於直接勸退訪客。破圖與功能壞掉會導致停留時間下降、跳出率上升,這些使用者行為訊號長期累積才會反映在排名,所以是「慢性傷害」而非立即懲罰。想了解這些訊號怎麼影響排名,可以看 如何提升網站停留時間、跳出率與離開率的正確解讀,以及 轉換率怎麼把點擊變現金。
講一個我自己碰過的案例。客戶花了快半年找排名下降的原因,GA、Search Console、外連全部檢查過都正常,到頭來發現是改版時一支第三方追蹤 script 還挂在 HTTP,被瀏覽器封鎖後連帶把頁面的某些互動功能弄壞,使用者在頁面上的停留時間掉了三成以上。修掉之後兩個禮拜排名就回來了。這種慢性傷害最麻煩的地方在於,你不會立刻察覺。
實戰檢查:用 Screaming Frog 與瀏覽器 DevTools 找出所有 HTTP 資源
我要怎麼系統性找出網站裡所有會觸發混合內容的 HTTP 資源?分兩層檢查才算完整。第一層用爬蟲工具批次掃全站,過濾出含有 http:// 開頭的 img、script、link、iframe 的頁面,匯出清單。第二層對重點頁面開瀏覽器 DevTools 的 Console 與 Security 面板,看實際被封鎖或被升級的資源,因為有些動態載入的資源爬蟲抓不到。兩層都做,才不會漏。
第一層:爬蟲工具批次掃描
Screaming Frog SEO Spider 是業界最常用的選擇。設定路徑是 Configuration > Custom > Search,搜尋 http:// 並限定在 src、href 屬性裡;或直接走 Bulk Export > Insecure Links 匯出整份清單。Sitebulb 試用版或免費的 SEO Crawler 也能做類似的事。爬蟲的好處是一次看完幾百幾千個頁面,缺點是不執行 JavaScript,所以動態插入的資源會漏掉。對爬蟲的基本認識可以參考 Google 官方 SEO 工具與 WEB.DEV 網站分析工具。
第二層:瀏覽器 DevTools 手動驗證
F12 開 Console,會看到「Mixed Content」紅字警告,明確告訴你哪個資源被封鎖或被降級。Chrome 的 Security 面板會標出哪些資源有效、哪些被擋。動態資源陷阱在這裡最關鍵:用 JavaScript 動態插入的圖或 iframe,爬蟲可能不執行 JS 所以抓不到,但使用者瀏覽器一定會載入。所以對轉換關鍵頁(結帳、表單、首頁)務必手動開 DevTools 跑一遍。Search Console 的 Coverage 報表與 HTTPS 相關訊息也會提示部分問題,Search Console 警告的處理方式可以搭配看,但不能取代主動爬蟲。
別只信單一工具。我碰過 Screaming Frog 全綠、但 DevTools 一開就三條紅色的情況,因為是第三方外掛延遲載入。這也是為什麼 最常被忽略的技術 SEO 盲點常常不是大問題,而是這種延遲載入的小東西。
修復四步驟:從改網址到設 upgrade-insecure-requests 標頭
找到 HTTP 資源後,我該按什麼順序修?按「改源頭、設保險、設強制、驗收」四步做。第一步直接把所有內部資源的 URL 改成 https://(自己站內的圖、CSS、JS)。第二步加上 Content-Security-Policy: upgrade-insecure-requests 回應標頭,讓瀏覽器自動把殘留的 HTTP 子資源請求升級成 HTTPS,當保險用。第三步對自己的網域啟用 HSTS(Strict-Transport-Security),強制瀏覽器未來一律走 HTTPS。第四步重新跑 DevTools 與爬蟲驗收,確認鎖頭常綠。外部第三方資源若對方沒有 HTTPS 版本,就改鑲嵌為外連或換掉。
步驟一:改源頭 URL(根治)
順序不能顛倒。先改源頭 URL 是根治,標頭只是保險。只靠標頭不改 URL,等於永遠靠瀏覽器幫你善後,而且對方沒 HTTPS 時仍會破圖。自己站的 HTTP 網址要 301 到 HTTPS,這是搬家的基本功,跟混合內容修復是配套的。想搞懂 301 與 302 的差別,301 與 302 重定向的差異跟 哪一個對 SEO 更友善是必讀。
步驟二:upgrade-insecure-requests(保險)
在伺服器回應標頭加上 Content-Security-Policy: upgrade-insecure-requests,瀏覽器會在發出請求前把 http:// 改寫成 https://。這對被動資源特別有效,也等於在你來不及改完所有 URL 時當一層保險。但這不是萬能:對方沒有 HTTPS 版本時,升級會失敗,資源還是會被封鎖。這也是為什麼 執行 SEO 最佳化的策略強調根治大於權宜。
步驟三:HSTS(強制)
Strict-Transport-Security: max-age=31536000; includeSubDomains 是標準寫法,但務必先確認整站資源都 HTTPS 再開,否則會把暫時問題變成暫時無法開啟。一個常見誤區是把 HSTS 當成混合內容的解藥。真相是 HSTS 只管頂層導航的內部 307 重定向,頁面內子資源的混合內容要靠 CSP upgrade-insecure-requests,兩者不要搞混。
步驟四:驗收與限制承認
重新跑 DevTools 與爬蟲,確認鎖頭常綠、Console 沒有 Mixed Content 警告。要誠實承認一個限制:設標頭需要有伺服器或主機後台權限,部分共享主機與架站平台(例如某些一頁式商店、部分免費部落格平台)可能無法自訂回應標頭,這時只能靠改 URL。如果你正在評估主機,主機對 HTTP/2 與 HTTPS 設定的支援度是個可以一起考慮的點。
WordPress 特定錯誤:改 HTTPS 之後圖片整片破掉怎麼辦
我是 WordPress 站長,搬到 HTTPS 後圖片與內文連結還是指向 HTTP,怎麼修才不會炸資料庫?這是 WordPress 最常見的混合內容來源:資料庫裡的舊文章內文與媒體網址還是 http:// 開頭。正確做法分兩階段。第一階段在「設定 > 一般」把 WordPress 位址與網站位址都改成 https://。第二階段用序列化安全的搜尋取代工具批次把資料庫裡的 http://你的網域 改成 https://你的網域,務必勾選「序列化資料」選項,否則 widget 與選單設定會壞。不要手動 phpMyAdmin 全文取代,會破壞序列化字串長度。
為什麼不能純文字取代
WordPress 把 widget、選單、部分外掛設定存成 PHP 序列化字串,這些字串裡每一段內容前面都帶著長度數字。純取代會讓長度跟著內容變,但序列化字串的長度欄位沒跟著改,於是解析失敗,整個 widget 或選單就消失了。所以一定要用懂得處理序列化的工具。WordPress SEO 的整體流程,WordPress SEO 最佳化的 10 個步驟有完整整理。
Really Simple SSL 之類外掛的定位
Really Simple SSL 能在不動資料庫的前提下靠輸出層改寫,適合不想碰資料庫的人。但它會增加每頁的 PHP 處理負擔,長期來看我會建議還是做資料庫層的根治,然後把外掛關掉。這也是為什麼 Site Kit by Google 這類工具的重點在整合資料,而不是解決 HTTPS 問題,兩者不要混淆。
媒體庫與主題路徑陷阱
舊媒體檔的 URL 也藏在 wp_posts 的 guid 與 post_content 裡,搜尋取代時要涵蓋這些欄位。有些主題把圖片路徑寫死在外觀 > 自訂的主題選項裡,資料庫取代抓不到,要手動進去檢查。圖片替代文字(Alt)跟圖片 SEO 的關係,也值得在這個階段一起處理。
我會建議改之前先備份資料庫,這不是客套話。我真的遇過取代條件寫錯,把全站首頁網址改壞的案例,整站直接導向一個不存在的網址,花了一整個晚上從備份還原。備份不用花十分鐘,還原可能花一整晚,這筆帳很划得來。
外連到 HTTP 網站會不會傳遞信任給對方?要不要加 rel nofollow
如果我外連的 HTTP 網站看起來不太可靠,我該不該用 rel nofollow 或 rel sponsored 標記?這其實是兩個獨立的問題。第一,外連到 HTTP 或看起來舊的網站,本身不會把「不安全」傳染給你,所以協定本身不是加 nofollow 的理由。第二,要不要加 rel 屬性取決於連結性質:付費或聯盟連結必須加 rel sponsored(或 nofollow),使用者生成的內容加 rel ugc,只有當你不想為目標站背書、或目標站品質低落時才加 rel nofollow。判斷依據是關係,不是協定。
Google 官方立場:rel 說明的是關係
Google 官方立場很清楚:rel 屬性的用途是向 Google 說明你與目標頁的關係,與目標頁是 HTTP 或 HTTPS 無關。如何建立外部連結(反向連結)與 反向連結的正確建立方式裡有更多細節。
付費與聯盟連結的硬規定
任何收錢、分潤、會員碼的連結都必須標 rel sponsored 或 nofollow,否則視為操縱排名,這比協定問題嚴重得多。這是 Google 反覆強調的紅線,跟你 客座文章的生存法則是同一條線。誤踩的後果是整站被降權,不是某一條外連的問題。
信任訊號與安全性屬性
外連到高品質權威來源(無論 HTTP 或 HTTPS)通常被認為有助於展現內容深度,但這是經驗法則而非 Google 公開的直接排名訊號。至於 noopener 與 noreferrer,那是安全性與隱私屬性,防止目標頁透過 window.opener 反向操作你的頁面,與 SEO 無關但建議對外部連結都加上。rel 訊號的實際權重 Google 並未公開數值,這裡的建議基於 Search Central 文件與業界共識。
2026 年的調整:AI 搜尋時代,HTTPS 與信任訊號的權重只會更高
在 AI Overviews、ChatGPT Search、Perplexity 這類生成式搜尋當道的 2026 年,HTTPS 與混合內容這件事的角色有沒有變?有變,而且只會更重要。2026 年生成式搜尋(Google AI Overviews、ChatGPT Search、Perplexity 等)在挑選引用來源時,會把網站安全當成基礎信任門檻。你的頁面若還有混合內容、鎖頭不穩,等於連引用的最低門檻都過不了,就算內容再好也難被 AI 摘要引用。所以 HTTPS 與混合內容修復,在 2026 年同時是「傳統排名訊號」與「AI 引用門檻」雙重身分,不能再當成可有可無的技術債。
AI 引用門檻:HTTPS 是入場券
多家 2026 年的研究與工具報告(Semrush、Digital Applied 等)都把 HTTPS 列為生成式搜尋的基礎信任訊號,不安全的站難進入引用池。這跟 AI 搜尋整體的演進有關,Google 搜尋遊戲規則全改的 AI SEO 前哨戰、AI Overviews 會不會吃掉你的流量、AI SEO 與 Google AI Overview 完整指南有更全面的脈絡。說白了,以前 HTTPS 是「加分項」,2026 變成「入場券」,門檻性質變了,投資報酬率跟著變。
Google 官方配套:Generative AI Performance 報表
2026 年 6 月 Google 在 Search Console 推出 Generative AI Performance 報表,能直接看到內容出現在 AI Overviews 的曝光(Google 官方部落格公告)。這讓「能不能被 AI 引用」變成可量化的目標,而不是模糊的期望。對本主題的具體影響是:外連到 HTTP 本身仍不扣分,但你自己的頁面若混合內容沒清乾淨,會連帶降低被 AI 引用的機會,因為模型偏好穩定可載入的來源。
AI 代理與新行為
還有一個 2026 年才明顯的新行為:AI 代理(agent)開始代使用者瀏覽與擷取,遇到被封鎖的混合內容會直接放棄抓取。這不是猜測,是實際觀察到的趨勢。Google I/O 2026 搜尋改為 AI Agent 後的 SEO 佈局跟 AEO 答案引擎最佳化實戰指南對這個趨勢有深入討論。如果你想把內容同時做好傳統 SEO 與 AI 引用,GEO 生成式引擎最佳化指南跟 AI SEO 生存指南是很好的起點。
常見錯誤與迷思:別再把「外連到 HTTP」當成萬惡之源
關於 HTTPS 連結到 HTTP,有哪些大家以為對、其實是錯的觀念?最大的迷思是把「外連到 HTTP 網站」當成會被 Google 懲罰的行為,於是花大量時間回頭刪改過去文章裡所有 HTTP 外連,這是白工。真正會傷你的是自己頁面裡嵌入的 HTTP 資源(混合內容),以及你自己網站還沒完全 HTTPS 化。把力氣放對地方,別被「不安全」這三個字的情緒牽著走。
五大迷思一次破解
- 迷思一:刪光所有 HTTP 外連就安全了。真相:外連不扣分,刪掉反而可能移除有價值的權威引用,傷害內容深度。更多說明見 為什麼只有好內容無法排名第一。
- 迷思二:我自己站全 HTTPS,所以不可能有混合內容。真相:第三方外掛、追蹤碼、舊的 CDN 圖床常常還挂 HTTP,要主動掃才找得到。
- 迷思三:瀏覽器有自動升級,所以不用改。真相:自動升級只對被動資源有效,且對方沒 HTTPS 時仍會破圖;主動資源根本不升級。
- 迷思四:設了 HSTS 就等於解決混合內容。真相:HSTS 只管頂層導航,子資源要靠 CSP upgrade-insecure-requests。
- 迷思五:WordPress 裝個 Really Simple SSL 就一勞永逸。真相:那是權宜之計,資料庫層的根治與外掛設定檢查還是要做。
與其焦慮地刪外連,不如花一個下午跑一次完整掃描,把清單上的混合內容修掉,這才是投資報酬率最高的動作。這也是為什麼 你需要 SEO 嗎、自然排名的定義與策略、6 個不需要發表新文章也能成功的技巧這類基礎討論裡,技術債一直是被點名的隱形殺手。
FAQ:你最常問的 HTTPS 與 HTTP 連結問題一次回答
Q1:HTTPS 外連到 HTTP 會被 Google 扣分嗎?
不會。John Mueller 在 2020 年 2 月 24 日的公開回覆中已證實,這條在 2026 年仍然有效,前提是 a href 外連而不是嵌入資源。相關背景可以看 Google 演算法更新的權威指南。
Q2:混合內容會直接降我的排名嗎?
不會直接扣分,但會透過破圖、跳出率上升、停留時間下降這些使用者行為訊號間接拖累 SEO。它是慢性傷害,不是立即懲罰。更多訊號解讀見 頁面體驗與排名的關係。
Q3:為什麼 Chrome 把我的圖片封鎖了?
Chrome 自 81 版起對被動混合內容(img、video、audio)自動嘗試升級成 HTTPS,若對方沒有 HTTPS 版本或升級失敗,就會封鎖資源不載入,於是你看到破圖。
Q4:要不要把舊文章裡的 HTTP 外連全部改成 HTTPS?
外連不必,刪光反而可能移除有價值的權威引用。但你自己頁面內嵌入的 img、iframe、script、CSS 一定要改成 HTTPS。這跟 重複內容、Google 對重複內容的建議是不同層面的問題,不要混在一起。
Q5:upgrade-insecure-requests 跟 HSTS 有什麼差別?
前者(Content-Security-Policy: upgrade-insecure-requests)改寫頁面內子資源請求,讓瀏覽器把 http:// 改成 https://;後者(Strict-Transport-Security)強制頂層導航走 HTTPS。兩者用途不同,要搭配使用,不要以為設了其中一個就夠。
Q6:AI 搜尋會不會因為我有混合內容就不引用我?
會降低被引用的機會。2026 年多家研究把 HTTPS 列為生成式搜尋的基礎信任門檻,不穩定或鎖頭不綠的頁面難進入 AI 引用池。延伸閱讀可以看 AI 搜尋 SEO 完整指南與 AISO 跟傳統 SEO 差在哪。
Q7:WordPress 改 HTTPS 後圖片整片破掉怎麼辦?
用 Better Search Replace 或 WP-CLI 的 search-replace,勾選「序列化資料」選項,把資料庫裡的 http://網域 批次改成 https://網域。不要手動改 phpMyAdmin,會破壞序列化字串長度。WordPress 整體最佳化可以參考 網站最佳化流程。
Q8:如果我外連的 HTTP 網站看起來很舊很可疑怎麼辦?
協定本身不是加 nofollow 的理由,但若內容品質低或你不願背書,可加 rel nofollow;若是付費連結則必須 rel sponsored。判斷依據是關係,不是協定。更多細節見 網域權重與 黑帽 SEO 的界線。
回到搜尋意圖:你真正該做的那三件事
讀完整篇後,如果只能做三件事,我該做什麼?依序是:第一,停止焦慮地刪改文章裡的 HTTP 外連,那是白工。第二,跑一次全站混合內容掃描(Screaming Frog 加 DevTools),把自己頁面內嵌入的 HTTP 資源全部修成 HTTPS。第三,加上 Content-Security-Policy: upgrade-insecure-requests 標頭當保險,並在確認整站資源都 HTTPS 後啟用 HSTS。守住「給地址可以、請進門不行」這條紅線,你的 SEO 與使用者信任就能同時顧到。
三件事的優先級與理由
- 停止刪改 HTTP 外連。把力氣轉到混合內容,這是投資報酬率最高的調整。外連本身不扣分,刪掉只會傷害內容深度,跟你 站內 SEO 權威指南、主題群集策略的努力方向背道而馳。
- 全站混合內容掃描與修復。涵蓋被動與主動資源,動態載入的也要手動驗。這一步直接決定使用者能不能正常使用你的頁面,也間接決定排名穩不穩。
- 標頭層的長期保險。upgrade-insecure-requests 與 HSTS 讓未來新增內容不容易再踩雷,這是給未來的自己省事。
修完之後,我會建議觀察 7 到 28 天的跳出率、停留時間與 Search Console 的混合內容訊息,再決定要不要進一步最佳化。這段觀察期不是拖延,是讓你有足夠資料判斷修復有沒有真的發揮作用。如果你同時在做 E-A-T 的最佳化或 Google EAT 的 3 個重點,這段時間也正好可以把信任訊號一起補強。
回到搜尋意圖本身。你會搜「HTTPS 連到 HTTP 會不會影響 SEO」,多半是因為看到那個「不安全」標籤心裡發毛,或擔心一個外連就把排名拖垮。講了這麼多,核心答案只有一句:外連不扣分,嵌入資源才會出事。把這個區別放在心裡,再把上面的四步修復流程跑一遍,你就不會再被「不安全」這三個字牽著走。網站的鎖頭常綠、Console 乾淨、排名穩定,這三件事會一起到位,這才是你真正想要的結果。如果你發現修完之後排名還是沒回來,那問題大概不在 HTTP 外連,而是出在別的地方,例如 網站改版的 SEO 自守或 演算法更新後的排名復原,那是另一篇故事了。
