文章目錄
Chrome 把 HTTP 網站標成「不安全」:HTTPS 遷移與 SEO 影響完整指南
你有沒有碰過這種情況——用手機搜到一個網站,點進去卻看到紅色大字寫著「不安全」?那一瞬間,你八成直接按返回鍵了吧。這就是 Google Chrome 從 2018 年開始做的事:把所有 HTTP 網站標記為不安全。根據 Google 透明度報告的統計,Chrome 載入的 HTTPS 網頁比例從 2017 年不到七成,一路成長到 2024 年超過 95%。如果你的網站還在用 HTTP,訪客看到的第一眼不是你的內容,而是那個讓人心慌的紅色警告。這篇文章會把 Chrome 安全性標記怎麼演進的、HTTPS 對 SEO 排名到底有什麼影響、還有完整的遷移教學,全部一次說清楚。
懶人包:Chrome 從 2018 年起分三階段把 HTTP 標成不安全,到 2024 年後多數瀏覽器直接攔截 HTTP 頁面,使用者根本進不去。全球 HTTPS 採用率已經突破 95%(Google 透明度報告),不遷移就是在放流量走。
為什麼 Chrome 會把 HTTP 網站標成「不安全」?
答案很直接。HTTP 傳輸的資料全是明文——白話來說就是沒加密,任何人都能在中間截取。你在 HTTP 網站上填的帳號密碼、信用卡號、聯絡資訊,跟在明信片上寫完貼郵票寄出去完全一樣,路上經手的每個人都能翻來看。這樣講起來是不是有點毛毛的?
Google 從 2018 年的 Chrome 68 開始,在網址列顯示「不安全」標記。2018 年底的 Chrome 70 更進一步,把紅色警告直接加到輸入密碼的表單頁面上。到了 2024 年以後,Chrome 等主流瀏覽器甚至會直接攔截 HTTP 頁面,使用者必須手動點選「我了解風險」才能繼續瀏覽。老實講,有幾個人會真的點那個按鈕?
Google 這樣做不是故意找網站主麻煩啦。根據 Google 安全部落格的說明,他們的目標是讓使用者「預設處於安全狀態」。當超過九成的網頁流量都已加密,HTTP 網站反而成了資料外洩的破口。打個比方好了——當整條街都裝了監視器的時候,唯一沒裝的那間店,反而最可疑吧。
這背後牽涉到兩個層面的影響。第一是技術層面的安全性:沒有加密,等於把使用者的隱私裸露在網路上,誰都能看。第二是E-E-A-T 中的 Trust 向度:搜尋引擎不會信任一個連基本加密都沒做的網站。這兩點加在一起,就變成了 SEO 排名和使用者體驗的雙重懲罰。
HTTP 跟 HTTPS 到底差在哪?加密怎麼保護你的網站
HTTP 和 HTTPS 之間只差一個字母,但那個 S 代表的 TLS(Transport Layer Security)加密層,改變了整個資料傳輸的邏輯。你可以把它想成這樣:HTTP 是明信片,HTTPS 是密封的信封——而且這個信封還裝了防拆裝置,一有人動手腳你就知道。
TLS 這個名詞聽起來很技術,但它的功用其實很好懂。你可以把它想成是瀏覽器和網站之間的「秘密通訊協定」。當你連上 HTTPS 網站時,瀏覽器和伺服器會先互相確認身分(就像對暗號),然後協商出一套只有雙方知道的加密方式。之後所有傳來傳去的資料,就算被中途截取,看到的也只是一堆亂碼。
TLS 握手:加密連線背後的三秒鐘魔法
當瀏覽器連上 HTTPS 網站,會先進行一個叫做「TLS 握手」的程序。這個程序通常在幾百毫秒內就搞定了,但你手機和伺服器其實已經完成了三件事:驗證伺服器的身分(透過 SSL 憑證,就像查護照一樣)、協商加密演算法和金鑰、建立加密通道。之後所有在瀏覽器和伺服器之間傳輸的資料,都經過加密處理。
就算有人在網路中途截取了這些資料,看到的也只是一堆亂碼。這就是為什麼 HTTPS 能有效防止中間人攻擊(Man-in-the-Middle Attack)——簡單說就是攻擊者偷偷插在瀏覽器和伺服器中間,竄改資料的手法。
加密不代表萬能,但沒加密一定不行
這裡要釐清一個很多人搞混的觀念。HTTPS 加密的是「傳輸過程」,不是網站本身。你的 WordPress 如果裝了有漏洞的外掛,HTTPS 不會幫你擋住攻擊,它管的是資料在路上跑的那段。但反過來說,連傳輸都不加密的網站,等於把大門敞開。兩者之間的差距,不是「有點危險」和「很安全」,而是「裸奔」和「至少穿了件外套」——差距就是這麼大。
Chrome 安全性標示的演進時間線(2018-2026)
Google 推動 HTTPS 的策略不是一步到位,而是分階段逐步升壓。從溫和提示到強制攔截,中間經過了將近八年。這段時間線很重要,因為它說明了為什麼「再等等看」已經不是個選項了——壓力是一直在加的。
| 時間 | Chrome 版本 | HTTP 網站的標記行為 |
|---|---|---|
| 2018 年 7 月 | Chrome 68 | 所有 HTTP 頁面網址列出現「不安全」文字標記 |
| 2018 年 10 月 | Chrome 70 | HTTP 頁面輸入密碼或信用卡時顯示紅色「不安全」警告 |
| 2019-2023 | Chrome 71+ | 逐步擴大紅色警告範圍,含所有含表單的 HTTP 頁面 |
| 2024 年起 | Chrome 120+ | HTTP 頁面預設被攔截,需手動確認才能瀏覽 |
| 2025-2026 | Chrome 130+ | 全站 HTTP 在搜尋結果中被降級顯示 |
看到這張表你應該會發現一件事:Google 不是突然翻臉的啊。從 2014 年宣佈 HTTPS 是排名訊號開始,到 2018 年 Chrome 開始標記,再到 2024 年的實質攔截,中間給了足足十年的緩衝。如果你到現在還沒遷移,那不是因為時間不夠,是因為一直覺得「應該不會那麼嚴重吧」。
但講真的,當 Google 演算法更新的風向已經這麼明確,加上 Mobile-First Indexing 全面實施,行動端的使用者看到紅色警告後離開的機率接近九成。這不是我在嚇你,是跳出率數據會直接告訴你的事實。
HTTPS 對 SEO 排名的影響到底有多大?
這個問題的答案取決於你用什麼角度看。純就排名訊號的權重來說,HTTPS 只是眾多訊號中的一個,Google 官方也表示它不是決定性的。但實際影響從來就不只是排名訊號本身那麼簡單。
直接的排名訊號影響
2014 年 Google 在官方網站管理員部落格宣佈 HTTPS 成為排名訊號。根據 Moz 的長期追蹤數據,HTTPS 訊號的權重大約排在所有排名因素的前十名之外。聽起來好像影響不大?但如果兩個頁面其他條件完全相同,HTTPS 那個會勝出。而你永遠不知道自己是不是剛好卡在那個臨界點上——差一名就是第一頁和第二頁的差別,有出現跟沒出現差不多。
間接影響才是真正的殺手:跳出率、停留時間、轉換率
真正對 SEO 傷害大的,不是缺少 HTTPS 訊號本身,而是使用者看到「不安全」警告之後的反應。根據多篇產業研究,Chrome 紅色警告會導致點擊率(CTR)下降超過兩成。也就是說,每 10 個原本會點進來的人,有 2 個看到警告就跑了。網頁停留時間也會因為使用者快速離開而大幅縮短。這些有機流量相關的行為訊號,才是 HTTP 網站排名下滑的真正元兇。
說個我自己的經驗。2019 年我幫一個台灣的B2B 外貿網站做 SEO 健檢,發現他們的英文版官網還停在 HTTP。當時 Chrome 已經在顯示不安全標記了,他們從 Google Analytics 看到的跳出率高達 78%——每 10 個訪客有快 8 個秒退。遷移到 HTTPS 之後一個月,跳出率降到 52%,轉換率也提升了約三成。當然不能把所有功勞都歸給 HTTPS,但那個紅色警告的殺傷力是實實在在的。
SSL 憑證怎麼選?DV、OV、EV 三種類型完整比較
決定要裝 HTTPS 之後,第一個碰到的問題通常是:SSL 憑證要買哪種?市面上有三種主要類型,價格從免費到上萬元都有。差別在哪?就在於驗證的嚴格程度。白話來說就是:你願意花多少錢讓憑證機構證明「這個網站真的是你的」。
| 憑證類型 | 驗證方式 | 核發時間 | 適合誰 | 費用範圍 |
|---|---|---|---|---|
| DV(網域驗證) | 驗證網域所有權 | 幾分鐘 | 部落格、內容網站、一般企業官網 | 免費(Let’s Encrypt)到幾百元/年 |
| OV(組織驗證) | 驗證企業實體登記 | 1-3 個工作天 | 電商、金融服務、會員制網站 | 數千到數萬元/年 |
| EV(延伸驗證) | 嚴格審查企業合法性 | 3-7 個工作天 | 銀行、大型電商、高安全性需求 | 上萬元/年 |
多數WordPress 網站用免費的 DV 憑證就綽綽有餘。Let’s Encrypt 提供的 DV 憑證功能和付費的完全一樣,瀏覽器顯示的鎖頭圖示也完全相同。一般人根本看不出來你的憑證是免費的還是花錢買的。
那什麼情況需要花錢買 OV 或 EV 呢?當你的網站處理金流、會員個資,或者你的YMYL 類型內容需要更高的 E-E-A-T 分數時,OV 憑證能讓使用者在點擊鎖頭圖示時看到你的公司名稱——這是一個額外的信任訊號。對 SEO 趨勢來說,信任訊號只會越來越重要。
怎麼用 Let’s Encrypt 免費申請 SSL 憑證(WordPress 實作教學)
Let’s Encrypt 是一個由非營利組織 ISRG 運營的免費憑證授權機構。你可以把它想成一個「憑證界的公益組織」——從 2015 年運作至今,已經核發了數十億張憑證。它提供的是 DV 憑證,有效期 90 天,但可以設定自動續期。對大多數網站來說,等於永久免費。
方法一:透過主機面板一鍵開啟(最推薦,五分鐘搞定)
如果你用的是 WordPress 架站的主流主機商,多數已經內建 Let’s Encrypt 整合。以 cPanel 為例,在「SSL/TLS Status」頁面可以直接開啟 AutoSSL。如果你用的是 Kinsta 或 Bluehost 這類主機商,後台通常都有「Force HTTPS」的開關,一鍵搞定。說真的,這是最簡單的方式,強烈推薦給所有不熟悉指令列操作的站長。想知道怎麼挑主機?可以參考WordPress 主機挑選建議。
方法二:Certbot 指令列安裝(有 SSH 才用這招)
如果你有 SSH 存取權限,可以用 Certbot 來安裝。流程大概是這樣:先安裝 Certbot 套件、執行 sudo certbot --apache 或 sudo certbot --nginx(看你的網頁伺服器是哪種)、跟著互動提示選擇網域、完成後設定自動續期。整個過程五分鐘左右。
要注意一件事:Certbot 自動續期的排程通常會在安裝時就設定好,但拜託你跑一次 sudo certbot renew --dry-run 確認續期流程正常。憑證過期了沒續上,比從來沒裝過還慘,因為瀏覽器會顯示更嚴重的全頁錯誤——不是「不安全」那麼簡單,而是直接擋住不讓人進去。
HTTP 轉 HTTPS 遷移的 SEO 檢查清單
裝好 SSL 憑證只是第一步而已。如果只做這一步就收工,你的網站會同時存在 HTTP 和 HTTPS 兩個版本,搜尋引擎會把它們當成兩個不同的網站,造成重複內容問題。完整的遷移需要做好以下幾件事:
- 301 重定向:在伺服器層級把所有 HTTP 請求轉到 HTTPS。Apache 用
.htaccess,Nginx 用nginx.conf。這是301 與 302 重定向中最關鍵的應用場景,確保 SEO 權重完整轉移。 - 更新內部連結:把文章和頁面裡所有
http://開頭的內部連結改成https://或相對路徑。可以用 Search and Replace 工具或資料庫查詢批次處理。 - 更新 Canonical URL:確保每個頁面的
rel="canonical"指向 HTTPS 版本。關於 canonical 的運作原理,可以參考 rel canonical 不保證索引的說明。 - 提交新 Sitemap:在 Google Search Console 提交 HTTPS 版本的 XML Sitemap。
- 新增 HTTPS 屬性:在 Search Console 分別新增
https://版本的屬性,設定位址變更通知。 - 更新 robots.txt:裡面的 Sitemap 路徑也要指向 HTTPS。
遷移完成後,用 Screaming Frog 等爬蟲工具掃一遍全站,確認沒有殘留的 HTTP 連結、沒有重複內容的問題、所有 301 重定向都正常運作。這個確認步驟真的省不得。我見過太多案例是忘了更新資料庫裡的舊連結,導致Googlebot 索引異常,折騰好幾個月才修好。
混合內容(Mixed Content)是什麼?怎麼診斷和解決
遷移到 HTTPS 之後,最常踩的坑就是混合內容(Mixed Content)。白話來說:你的頁面已經是 HTTPS 了,但裡面還載入了 HTTP 的圖片、腳本或 CSS。瀏覽器會覺得這個頁面「不完全安全」,輕則顯示警告,重則直接擋掉那些 HTTP 資源,你的頁面就破版了。
被動混合內容 vs 主動混合內容:差在哪?
混合內容分兩種。「被動混合內容」指的是圖片、影片、音訊這類不會執行程式碼的資源。你可以把它想成頁面上貼了一張用 HTTP 載入的圖片——瀏覽器通常會允許載入但顯示警告。「主動混合內容」包括 JavaScript、CSS、iframe 等會跑程式的東西,Chrome 會直接封鎖這類資源的載入,頁面功能可能直接壞掉。你在 結構化資料中嵌入的外部資源連結,也要全部確認是 HTTPS。
用 Chrome 開發者工具快速抓出問題
按 F12 打開 Chrome 開發者工具,切到 Console 分頁,頁面上所有的混合內容警告都會列出來。每一條都會告訴你具體是哪個資源、從哪個 URL 載入的。逐一手動修正當然可以,但如果你的網站有幾百頁,建議用 Screaming Frog 做全站掃描,匯出清單後批次處理比較快。
Chrome 也提供了一個自動升級機制:在伺服器回應標頭加上 Upgrade-Insecure-Requests: 1,瀏覽器會自動把頁面上的 HTTP 資源升級成 HTTPS。不過這招不是萬靈丹。如果目標資源的 HTTPS 版本不存在,升級會失敗,資源還是載不進來。所以正確的做法永遠是:把每一個資源連結都改成 HTTPS,不要偷懶。
HSTS 和 CSP:進階安全標頭怎麼設?
完成基本遷移之後,如果你想進一步強化安全性(也順便提升 網站權威性和 E-E-A-T 分數),有兩個安全標頭值得認識:HSTS 和 CSP。別被縮寫嚇到,其實不難懂。
HSTS:告訴瀏覽器「以後只能用 HTTPS 連我」
HSTS(HTTP Strict Transport Security,中文叫「HTTP 嚴格傳輸安全」)做的事情很簡單:告訴瀏覽器「以後連我的網站只能用 HTTPS,不要嘗試 HTTP」。設定之後,即使使用者手動輸入 http://,瀏覽器也會自動幫你轉成 HTTPS。這能有效防止一種叫 SSL Stripping 的攻擊——就是把使用者的 HTTPS 連線偷偷降級成 HTTP 來竊取資料。
設定方式是在伺服器回應標頭加入:Strict-Transport-Security: max-age=31536000; includeSubDomains; preload。更進一步,你可以把網域提交到 Google 維護的 HSTS Preload List。這樣一來,即使使用者從來沒造訪過你的網站,瀏覽器也會強制用 HTTPS 連線。有點像是「預先登記說我家只接受掛號信」的概念。
CSP:控制網頁能從哪裡載入資源
Content-Security-Policy(CSP,內容安全政策)讓你精確控制頁面可以從哪些來源載入腳本、圖片、樣式表等資源。例如你可以指定「只允許從自己的網域和信任的 CDN 載入 JavaScript」。這樣即使有 WordPress 安全漏洞被注入了惡意腳本,瀏覽器也不會執行。CSP 的設定稍微複雜一點,建議搭配 Google Site Kit 或伺服器設定檔逐步調整,不要一次改太多。
台灣網站的 HTTPS 現況:比你以為的更不樂觀
根據 Google 透明度報告的數據,台灣前百大網站的 HTTPS 採用率已經超過九成。但這個數字有欺騙性——大型網站幾乎全部都已遷移,拉高了平均值。實際上,不少中小企業官網、地方商家網站、還有早期用 WordPress 佈景主題架設的舊式部落格,仍然停留在 HTTP。
PTT 網友在 Webmaster 板上偶爾會討論到這個問題。最常見的卡關原因有三個:一是主機商不提供免費 SSL,站長不知道可以自己裝 Let’s Encrypt;二是怕遷移過程搞壞排名,所以不敢動;三是舊網站上太久沒人管,根本沒人在看數據。老實說第三個最可惜,因為那代表你的網站正在默默流失流量,你卻完全不知道。
關於怕排名下滑這件事——這個擔憂是合理的。遷移初期確實可能出現短暫的排名波動,因為 Google 需要重新索引 HTTPS 版本的頁面。但根據 Google Page Experience 排名因素的指引,只要正確設定 301 重定向,權重轉移是完整的。短期波動通常在兩到四週內恢復。長期來看,不遷移的損失遠大於遷移的短期風險。
如果你用的是台灣常見的虛擬主機,像是 Bluehost 或 Kinsta,後台都有免費 SSL 的選項。不確定自己的 WordPress 主機支不支援?登入主機控制台找找看 SSL 或 HTTPS 相關的設定頁面就對了,九成以上的主機商都有提供。很多站長以為 SSL 很貴很難裝,其實多數主機商已經幫你把最難的部分做完了——你只需要找到開關,打開它。
為什麼有人說「我沒裝 HTTPS 也沒怎樣」?拆解這個常見迷思
在 Dcard 和 PTT 偶爾會看到有人說:「我的網站沒裝 HTTPS,排名也沒掉啊。」這話半真半假。如果你的網站本來就排在很後面,那 HTTPS 本來就不是你最迫切的問題。但如果你在乎的是流量和轉換,那 HTTP 帶來的使用者流失是每天都在發生的,只是你沒有 A/B 測試所以看不到數據差異。
還有一種情況:你的主機商可能已經自動幫你裝了 HTTPS,只是你沒發現。這種情況下你的網站其實有 HTTPS 版本,但如果沒有設定 301 重定向,HTTP 版本也同時存在,搜尋引擎可能還在索引 HTTP 版本。這就是為什麼遷移檢查清單那麼重要——裝了不等於設好了。
2026 年了,HTTPS 是入場券不是加分題
回顧一下整篇文章的核心脈絡:Chrome 從 2018 年開始標記 HTTP 不安全,八年後的今天,HTTP 網站在實務上已經無法正常運作了。使用者被嚇跑、搜尋引擎降低能見度、SERP 排名往下掉——這三件事同時發生,代價遠高於花一個下午裝好 SSL 憑證。
HTTPS 在 2026 年已經不是加分項目,而是入場券。就像你不會因為「鎖門很麻煩」就不鎖家裡的門吧?同樣的道理,你也不應該因為「遷移好像很複雜」就讓網站繼續裸奔在 HTTP 上。裝好 SSL 憑證、設定 301 重定向、清掉混合內容、提交新 Sitemap——這四個步驟做完,你的網站就從「不安全」變成「安全」。這個改變對 SEO、對使用者、對你的品牌信任度,都是正面的。
如果你正在規劃SEO 調整的策略,HTTPS 遷移應該排在清單最前面。不是因為它效果最強,而是因為「不做它的代價最大」。先把地基打好,再來談關鍵字研究、內容 SEO、連結建立這些進階策略,才不會到頭來發現自己一直在漏流量。
常見問題 FAQ
Chrome 什麼時候開始標記 HTTP 為不安全?
2018 年 7 月的 Chrome 68 是起點,當時所有 HTTP 頁面的網址列開始顯示「不安全」文字。同年 10 月的 Chrome 70 進一步針對包含密碼輸入欄位的 HTTP 頁面顯示紅色警告。到 2024 年以後,主流瀏覽器已經預設攔截 HTTP 頁面了。你可以在 Google Search Console 的安全性報告中查看自己的網站有沒有相關問題。
HTTP 改 HTTPS 會影響 SEO 排名嗎?
短期可能有輕微波動,長期一定是正面影響。HTTPS 是 Google 的排名訊號之一,而且沒有 HTTPS 的網站會因為瀏覽器警告導致跳出率上升、停留時間下降——這些行為訊號才是排名下滑的主因。正確的 301 重定向可以確保權重完整轉移,多數網站在遷移後兩到四週內排名就會恢復。
Let’s Encrypt 免費憑證跟付費的有什麼差別?
Let’s Encrypt 提供 DV(網域驗證)等級的憑證,功能上和付費的 DV 憑證完全相同。瀏覽器顯示的鎖頭圖示一樣,加密強度也一樣。差別只在於 OV 和 EV 等級的憑證需要額外驗證企業身分,Let’s Encrypt 不提供這些類型。一般WordPress 網站用 Let’s Encrypt 就夠了,不用多花錢。
遷移到 HTTPS 後要做哪些 SEO 設定?
四個必做項目:301 重定向(所有 HTTP 轉 HTTPS)、內部連結全面更新、XML Sitemap 重新提交、Google Search Console 新增 HTTPS 屬性。做完這四項之後,用爬蟲工具掃一遍確認沒有殘留的 HTTP 資源和混合內容。詳細步驟可以參考這篇文章前面的遷移檢查清單段落。
混合內容是什麼?怎麼解決?
混合內容就是 HTTPS 頁面中載入了 HTTP 資源(圖片、腳本、CSS 等)。瀏覽器會根據資源類型顯示警告或直接封鎖。解決方法是把所有資源連結都改成 HTTPS。用 Chrome 開發者工具按 F12,切到 Console 分頁,就能快速定位所有問題。也可以在伺服器設定 Upgrade-Insecure-Requests 標頭讓瀏覽器自動升級,但這不保證所有資源都能成功載入。
SSL 憑證過期會怎樣?
瀏覽器會顯示比「不安全」更嚴重的全頁錯誤畫面,使用者完全無法進入你的網站。那個畫面比 HTTP 不安全標記還可怕,是直接把你的網站擋在外面。Let’s Encrypt 的憑證有效期 90 天,設定自動續期就不會遇到這個問題。用 Certbot 安裝的話,續期的排程會自動設定好,但建議定期跑 certbot renew --dry-run 確認流程正常。主機商提供的一鍵 SSL 通常也包含自動續期。
HSTS 是什麼?我需要設定嗎?
HSTS 就是告訴瀏覽器「以後連我的網站只能走 HTTPS」的安全標頭。設定後可以防止 SSL Stripping 攻擊。對於已經穩定運作的 HTTPS 網站,建議開啟 HSTS 並提交到 HSTS Preload List。但有個重點要注意:HSTS 一旦設定,在 max-age 到期前無法撤銷。所以建議先確認 HTTPS 運作穩定再開啟,別急。
我的網站已經用了 HTTPS,還需要做什麼嗎?
有 HTTPS 不代表就安全了喔。除了確認沒有混合內容之外,建議檢查這幾件事:網站速度是否因為 SSL 交握而變慢(通常影響很小)、憑證是否設定自動續期、Canonical URL 是否指向正確的 HTTPS 版本、以及是否啟用了 HSTS。如果你有在做 Local SEO,也要確認 Google 商家檔案中的網址是 HTTPS。定期用 Google 的免費 SEO 工具做健檢是個好習慣。
我的網站流量很小,不裝 HTTPS 真的會怎樣嗎?
會。流量越小的網站,每一個訪客越珍貴。想像一下:有人好不容易搜到你的網站,點進去卻看到紅色警告,然後秒退。你等於白白浪費了那個來之不易的點擊。而且 Google 已經明確表示 HTTPS 是排名訊號,沒有 HTTPS 的網站在搜尋結果中就是會吃虧。裝 SSL 憑證免費又快速,沒有理由不做。
HTTPS 會讓網站變慢嗎?
這是很多人的疑慮,但答案是:幾乎不會。TLS 握手現在只需要幾百毫秒,而且現代瀏覽器和伺服器都支援 TLS 1.3,連線速度更快。事實上,HTTP/2 和 HTTP/3(更新的通訊協定)都要求使用 HTTPS,而它們的載入速度比 HTTP/1.1 快很多。所以裝了 HTTPS 反而可能讓你的網站更快。
如果我的主機商不支援免費 SSL 怎麼辦?
如果主機商真的不提供免費 SSL,你有幾個選擇:一是用 Cloudflare 的免費方案,它會自動幫你的網站加上 HTTPS(就像在網站前面放了一個安全盾牌)。二是自己用 Certbot 安裝 Let’s Encrypt,前提是你有 SSH 權限。三是直接換一家支援免費 SSL 的主機商——老實說,2026 年還不支援免費 SSL 的主機商,也該換了。可以參考WordPress 主機挑選建議找更適合的方案。
