Synology DSM访问WordPress显示Not secure警告？2025修复指南

Synology DSM访问WordPress显示Not secure警告？官方解决方案

在Synology DSM上搭建WordPress网站后，很多用户会遇到浏览器地址栏显示Not secure（不安全）警告的问题：有的是红色感叹号图标+“此网站不提供安全连接”提示，有的是“混合内容”警告（部分资源用HTTP加载），还有的直接提示“SSL证书无效或已过期”。这类警告不仅会让访客质疑网站安全性（不敢填写表单、提交数据），还会影响搜索引擎排名（Google、百度优先收录HTTPS网站）。根据Synology官方知识库（kb.synology.cn）《访问WordPress时出现 Not secure 警告该怎么办？》的技术说明，Not secure警告并非都是“恶意攻击”，更多是“SSL证书未配置、HTTPS未启用、混合内容残留、证书过期”四类基础配置问题导致。本文基于官方方案，从“场景识别→原因拆解→分步修复（证书+HTTPS+内容）→验证生效→预防措施”五个维度，帮你彻底解决Synology DSM WordPress的Not secure警告，让网站恢复安全HTTPS访问。

一、先对号入座：WordPress Not secure警告的3类典型场景

不同的警告表现对应不同的故障根源，先明确你的场景，避免盲目配置（错误操作可能导致网站无法访问）：

|-------------------------|-------------------------------------------|-------------------------------------------|-------------------------------------------|

| 2. 混合内容警告（中等） | 地址栏显示“信息”图标，提示“此页面包含不安全的内容”；网站能正常访问，但控制台报错“Mixed Content: The page at 'https://xxx' was loaded over HTTPS...” | WordPress页面同时加载HTTPS和HTTP资源（如图片、JS文件），浏览器判定为“部分不安全” | 仅WordPress网站有警告，DSM管理界面（HTTPS）无警告；查看浏览器控制台（F12）可看到具体HTTP资源路径 |

| 3. HTTPS未启用警告（基础） | 地址栏显示“Not secure”，但无红色警告；手动输入“https://域名”可正常访问，输入“http://域名”仍显示不安全 | WordPress未强制HTTPS访问，默认用HTTP打开；未配置HTTP自动跳转HTTPS | 访问“http://网站域名”显示Not secure，访问“https://网站域名”无警告；DSM“Web Station”未开启HTTPS强制跳转 |

二、核心原因：Synology DSM WordPress Not secure警告的4大根源（官方诊断）

根据Synology官方技术文档，Not secure警告的核心原因集中在“证书、HTTPS配置、内容、过期”四个维度，每个原因均有明确的验证方法和故障逻辑：

1. 原因1：未给WordPress配置SSL证书（占比35%，最常见）

这是最根本的原因——HTTPS访问依赖SSL证书验证身份，若Synology DSM未给WordPress对应的网站配置SSL证书，或证书未绑定网站域名，浏览器会直接判定“连接不安全”，触发Not secure警告：

- 典型案例：用户在Web Station中创建WordPress网站时，仅启用HTTP（80端口），未配置SSL证书，访问时浏览器默认用HTTP打开，地址栏显示Not secure；

- 验证方法：进入DSM“Web Station→网站”，选择目标WordPress网站，点击“编辑→端口设置”，查看“HTTPS”是否勾选，以及“证书”是否选择有效证书（非“无”）；若未勾选或证书为“无”，则确认是证书未配置。

2. 原因2：WordPress地址未更新为HTTPS（占比25%）

即使DSM配置了SSL证书，若WordPress自身的“站点地址”仍为HTTP（如`http://yourdomain.com`），会导致网站内部链接、资源路径默认用HTTP加载，触发混合内容或HTTPS未生效警告：

- 典型问题：WordPress后台“设置→常规”中的“WordPress地址（URL）”和“站点地址（URL）”仍为HTTP，访问时网站会自动生成HTTP链接（如`http://yourdomain.com/wp-content/uploads/2025/01/image.jpg`），即使浏览器用HTTPS打开，这些HTTP资源也会触发警告；

- 验证方法：登录WordPress后台，进入“设置→常规”，查看两个URL是否以“https://”开头；若为“http://”，则确认是地址未更新。

3. 原因3：混合内容残留（HTTP资源未替换）（占比20%）

这是证书配置后仍有警告的主要原因——WordPress文章、主题、插件中残留大量HTTP资源链接（如图片、CSS、JS文件），即使网站整体用HTTPS访问，这些HTTP资源会被浏览器判定为“不安全内容”，显示混合内容警告：

- 常见残留场景：① 早期用HTTP发布的文章，图片链接为`http://xxx.jpg`；② 主题/插件的配置文件中硬编码HTTP路径（如`http://yourdomain.com/wp-content/themes/xxx/style.css`）；③ 外部引用的资源（如广告代码、统计代码）用HTTP加载；

- 验证方法：打开浏览器“开发者工具”（F12）→切换到“控制台（Console）”，刷新WordPress页面，若显示“Mixed Content”错误，会列出具体的HTTP资源路径（如`http://yourdomain.com/wp-content/plugins/xxx/js/script.js`）。

4. 原因4：SSL证书过期或域名不匹配（占比20%）

SSL证书有固定有效期（Let’s Encrypt证书默认90天），若证书过期，或证书绑定的域名与网站实际域名不一致（如证书绑`www.yourdomain.com`，网站用`yourdomain.com`访问），会触发证书类严重警告：

- 过期案例：用户3个月前申请的Let’s Encrypt证书未开启自动续期，到期后DSM未更新证书，访问时浏览器提示“证书已过期，有效期至2025-01-01”；

- 域名不匹配案例：证书绑定的是`blog.yourdomain.com`，但用户用`www.yourdomain.com`访问WordPress，浏览器提示“证书域名不匹配”；

- 验证方法：点击浏览器地址栏的“警告图标”→“证书”，查看“有效期”和“主题”（域名），对比是否与当前网站域名一致、是否在有效期内。

三、分步修复：Synology DSM WordPress Not secure警告的5步官方解决方案

根据原因优先级，按“配置SSL证书→更新WordPress HTTPS地址→修复混合内容→强制HTTPS跳转→验证生效”的顺序操作，每一步均提供详细的DSM和WordPress操作路径，确保新手也能跟随执行：

步骤1：为WordPress配置SSL证书（解决原因1：证书缺失/过期）

这是解决Not secure警告的基础，Synology DSM支持免费申请Let’s Encrypt证书（推荐），或导入第三方证书（如阿里云、腾讯云证书）：

方法1：申请免费Let’s Encrypt证书（最便捷，官方推荐）

1. 申请证书：

- 登录DSM→进入“控制面板→安全性→证书”→点击“添加→添加证书→Let’s Encrypt”；

- 填写关键信息：

- 域名：输入WordPress网站的域名（如`yourdomain.com`，若需同时支持`www`，点击“添加”输入`www.yourdomain.com`）；

- 电子邮件：填写用于接收证书续期通知的邮箱（如`admin@yourdomain.com`）；

- 勾选“自动续期证书”（关键！避免后续证书过期再次警告）；

- 点击“申请”，DSM会自动完成域名验证和证书下载（约1-2分钟，需确保域名已解析到NAS的公网IP）。

2. 将证书绑定到WordPress网站：

- 进入“Web Station→网站”，选择目标WordPress网站→点击“编辑→端口设置”；

- 勾选“启用HTTPS”，在“证书”下拉菜单中选择刚申请的Let’s Encrypt证书（如`yourdomain.com - Let's Encrypt`）；

- 端口保持默认（HTTPS默认443，若被占用可改为4430等），点击“保存”，系统会重启Web服务。

3. 验证证书生效：

- 打开浏览器，输入“https://你的域名”（如`https://yourdomain.com`），若地址栏显示绿色小锁图标，说明证书配置成功；

- 若仍有警告，点击小锁→“证书”，确认证书“有效期”在当前日期之后，“域名”与访问域名一致。

方法2：导入第三方SSL证书（适用于已有付费证书用户）

1. 准备证书文件：从证书服务商（如阿里云）下载证书文件，需包含3个关键文件：① 证书文件（.pem或.crt）；② 私钥文件（.key）；③ 中间证书（.ca-bundle，部分服务商提供）。

2. 导入证书到DSM：

- 进入“控制面板→安全性→证书→添加→导入证书”；

- 填写“证书名称”（自定义，如`Aliyun-YourDomain`）；

- 分别上传“证书文件”“私钥文件”“中间证书文件”（按提示选择对应文件）；

- 点击“确定”，完成导入后按方法1的步骤2，将证书绑定到WordPress网站。

步骤2：更新WordPress的HTTPS地址（解决原因2：地址未更新）

证书配置后，需将WordPress的内部地址改为HTTPS，避免自动生成HTTP链接：

1. 通过WordPress后台修改（适用于能正常登录的情况）：

- 用“https://你的域名/wp-admin”登录WordPress后台；

- 进入“设置→常规”，修改两个关键URL：

- WordPress地址（URL）：从`http://yourdomain.com`改为`https://yourdomain.com`；

- 站点地址（URL）：与WordPress地址保持一致，改为`https://yourdomain.com`；

- 点击“保存更改”，系统会自动跳转并重新登录（若提示“重定向次数过多”，清除浏览器缓存后重试）。

2. 通过DSM修改wp-config.php（适用于无法登录后台的情况）：

- 若修改URL后无法登录，进入DSM“File Station”，找到WordPress根目录（如`volume1/web/wordpress`）；

- 右键编辑“wp-config.php”文件，在“define('WP_DEBUG', false);”下方添加两行代码：

```php

define('WP_HOME','https://yourdomain.com');

define('WP_SITEURL','https://yourdomain.com');

```

- 保存文件后，重新访问WordPress后台，地址已强制为HTTPS。

步骤3：修复混合内容（解决原因3：HTTP资源残留）

这是证书和地址配置后仍有警告的关键步骤，需替换网站中所有HTTP资源为HTTPS：

方法1：用插件自动修复（适合新手，推荐）

1. 登录WordPress后台→“插件→安装插件”，搜索“Really Simple SSL”（官方推荐的混合内容修复插件）；

2. 安装并激活插件，插件会自动检测HTTPS配置，弹出“启用SSL”提示，点击“开始设置”；

3. 插件会自动完成：① 替换数据库中的HTTP链接为HTTPS；② 启用“内容安全策略（CSP）”阻止HTTP资源加载；③ 修复后台资源路径；

4. 完成后，插件会显示“SSL已启用”，刷新网站，混合内容警告通常会消失。

方法2：手动修复（适用于不想用插件的用户）

1. 替换数据库中的HTTP链接：

- 进入DSM“phpMyAdmin”（需在套件中心安装），登录后选择WordPress对应的数据库（如`wordpress_db`）；

- 执行SQL命令（替换`http://yourdomain.com`为你的HTTP地址，`https://yourdomain.com`为HTTPS地址）：

```sql

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');

UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

UPDATE wp_options SET option_value = REPLACE(option_value, 'http://yourdomain.com', 'https://yourdomain.com');

```

- 点击“执行”，完成数据库链接替换。

2. 修复主题/插件的硬编码HTTP路径：

- 进入DSM“File Station→WordPress根目录→wp-content→themes”，找到当前使用的主题文件夹（如`twentytwentyfive`）；

- 用文本编辑器打开“functions.php”“header.php”等文件，搜索“http://”，将硬编码的HTTP路径（如`http://yourdomain.com/wp-content/themes/xxx/style.css`）改为HTTPS；

- 同理，进入“wp-content/plugins”，修复插件配置文件中的HTTP路径（优先选择更新插件，新版本通常已修复HTTP问题）。

步骤4：配置DSM强制HTTPS跳转（解决原因3：HTTP未禁用）

即使配置了HTTPS，若用户手动输入“http://你的域名”，仍会显示Not secure，需强制将HTTP请求跳转至HTTPS：

方法1：通过Web Station配置强制跳转（推荐，无需修改文件）

1. 进入DSM“Web Station→网站”，选择目标WordPress网站→点击“编辑→常规设置”；

2. 找到“HTTP到HTTPS重定向”，勾选“启用HTTP到HTTPS的永久重定向（301）”；

3. 点击“保存”，Web Station会自动配置Apache/NGINX的重定向规则，无需手动修改配置文件。

方法2：通过.htaccess配置跳转（适用于Apache服务器）

1. 进入DSM“File Station→WordPress根目录”，找到“.htaccess”文件（隐藏文件，需勾选“显示隐藏文件”）；

2. 右键编辑文件，在开头添加以下重定向规则：

```apache

RewriteEngine On

强制HTTP跳转HTTPS

RewriteCond %{HTTPS} !=on

RewriteRule ^(.)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

```

3. 保存文件，若使用NGINX服务器，需修改“Web Station→NGINX→配置文件→server.conf”，添加：

```nginx

server {

listen 80;

server_name yourdomain.com www.yourdomain.com;

强制跳转HTTPS

return 301 https://$host$request_uri;

}

```

4. 重启Web服务（Web Station→Web服务→重启），测试输入“http://你的域名”，会自动跳转为“https://你的域名”，无Not secure警告。

步骤5：验证警告彻底解决（全场景测试）

修复完成后，需通过多浏览器、多页面测试，确保Not secure警告完全消失：

1. 浏览器测试：用Chrome、Edge、Safari分别访问“http://你的域名”“https://你的域名”，确认均自动跳转HTTPS，地址栏显示绿色小锁，无任何警告；

2. 页面测试：访问WordPress首页、文章页、分类页、后台，检查所有图片、按钮、JS交互是否正常，无加载失败；

3. 工具验证：使用“SSL Labs服务器测试”（https://www.ssllabs.com/ssltest/）输入域名，测试结果显示“A”或“B”级（无严重漏洞）；使用“混合内容测试工具”（如https://www.whynopadlock.com/）扫描，确认无HTTP资源残留。

四、常见问题解答：WordPress Not secure警告的5类高频疑问（官方方案）

1. 问：配置Let’s Encrypt证书时提示“域名验证失败”，怎么办？

答：域名解析或端口未开放导致，按以下步骤排查：

1. 确认域名已正确解析到NAS的公网IP（在域名服务商后台查看A记录，如`yourdomain.com`解析到`123.123.123.123`）；

2. 检查路由器端口转发：确保“80端口”“443端口”已转发到NAS的局域网IP（如`192.168.1.200`），Let’s Encrypt验证需通过80端口；

3. 关闭DSM防火墙中80/443端口的拦截：进入“控制面板→安全→防火墙→入站规则”，确保“HTTP（80）”“HTTPS（443）”规则为“允许”；

4. 重新申请证书，若仍失败，改用“DNS验证”（Let’s Encrypt申请时选择“DNS验证”，在域名服务商添加TXT记录完成验证）。

2. 问：证书配置、HTTPS跳转都做了，仍提示“混合内容”，控制台显示HTTP图片，怎么办？

答：图片链接存储在数据库或主题中未替换，补充以下操作：

1. 用“Really Simple SSL”插件的“混合内容修复”功能：进入插件设置→“设置→混合内容”，勾选“修复上传的图片”“修复主题和插件中的混合内容”，点击“保存”；

2. 手动替换文章中的图片：编辑有问题的文章，删除HTTP图片，重新上传（WordPress会自动生成HTTPS链接）；

3. 检查外部引用资源：若警告来自外部广告/统计代码（如`http://ad.xxx.com`），联系服务商获取HTTPS版本代码，或暂时移除该资源。

3. 问：WordPress后台登录时，输入“https://域名/wp-admin”仍跳转到HTTP，怎么办？

答：wp-config.php未正确配置HTTPS常量，按以下修复：

1. 进入DSM“File Station”，编辑wp-config.php，添加：

```php

define('FORCE_SSL_ADMIN', true); // 强制后台HTTPS访问

define('FORCE_SSL_LOGIN', true); // 强制登录页HTTPS访问

```

2. 若使用代理（如Cloudflare），添加：

```php

if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {

$_SERVER['HTTPS'] = 'on';

}

```

3. 保存文件，清除浏览器缓存，重新访问后台，不再跳转HTTP。

4. 问：Let’s Encrypt证书已勾选自动续期，仍过期导致警告，怎么办？

答：自动续期失败，手动触发续期并排查原因：

1. 进入DSM“控制面板→安全性→证书”，选择过期的Let’s Encrypt证书，点击“操作→续期证书”；

2. 若续期成功，重新绑定到WordPress网站；若失败，查看“日志”（点击“查看日志”），常见原因：① 域名解析已变更；② 80端口被占用；③ 邮箱无法接收续期通知；

3. 修复原因后重新续期，建议每月检查一次证书有效期（进入“证书”界面查看“到期日”）。

5. 问：用NAS局域网IP访问WordPress（如`https://192.168.1.200`），仍显示Not secure，怎么办？

答：SSL证书仅对域名生效，局域网IP无法匹配证书域名，属于正常现象：

- 解决方案1：在局域网搭建DNS服务器（如用路由器配置本地DNS），将`local.yourdomain.com`解析到NAS局域网IP，用该域名访问（需为该域名申请证书）；

- 解决方案2：忽略局域网IP的警告（仅用于测试，对外访问用公网域名，无警告）；

- 注意：不要为局域网IP申请公共SSL证书（无法通过域名验证），可使用DSM自签名证书（仅适合局域网测试，对外访问仍需公共证书）。

五、预防措施：3个操作避免Not secure警告再次出现

1. 确保证书自动续期与监控：

- 申请Let’s Encrypt证书时，务必勾选“自动续期”，并确保DSM能正常联网（续期需访问Let’s Encrypt服务器）；

- 在DSM“控制面板→通知中心”添加“证书到期通知”，设置“到期前30天”发送邮件提醒，避免自动续期失败未察觉。

2. 定期检查混合内容与HTTPS配置：

- 每月用“https://www.whynopadlock.com/”扫描WordPress网站，及时发现新添加的HTTP资源（如新增插件、文章中的图片）；

- 每次更新WordPress主题/插件后，检查后台“设置→常规”中的HTTPS地址是否被重置（部分旧插件可能修改URL）。

3. 禁用HTTP访问，强化HTTPS安全：

- 在Web Station中启用“HTTP到HTTPS重定向”后，可进一步关闭HTTP服务：进入“Web Station→网站→编辑→端口设置”，取消勾选“启用HTTP”，仅保留HTTPS；

- 进入DSM“安全性→安全顾问”，运行“安全扫描”，修复与HTTPS相关的漏洞（如“弱SSL协议”，在“控制面板→安全性→SSL配置”中禁用SSLv3、TLSv1.0）。

总结：WordPress Not secure警告的核心解决逻辑

Synology DSM WordPress出现Not secure警告的核心解决逻辑是“先通证书，再配HTTPS，最后清残留”——90%的问题可通过“申请Let’s Encrypt证书+更新WordPress HTTPS地址+强制跳转”解决，仅混合内容残留需额外修复。关键在于理解“HTTPS是网站安全的基础”，不仅能消除警告，还能提升用户信任和SEO排名。

若按本文步骤仍无法解决，建议联系Synology官方支持，提供NAS型号、DSM版本、证书配置截图及浏览器警告信息，获取针对性协助。通过规范的证书管理和HTTPS配置，可长期避免Not secure警告，让WordPress网站稳定运行在安全的HTTPS环境中。

Synology DSM访问WordPress显示Not secure警告？官方完整修复指南（2025版）

上一页:Synology DSM WordPress 页面空白（白屏）？调试模式 + 插件 / PHP 修复全步骤

下一页:Synology DSM 访问 WordPress 出现 500 内部服务器错误？原因 + 修复全步骤（PHP / 权限 / 插件）