WordPress外贸站SSL证书配置的5个隐藏雷区，80%的建站教程都没提

🔐 上周帮一个卖户外灯具的客户排查问题，Chrome浏览器一直显示”不安全”——明明装了SSL证书，结果发现是混合内容在作祟：主题里硬编码了http://的Google字体链接…

#1 证书类型的选择陷阱

• Let’s Encrypt免费证书每3个月要续期（用certbot-auto renew忘了加--quiet参数会爆服务器日志）
• Cloudflare的Flexible SSL模式其实没有端到端加密（后台到源服务器还是HTTP）
• 泛域名证书对子目录站无效（比如/es/这种多语言路径）

#2 301跳转的骚操作
见过有人用宝塔面板的”强制HTTPS”功能，结果把wp-admin也跳转了——后台登录无限循环😅。正确做法是在wp-config.php里加：
define('FORCE_SSL_ADMIN', true);
但千万别和WP_HOME混用（有个客户因此丢了自定义登录页）

💡 冷知识：用Really Simple SSL插件时，它会自动把数据库里的http://替换成https://——但如果你的站有多站点网络，会把wp_blogs表里的路径也改了…