Cloudflare SSL Full 和 Full Strict 怎么选？WordPress 跳转循环这样排查

WordPress 接入 Cloudflare 后，最常见的 SSL 问题不是证书“有没有开启”，而是 Cloudflare 到源站这一段到底怎么连。SSL/TLS 模式选错，可能出现 ERR_TOO_MANY_REDIRECTS、后台进不去、首页在 http 和 https 之间来回跳、Elementor 预览失败、WooCommerce 回调异常。处理前先备份网站文件、数据库和服务器配置；如果要改 .htaccess、Nginx 规则或 WordPress 地址，务必保留回滚方案。

Applicable Scenarios

本文适合已经把域名 DNS 接入 Cloudflare，并在 SSL/TLS 面板看到 Flexible、Full、Full (strict) 等选项的网站。典型表现包括：浏览器提示重定向次数过多；开启 Cloudflare 小云朵后报错，暂停 Cloudflare 后正常；WordPress 后台地址一会儿变 http 一会儿变 https；安装 Really Simple SSL 或类似插件后循环加重；源站明明有证书，但 Cloudflare 仍显示 525、526 或跳转错误。

Full 和 Full Strict 的区别

Cloudflare 官方说明，SSL/TLS 加密模式控制两段连接：访客浏览器到 Cloudflare，以及 Cloudflare 到源站服务器。Full 和 Full (strict) 都会让 Cloudflare 使用 HTTPS 连接源站，区别在于校验证书的严格程度。Full 需要源站能提供 HTTPS，但不会严格验证源站证书是否由受信任机构签发、是否过期、域名是否匹配。Full (strict) 则要求源站证书有效、未过期，并且证书覆盖当前主机名，可以是受信任 CA 证书，也可以是 Cloudflare Origin Certificate。

因此，长期生产站建议目标是 Full (strict)。Full 可以作为过渡方案，例如源站 HTTPS 已经可用但证书链暂未整理完成；Flexible 不建议用于 WordPress 正式站，尤其是源站本身会强制 HTTP 跳 HTTPS 时，它非常容易造成循环跳转。

为什么会跳转循环

跳转循环本质是多处规则互相打架。Cloudflare 可能把访客请求转为 HTTPS，源站又根据收到的协议判断为 HTTP，然后再次跳到 HTTPS；或者 WordPress 地址写的是 HTTPS，但服务器规则又把部分路径跳回 HTTP；也可能 Cloudflare 的 Always Use HTTPS、Automatic HTTPS Rewrites、Redirect Rules、Page Rules，与主机面板、.htaccess、Nginx、SSL 插件重复执行。官方关于重定向过多的说明也明确指出，SSL/TLS 模式、边缘证书设置和重定向规则都可能触发循环。

按顺序排查

1. 先确认源站 HTTPS 是否真实可用。在 Cloudflare 暂停代理或将 DNS 记录临时改为灰云测试前，要确保你知道源站 IP 和回滚方式。可以通过主机面板、命令行或临时 hosts 指向源站访问 https://example.com。如果源站 HTTPS 本身打不开、证书过期、证书域名不匹配，就不要直接选 Full (strict)，先修源站证书。

2. 不要用 Flexible 修 WordPress HTTPS。Flexible 的逻辑是浏览器到 Cloudflare 加密，但 Cloudflare 到源站走 HTTP。若 WordPress、主机或插件强制 HTTPS，源站会把 HTTP 请求重定向到 HTTPS，Cloudflare 又按 Flexible 回源 HTTP，循环就形成了。解决思路不是继续叠加跳转插件，而是给源站配置证书，然后切到 Full 或 Full (strict)。

3. 在 Cloudflare 中选择正确模式。如果源站已经安装有效证书，直接选 Full (strict)。如果源站证书临时是自签、过期或域名不匹配，只能短期用 Full 过渡，但应尽快换成有效证书。若使用 Cloudflare Origin Certificate，要确认它安装在源站，并覆盖根域名和 www 等实际访问主机名。

4. 检查 WordPress 地址。进入后台“设置 > 常规”，确认 WordPress 地址和站点地址都使用最终规范域名，例如统一为 https://www.example.com maybe https://example.com。如果后台进不去，可检查 wp-config.php 是否硬编码了 WP_HOME,WP_SITEURL，以及数据库中 home,siteurl 是否一致。不要一边强制 www，一边在 Cloudflare 又强制非 www。

5. 合并跳转规则。只保留一个地方负责 http 到 https，一个地方负责 www 与非 www 规范化。Cloudflare 的 Always Use HTTPS、Redirect Rules、服务器 Nginx/Apache 规则、WordPress SSL 插件都能做跳转，但不应重复。建议先临时关闭 SSL 插件的自动修复和多余 Page Rules，再逐步恢复必要规则。

6. 检查反向代理协议识别。WordPress 在 Cloudflare 后面时，源站看到的可能是代理请求。部分环境需要正确识别 HTTP_X_FORWARDED_PROTO，否则 WordPress 会误以为当前请求是 HTTP，不断生成 HTTPS 跳转。此处不要随意复制网上代码到生产站，先确认主机环境和现有配置，必要时让主机商处理。

Validation Methods

验证不要只看浏览器能不能打开首页。先用无痕窗口访问 http 根域名、https 根域名、www 与非 www 四种组合，最终都应只跳到一个规范地址。再检查 WordPress 后台、媒体库、Elementor 编辑器、WooCommerce 结账和支付回调路径。浏览器开发者工具 Network 面板可以看到 301/302 链路；如果 http 与 https 来回出现，说明循环仍未解决。Cloudflare 侧还要观察是否出现 525、526，Full (strict) 下这些错误通常指向源站证书或握手问题。

Common Misconceptions

误区一：认为 Cloudflare 证书已启用就等于源站证书没问题。Cloudflare 边缘证书只覆盖访客到 Cloudflare，不等于 Cloudflare 到源站也验证通过。误区二：用 Flexible 加 SSL 插件强行变绿锁，这在 WordPress 上很容易循环。误区三：同时在 Cloudflare、宝塔/主机面板、.htaccess、插件里写多套跳转。误区四：Full 比 Full (strict) “更稳定”。Full 只是更宽松，不验证源站证书有效性，安全性不如 Full (strict)。误区五：只修首页，忘记后台、API、支付回调和 sitemap。

FAQ

Cloudflare Full 可以长期用吗？

能运行不代表最佳。Full 会加密到源站，但不严格校验证书。正式站建议修好源站证书后使用 Full (strict)。

Full Strict 一开就 526 怎么办？

优先查源站证书是否过期、域名是否匹配、证书链是否完整。不要用关闭验证掩盖长期问题，可先短期切 Full 保持访问，再修证书。

Really Simple SSL 还需要吗？

不一定。若服务器和 Cloudflare 已正确处理 HTTPS，SSL 插件可能只是重复跳转。保留前要确认它没有制造额外 301/302。

Internal Link Suggestion

• 链接到：WordPress ERR_TOO_MANY_REDIRECTS 常见原因
• 链接到：Cloudflare 缓存规则怎么排除后台和结账页
• 链接到：WordPress 更换 HTTPS 后图片混合内容修复
• 链接到：WooCommerce 支付回调被 Cloudflare 拦截怎么排查