【導讀】虛擬主機如何配置？別一頭扎進“.htaccess”或“PHP.ini”里猛改。真正有效的配置，是從控制面板里選對開關、填準路徑、配齊權限——就像開車前先調座椅后視鏡，而不是研究發動機原理。

配置起點不是代碼，是“環境畫像”
很多人一上來就想優化性能，卻忘了最基本的事實：你的虛擬主機不是裸機，而是一輛出廠已設定好駕駛模式的智能汽車。它有自己的燃料規格（PHP版本）、限速邏輯（CPU/內存軟限制）、防盜機制（open_basedir路徑鎖定）。

所以第一步，請打開控制面板中的 PHP Selector / MultiPHP Manager，確認三件事：

當前活動PHP版本是否匹配你所用程序的最低要求（如Drupal 10需PHP 8.1+）；
關鍵擴展是否啟用：opcache（提速必需）、imagick（圖片處理更強）、redis（緩存加速）；
錯誤報告級別是否設為 Production（線上環境不應顯示Warning/Error明細）。
? 小技巧：點擊“Reset to Defaults”按鈕并不會清空你的網站，只是恢復PHP全局配置基準線——這是安全試錯的起點。

文件權限不是越大越好，而是“剛剛夠用”
見過太多人為了消除“Upload failed”，把整個 wp-content/ chmod 777。后果往往是：

主機風控系統自動鎖定該賬戶；
黑客利用寫權限注入惡意 shell.php；
WordPress后臺提示“Files are writeable by group/others”。
科學配置法只有四條鐵律：

所有 .php, .html, .css, .js 類文件 → 統一設為 644；
所有目錄（含 public_html, wp-content, plugins）→ 設為 755；
wp-config.php 及其它含數據庫密碼的配置文件 → 單獨改為 600；
上傳專用目錄（如 /wp-content/uploads/）→ 可設為 755，但禁止執行腳本（通過 .htaccess 加 Deny from all 控制）。
一句話記住：能讓程序讀寫的，就別讓它能刪；能讓它刪的，就別讓它能執行。

HTTPS不是點綴，是配置必選項
很多用戶直到被Chrome標紅才想起配SSL。其實早在建站第一天，就應該把它納入初始化流程。

正確操作順序如下：

在控制面板中找到 Security → SSL/TLS → Install Certificate, 點擊 “Install Let’s Encrypt”；
勾選你要保護的所有域名（含 www 和 non-www 版本），提交后等待1–2分鐘；
返回 Domains → Manage Redirects, 啟用 “Force HTTPS” 并選擇 “All Domains”；
（WordPress用戶追加）登錄后臺 → Settings → General → 把 Site Address 和 WordPress Address 全部改成 https://...。
?? 注意：若跳轉后出現混合內容警告（Mixed Content），說明頁面中仍有 http:// 開頭的 CSS/JS/image 請求——此時要去主題 header.php 或插件設置里逐一替換協議頭，而非退回HTTP。