In juli 2018 begon Google Chrome alle niet-HTTPS sites te markeren als ‘Niet beveiligd’ (Not Secure), ongeacht of ze data verzamelden of niet. Sindsdien is HTTPS belangrijker dan ooit!
In dit artikel gaan we uitgebreid kijken naar een HTTP naar HTTPS migratie en delen we praktische tips om hopelijk de overgang voor jouw WordPress site zo soepel mogelijk te laten verlopen. Voor eigenaars van WordPress sites is het altijd goed om proactief te zijn.
Door nieuwe webprotocollen, SEO voordelen en nog nauwkeurigere verwijzingsgegevens, is er nog nooit een beter moment geweest om je WordPress site te migreren naar HTTPS. Lees hieronder meer over het waarom en hoe.
Wat is HTTPS?
HTTPS (Hyper Text Transfer Protocol Secure) is een mechanisme waarmee jouw browser of webapplicatie veilig verbinding kan maken met een website. HTTPS is een van de maatregelen om je surfgedrag veilig te houden.
Denk hierbij aan het inloggen op je bankwebsite, het vastleggen van creditcardgegevens en zelfs inloggen op de backend van je WordPress site. HTTPS op je WordPress website vereist dat je een SSL certificaat voor versleuteling hebt. Dit zorgt ervoor dat er nooit gegevens in platte tekst worden doorgegeven.
Volgens BuiltWith maakte in maart 2022 73,08% van de top 10.000 websites gebruik van HTTPS. Dat is een stijging ten opzichte van de 49,8% in februari 2018:
In mei 2022 rapporteerde MozCast dat meer dan 98,9% van de zoekopdrachten via HTTPS verloopt, een stijging ten opzichte van 26% in januari 2016. Dit wijst erop dat veel sites van HTTP naar HTTPS migreren.
Zelfs Google dringt aan op 100% encryptie voor al zijn producten en diensten. In mei 2022 verliep ongeveer 95% van het verkeer naar Google via HTTPS, tegenover 48% in december 2013.
Volgens de telemetriegegevens van Firefox en de statistieken van Let ’s Encrypt is meer dan 78% van de pagina’s nu HTTPS.
Waarom zou je je zorgen moeten maken over HTTPS?
Er zijn heel wat redenen waarom eigenaars van WordPress websites zich zouden moeten bekommeren om HTTPS en zouden moeten nadenken over een migratie van HTTP naar HTTPS, liever nu dan later.
1. Beveiliging
De grootste reden voor HTTPS is natuurlijk de extra veiligheid. Je levert je website immers via een versleutelde SSL/TLS-verbinding door te migreren van HTTP naar HTTPS. Dit betekent dat gegevens en informatie niet langer in platte tekst worden doorgegeven. Voor eCommerce sites die creditcardgegevens verwerken, is dit een must-have. Het is technisch gezien niet wettelijk verplicht, maar het is je verantwoordelijkheid als bedrijf om de gegevens van je klanten te beschermen.
Dit geldt ook voor je WordPress inlogpagina ’s of blogs. Als je multi-auteur WordPress websites over HTTP laat lopen, wordt elke keer dat iemand inlogt, die informatie in platte tekst aan de server doorgegeven. HTTPS is van vitaal belang voor het behoud van een veilige website- en browserverbinding. Op deze manier kun je dus beter voorkomen dat hackers toegang krijgen tot je website.
2. SEO
Google heeft officieel gezegd dat HTTPS een rankingfactor is. Hoewel het slechts een kleine rankingfactor is, zouden de meesten van je waarschijnlijk elk voordeel grijpen dat je in de SERP’s kunt krijgen om je concurrenten te verslaan.
Als gevolg van Google’s wens voor iedereen om HTTP om te leiden naar HTTPS, kunt je er zeker van zijn dat het gewicht van deze rankingfactor in de toekomst zal toenemen. Uit een onderzoek van Semrush is gebleken dat 98% van de best presterende Feature Snippets op Google HTTPS gebruikt.
3. Vertrouwen en geloofwaardigheid
Volgens recente studies maken de meeste internetgebruikers zich zorgen over de manier waarop hun gegevens online worden onderschept of misbruikt.
HTTPS kan je bedrijf helpen door het opbouwen van wat wij SSL vertrouwen noemen. Als je klanten het hangslotpictogram naast je URL zien, zullen ze met een geruster hart weten dat hun gegevens beter beveiligd zijn.
4. Verwijsgegevens
Deze reden is voor alle marketeers. Als je Google Analytics gebruikt, ben je waarschijnlijk bekend met verwijzingsgegevens (referral data). Veel mensen beseffen niet dat HTTPS naar HTTP verwijzingsgegevens worden geblokkeerd in Google Analytics. Wat gebeurt er met de gegevens? Het meeste wordt gewoon op één hoop gegooid met het “direct verkeer” gedeelte. De referrer wordt nog steeds doorgegeven als iemand van HTTP naar HTTPS gaat.
Dit is belangrijk omdat als je doorverwijzingsverkeer plotseling is gedaald, maar het directe verkeer is gestegen, dit kan betekenen dat een van je grotere doorverwijzers onlangs is gemigreerd naar HTTPS. Het omgekeerde is ook waar.
5. Chrome waarschuwingen
Sinds 2018 markeren versies van Chrome 68 en hoger alle niet-HTTPS sites als “Not Secure”, zelfs als ze geen gegevens verzamelen:
In 2021, begon de browser standaard naar HTTPS te schakelen voor onvolledige URL’s. Als een gebruiker bijvoorbeeld ‘domein.com’ typt, gebruikt Chrome automatisch ‘HTTPS://domein.com’. Als HTTPS mislukt omdat SSL/TLS ontbreekt, wordt teruggegrepen naar HTTP.
Chrome heeft meer dan 77% van het marktaandeel van browsers in handen, dus dit zal gevolgen hebben voor veel van je bezoekers. Ook kan je controleren welke browsers je bezoekers gebruiken in Google Analytics onder Audience > Technology > Browser & OS:
Google maakt het bezoekers duidelijk dat je WordPress website mogelijk niet op een beveiligde verbinding draait. Hier zijn enkele tips van Google over hoe je de waarschuwing kunt vermijden.
Ook Firefox volgde dit voorbeeld met de release van Firefox 51 in 2017, waarbij een grijs hangslot met een rode lijn wordt getoond voor niet-beveiligde sites die wachtwoorden verzamelen. Als je je hele site naar HTTPS migreert, hoef je je hier natuurlijk geen zorgen over te maken:
Je kunt ook de volgende waarschuwingen krijgen van Google Search Console als je nog niet bent gemigreerd naar HTTPS:
To: owner of http://www.domain.com
De volgende URL’s bevatten invoervelden voor wachtwoorden of creditcardgegevens die de nieuwe Chrome waarschuwing activeren. Bekijk deze voorbeelden om te zien waar deze waarschuwingen verschijnen en je kunt actie ondernemen om de gegevens van gebruikers te beschermen. De lijst is niet uitputtend.
http://www.domain.com
De nieuwe waarschuwing is de eerste fase van een langetermijnplan om alle pagina’s die via het niet-versleutelde HTTP protocol worden aangeboden, te markeren als ‘Not Secure’.
6. Prestaties
Last but not least hebben we prestaties. Als gevolg van een protocol genaamd HTTP/2, kunnen degenen die goed geoptimaliseerde sites via HTTPS uitvoeren vaak snelheidsverbeteringen zien.
Vanwege browserondersteuning is HTTPS vereist om HTTP/2 te draaien. De prestatieverbetering is te danken aan verschillende redenen, zoals het feit dat HTTP/2 betere multiplexing, parallellisme, HPACK compressie met Huffman codering, de ALPN extensie, en server push kan ondersteunen. Vroeger was er nogal wat TLS overhead bij HTTPS, maar dat is nu veel minder.
TLS 1.3 is ook uitgebracht, wat HTTPS verbindingen nog sneller maakt! Kinsta ondersteunt TLS 1.3 op al onze servers en onze Kinsta CDN.
Het is ook belangrijk op te merken dat optimalisaties van de webprestaties, zoals domain sharding en concatenation, je prestaties kunnen schaden. Deze zijn nu verouderd en zouden, voor het grootste deel, niet meer gebruikt mogen worden.
Alles op het web zou standaard versleuteld moeten zijn. – Jeff Atwood, mede-oprichter van Stack Overflow
HTTP naar HTTPS migratiegids
Het is tijd voor het leuke gedeelte: het migreren van je WordPress site van HTTP naar HTTPS. Laten we eerst enkele basisvereisten bespreken, plus een aantal dingen om je bewust van te zijn.
- Je hebt een SSL certificaat nodig. Hieronder gaan we daar dieper op in.
- Dubbelcheck of je WordPress host en CDN provider HTTP/2 ondersteunen. Kinsta biedt HTTP/2 ondersteuning voor al onze klanten. Dit is niet vereist, maar je wilt dit wel voor de prestaties.
- Je wil wat tijd reserveren om HTTP om te leiden naar HTTPS. Migratie is niet iets dat in 5 minuten gedaan kan worden.
- Dubbelcheck of alle externe services en scripts die je gebruikt een HTTPS versie beschikbaar hebben.
- Het is belangrijk te weten dat je social share counts op al je artikelen en pagina’s zult verliezen, tenzij je een plugin gebruikt die share recovery ondersteunt. Dit komt omdat de share count gebaseerd zijn op een API die kijkt naar de HTTP versie, en je geen controle hebt over externe sociale netwerken.
- Afhankelijk van de grootte van je site kan het even duren voordat Google al je nieuwe HTTP pagina’s en -berichten opnieuw heeft gecrawld. Tijdens deze periode zou je schommelingen in het verkeer of in de rankings kunnen zien.
- Vergeet ook lokale citaten niet.
We raden je aan om je CDN integratie uit te schakelen en alle cachingplugins uit te schakelen voordat je begint, omdat dit de zaken kan compliceren.
1. Een SSL certificaat kiezen
Het allereerste wat je moet doen is een SSL certificaat aanschaffen als je er geen hebt. Er zijn drie primaire soorten certificaten waaruit je kan kiezen:
- Domain Validation: een enkel domein of subdomein (e-mail of DNS validatie), afgegeven binnen enkele minuten. Deze kunnen meestal worden gekocht voor zo laag als $9 per jaar.
- Business/Organization Validation: voor één domein of subdomein is een bedrijfsverificatie vereist die een hoger niveau van beveiliging/vertrouwen biedt, afgegeven binnen 1-3 dagen.
- Extended Validation: Voor één domein of subdomein is een bedrijfsverificatie vereist die een hoger niveau van beveiliging/vertrouwen biedt, afgegeven binnen 2-7 dagen.
Bij Kinsta bieden we gratis Cloudflare SSL’s voor alle sites via onze Cloudflare integratie. Onze Cloudflare SSL’s worden automatisch uitgegeven nadat je een domein in MyKinsta hebt geconfigureerd, en ze worden zelfs geleverd met ondersteuning voor wildcard domeinen!
Google raadt het gebruik van een 2048-bits sleutelcertificaat of hoger aan. Je kan certificaten kopen bij Comodo, DigiCert, GeoTrust, Thawte, Rapid SSL of Trustwave. Er zijn ook goedkopere alternatieven zoals GoGetSSL, Namecheap, en GoDaddy.
Let’s Encrypt
Let’s Encrypt biedt ook een manier om gratis SSL certificaten te krijgen. Neem contact op met je WordPress host en CDN provider om te zien of ze een Let ’s Encrypt integratie hebben. Je kan ook de gids van Certbot volgen om ze handmatig te installeren. Let’s Encrypt-certificaten verlopen elke 90 dagen, dus het is essentieel om een geautomatiseerd systeem te hebben.
2. Je eigen SSL certificaat installeren
Als je een SSL certificaat hebt aangeschaft, moet je het SSL certificaat op je WordPress site installeren. Je wordt gevraagd het servertype op te geven wanneer je het certificaat bij de leverancier opzet. Als je een Kinsta klant bent, zijn onze webservers Nginx. Als die optie niet beschikbaar is, dan werkt Other ook.
De SSL provider heeft een CSR code nodig om het certificaatbestand aan te maken/te ondertekenen. Voor het genereren van een CSR code en RSA sleutel vul je het volgende formulier in: HTTPS://www.ssl.com/online-csr-and-key-generator/.
We raden je aan elk veld in te vullen, maar in ieder geval het volgende in te vullen (zoals te zien in de onderstaande schermafbeelding):
- Common name (domain name)
- Email Address
- Organization
- City / Locality
- State / County / Region
- Country
Opmerking: Als je een wildcard-certificaat genereert, moet je voor het veld common name je domeinnaam invoeren, bijvoorbeeld *.domein.com.
Het formulier zal je private key bestand en het CSR genereren. Zorg ervoor dat je ze allebei bewaart, aangezien het certificaat zonder beide onbruikbaar zal zijn:
Upload vervolgens je CSR bij je SSL provider om je SSL certificaat (.cert) te regenereren.
Je moet dan naar je WordPress host gaan en hem het certificaat en de private key geven. Als je een Kinsta klant bent, kun je inloggen op het dashboard en op een site klikken. Ga vervolgens naar het tabblad Domeinen en selecteer je domein, gevolgd door de knop Aangepast SSL:
Vervolgens kun je daar je private key en certificaat toevoegen:
Als je klaar bent, selecteer je Certificaat toevoegen om je wijzigingen op te slaan.
3. Je SSL certificaat verifiëren
Nu je je SSL certificaat hebt geïnstalleerd, moet je het verifiëren om ervoor te zorgen dat alles correct is ingesteld. Een snelle en gemakkelijke manier om dit te doen is de gratis SSL check tool van Qualys SSL Labs. Als alles juist is, moet je een A krijgen voor de test, zoals hieronder aangegeven:
Bekijk onze uitgebreidere tutorial over het uitvoeren van een SSL check.
4. HTTP omleiden naar HTTPS
Nadat je je SSL certificaat hebt geverifieerd, moet je vervolgens al het HTTP verkeer permanent omleiden naar HTTPS. Er zijn een paar opties bij het omleiden van HTTP naar HTTPS in WordPress.
Als je een Kinsta klant bent, is het gebruik van onze HTTPS Forceren tool de eenvoudigste methode. Hiermee kun je HTTP verkeer automatisch omleiden naar HTTPS met een paar klikken – op serverniveau. Je kunt het ook handmatig doen in de configuratie van je webserver of met een gratis WordPress plugin.
Opmerking: onze voorbeelden bevatten allemaal een 301 redirect directive, wat de juiste manier is om deze met betrekking tot SEO te implementeren. Als je een ander type omleiding gebruikt, dan kan dit je rankings in gevaar brengen. Het is ook essentieel om te weten dat 301 redirects misschien niet 100% van het “link juice” doorgeven, ook al zegt Google van wel. Bekijk dit bericht van Cyrus bij Moz over HTTPS migraties en 301 redirects.
Optie 1: HTTP omleiden naar HTTPS op MyKinsta
Als je een Kinsta gebruiker bent, kun je gemakkelijk HTTP omleiden naar HTTPS met MyKinsta. Dit is een uitstekende optie omdat het niet nodig is een plugin op je site te installeren.
Om te beginnen log je in op het MyKinsta dashboard, blader je door je site en klik je op Tools.
Selecteer vervolgens de knop Inschakelen onder HTTPS forceren:
Je kan je primaire domein als bestemming kiezen of een alternatief domein instellen. Klik vervolgens op HTTPS forceren:
Als je aangepaste HTTPS regels hebt geconfigureerd of externe proxy’s hebt gebruikt, kun je problemen ondervinden bij het forceren van HTTPS. Als je fouten tegenkomt, kun je het forceren van HTTPS uitschakelen en vervolgens contact opnemen met Kinsta ondersteuning voor hulp.
Optie 2: HTTP omleiden naar HTTPS in Nginx
Als je webserver Nginx gebruikt, kun je HTTP eenvoudig omleiden naar HTTPS door de volgende code toe te voegen aan je Nginx configuratiebestand:
server {
listen 80;
server_name domain.com www.domain.com;
return 301 https://domain.com$request_uri;
}
Dit is de aanbevolen methode voor het omleiden van WordPress die op Nginx draait.
HTTP omleiden naar HTTPS in Apache
Als je webserver Apache draait, kun je al je HTTP verkeer omleiden naar HTTPS door de volgende code toe te voegen aan je .htaccess bestand:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Dit is de aanbevolen methode voor het omleiden van WordPress die op Apache draait.
Geen van Kinsta’s servers draait op Apache.
Optie 3: HTTP omleiden naar HTTPS met de Really Simple SSL plugin
De derde optie die je hebt om van HTTP naar HTTPS om te leiden is om de gratis WordPress Really Simple SSL plugin te gebruiken:
We raden deze methode niet aan als een permanente oplossing, omdat externe plugins een extra laag van problemen en compatibiliteitsproblemen kunnen introduceren. Het is een goede tijdelijke oplossing, maar je zou eigenlijk je hard-coded HTTP links moeten updaten, zoals we je in de volgende stap zullen tonen.
HSTS header implementeren (optioneel)
HSTS (HTTP Strict Transport Security) is een beveiligingsheader die je toevoegt aan je webserver en die de browser dwingt om beveiligde verbindingen te gebruiken wanneer een site over HTTPS loopt. Dit kan helpen om man-in-the-middle-aanvallen (MitM) en het kapen van cookies te voorkomen. Je kan de bovenstaande 301 redirects gebruiken samen met de HSTS header. Bekijk ons uitgebreide artikel over het toevoegen van HSTS.
5. Op te veel redirects controleren
Nadat je een redirect van HTTP naar HTTPS hebt toegevoegd, doe dan een extra check om te kijken of je niet te veel redirects hebt. Dit probleem komt vrij vaak voor en kan de snelheid van je WordPress site beïnvloeden. U kunt Patrick Sexton’s Redirect mapper tool gebruiken om snel te zien hoeveel redirects je op je site heeft.
Hieronder zie je een voorbeeld van redirects die verkeerd zijn ingesteld. Dit is gemakkelijk op te sporen bij gebruik van de redirect mapper:
Je kan zien dat er dubbele HTTPS redirects plaatsvinden op zowel de www als de niet-www versies.
Hieronder staat een voorbeeld van correct ingestelde redirects:
Zoals je kunt zien, is er maar één redirect. Bekijk ons gedetailleerd artikel over WordPress redirects en de beste tips om je website sneller te maken.
6. De hard-coded HTTP links bijwerken
Nu dat je redirects hebt, is het tijd om al die hard-coded HTTP URLs te repareren. Over het algemeen is het niet aan te bevelen om hard-coded URL’s te gebruiken. Maar na verloop van tijd zal je dat waarschijnlijk wel doen (we doen het allemaal). Hieronder staan een paar opties voor het bijwerken van je HTTP links naar HTTPS.
Optie 1: Kinsta Zoek en Vervang tool
Als je een Kinsta klant bent, hebben we een makkelijk te gebruiken Zoek en Vervang tool in ons MyKinsta dashboard:
Hier zijn eenvoudige stappen om HTTPS URL’s naar HTTPS bij te werken:
- Voer in het zoekveld de waarde in waarnaar je in de database wilt zoeken, in dit geval is dat ons HTTP domein: http://kinstalife.com.
- In het veld “Vervang met” kan je nu de waarde opgeven waarmee je de waarde waarnaar je net zocht wil vervangen. In dit geval is het ons HTTPS domein, HTTPS://kinstalife.com.
- Klik op de knop Vervang om het zoek- en vervangingsproces te starten.
Bekijk onze handleiding over zoeken en vervangen, of klik op de videogids hieronder voor meer details.
Optie 2: Better Search Replace plugin
Een andere eenvoudige tool die je kunt gebruiken is een gratis plugin genaamd Better Search Replace door het WordPress team van Delicious Brains:
De plugin gratis te gebruiken. Eenmaal geïnstalleerd en geactiveerd op je site, kun je navigeren naar Tools > Better Search Replace om het te beginnen gebruiken.
Option 3: interconnect/it Search Replace DB PHP script
Een derde optie voor het uitvoeren van een WordPress zoeken en vervangen is het gebruik van een gratis PHP script van interconnect/it genaamd Search Replace DB. Dit is een van onze favoriete tools voor elke HTTP naar HTTPS migratie.
Belangrijk! Het gebruik van dit script kan je WordPress website kapot maken als je niet weet wat je doet. Als je niet zeker weet of je het goed doet, neem dan eerst contact op met een ontwikkelaar.
Om het script te gebruiken, download je gewoon het ZIP bestand, extract je de map genaamd search-replace-db-master en hernoem je deze naar iets anders. In ons voorbeeld hernoemen we het naar update-db-1551. Upload het vervolgens naar de openbare map van je webserver via FTP, SFTP of SCP. Dit is meestal dezelfde map die je /wp-content map bevat.
Navigeer vervolgens naar je geheime map in je browser, zoals HTTPS://domein.com/update-db-1551:
Het script zal automatisch proberen om het databaseveld te vinden en te vullen, maar je wel moet controleren of de gegevens correct zijn en dat het voor de database is waarop je een zoek-/vervangbewerking wilt uitvoeren. Je kunt eerst op Dry Run klikken om te zien wat het gaat updaten/vervangen. Wanneer je klaar bent, klik dan op Live Run, die de database-updates en de WordPress zoek en vervanger zal uitvoeren.
Een voorbeeld van een HTTPS migratie zou zijn om ‘http://jedomein.com’ te vervangen door ‘HTTPS://jedomein.com’.
Om veiligheidsredenen is het ook van cruciaal belang dat je dit script verwijdert nadat je klaar bent. Je kunt hiervoor op de knop Delete me klikken. Als je dit niet doet, kan het je website open laten staan voor aanvallen.
Het wordt ook aangeraden om je webserver te controleren en te bevestigen dat de map/het script volledig is verwijderd. Opmerking: Dit script werkt al je vermeldingen in je database bij, inclusief de URL van je WordPress site, hardcoded links op pagina’s en berichten, enz.
Als je in je wp-config.php bestand je home-, site- of WP contentgebieden hard hebt gecodeerd, moet je deze bijwerken naar HTTPS:
define('WP_HOME', 'https://yourdomain.com');
define('WP_SITEURL', 'https://yourdomain.com');
define( 'WP_CONTENT_URL', 'https://yourdomain.com/wp-content' );
Als je een CDN hebt en een CNAME gebruikt, zoals cdn.domein.com, zul je waarschijnlijk ook het bovenstaande script een tweede keer willen uitvoeren om een zoekopdracht uit te voeren voor alle hard-coded http://cdn.domein.com URL’s en deze te vervangen door HTTPS://cdn.domein.com.
Optie 4: zoeken en vervangen met WP-CLI
Je kunt je links ook bijwerken met WP-CLI voor de meer technisch onderlegde mensen en ontwikkelaars die de command line graag gebruiken. We raden aan deze geavanceerde gids te bekijken om met WP-CLI te zoeken en vervangen.
7. Updaten scripts en externe libraries
Nu je je oude hard-coded URL’s hebt bijgewerkt, wil je alle custom scripts of externe libraries checken die je aan je header, footer, etc. hebt toegevoegd. Dit kan onder meer Google jQuery, Font Awesome, CrazyEgg, AdRoll, Facebook, Hotjar, enz. zijn.
Voor Google jQuery zou je het gewoon willen bijwerken zodat deze naar de HTTPS versie verwijst:
<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js"></script>
Elke provider en dienst zou een HTTPS versie moeten hebben waarnaar je kunt overschakelen.
8. CDN van HTTP naar HTTPS migreren
Als je een CDN gebruikt, wil je deze ook migreren naar HTTPS. Anders kom je Mixed-content waarschuwingen tegen op je WordPress site. Als je Kinsta CDN gebruikt, kun je deze stap overslaan, omdat alles standaard loopt vanuit onze Cloudflare CDN die standaard via HTTPS loopt.
Cloudflare CDN alternatieven
Er zijn tal van opties als je op zoek bent naar een Cloudflare CDN alternatief. Een van de meest populaire is KeyCDN.
Dit krachtige CDN versnelt de levering van de inhoud van je website aan bezoekers door deze inhoud op servers wereldwijd te cachen. Het biedt ook beveiliging en bescherming tegen DDoS aanvallen en andere bedreigingen.
Twee extra opties zijn Amazon CloudFront, onderdeel van Amazon Web Services (AWS), en Sucuri, dat helpt bij het optimaliseren van websiteprestaties en -snelheid. Ze worden geleverd met een breed scala aan beveiligingsfuncties.
Hier zijn enkele nuttige links en handleidingen over het installeren en instellen van SSL voor verschillende externe CDN aanbieders.
- SSL instellen op KeyCDN
- SSL instellen op Cloudlare (wij raden Full SSL aan)
- SSL instellen op MaxCDN
- SSL instellen op Amazon Cloudfront
Opmerking: Sommige hebben zelfs een Let’s Encrypt integratie, wat betekent dat SSL gratis is. Als je problemen ondervindt, kun je altijd contact opnemen met je CDN provider om te helpen met je HTTP naar HTTPS migratie.
Zodra je het CDN hebt bijgewerkt, moet je ervoor zorgen dat je dit bijwerkt in de WordPress plugin die je gebruikt voor de integratie. In het onderstaande voorbeeld gebruiken we CDN Enabler:
We wijzigen de URL van HTTP naar HTTPS en schakelen de optie CDN HTTPS onderaan in. Als je klaar bent, selecteer je de knop Save Changes.
9. Je website op Mixed Content waarschuwingen controleren
Vervolgens wil je je WordPress site controleren om er zeker van te zijn dat je geen Mixed Content waarschuwingen krijgt. Deze waarschuwingen verschijnen bij het laden van HTTPS en HTTP scripts of inhoud. Je kunt ze niet allebei laden.
Wanneer je migreert naar HTTPS, moet alles via HTTPS lopen. Wired documenteerde hun overgang van HTTP naar HTTPS en een probleem dat ze tegenkwamen:
een van de grootste uitdagingen bij de overstap naar HTTPS is het voorbereiden van al onze content die via beveiligde verbindingen kan worden geleverd. Als een pagina via HTTPS wordt geladen, moeten alle andere assets (zoals afbeeldingen en Javascript bestanden) ook via HTTPS worden geladen. We zien een groot aantal meldingen van deze ‘mixed content’ problemen, of gebeurtenissen waarbij een onveilig HTTP actief wordt geladen in de context van een beveiligde HTTPS pagina. Om onze rollout goed te doen, moeten we ervoor zorgen dat we minder mixed content problemen krijgen – dat we zoveel mogelijk van de inhoud van WIRED.com zo veilig mogelijk leveren.
Hieronder staan enkele voorbeelden van wat er in de browsers gebeurt als je deze waarschuwingen niet verhelpt.
Voorbeeld Chrome waarschuwing Mixed Content
Hier is een voorbeeld van wat er gebeurt in Chrome wanneer een waarschuwing voor mixed content aan je geeft:
Voorbeeld van Firefox Mixed Content
Hier is een voorbeeld van wat er in Firefox gebeurt als een mixed-content waarschuwing afgaat:
Voorbeeld Internet Explorer Mixed Content waarschuwing
Hier is een voorbeeld van wat er in Internet Explorer gebeurt als een waarschuwing voor Mixed Content wordt getriggerd:
Zoals je kan zien, is IE waarschijnlijk een van de ergste omdat het de rendering van de pagina onderbreekt tot op de popup geklikt wordt.
Er is een geweldige gratis tool genaamd SSL Check van JitBit, die je kan gebruiken om snel je website of URL te scannen op niet-veilige inhoud. De tool doorzoekt je HTTPS WordPress site en zoekt naar niet-beveiligde afbeeldingen, scripts en CSS bestanden die een waarschuwingsbericht in browsers activeren. Het aantal gecrawlde pagina’s is beperkt tot 200 per website.
Je kunt ook Chrome DevTools gebruiken om snel een pagina te controleren door naar het paneel met Network Requests te kijken. Het Security paneel is ook best nuttig. Je kan onmiddellijk een niet-beveiligde origin zien en vervolgens op de Requests klikken om te zien waar ze vandaan komen:
Er is ook desktopsoftware genaamd HTTPS Checker die je kunt installeren om je site te scannen:
Na belangrijke wijzigingen kan het je helpen te controleren op “Not Secure” waarschuwingen en inhoud. Het is beschikbaar op Windows, Mac en Ubuntu. Met het gratis abonnement kun je tot 100 pagina’s controleren.
10. Google Search Console profiel bijwerken
Nu je WordPress site op HTTPS draait (hopelijk geen waarschuwingen), is het tijd om in de marketingkant te duiken. Sommige van deze zijn erg belangrijk, dus sla ze niet over!
Je wil eerst een nieuw Google Search Console profiel maken voor de HTTPS-versie.
Nadat je de nieuwe HTTPS versie hebt gemaakt, wil je je sitemapbestanden opnieuw indienen. De nieuwe HTTPS versies:
Je moet dit opnieuw indienen als je een disavow bestand hebt van slechte backlinks of een straf. Je kunt je site permanent beschadigen als je dit nu niet doet.
Ga naar Google’s Disavow Tool en klik op je originele HTTP profiel. Download het disavow bestand als het bestaat. Ga dan terug naar de tool en dien je disavow bestand in onder de HTTPS versie.
Opmerking: Nadat je dit alles hebt gedaan, kunt je het HTTP profiel veilig verwijderen in Google Search Console.
11. Bing Webmaster Tools
Bing Webmaster Tools is een beetje anders dan Google Search Console:
Je hoeft geen nieuw HTTPS profiel aan te maken. In plaats daarvan kun je gewoon je nieuw aangemaakte HTTPS sitemap indienen.
12. Google Analytics
Vervolgens moet je je Google Analytics property en weergave bijwerken. Dit zal geen invloed hebben op je analytische gegevens: het zal simpelweg helpen bij het koppelen van je site aan Google Search Console, enz.
Om je property te updaten, klik je in de instellingen van uw domein property en, onder de default URL, verander deze naar de HTTPS:// versie:
Om je weergave bij te werken, klik je op de View instellingen van je domein. Onder de URL van de website, verander deze in de HTTPS:// versie:
Ook wil je je nieuw gemaakte Google Search Console profiel dat je in stap 8 hebt gemaakt, opnieuw koppelen aan je Google Analytics account. Om dit te doen, klik je op de property instellingen van je domein en selecteert je vervolgens Adjust Search Console:
Vervolgens kun je je nieuwe HTTPS GSC profiel koppelen. Door deze gegevens aan elkaar te koppelen, kunnen zoekgegevens naar je Google Analytics account worden doorgestuurd.
13. YouTube kanaal
Als je een YouTube kanaal hebt, wil je je website opnieuw koppelen aan je nieuwe HTTPS versie in Google Search Console. Anders krijg je fouten met annotaties en andere berichten dat de HTTPS link ongeldig is.
Klik in je YouTube dashboard op je kanaal en vervolgens op Advanced. Wijzig vervolgens je domein naar de nieuwe HTTPS versie en klik op Add. Mogelijk moet je de oude verwijderen en vervolgens opnieuw toevoegen. Je moet het vervolgens goedkeuren door naar Google Search Console te gaan, in je berichten voor die site te navigeren en Approve te selecteren.
14. Diversen
Dat is het wel zo’n beetje als het gaat om je HTTP naar HTTPS migratie! Hier zijn nog wat andere items die je ook wilt bijwerken. Sommige hiervan kunnen al dan niet van toepassing zijn, afhankelijk van wat je gebruikt.
- Zorg ervoor dat je robots.txt toegankelijk is en werkt.
- Zorg ervoor dat canonieke tags verwijzen naar de HTTPS versie (dit had al moeten gebeuren als je stap 4 hierboven hebt gevolgd).
- Als je een commentplugin zoals Disqus gebruikt, moet je je Disqus reacties migreren van HTTP naar HTTPS.
- Werk je URL’s bij in je e-mailmarketingsoftware
- Werk PCC Ad URL’s bij: AdWords, Bing Ads, AdRoll, Facebook Ads, tc.
- Werk je socialmedialinks bij (Facebook pagina, Twitter bio, Pinterest, Google+, etc.)
Samenvatting
HTTPS is niet alleen een Google rankingfactor. Het is een essentieel veiligheidsprotocol dat helpt je website en bezoekers te beschermen tegen aanvallen.
Als je hebt getreuzeld om over te schakelen op HTTPS, dan heeft dit artikel je hopelijk een stimulans gegeven om eindelijk de sprong te wagen. Ben je klaar om de stap te zetten? Als je onderweg hulp nodig hebt, staat ons team van experts voor je klaar.
Heb je vragen over HTTP naar HTTPS migratie? Laat het ons weten in de reacties hieronder!
Laat een reactie achter