Vanaf 24 juli 2018 markeert Google Chrome alle niet-HTTPS-sites als ‘Niet veilig’. Ongeacht of ze gegevens verzamelen of niet. Daarom is HTTPS belangrijker dan ooit!

In de blog van vandaag kijken we uitgebreid naar een HTTP-naar-HTTPS-migratie en delen we relevante tips om de overgang van jouw WordPress site hopelijk zo soepel mogelijk te laten verlopen. Zoals sommigen van jullie wellicht weten, heeft Google hard gewerkt aan hun doelstelling om iedereen naar een veiliger internet te brengen. Voor eigenaren van WordPress sites is het altijd geweldig als je proactief kunt zijn.

Vanwege nieuwe protocollen, SEO voordelen en nog nauwkeurigere referral data, is er nog nooit een betere tijd geweest om te migreren naar HTTPS. Lees meer over het waarom en hoe hieronder.

Wat is HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) is een mechanisme waarmee jouw browser of web-toepassing veilig verbinding kan maken met een website. HTTPS is een van de maatregelen om surfen veilig te houden. Dit bevat zaken zoals inloggen op de website van jouw bank, het vastleggen van creditcard informatie en zelfs het inloggen op de back-end van jouw WordPress site. HTTPS op jouw WordPress website vereist dat je een SSL-certificaat voor codering heeft. Dit zorgt ervoor dat er nooit gegevens in platte tekst worden verstuurd.

Volgens Builtwith gebruikt 49.8% van de top 10.000 websites sinds Februari 2018 HTTPS. Dat was 5.68% in September 2015.

HTTPS gebruik van Top Websites

HTTPS gebruik van Top Websites

MozCast rapporteert dat in Februari 2018 77% van de zoekopdrachten via HTTPS verlopen. Dit was 26% in Januari 2016. Dit geeft aan dat er veel websites migreren van HTTP naar HTTPS.

MozCast HTTPS query’s

MozCast HTTPS query’s

Zelfs Google pusht zichzelf richting de 100% encryptie voor al hun producten en services. Sinds Januari 2018 is ongeveer 91% van het verkeer naar google via HTTPS. Dit was 48% in December 2013.

HTTPS verkeer bij Google

HTTPS verkeer bij Google

En volgens Firefox telemeter data en statistieken van Let’s Encrypt worden nu meer dan 66% van de pagina’s over HTTPS geladen.

Waarom zou jij iets moeten geven om HTTPS?

Er zijn best wat redenen waarom eigenaren van WordPress websites zouden moeten geven om HTTPS en ze zouden eerder dan later moeten nadenken over het migreren van HTTP naar HTTPS.

1. Veiligheid

De grootste reden voor HTTPS is natuurlijk de toegevoegde beveiliging. Door te migreren van HTTP naar HTTPS, serveer je jouw website via een gecodeerde SSL/TLS verbinding. Dit betekent dat gegevens en informatie niet langer in platte tekst worden doorgegeven. Voor eCommerce sites die creditcard gegevens verwerken, is dit een must-have. Het is technisch niet wettelijk verplicht, maar het is jouw verantwoordelijkheid als bedrijf om de persoonlijke gegevens van je klant te beschermen.

Naast eCommerce kan dit zelfs van toepassing zijn op jouw WordPress inlogpagina’s op blogs. Vooral voor diegenen onder je die meerdere-auteur WordPress websites hebben, als je over HTTP draait, telkens wanneer een persoon inlogt, wordt die informatie in platte tekst aan de server aangeboden. HTTPS is absoluut noodzakelijk voor het onderhouden van een veilige verbinding tussen een website en een browser. Op deze manier kan je beter voorkomen dat hackers en of een tussenpersoon toegang krijgen tot jouw website.

2. SEO

Google heeft officieel gezegd dat HTTPS een ranking factor is. Ondanks het slechts een kleine factor is, zouden de meeste van jullie waarschijnlijk elke voordeel nemen dat je kunt krijgen in SERP’s om je concurrenten te verslaan. Vanwege Google’s push aan iedereen om te migreren naar HTTPS, kan je er zeker van zijn dat het gewicht van deze ranking factor in de toekomst zal toenemen. Hier is een geweldig artikel over de impact van TLS/SSL op rankings.

En kijk eens naar enkele andere gegevens rondom SEO en HTTPS! Matthew Barby heeft een analyse van 1 miljoen URL’s uitgevoerd en ontdekte dat meer dan 33% van alle pagina’s die 1, 2 of 3 ranken in Google HTTPS gebruiken.

HTTPS gebruik versus Google Ranking

HTTPS gebruik versus Google Ranking

3. Vertrouwen en Geloofwaardigheid

Volgens een enquête van GlobalSign zoekt 28,9% van de bezoekers naar de groene adresbalk in zijn browser. En 77% van hen maakt zich zorgen over het feit of hun gegevens online worden onderschept of misbruikt.

https address bar

HTTPS kan jouw bedrijf helpen door wat wij SSL-vertrouwen noemen op te bouwen. Door dat groene hangslot te zien, hebben klanten meteen meer gemoedsrust in de wetenschap dat hun gegevens veiliger zijn.

4. Referral Gegevens

Deze reden is voor alle marketeers. Als je Google Analytics gebruikt, ben je waarschijnlijk bekend met verwijzingsgegevens. Wat veel mensen zich niet realiseren is dat HTTPS-naar-HTTP-verwijzingsgegevens worden geblokkeerd in Google Analytics. Dus wat gebeurt er met de gegevens? Nou, het meeste is gewoon samengevoegd met het “direct verkeer”. Als iemand van HTTP naar HTTPS gaat, is de verwijzing wel goedgekeurd.

Dit is vooral belangrijk als jouw verwijzingsverkeer plotseling is gedaald maar het directe verkeer is gestegen. Het kan betekenen dat een van jouw grotere verwijzers onlangs is gemigreerd naar HTTPS. Het omgekeerde hiervan is ook waar. Bekijk deze uitgebreide handleiding van Moz over direct verkeer.

5. Waarschuwingen in Chrome

Sinds 24 Juli 2018 markeren alle versies boven Chrome 68 non HTTPS websites aan als “Niet Veilig”. Ongeacht of ze data verzamelen of niet. Dit is waarom HTTPS nog nooit zo belangrijk is geweest!

Chrome 68 Niet veilig

Chrome 68 Niet veilig

Vanaf Chrome 70, uitkomend in oktober 2018, markeren ze alle non HTTPS sites als ‘niet beveiligd’ met een grote rode waarschuwing (op pagina’s waar gebruikers gegevens invoeren). Dit is vooral belangrijk wanneer jouw website het grootste deel van het verkeer ontvangt via Chrome. Je kunt dit in Google Analytics zoeken in het gedeelte Publiek — Browser & besturingssysteem. Bekijk het percentage verkeer dat jouw WordPress site ontvangt via Google Chrome.

De rode beveiliging waarschuwing in Chrome

De rode beveiliging waarschuwing in Chrome (Bron: Google)

Chrome bezit meer dan 56% van het browser marktaandeel, dus dit zal veel van je bezoekers beïnvloeden. Je kunt ook controleren van welke browsers de bezoekers gebruikmaken van Google Analytics onder “Doelgroep> Technologie> Browser en besturingssysteem.” Zoals je in dit voorbeeld hieronder kunt zien gebruikt meer dan 63% van de bezoekers van de site Google Chrome.

Chrome gebruik door bezoekers

Chrome gebruik door bezoekers

Google maakt het voor bezoekers veel duidelijker dat jouw WordPress website mogelijk niet op een beveiligde verbinding werkt. Hier volgen enkele tips van Google over het vermijden van de waarschuwing.

Firefox volgde ook het voorbeeld en startte eind januari met de release van Firefox 51. Ook zij zullen een grijs hangslot met een rode lijn er doorheen laten zien voor niet-beveiligde sites die wachtwoorden verzamelen. Als je jouw hele site naar HTTPS migreert, hoef je hier natuurlijk geen zorgen over te maken.

firefox niet veilig waarschuwing

Firefox niet veilig waarschuwing

Je krijgt mogelijk ook de volgende waarschuwingen van Google Search Console als je nog niet naar HTTPS gemigreerd bent.

Aan: eigenaar van http://www.domein.nl

De volgende URL’s bevatten invoervelden voor wachtwoorden of creditcardgegevens die de nieuwe Chrome-waarschuwing activeren. Bekijk deze voorbeelden om te zien waar deze waarschuwingen worden weergegeven en hoe u actie kunt ondernemen om de gegevens van gebruikers te beschermen. De lijst is niet definitief.
http://www.domein.nl

De nieuwe waarschuwing is de eerste fase van een lange termijn plan om alle pagina’s die via het niet-gecodeerde HTTP-protocol worden aangeboden te markeren als “Niet beveiligd”.

6. Prestaties

En last but not least, hebben we de prestaties. Vanwege een nieuw protocol dat HTTP/2 wordt genoemd, kunnen degenen die goed geoptimaliseerde sites via HTTPS beheren, zelfs snelheidsverbeteringen zien. HTTP/2 vereist HTTPS vanwege de browser ondersteuning. De verbetering in de prestaties zijn er vanwege verschillende redenen, bijvoorbeeld HTTP/2 dat betere multiplexing, parallellisme, HPACK-compressie met Huffman codering, de ALPN-extensie en server-push kan ondersteunen.

Er was nogal wat TLS overhead bij het gebruik van HTTPS, maar dat is nu een stuk minder. TLS 1.3 die binnenkort verschijnt, zal HTTPS verbindingen nog sneller maken! Kinsta ondersteunt TLS 1.3 op al onze servers en onze Kinsta CDN.

Het is ook belangrijk om op te merken dat optimalisatie van web-prestaties, zoals domein sharding en concatenation, nu jouw prestaties daadwerkelijk kunnen schaden. Deze methodes zijn verouderd en zouden voor het grootste deel niet meer moeten worden gebruikt.

Alles op het internet zou standaard versleuteld moeten zijn – Jeff Atwood, Co-Founder van Stack Overflow

HTTP naar HTTPS Migratie Handleiding

Nu is het tijd om naar het leuke gedeelte van dit artikel te gaan en jouw WordPress site van HTTP naar HTTPS te migreren. Laten we eerst enkele basisvereisten bespreken die je nodig hebt en een aantal dingen waar je op moet letten.

  • Je hebt een SSL-certificaat nodig. We zullen hierover dieper in detail treden.
  • Controleer nogmaals of jouw WordPress host en CDN-provider HTTP/2 ondersteunen. Kinsta heeft HTTP/2 ondersteuning voor al onze klanten. Het is niet verplicht, maar je wilt dit voor goede prestatie.
  • Je moet een goede hoeveelheid tijd vrijmaken om jouw HTTPS-migratie uit te voeren. Dit is niet iets dat in 5 minuten kan worden gedaan.
  • Controleer nogmaals of alle externe services en scripts die je gebruikt, een HTTPS versie beschikbaar hebben.
  • Het is belangrijk om te weten dat je het aantal sociale shares op alle posts en pagina’s verliest, tenzij je een plugin gebruikt die het herstel van shares ondersteunt. Dit komt omdat de share aantallen zijn gebaseerd op een API die naar de HTTP versie kijkt en jij hebt geen controle over sociale netwerken van externe partijen.
  • Afhankelijk van de grootte van je site kan Google enige tijd nodig hebben om alle nieuwe HTTPS-pagina’s en berichten opnieuw te crawlen. Gedurende deze periode kan je variaties zien in verkeer of ranglijsten.
  • Vergeet je lokale citaten niet.
We raden aan om je CDN integratie uit te zetten en caching plugins uit te schakelen voordat je begint. Doe je dit niet dan kan dit complicaties opleveren.

1. Een SSL Certificaat Kiezen

Het allereerste dat je moet doen is een SSL-certificaat kopen als je er geen hebt. Google raadt aan een 2048-bits key certificaat of hoger te gebruiken. We raden je aan certificaten van leveranciers te kopen, zoals Comodo, DigiCert, GeoTrust, Thawte, Rapidssl of Trustwave. Maar er zijn ook goedkopere alternatieven zoals GoGetSSL, NameCheap en GoDaddy. Er zijn drie primaire soorten certificaten waaruit u kunt kiezen:

  • Domeinvalidatie: enkel domein of subdomein, (e-mail of DNS-validatie), uitgegeven binnen enkele minuten. Deze kunnen meestal worden gekocht voor slechts $9 per jaar.
  • Bedrijfs- / organisatie-validatie: een enkel domein of subdomein, vereist bedrijfsverificatie die een hoger niveau van beveiliging/vertrouwen biedt, gewoonlijk uitgegeven binnen 1-3 dagen.
  • Uitgebreide validatie: enkel domein of subdomein, vereist bedrijfsverificatie die een hoger niveau van beveiliging/vertrouwen biedt, uitgegeven binnen 2-7 dagen. Dit maakt de volledige groene balk zoals je ziet op bancaire websites.

Let’s Encrypt

Vanaf april 2016 heeft Let’s Encrypt ook een manier om gratis SSL-certificaten te krijgen. Neem contact op met je WordPress host en CDN provider om te zien of ze een Let’s Encrypt integratie hebben. Je kunt ook de Certbot handleiding volgen om ze handmatig te installeren. Let’s Encrypt certificaten vervallen elke 90 dagen, dus het is belangrijk om een geautomatiseerd systeem te hebben.

Als je klant bent van Kinsta, heb je een Let’s Encrypt-integratie! Dit betekent dat het installeren van een SSL-certificaat super eenvoudig is. Log in op jouw MyKinsta dashboard en klik op “Beheren” naast jouw WordPress site.

Beheer WordPress site

Beheer WordPress site

Klik op “Tools” en selecteer onder HTTPS Inschakelen de optie “Voeg Let’s Encrypt certificaat toe”.

Genereer een gratis HTTPS certificaat

Genereer een gratis HTTPS certificaat

Je hebt dan de optie om de domeinen te kiezen waarop je een SSL-certificaat wilt installeren. Als jouw site http://domain.com is en een omleiding heeft van www naar niet-www, wil je toch beide selecteren voor de HTTPS-omleiding. Klik op “Genereren” (Opmerking: je moet al je domeinen hieraan toevoegen vanaf het MyKinsta-dashboard, inclusief alle subdomeinen waarvoor SSL vereist is)

HTTPS credentials

HTTPS credentials

En dat is het! Het duurt een paar seconden om te installeren en dan is jouw site beveiligd.

2. Een Custom SSL Certificaat Installeren

Als je een SSL-certificaat hebt gekocht, moet je het SSL-certificaat op jouw WordPress site . Wanneer je door de certificaat configuratie gaat met de leverancier, wordt gevraagd om het server-type op te geven. Als je een Kinsta klant bent, is het type webserver Nginx. Als die optie niet beschikbaar is, werkt “Andere” ook.

De SSL-provider heeft een CSR code nodig om het certificaat bestand te maken/ondertekenen. Voer voor het genereren van een CSR code en RSA sleutel het volgende formulier in: https://www.ssl.com/online-csr-and-key-generator/.

We raden aan om elk veld in te vullen, maar je moet tenminste het volgende invullen zoals in het onderstaande voorbeeld:

  • Gemeenschappelijke naam (domeinnaam)
  • E-mailadres
  • Organisatie
  • Stad / Plaats
  • Staat / Provincie / Regio
  • Land

Opmerking: als je voor het veld algemene naam een wildcard-certificaat genereert, moet je jouw domeinnaam invoeren, zoals *.domain.com.

Formulier om een CSR te genereren

Formulier om een CSR te genereren

Het formulier genereert het private key bestand en de CSR. Zorg ervoor dat je beide opslaat, want het certificaat is onbruikbaar zonder deze bestanden.

CSR en Private Key bestanden

CSR en Private Key bestanden

Upload jouw CSR bij de SSL-provider om het SSL-certificaat (.cert) opnieuw te genereren.

Daarna moet je naar jouw WordPress host gaan en hen het certificaat en de private key geven. Als je klant bij Kinsta bent, kan je aanmelden op het dashboard, op een site klikken, naar het tabblad Hulpprogramma’s gaan en onder HTTPS inschakelen ‘Custom HTTPS-referenties toevoegen’ selecteren om aan de slag te gaan.

Installeer custom SSL certificaat op WordPress

Installeer custom SSL certificaat op WordPress

Hierna kun je jouw Private Key en Certificaat toevoegen.

Voeg Certificaat toe

Voeg Certificaat toe

3. Verifieer Jouw SSL Certificaat

Nu je je SSL-certificaat hebt geïnstalleerd, zou je hem moeten verifiëren om er zeker van te zijn dat alles correct is ingesteld. Een snelle en eenvoudige manier om dit te doen is om de gratis SSL-controletool van Qualys SSL Labs te gebruiken. Als alles goed is, moet je een A halen in de test, zoals hieronder te zien is.

Cijfer ter controle van je SSL Certificaat

Cijfer ter controle van je SSL Certificaat

Lees onze uitgebreide handleiding over het uitvoeren van een SSL controle.

4. Verwijs HTTP naar HTTPS

Nadat je het SSL-certificaat hebt geverifieerd, is het volgende dat je moet doen, permanent al het HTTP-verkeer omleiden naar HTTPS. Er zijn een aantal verschillende opties die je hebt wanneer je ervoor kiest HTTP om te leiden naar HTTPS in WordPress.

Als klant bij Kinsta bent, is de gemakkelijkste methode om onze Force HTTPS-tool te gebruiken. Hiermee kan je HTTP-verkeer automatisch naar HTTPS omleiden met een paar eenvoudige klikken op serverniveau.

Een paar andere manieren zijn om het handmatig te doen in de configuratie van je webserver of met een gratis WordPress plugin. Opmerking: Onze voorbeelden bevatten allemaal een 301 redirect directive. Dit is de juiste manier qua implementatie met betrekking tot SEO. Het gebruik van een ander type omleiding kan schadelijk zijn voor jouw ranking. Het is ook belangrijk om je ervan bewust te zijn dat 301-omleidingen mogelijk niet 100% van de linkjuice doorgeven, ook al zegt Google dat ze dat wel doen. Bekijk dit bericht van Cyrus op Moz over HTTPS-migraties en 301-omleidingen.

Optie 1: Verwijs HTTP naar HTTPS op het MyKinsta Dashboard

Je kunt al jouw HTTP-verkeer gemakkelijk omleiden naar HTTPS via MyKinsta. Meld je aan op het MyKinsta dashboard, blader naar je site en klik op ‘Extra’. Klik vervolgens op de knop ‘Inschakelen’ onder HTTPS Forceren.

Forceer HTTPS op MyKinsta

Forceer HTTPS op MyKinsta

Je kunt daarna kiezen voor jouw primaire domein als de bestemming of een alternatief domein. Klik daarna op “Forceer HTTPS”.

Opties voor het Forceren van HTTPS

Opties voor het Forceren van HTTPS

Optie 2: Verwijs HTTP naar HTTPS in Nginx

redirect http to https in nginx

Als de webserver Nginx gebruikt, kan je al jouw HTTP-verkeer gemakkelijk omleiden naar HTTPS door de volgende code toe te voegen aan jouw Nginx configuratiebestand. Dit is de aanbevolen methode voor het verwijzen van WordPress op Nginx.

server { listen 80; server_name domain.com www.domain.com; return 301 https://domain.com$request_uri; }

Doorverwijzen van HTTP naar HTTPS in Apache

HTTP naar HTTPS in apache
Bron: Apache Software Foundation

Als jouw webserver Apache gebruikt, kan je al het HTTP-verkeer gemakkelijk omleiden naar HTTPS door de volgende code toe te voegen aan het .htaccess bestand. Dit is de aanbevolen methode voor het omleiden van WordPress verkeer op een Apache server.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Geen enkele Kinsta server draait op Apache.

Optie 3: Verwijs HTTP naar HTTPS met een Eenvoudige SSL Plugin

De derde optie die je kunt gebruiken voor het omleiden van HTTP verkeer naar HTTPS is het gebruik van de gratis WordPress Really Simple SSL plugin. We raden deze methode niet aan als een permanente oplossing omdat plugins van externe partijen altijd een nieuwe laag van problemen en compatibiliteit kunnen introduceren. Het is een goede tijdelijke oplossing, maar je moet de hard-coded HTTP-koppelingen echt bijwerken, zoals we je in de volgende stap zullen laten zien.

really simple ssl plugin

Really Simple SSL plugin

Implementeer de HSTS Header (optioneel)

HSTS (HTTP Strict Transport Security) is een beveiligings header die je toevoegt aan jouw webserver en die de browser dwingt om beveiligde verbindingen te gebruiken wanneer een site via HTTPS werkt. Dit kan helpen man-in-the-middle-aanvallen (MitM) en cookie kaping te voorkomen. Je kunt de bovenstaande 301-omleidingen samen met de HSTS-header gebruiken. Bekijk ons uitgebreide artikel over hoe je HSTS kunt toevoegen.

5. Controleer op Teveel Redirects

Nadat je een omleiding van HTTP naar HTTPS hebt toegevoegd, moet je controleren of er niet te veel omleidingen zijn. Dit probleem komt vrij vaak voor en kan van invloed zijn op de snelheid van je WordPress site. Je kunt de Redirect mapper-tool van Patrick Sexton gebruiken om eenvoudig te zien hoeveel omleidingen er op de site plaatsvinden. Hier is een voorbeeld van omleidingen die niet goed zijn ingesteld en die gemakkelijk kunnen worden opgespoord met de redirection mapper. Je kunt zien dat er dubbele HTTPS-omleidingen plaatsvinden voor zowel de www- als niet-www-versies.

Omleidingen die niet correct zijn ingesteld

Omleidingen die niet correct zijn ingesteld

Hier is een voorbeeld van omleidingen die wel correct zijn ingesteld. Zoals je kunt zien vind er maar 1 omleiding plaats.

Correct ingestelde redirects

Correct ingestelde redirects

Lees ons uitgebreide artikel over WordPress Redirects en de beste manieren hiervoor voor betere prestaties.

6. Update all Hard-coded HTTP Links

Nu de omleidingen zijn geïnstalleerd, is het tijd om alle hard-gecodeerde HTTP-URL’s te herstellen. Over het algemeen wordt het niet aanbevolen om URL’s met code vast te leggen, maar hoogstwaarschijnlijk is dit in de loop der tijd toch gebeurt. Hieronder vindt je enkele opties voor het bijwerken van jouw HTTP-koppelingen naar HTTPS.

Optie 1 – Search & Replace Tool van Kinsta

Als je Klant van Kinsta bent heb je een gemakkelijke search and replace tool in het MyKinsta Dashboard.

Kinsta search and replace tool

Kinsta search and replace tool

Hier volgen eenvoudige stappen om HTTP naar HTTPS-URL’s te gaan:

  1. Voer in het zoekveld de waarde in waarnaar je wilt zoeken in de database, in dit geval ons HTTP-domein: http://wpdev.ink.
  2. Voer in het vervang veld de nieuwe waarde in die moet worden gebruikt om de waarde waarnaar je zoekt te vervangen. In dit geval is dit ons HTTPS-domein, https://wpdev.ink.
  3. Zorg ervoor dat de optie “Dry Run” eerst wordt geselecteerd, omdat dit zal tellen hoeveel vervangingen er zullen worden gemaakt zonder daadwerkelijk de vervangingen te doen. Klik vervolgens op ‘Vervangen’.
  4. Je kunt vervolgens “Vervangen” opnieuw uitvoeren zonder Dry Run geselecteerd te hebben om de wijzigingen in de database aan te brengen.
Confirmation on live search and replace

Confirmation on live search and replace

Bekijk onze search and replace handleiding voor overige details.

Optie 2 – Better Search Replace Plugin

Een andere gemakkelijke methode die je kunt gebruiken is de gratis plugin Better Search Replace van het fantastische WordPress team van Delicious Brains.

better search replace optics

Better search replace optics

Optie 3 – Interconnect/it Search Replace DB PHP Script

Een derde optie voor het uitvoeren van een WordPress search and replace opdracht is om een gratis PHP-script van interconnect/it, genaamd Search Replace DB, te gebruiken. Dit is een van onze favoriete tools voor elke HTTP to HTTPS-migratie.

Belangrijk! Het gebruik van dit script kan jouw WordPress website breken als je niet weet wat je doet. Als je je niet comfortabel voelt dit te doen, neem dan eerst contact op met een ontwikkelaar of je web hosting.

Om het script te gebruiken, downloadt je gewoon het zip-bestand, pak de map met de naam search-replace-db-master uit en hernoem het naar iets geheims naar jouw keuze. In ons voorbeeld hebben we de naam gewijzigd in update-db-1551. Upload het vervolgens via FTP, SFTP of SCP naar de openbare map van je webserver. Dit is meestal dezelfde map die /wp-content bevat. Navigeer vervolgens naar de geheime map in je browser, bijvoorbeeld https://domain.com/update-db-1551.

interconnect search replace script

Interconnect search and replace script

Het script probeert automatisch het databaseveld te vinden en te vullen, maar je moet controleren of de gegevens juist zijn en dat dit de database is waarop je een search and replace wilt uitvoeren. Je kunt eerst op “dry run” klikken om te zien wat het gaat bijwerken/vervangen. Wanneer je klaar bent, klik je op “live run” waarna de search and replace uitgevoerd wordt.

Een voorbeeld van een HTTPS-migratie zou zijn om ‘http://jouwdomein.com’ te vervangen door ‘https://jouwdomein.nl’.

search replace opties

Search replace opties

Het is ook erg belangrijk, vanwege veiligheidsredenen, dat je dit script verwijdert nadat je klaar bent! Je kunt op de knop “verwijder mij” klikken. Als je dat niet doet, kan uw website blijven openstaan voor aanvallen. Het is ook aan te raden om de webserver nogmaals te controleren en te bevestigen dat de map/het script volledig is verwijderd. Opmerking: met dit script worden al jouw vermeldingen in uw database bijgewerkt, inclusief de WordPress Site-URL, hard-coded links op pagina’s en berichten, enz.

Als je informatie over jouw thuis-, site- of WP-inhoud in jouw wp-config.php bestand hard coded hebt, zorg er dan voor dat je deze bijwerkt naar HTTPS.

define('WP_HOME', 'https://yourdomain.com');
define('WP_SITEURL', 'https://yourdomain.com');
define( 'WP_CONTENT_URL', 'https://yourdomain.com/wp-content' );

Als je een CDN hebt en een CNAME gebruikt, zoals cdn.domain.com, wil je waarschijnlijk ook het script een 2e keer uitvoeren om een zoekopdracht uit te voeren voor elke hard coded http:// cdn.domain.com URLs en te vervangen voor https://cdn.domain.com.

Optie 4 – Search and Replace met WP-CLI

Voor de meer technisch onderlegden en ontwikkelaars die niet graag de Command-line verlaten kan je de links ook updaten vanuit WP-CLI. We raden aan de geavanceerde handleiding over search and replace met WP-CLI te lezen.

7. Update Custom Scripts en Externe Bibliotheken

Nu de oude hard coded URL’s zijn bijgewerkt, wil je de custom scripts en/of externe bibliotheken controleren die mogelijk in de header, Footer, enzovoort zijn toegevoegd. Dit kunnen zaken zijn zoals Google jQuery, Font Awesome, CrazyEgg, AdRoll, Facebook, Hotjar, etc. Een voorbeeld voor Google-jQuery, je zou het eenvoudig bijwerken om te verwijzen naar de HTTPS-versie:

<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js"></script>

Zo’n beetje elke provider en/of services zou een HTTPS versie moeten hebben waar je naar kunt switchen.

8. Migreer CDN van HTTP naar HTTPS

Als je een CDN gebruikt, wil je die ook migreren naar HTTPS, anders stuit je op waarschuwingen voor gemengde inhoud op de WordPress site. Als je Kinsta CDN gebruikt, kan je deze stap overslaan omdat alles standaard wordt uitgevoerd vanuit ons CDN via HTTPS.

Maar hier zijn enkele nuttige links en tutorials over hoe je SSL kunt installeren en instellen voor verschillende externe CDN providers. Opmerking: sommige hebben zelfs een Let’s Encrypt-integratie, wat betekent dat SSL gratis is. Je kunt altijd contact opnemen met jouw CDN-provider om te helpen met de migratie van HTTP naar HTTPS als je problemen ondervindt.

Zodra je het CDN hebt bijgewerkt, wil je zeker weten dat je het update en dat update in elke WordPress plugin die je gebruikt voor integratie. In dit onderstaande voorbeeld gebruiken we CDN Enabler en schakelen we de URL gewoon over van HTTP naar HTTPS en schakelen we de optie CDN HTTPS onderaan in.

Wijzig CDN naar HTTPS

Wijzig CDN naar HTTPS

9. Controller jouw Website voor Mixed Content Waarschuwingen

Vervolgens wil je een laatste controle uitvoeren op jouw WordPress site om ervoor te zorgen dat je geen waarschuwingen voor gemengde inhoud ontvangt. Deze waarschuwingen worden weergegeven wanneer je zowel HTTPS- als HTTP-scripts of inhoud laadt. Je kunt niet allebei laden. Wanneer je naar HTTPS migreert, moet alles via HTTPS worden uitgevoerd. Wired documenteerde hun overgang van HTTP naar HTTPS en dit was een probleem dat ze tegenkwamen:

“[…] een van de grootste uitdagingen bij het overstappen naar HTTPS is het voorbereiden van al onze inhoud om via beveiligde verbindingen te worden afgeleverd. Als een pagina via HTTPS wordt geladen, moeten alle andere items (zoals afbeeldingen en Javascript-bestanden) ook via HTTPS worden geladen. We zien een groot aantal rapporten over deze “gemengde inhoud” of gebeurtenissen waarbij een onveilig, HTTP-item wordt geladen in de context van een beveiligde HTTPS-pagina. Om onze uitrol goed te doen, moeten we ervoor zorgen dat we minder problemen met gemengde inhoud hebben – dat we zoveel mogelijk inhoud van WIRED.com leveren op een veilige manier.”

Hieronder staan een aantal voorbeelden van wat er gebeurt in de browsers als je deze fouten niet oplost.

Chrome Mixed Content Waarschuwing

Hier is een voorbeeld van wat er gebeurd in Chrome als er een mixed content waarschuwing wordt gegeven

chrome mixed content waarschuwing

Chrome mixed content waarschuwing

Firefox Mixed Content Waarschuwing

Hier is een voorbeeld van wat er gebeurd in Firefox als er een mixed content waarschuwing wordt gegeven

firefox-mixed-content-waarschuwing

Firefox mixed content waarschuwing

Internet Explorer Mixed Content Waarschuwing

Hier is een voorbeeld van wat er gebeurd in Internet Explorer als er een mixed content waarschuwing wordt gegeven

internet-explorer-mixed-content-waarschuwing

IE mixed content waarschuwing

Er is een geweldig gratis klein tooltje genaamd SSL Check van JitBit die je kunt gebruiken om gemakkelijk je website of URL te scannen op niet-beveiligde inhoud. Het hulpprogramma crawlt jouw HTTPS WordPress site en zoekt naar niet-beveiligde afbeeldingen, scripts en CSS-bestanden die een waarschuwing in browsers activeren. Het aantal pagina’s dat wordt gecrawld is beperkt tot 200 per website.

Je kan ook Chrome DevTools gebruiken om snel een willekeurige pagina te controleren door naar het paneel netwerkverzoeken te kijken. Het beveiligingspaneel is ook behoorlijk handig. Je kan onmiddellijk een niet-beveiligde oorsprong zien en vervolgens in de verzoeken klikken om te kijken waar ze vandaan komen.

Controleer HTTPs in Chrome DevTools

Controleer HTTPs in Chrome DevTools

Er is ook desktop software genaamd HTTPS Checker die je kunt installeren waarmee je jouw site kunt scannen. Het kan je helpen te controleren op “niet-beveiligde” waarschuwingen en inhoud na grote veranderingen. Het is beschikbaar voor Windows, Mac en Ubuntu. Met het gratis abonnement kan je maximaal 100 pagina’s controleren.

https checker software

HTTPS checker software

10. Update Google Search Console Profiel

Nu je WordPress site HTTPS gebruikt en hopelijk geen waarschuwingen geeft, is het tijd om een kijkje te nemen in de marketingkant. Sommige hiervan zijn erg belangrijk, dus sla deze niet over! Het eerste dat je wil doen, is een nieuw Google Search Console profiel maken voor de HTTPS-versie.

Voeg een HTTPS property toe in GSC

Voeg een HTTPS property toe in GSC

Nadat je een nieuwe HTTPS versie hebt gemaakt moet je jouw sitemap bestanden opnieuw toevoegen. De HTTPS versie uiteraard.

https sitemap bestand

HTTPS sitemap bestand

Als je een afwijzing-bestand hebt voor slechte backlinks of een penalty, moet je dit opnieuw indienen. Niet iedereen zal er een hebben. Dit is erg belangrijk! Als je dit niet doet, kan je jouw site permanent beschadigen. Ga naar Google’s Disavow Tool en klik naar je oorspronkelijke HTTP-profiel. Download het afwijzing-bestand als het bestaat. Ga vervolgens terug naar de tool en voeg je afwijzing-bestand in de HTTPS-versie toe.

Opmerking: nadat je dit hebt gedaan, kan je het HTTP-profiel veilig verwijderen in Google Search Console.

11. Bing Webmaster Tools

Bing Webmaster Tools is iets verschillend dan de Google Search Console. Je hoeft hier geen nieuw HTTPS profiel aan te maken. Verzend gewoon opnieuw jouw HTTPS sitemap.

bing webmaster tools https

Bing Webmaster Tools HTTPS

12. Google Analytics

Vervolgens moet je jouw Google Analytics property en -weergave bijwerken. Dit heeft geen invloed op de analysegegevens, maar helpt je eenvoudig bij het koppelen van je site aan Google Search Console, enzovoort. Als je jouw property wilt bijwerken, klik je in de instellingen van de domein eigenschappen en wijzig je deze onder de standaard-URL in de HTTPS:// versie.

Google Analytics Property naar HTTPS

Update je Google Analytics Property naar HTTPS

Om je weergave bij te werken klik je op de domein weergave instellingen en onder de URL van de website wijzig je die naar de HTTPS versie.

Google Analytics Weergave naar HTTPS

Wijzig de Google Analytics Weergave naar HTTPS

Je wil daarna ook het nieuw gemaakte Google Search Console-profiel uit stap 8, opnieuw koppelen aan jouw Google Analytics-account. Hiervoor klik je op de eigenschappen van het domein, ga je naar beneden en klik je op ‘Search Console aanpassen’. Je kunt dan het nieuwe HTTPS GSC-profiel koppelen. Door deze aan elkaar te koppelen, kunnen zoek gegevens naar jouw Google Analytics-account worden geleid.

Google Analytics aan Google Search Console

Koppel Google Analytics aan Google Search Console

13. YouTube Kanaal

Als je een YouTube-kanaal hebt, wil je je website opnieuw koppelen aan je nieuwe HTTPS-versie in Google Search Console. Anders krijg je fouten met annotaties en andere dingen in YouTube die klagen dat de HTTPS-link ongeldig is. Ga in je YouTube-dashboard naar je kanaal en vervolgens naar ‘Geavanceerd’. Wijzig vervolgens je domein in de nieuwe HTTPS-versie en klik op Toevoegen. Mogelijk moet je de oude verwijderen en vervolgens opnieuw toevoegen. Je moet dit goedkeuren door naar Google Search Console te gaan, in jouw berichten voor die site te klikken en op goedkeuren klikken.

Youtube gekoppelde website

Update de Youtube gekoppelde website naar HTTPS

14. Overig

En dat is het zo’n beetje als het gaat om migratie van HTTP naar HTTPS! Hier zijn nog een aantal andere items die je ook wilt updaten. Sommige hiervan zijn al dan niet van toepassing op jou, afhankelijk van wat je gebruikt.

  • Controleer of jouw robots.txt toegankelijk en werkend is.
  • Zorg ervoor dat eventuele canonieke tags verwijzen naar de HTTPS-versie (dit zou al gedaan moeten zijn als je stap 4 hierboven hebt gevolgd).
  • Als u een Reactiesysteem, zoals Disqus, gebruikt, moet je de Disqus-reacties migreren van HTTP naar HTTPS.
  • Update de URL’s in jouw Email Marketing software
  • PPC-advertentie-URL’s bijwerken: AdWords, Bing-advertenties, AdRoll, Facebook-advertenties, enzovoort
  • Update Social Media Links (Facebookpagina, Twitter Bio, Pinterest, Google+, etc.)

Het Google-zoekteam heeft onlangs nog antwoorden op 13 veelgestelde vragen over HTTPS-migraties gepubliceerd.

Samenvatting

Zoals je kunt zien, is er waarschijnlijk iets meer aan de hand bij een HTTP-naar-HTTPS-migratie dan je aanvankelijk dacht. Het is echter allemaal vrij eenvoudig en als je de bovenstaande stappen volgt, moet het goed gaan. Als je klant bij Kinsta bent en problemen ondervindt met jouw WordPress HTTPS-migratie, kan je contact met ons opnemen. Hebben we andere belangrijke HTTP tot HTTPS migratietips gemist? Als dat het geval is, kun je ze in de reacties hieronder laten weten.

61
Delen