أهم 3 خطوات في ترحيل HTTPS لموقع الويب

إذا كنت قد أنجزت أي موقع ويب على مدار السنوات الخمس الماضية ، فمن شبه المؤكد أنك سمعت عن HTTPS. HTTPS هو بروتوكول الإنترنت الجديد الواعد ، مما يجعل الويب أكثر أمانًا لجميع المستخدمين. إنها أيضًا واحدة من أسرع اتجاهات الإنترنت نموًا ، حيث تضاعف عدد مواقع HTTPS في عام 2016.

لقد عملنا مع العديد من العملاء لتنفيذ HTTPS على مواقعهم ، وفي هذه العملية ، تعلمنا حل العديد من المشكلات التي يمكن أن تنشأ عن ترحيل HTTPS. يتوفر دليلنا لترحيل HTTPS السلس أدناه ، ولكن أولاً ، نظرة عامة:

ما هو HTTPS؟

بالنسبة لأي شخص غير معتاد على HTTPS ، إليك نظرة عامة أساسية على العملية: عند التنقل عبر الويب ، يتم توصيل المحتوى عبر "بروتوكول نقل النص التشعبي". هذه هي بادئة "HTTP" التي تراها في بداية عنوان URL ( http://www.example.com ) ، وهي ما يمكّن الخوادم والعملاء من الاتصال وعرض محتوى الإنترنت لك.

HTTPS هو إصدار أكثر أمانًا من بروتوكول HTTP. يضيف شهادة أمان SSL إلى اتصال الخادم / العميل ، مما يضمن عدم سرقة المعلومات الحساسة مثل كلمات المرور ومعلومات بطاقة الائتمان من قبل المتطفلين الضارين أثناء التنقل بين الخادم وجهاز كمبيوتر المستخدم. والأهم من ذلك أنها تضيف مؤشرًا واضحًا للمستخدمين على أن موقعك آمن:

من حيث المبدأ ، يعد الترحيل إلى HTTPS أمرًا بسيطًا مثل إضافة شهادة SSL إلى موقع الويب الخاص بك. من الناحية العملية ، يمكن أن تكون هذه عملية شاقة ومرهقة. وصفت صحيفة واشنطن بوست هجرتهم التي استمرت 10 أشهر في عام 2015 ، موضحة كل من المشكلات والعقبات المختلفة التي واجهوها.

من أجل إضافة شهادة SSL إلى موقع ما ، تحتاج أولاً إلى الحصول على شهادة ، ثم تطبيقها عبر الموقع بأكمله ، ثم الحفاظ عليها للتأكد من أنها لا تنتهي صلاحيتها أو تسقط في المستقبل. بالنسبة للمواقع الكبيرة ، خاصة تلك التي تحتوي على نظام أساسي للتجارة الإلكترونية أو بوابة تسجيل دخول ، يمكن أن تكون هذه عملية مرهقة للغاية. علاوة على ذلك ، فإنك تخاطر بحدوث انخفاض مؤقت إلى دائم في حركة المرور وترتيب الكلمات الرئيسية ، مثل الانخفاض العضوي بنسبة 11 ٪ في Moz على مدار أكثر من 3 أشهر.

لماذا يهمني HTTPS؟

كانت Google واحدة من أقوى المدافعين عن مواقع الويب لاعتماد HTTPS منذ وقت مبكر في عام 2014 ، ولسبب وجيه. إن امتلاك شبكة ويب أكثر أمانًا يجعل الحياة اليومية أسهل بكثير للغالبية العظمى من مستخدمي الإنترنت. كم منكم قد يتردد في التسوق على أمازون إذا علمت أن شخصًا ما يمكنه سرقة معلومات بطاقتك الائتمانية؟ كم منكم قد يستخدم البريد الإلكتروني إذا علمت أن شخصًا ما يمكنه التطفل على ما ترسله؟ يعد أمان الويب أمرًا بالغ الأهمية في هذا اليوم وهذا العصر ، ولكن لا تخدع نفسك بالتفكير الذي يجعل من السهل تنفيذه.

لحسن حظ مستخدمي الإنترنت (على الرغم من أنه ربما لسوء الحظ لمشرفي المواقع وتحسين محركات البحث) ، فإن HTTPS موجود لتبقى. جون مولر ، من Google ، يصر على أن هذه خطوة على مشرفي المواقع القيام بها:

في الآونة الأخيرة ، أعلن Gary Ilyes ، محلل اتجاهات مشرفي المواقع في Google ، عن تغيير كبير في كيفية قياس Google PageRank لعمليات إعادة التوجيه 301 للمساعدة في تسهيل هذا الانتقال:

لا تفقد عمليات إعادة التوجيه بمعدل 30 ضعفًا نظام ترتيب الصفحات بعد الآن.

- Gary Illyes ᕕ (ᐛ) ᕗ (methode) 26 يوليو 2016

من خلال السماح لعمليات إعادة التوجيه بتجاوز 100٪ من PageRank ، بدلاً من 80-90٪ كما كان من قبل ، تأمل Google في تحفيز المزيد والمزيد من المواقع على استخدام HTTPS دون الحاجة إلى القلق بشأن الخسارة العضوية التي قد تأتي من ذلك.
أخيرًا ، أعلنت Google أنه اعتبارًا من يناير 2017 ، سيتم تمييز أي مواقع تجمع معلومات بطاقة الائتمان أو كلمات المرور التي لا تستخدم HTTPS على أنها "غير آمنة" على Google Chrome:

بعد العمل مع العديد من العملاء لتنفيذ HTTPS ، قمنا بتجميع قائمة بما يتضمنه الخطوات الثلاث الرئيسية لترحيل HTTPS:

1. ما قبل الهجرة
2. الهجرة
3. ما بعد الهجرة

ما قبل الهجرة

النسخ الاحتياطي ، النسخ الاحتياطي ، النسخ الاحتياطي. لا أستطيع أن أكرر هذا بما فيه الكفاية. قم بعمل نسخة احتياطية من موقعك قبل بدء ترحيل HTTPS.

هناك الآلاف من الأشياء التي يمكن أن تسوء أثناء ترحيل HTTPS ، بما في ذلك الأشياء التي لم تكن تعتقد حتى أنه من الممكن حدوثها بشكل خاطئ. قم بتنزيل نسخة احتياطية من مكتبة الوسائط الخاصة بك. احفظ نسخًا احتياطية من ملفات CSS و JS الخاصة بك. إذا قمت بعمل نسخة احتياطية من تكوين الموقع بالكامل ، فيمكنك بسهولة تعطيل شهادة SSL إذا رأيت أن الأمور تسوء بعد تمكين SSL.

مرة أخرى ، لا يمكنني أن أكرر عدد الأشياء التي يمكن أن تسوء ولن تتوقعها خلال مليون عام. قم بعمل نسخة احتياطية من موقعك.

الهجرة

الكأس المقدسة ، الهجرة الفعلية نفسها. هذا هو المكان الذي تؤتي فيه كل الاستعدادات للألم والمعاناة ثمارها.

لحسن حظ مشرفي المواقع ، هناك عدة طرق أسهل للترحيل إلى HTTPS مقارنة بتطبيق SSL التقليدي. ClouldFlare و Let's Encrypt هما خدمتان استخدمناهما مع المواقع الأصغر التي أوصي بها بشدة لترحيل HTTPS.
** ملاحظة: تعرضت Cloudflare مؤخرًا لثغرة أمنية كبيرة مكشوفة ، لذا كن حذرًا لاعتماد Cloudflare SSL على الفور. بمجرد حل المشكلة بالكامل ، يجب أن تكون هذه خدمة قابلة للتطبيق مرة أخرى.

كل من هذه الخدمات مجانية تمامًا. أنها توفر نفس المستوى من تشفير SSL والأمان دون الكثير من المتاعب التي ينطوي عليها تطبيق SSL كامل. يمكنك قراءة المزيد حول كل خدمة على الروابط أعلاه ، ولكن المبدأ الأساسي لـ Cloudflare هو أنها ستوفر شهادة SSL مجانًا ، ثم تقدم نسخة مخبأة من موقعك إلى الباحثين والتي تكون آمنة تمامًا. لن يكون الاتصال بين الخادم الخاص بك والعميل آمنًا ، لكن زوار الموقع سيظلون يصلون إلى موقع آمن.

من ناحية أخرى ، تقدم Let's Encrypt شهادة SSL مجانية يمكن تهيئتها تلقائيًا من خلال خادم ويب مثل WPEngine. بمجرد أن تتحقق سلطة الشهادة من صحة المجال ، توفر Let's Encrypt شهادة SSL للموقع بأكمله.

إذا اخترت عدم استخدام هذا الخيار ، فإن أفضل توصية هي اختبار كل شيء قبل نشره مباشرة على موقعك. إذا كان لديك موقع مرحلي ، فاختبر تطبيق SSL على كل صفحة هناك قبل ترحيل موقعك المباشر. راجع كل شيء ، بما في ذلك الروابط الموجودة في ملفات Sitemap وملفات robots.txt والروابط الموجودة في موقعك والصور ونماذج الإرسال وكل شيء.

أخيرًا ، تأكد من أن لديك عملية إعادة توجيه عامة للاستيلاء على أي روابط تشير إلى إصدار HTTP لموقعك. ستقوم CloudFlare و Let's Encrypt (ومعظم البيئات الأخرى) بإعداد إعادة التوجيه تلقائيًا ، ولكن تأكد من تضمينها في عملية النقل. آخر شيء تريده هو فقدان حقوق الملكية من الروابط الخلفية الخاصة بك.

في الوقت نفسه ، راجع بنية عنوان URL التي تستخدمها للارتباطات في الموقع. إذا كانت الروابط الخاصة بك تستخدم مسار URL كاملًا ( http://www.example.com/stuff/ ) بدلاً من مسارات URL النسبية (/ stuff /) ، فقد لا يتم تحديث هذه الروابط بعد الترحيل. لا تمنح Google أي أعذار أكثر مما يحتاجون إليه لإهمال ملف تعريف الارتباط الخاص بك: تحقق مرة أخرى من هاتين الميزتين.

بعد الهجرة

لا يعني مجرد اكتمال عملية الترحيل أن عملك قد انتهى بعد. في بعض الأحيان ، يمكن أن تكون العواقب صعبة مثل الهجرة الفعلية نفسها.

أول شيء تريد القيام به هو مراجعة البرامج النصية للجهات الخارجية على موقعك. كان لدينا عميل واحد أكمل ترحيل HTTPS فقط لاكتشاف اختفاء محرفه بالكامل عبر الموقع. تم استبدال الخطوط المخصصة الخاصة بهم بأحرف الحظر الافتراضية في WordPress ، مما يجعل الموقع يبدو ثقيلًا وغير عملي. لقد اكتشفنا أن المشكلة تكمن في أنه تم استيراد محرفهم من خدمة جهة خارجية لم توفر مكتبة الخطوط كملف HTTPS. بمجرد أن تمكنا من تحديث الملف إلى بروتوكول HTTPS ، عادت الخطوط إلى وضعها الطبيعي.

عميل آخر يعمل على الترحيل لديه عدد من نماذج الإرسال عبر الموقع المستوردة من Pardot.com. على الرغم من حقيقة أن معظم الموارد الأخرى على الموقع قد تم ترحيلها بشكل صحيح ، إلا أن نماذج الإرسال هذه لم يتم ترحيلها ، تاركة سلسلة من مربعات الإدخال الفارغة حيث كانت هناك نماذج اشتراك كاملة في السابق. كما كان من قبل ، اتضح أن نماذج الاشتراك لا تنتقل إلى HTTPS افتراضيًا. بمجرد تحديث الروابط ، كانت النماذج جيدة.

أكثر المشكلات شيوعًا التي واجهناها هي الصور غير الآمنة. من بين التحذيرات الأولى التي ستلاحظها على الأرجح رسالة خطأ مثل الرسالة الواردة أدناه:

غالبًا أثناء ترحيل الموقع ، تحتوي الصور المضمنة في الموقع على عناوين URL غير آمنة. حتى بعد ترحيل موقعك مرة أخرى ، غالبًا ما تظل الصور التي يتم استيرادها من مواقع خارجية تحتوي على عنوان URL غير آمن ، مما يطالب Google Chrome بتحذير المستخدمين من احتمال تعرض المحتوى الموجود على الموقع للخطر.

يقول البعض منكم الآن ، "لكن كيف يفترض بي أن أتحقق من كل صورة على موقعي لأعرف أيها آمن وأيها غير آمن؟" محظوظ بالنسبة لك ، لدينا حل. داخل Screaming Frog ، أثناء الزحف إلى موقع ما ، يمكنك تعيين استخراج مخصص للبحث عن الصور باستخدام عنوان HTTP.

يجب تعيين الاستخراج المخصص على نوع XPath وتعيينه لاستخراج عنصر HTML. ثم استخدم المقتطف التالي كرمز استخراج:

 // img [يحتوي على (@ src، 'http: //')] 

بعد اكتمال الزحف ، ستحتوي علامة التبويب "استخراج" على قائمة كاملة بالصفحات التي تحتوي على صور غير آمنة وكود المصدر لتلك الصور. من هناك ، يمكنك تحديث عناوين URL إلى عناوين HTTPS.

الشيء الثاني الذي تريد القيام به هو إضافة إصدار HTTPS لموقعك إلى Google Search Console. سيستغرق الأمر بعض الوقت من Google لإدراك أن موقعك آمن الآن ولتبديل نتائج الترتيب التي يعرضها للمستخدمين. كلما أسرعت في التحقق من إصدار HTTPS لموقعك في Search Console ، زادت سرعة بدء Google في فهرسة الموقع الآمن وتقديم ذلك للمستخدمين في نتائج البحث.

ثالثًا ، بالإضافة إلى HTTPS ، فأنت تريد التأكد من أن خادمك يستخدم HTTP / 2.0 ، أحدث إصدار من بروتوكول الإنترنت العام. إذا كنت تستخدم CloudFlare أو Let's Encrypt من الأعلى ، فيجب أن يكون الخادم الخاص بك متوافقًا مع HTTP / 2.0 افتراضيًا. فقط في حالة حدوث ذلك ، لن يضر إجراء فحص سريع على https://tools.keycdn.com/http2-test .

الخطوة الأخيرة التي تريد اتخاذها بعد الترحيل هي مراقبة حركة المرور العضوية الخاصة بك باستمرار على مدار الأسابيع والأشهر التالية. كما لاحظ راند فيشكين في الرابط أعلاه ، فقد Moz 11٪ من حركة البحث على مدى 3 أشهر بعد هجرتهم ، وأبلغت العديد من المواقع الأخرى عن خسائر مماثلة.

على الرغم من أنه قد يكون لديك عدد قليل من الخيارات لاستعادة حركة المرور هذه على الفور ، فستحتاج إلى الانتباه إلى استعلامات البحث التي أسقطتها في الترتيب ، أو الصفحات التي ترى انخفاضًا في حركة المرور العضوية. بافتراض أن هذه الصفحات لا تتعافى بسرعة ، فقد يكون ذلك علامة على أن لديك مشكلة أعمق في الموقع. إذا كانت المشكلة أعمق ، فاتبع الخطوات لما يجب فعله عند انخفاض حركة المرور العضوية .

مرة أخرى ، يعد الترحيل إلى HTTPS خطوة يجب عليك اتخاذها. أصبحت Google أكثر إصرارًا على هذا الأمر ، وهي أيضًا جزء لا يتجزأ من تقديم تجربة مستخدم إيجابية لزوار موقعك. لسوء الحظ ، لا يعني مجرد أهمية هذا الأمر أنه سريع أو سهل. اتبع دليلنا أعلاه ، ويمكنك تجنب الفخاخ والمزالق الأكثر شيوعًا لترحيل HTTPS. الفوائد تستحق ذلك.