3 наиболее важных шага при миграции веб-сайта на HTTPS

Если вы работали над веб-сайтом за последние 5 лет, вы почти наверняка слышали о HTTPS. HTTPS - это новый многообещающий Интернет-протокол, делающий Интернет более безопасным для всех пользователей. Это также одна из самых быстрорастущих тенденций в Интернете, поскольку в 2016 году количество HTTPS-сайтов удвоилось .

Мы работали с несколькими клиентами над внедрением HTTPS на их сайтах и ​​в процессе научились решать многие проблемы, которые может создать миграция HTTPS. Наше руководство по плавной миграции HTTPS приведено ниже, но сначала сделаем обзор:

Что такое HTTPS?

Для тех, кто не знаком с HTTPS, вот общий обзор процесса: при навигации по сети контент передается через «протокол передачи гипертекста». Это префикс «HTTP», который вы видите в начале URL-адреса ( http://www.example.com ), и именно он позволяет серверам и клиентам общаться и отображать вам интернет-контент.

HTTPS - более безопасная версия протокола HTTP. Он добавляет сертификат безопасности SSL к обмену данными между сервером и клиентом, что гарантирует, что конфиденциальная информация, такая как пароли и данные кредитной карты, не может быть украдена злоумышленниками во время путешествия между сервером и компьютером пользователя. Что наиболее важно, это добавляет четкий индикатор для пользователей, что ваш сайт безопасен и безопасен:

В принципе, перейти на HTTPS так же просто, как добавить сертификат SSL на ваш сайт. На практике это может быть утомительным и утомительным процессом. The Washington Post описала их 10-месячную миграцию в 2015 году, объяснив каждую из различных проблем и препятствий, с которыми они столкнулись.

Чтобы добавить сертификат SSL на сайт, вам необходимо сначала получить сертификат, затем применить его ко всему сайту, а затем поддерживать его, чтобы гарантировать, что срок его действия не истечет или не истечет в будущем. Для крупных сайтов, особенно с платформой электронной коммерции или порталом входа в систему, это может быть очень утомительным процессом. Кроме того, вы рискуете от временного до постоянного падения трафика и рейтинга ключевых слов, как, например , органическое падение Moz на 11% за 3+ месяца.

Почему меня волнует HTTPS?

Google был одним из самых решительных сторонников перехода веб-сайтов на HTTPS с 2014 года , и не зря. Наличие более безопасного Интернета значительно упрощает повседневную жизнь подавляющего большинства пользователей Интернета. Кто из вас не решился бы сделать покупки на Amazon, если бы знал, что кто-то может украсть данные вашей кредитной карты? Сколько из вас использовали бы электронную почту, если бы знали, что кто-то может отслеживать то, что вы отправляете? Интернет-безопасность имеет решающее значение в наши дни, но не вводите себя в заблуждение, думая, что это упрощает реализацию.

К счастью для пользователей Интернета (хотя, возможно, к несчастью для веб-мастеров и специалистов по поисковой оптимизации), HTTPS никуда не денется. Джон Мюллер из Google настаивает на том, что веб-мастера должны сделать следующее:

Совсем недавно Гэри Ильес, аналитик тенденций для веб-мастеров в Google, объявил о серьезных изменениях в том, как Google измеряет PageRank для переадресации 301, чтобы облегчить этот переход:

30x редиректы больше не теряют PageRank.

- Гэри Иллис ᕕ (ᐛ) ᕗ (@methode) 26 июля 2016 г.

Позволяя перенаправлениям проходить 100% PageRank вместо 80-90%, как раньше, Google надеется стимулировать все больше и больше сайтов переходить на HTTPS, не беспокоясь об органических потерях, которые могут возникнуть из-за этого.
Наконец, Google объявил, что с января 2017 года все сайты, собирающие информацию о кредитных картах или пароли, НЕ использующие HTTPS, будут помечены как «Небезопасные» в Google Chrome:

После работы с несколькими клиентами над внедрением HTTPS мы составили список из трех основных этапов миграции HTTPS:

1. Предварительная миграция
2. Миграция
3. Пост-миграция

Предварительная миграция

Резервное копирование, резервное копирование, резервное копирование. Я не могу повторить этого достаточно. Сделайте резервную копию своего сайта перед началом миграции HTTPS.

Есть тысячи вещей, которые могут пойти не так во время миграции HTTPS, включая вещи, о которых вы даже не подозревали. Загрузите резервную копию вашей медиатеки. Сохраняйте резервные копии ваших файлов CSS и JS. Если вы сделаете резервную копию всей конфигурации своего сайта, вы можете легко отключить сертификат SSL, если увидите, что после включения SSL что-то пойдет не так.

Опять же, я не могу повторить, сколько вещей может пойти не так, чего вы не ожидаете через миллион лет. Сделайте резервную копию вашего сайта.

Миграция

Святой Грааль, сама миграция. Вот где окупается вся подготовка к боли и страданиям .

К счастью для веб-мастеров, существует несколько более простых способов перехода на HTTPS, чем обычная реализация SSL. ClouldFlare и Let's Encrypt - это две службы, которые мы использовали с небольшими сайтами, которые я настоятельно рекомендую для перехода на HTTPS.
** ПРИМЕЧАНИЕ: Cloudflare недавно обнаружила серьезную уязвимость в системе безопасности , поэтому будьте осторожны и сразу используйте Cloudflare SSL. Однако, как только проблема будет полностью решена, эта услуга снова станет жизнеспособной.

Каждый из них является совершенно бесплатными услугами. Они обеспечивают такой же уровень шифрования и безопасности SSL без особых хлопот, связанных с полной реализацией SSL. Вы можете узнать больше о каждой службе по ссылкам выше, но основной принцип Cloudflare заключается в том, что они бесплатно предоставляют SSL-сертификат, а затем предоставляют кешированную версию вашего сайта поисковикам, что является полностью безопасным. Связь между вашим сервером и клиентом не будет безопасной, но посетители сайта по-прежнему будут попадать на безопасный сайт.

Let's Encrypt, с другой стороны, предлагает бесплатный сертификат SSL, который можно автоматически настроить через веб-сервер, такой как WPEngine. После того, как центр сертификации проверит домен, Let's Encrypt предоставит сертификат SSL всему сайту.

Если вы решите не использовать этот вариант, то лучшая рекомендация - протестировать все, прежде чем размещать это на своем сайте. Если у вас есть промежуточный сайт, протестируйте реализацию SSL на каждой странице, прежде чем переносить действующий сайт. Просматривайте все, включая ссылки в файлах Sitemap и robots.txt, ссылки на вашем сайте, изображения, формы отправки и т. Д.

Наконец, убедитесь, что у вас есть глобальное перенаправление для захвата любых ссылок, указывающих на HTTP-версию вашего сайта. CloudFlare и Let's Encrypt (и большинство других сред) автоматически настроят это перенаправление, но убедитесь, что это включено в ваш переход. Последнее, чего вы хотите, - это потерять прибыль от своих обратных ссылок.

В то же время просмотрите структуру URL-адресов, которые вы используете для внутренних ссылок. Если в ваших ссылках используется полный путь URL ( http://www.example.com/stuff/ ) вместо относительных путей URL (/ stuff /), эти ссылки могут не обновиться после миграции. Не давайте Google больше оправданий, чем им нужно, чтобы отказаться от вашего ссылочного профиля: дважды проверьте обе эти функции.

Пост-миграция

Тот факт, что миграция завершена, еще не означает, что ваша работа еще не окончена. Иногда последствия могут быть такими же сложными, как и сама миграция.

Первое, что вам нужно сделать, это просмотреть сторонние скрипты на своем сайте. У нас был один клиент, который завершил миграцию HTTPS только для того, чтобы обнаружить, что весь их шрифт на сайте исчез. Их пользовательские шрифты были заменены печатными буквами по умолчанию в WordPress, из-за чего сайт выглядел неуклюжим и громоздким. Мы обнаружили, что проблема заключалась в том, что их шрифт был импортирован из сторонней службы, которая не предоставляла библиотеку шрифтов в виде файла HTTPS. Как только мы смогли обновить файл до протокола HTTPS, шрифты вернулись в нормальное состояние.

Другой клиент, работавший над миграцией, имел на сайте несколько форм отправки, импортированных с Pardot.com. Несмотря на то, что большинство других ресурсов на сайте мигрировали правильно, эти формы отправки не сделали этого, оставив ряд пустых полей ввода там, где раньше были полные формы подписки. Как и раньше, оказалось, что формы подписки по умолчанию не переносятся на HTTPS. Как только мы обновили ссылки, формы были готовы к работе.

Наиболее частые проблемы, с которыми мы сталкивались, - это небезопасные изображения. Одно из первых предупреждений, которое вы, вероятно, заметите, - это сообщение об ошибке, подобное приведенному ниже:

Часто во время миграции сайта изображения, которые включены на сайт, имеют небезопасные URL-адреса. Даже после переноса вашего сайта изображения, импортированные с внешних сайтов, часто по-прежнему имеют незащищенный URL, который побуждает Google Chrome предупреждать пользователей о том, что контент на сайте может быть скомпрометирован.

Некоторые из вас прямо сейчас спрашивают: «Но как мне проверять каждое изображение на моем сайте, чтобы знать, какие из них безопасны, а какие нет?» К счастью для вас, у нас есть решение. В Screaming Frog при сканировании сайта вы можете настроить пользовательское извлечение для поиска изображений с HTTP-адресом.

Пользовательское извлечение должно иметь тип XPath и извлекать элемент HTML. Затем используйте следующий фрагмент в качестве кода извлечения:

 // img [содержит (@ src, 'http: //')] 

После завершения сканирования на вкладке «Извлечение» будет полный список страниц с небезопасными изображениями и исходный код для этих изображений. Оттуда вы можете обновить URL-адреса до адресов HTTPS.

Второе, что вам нужно сделать, это добавить HTTPS-версию вашего сайта в Google Search Console. Google потребуется некоторое время, чтобы признать, что ваш сайт теперь безопасен, и передать результаты рейтинга, которые он отображает пользователям. Чем раньше вы подтвердите HTTPS-версию своего сайта в Search Console, тем быстрее Google сможет начать индексирование защищенного сайта и показывать его пользователям в результатах поиска.

В-третьих, помимо HTTPS, вы хотите убедиться, что ваш сервер использует HTTP / 2.0, последнюю версию общего Интернет-протокола. Если вы используете CloudFlare или Let's Encrypt сверху, ваш сервер по умолчанию должен быть совместим с HTTP / 2.0. На всякий случай никогда не помешает выполнить быструю проверку на https://tools.keycdn.com/http2-test .

Последний шаг, который вы захотите сделать после миграции, - это постоянный мониторинг вашего органического трафика в течение следующих недель и месяцев. Как отметил Рэнд Фишкин в приведенной выше ссылке, Moz потерял 11% своего поискового трафика за 3 месяца после миграции, и многие другие сайты сообщили о подобных потерях.

Хотя у вас может быть несколько вариантов немедленного восстановления этого трафика, вы захотите обратить внимание на то, по каким поисковым запросам вы упали в рейтинге или на каких страницах наблюдается падение органического трафика. Если предположить, что эти страницы не восстанавливаются быстро, это может быть признаком более серьезной проблемы на сайте. Если это более серьезная проблема, следуйте инструкциям, что делать, когда ваш органический трафик упадет .

Опять же, переход на HTTPS - это шаг, который вы должны сделать. Google становится все более и более настойчивым в этом, и это также является неотъемлемой частью обеспечения положительного пользовательского опыта для посетителей вашего сайта. К сожалению, то, что это важно, не означает, что это будет быстро или легко. Следуйте нашему руководству выше, и вы сможете избежать наиболее распространенных ловушек и ошибок при миграции HTTPS. Польза того стоит.