Migratie naar HTTPS van mijn wordpress blog

Update 27/01/2017
Sinds gisterenavond is de gevreesde versieupdate 56 van de Chromebrowser beschikbaar (1 van de volgende weken komt ook versie 51 van Firefox op de markt met eenzelfde feature).

Windows gebruikers zien dus nu reeds onderstaande “niet veilig” meldingen op websites met een paswoord-veld over HTTP. Mac gebruikers zien het trouwens momenteel nog niet.

Belangrijk om te weten is dat die websites eerst een waarschuwing hebben gekregen via de Google Search Console.


De afgelopen jaren heb ik het nog wat afgewacht (zeker daar ik van de eerste rij de negatieve effecten zag bij klanten die naar https gingen). Nu is er echter veel aan het veranderen en enkele weken geleden het ik dan ook de migratie gedaan naar een SSL/TLS certificaat.

Enerzijds is er de grotere push van Google richting een all-secure www en daarnaast de opkomst van Let’s Encrypt en andere initiatieven hiervoor. Je ziet dat de grote switch nu wel is ingezet en dat de meeste grote sites ondertussen op HTTPS zitten (ja zelfs Pornhub en co).

Wat is HTTPS en waarom zou ik dat doen?

De S achteraan HTTPS geeft weer dat er een beveiligde verbinding tussen jou computer en de server wordt opgezet. Als er dus iemand in het midden komt meeluisteren op je verbinding (een zogenaamde man-in-the-middle attack), dan kan deze persoon niets lezen van wat je doet op die beveiligde website.

Science fiction hoor ik jullie mompelen. Wel ik heb thuis een WIFI-hack device liggen (ik twijfel al lang of ik hier wel over zou bloggen), waarmee het kinderspel is om alle niet-beveiligde verbindingen in een ruimte met public wifi te gaan onderscheppen en meelezen.

Dus…

Met dank ook aan de interne techblogs van Wired, Yelp, Thenextweb.com… over hun ervaringen met een HTTPS migratie.

 

WordPress naar HTTPS brengen

Met dank aan mijn cloud webhoster Stone-IS was het een fluitje van een cent om een zogenaamd HTTPS certificaat van Let’s encrypt te gaan activeren vanuit mijn Plesk Serverpanel.

Let’s Encrypt wordt gesponsord door o.a. Cisco, FB, Chrome, Automattic,… en zorgt ervoor dat je geen duur certificaat meer nodig hebt, maar een veilig en gratis certificaat via hen kan krijgen. Leuk om te lezen is deze blogpost waarin ze openlijk spreken over hun werkingskosten en hoe ze deze financieren.

letsencrypt-budget

 

Daarna was het niet meer dan volgend HTTPS stappenplan volgen:

  • Maak gebruik van de Nederlandse WP plugin Really Simple SSL daar deze het meeste voor jou gaat afhandelen (redirects en instellingen) en controleren.
  • Ik heb in mijn WordPress database hardcoded http-links opgespoord naar images en interne links en met een SQL scriptje aangepast (met dank aan mijn MS SQL server consultancy periode lang geleden). Ping me voor eventuele support of gebruik 1 van de vele plugins.
  • Nadien heb ik mijn domein nog doorgegeven op de HSTS preload list. Als je HSTS gaat configureren (zie deze mooie tutorial), denk dan wel even 2 keer na of dit in jou geval wel slim gaat zijn.
  • Als laatste checklist item heb ik de zogenaamde SLL Server test uitgevoerd (die waar onze Belgische banken begin 2015 op faalden). Met dank aan de Stone-IS support is mijn cloudserver voorzien van de nodige updates, zodat ik nu een A-score haal op deze test.

ssl_server_test__www_dailybits_be__powered_by_qualys_ssl_labs_

Nog bijkomende stappen uit te voeren?

Developers denken dan inderdaad dat ze er zijn, maar helaas zijn er ook nog online marketeers, die dan pas beginnen zagen:

1 van de nadelen bij een HTTPS-migratie is het feit dat je bijvoorbeeld je social counter stats kwijt bent. Je kan hiervoor in de code wel wat zaken gaan aanpassen of gewoon een juiste plugin kiezen. Ik werk zelf met de betalende Mashshare plugin en die vangt dit voor mij op.

In de Google Search Console zal je de https-versie van je website opnieuw terug moeten verifiëren (enja ook alle subdomeinen) en instellen. Als het goed gaat, dan dien je dit te gaan zien in je Google Search Console properties. De HTTP indexatie dient te verdwijnen en de HTTPS indexatie dient deze daling op te vangen.

search_console_-http
search_console_-https

Ga in Google Analytics ook even het default domein aanpassen in de property settings.
analytics-https

Gebruik je Google Tag Manager, ga dan zeker alle tags en triggers na, want ik zie hier geregeld nog foutjes tegen gebeuren.

Heb je een Youtube channel ga daar dan ook je HTTPS-url gaan koppelen ipv. je vorige http-url (directe link).

Ga overal even je http-links naar je website (op je social profielen bvb) aanpassen naar de https-versie.

Ben je zeker dat je AL je subdomeinen ook mee heb overgezet? Ik heb een Mautic Marketing Automation installatie draaien en diende deze ook naar HTTPS over te zetten, daar het trackingscript wordt aangeroepen op mijn blog.

Het meest vergeten stapje: je referrer gegevens blijven doorgeven

Reeds in de zomer van 2015 heb ik een blogpostje geschreven bij Intracto over hoe referral data naar niet-https websites niet meer wordt meegegeven en dat je hier (zeker als blogger) best even een extra metatag voor gaat meegeven.

https_referral_verkeer_1

Wie in mijn code gaat neuzen, zal dan ook zien dat ik die metatag referrer (meer info hierover) heb ingesteld, zodat niet-https websites nog altijd merken dat er bezoekers vanop mijn blog naar hun website gaan.
view-source_https___www_dailybits_be

Check de headers van je website

Een https certificaat is 1 ding. Check zeker ook even de HTTP response headers van je site via de handige testtool securityheaders.io.

Een (aangeraden) B-score haal je eenvoudig, door volgende lijntjes in de .htaccess van je website te gaan toevoegen.

Header set X-Frame-Options SAMEORIGIN
Header set X-Xss-Protection “1; mode=block”
Header set X-Content-Type-Options “nosniff”
Header set Strict-Transport-Security “max-age=31536000”

Support nodig om je website naar HTTPS te migreren?

Het mag duidelijk zijn dat een HTTPS migratie net iets verder rijkt dan wat playmobil SEO en er wat technische aspecten langskomen. Deze super tutorial laat dit nog meer zien (let op als je deze afprint heb je een half bos nodig).

Indien je technische SEO support kan gebruiken, ping me dan zeker!

En neen zo ga je niet overleven online in de volgende jaren, door HTTPS links te faken.


Gerelateerde berichten

Herman Maes - online marketeer seo freelancer

Herman Maes

Online marketeer en (tech)blogger sinds 2002. Freelancer (SEO en Digital marketing) met Dailybits als SEO/Hubspot/Marketing Technology Teamlead en thuis de papa van een zoon en een dochter.

Schrijf je in op de maandelijkse Dailybits mailing met een behind-the-scene blik.

2 comments

Submit a comment

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *