Fra HTTP til HTTPS – nem guide til WordPress

Skift fra HTTP til HTTPS med denne nemme guide til WordPress-sider

Af Helle-Monika Hobbs

Hvis du følger blot lidt med i, hvad Google kaster sin kærlighed over, er du sikkert stødt på en artikel eller to, som understreger vigtigheden af, at dit website nu benytter sig af den krypterede forbindelse https.

Er dette helt nyt for dig, eller har du fortrængt det i ren og skær afmagt og stadig ikke fundet ud af, hvad alt det med SSL og HTTPS handler om, så hæng på og bliv klogere på det hele her – og lær, hvordan du skifter fra http til https, inden det er for sent.

 

En kort forklaring om SSL, HTTP og HTTPS:

Hvad er HTTP?

HTTP står for ”HyperText Transfer Protocol” og er en protokol, som bruges, når der kommunikeres over World Wide Web (WWW).

Hvad er HTTPS?

HTTPS står for ”Hypertext Transfer Protocol Secure”, og ligesom HTTP er det en protokol til kommunikation over WWW, men til forskel fra HTTP kører HTTPS over en SSL-forbindelse, som krypterer informationerne.

Hvad er et SSL certifikat?

SSL står for ”Secure Socket Layer” og er en sikkerhedsteknologi (en slags fil), som bruges til at etablere den krypterede forbindelse mellem servere og browsere. Du skal have et SSL certifikat for at bruge HTTPS.

Hvilket SSL certifikat skal jeg vælge?

Der findes forskellige typer af SSL certifikater, og alt afhængigt af om du skal bruge SSL til et enkelt domæne eller flere, kan der være grund til at undersøge mulighederne nærmere. Vil du blot sikre et enkelt WordPress site og evt. et enkelt subdomæne, har du nok i det certifikat, der kaldes Single Domain SSL (SD).

Hvor får jeg et SSL certifikat?

Du kan skaffe SSL certifikatet hos dit webhotel. De fleste hosting-udbydere tilbyder det i dag som en gratis service, andre tager i omegnen af et par hundrede for det.
Selv er jeg en af de mange, som – via min hosting-service – benytter mig af den gratis løsning fra Let’s Encrypt, men atter andre er glade for CloudFlare, som også tilbyder gratis løsninger.
Tjek først og fremmest, om din host understøtter de nævnte, søg på nettet og læs evt. lidt mere om CloudFlare og Let’s Encrypt.

 

 

Derfor skal du skifte fra HTTP til HTTPS

”Det ubekymrede WWW var lig med http”

Indtil for ganske nyligt var det standard, at langt de fleste ”almindelige” websites kørte over http, og den krypterede version https fandt man mest hos pengeinstitutter, webshops og andre websites, som behandler følsomme oplysninger såsom CPR-numre, oplysninger vedr. betalingskort og lignende, da det er her, det i virkeligheden er af afgørende betydning, at forbindelsen er ”sikker” og informationerne krypteres.

Derfor har langt de fleste webstedsejere og administratorer af mange andre typer websites ikke behøvet at skænke de krypterede udgaver en tanke, og du har sikkert heller ikke tænkt synderligt over, om der i toppen af dit browservindue stod http:// eller https:// foran navnet på den webside, du besøgte.

 

Du tænker måske stadig ikke meget over HTTPS, men hvis du ejer eller administrerer et website, som du ønsker besøg og synlighed på, gør du mere end klogt i at begynde at tænke på det nu…

 

 

Fremtiden med Google er et mere sikkert web – og fremtiden er her nu!

I starten af september 2016 proklamerede Google, at de fremover ville lægge større vægt på, at deres brugere kan bevæge sig på et sikkert internet, og fra og med januar 2017 ville ændre på den måde, hvorpå de indikerer, om et website har en sikker forbindelse (https) eller ej (http).

Indtil for nyligt har de ikke decideret angivet et website med http-forbindelse som ”usikkert”, men siden årsskiftet er der kommet helt andre webboller på suppen, og allerforrest i adresselinjen på websteder, som ikke benytter den krypterede version (https), finder man nu typisk en grå hængelås med en rød streg igennem. Andre steder finder man en grå hængelås med en gul advarselstrekant og andre igen viser en grøn hængelås med en grå advarselstrekant eller en grå cirkel med et ”i” indeni.

Http og https_Mozillas hængelåse

 

Fælles for alle versionerne er, at de fungerer som advarsler.
Når du – eller din potentielle kunde – klikker på symbolet, åbnes en lille boks, som advarer den besøgende om, at forbindelsen er mere eller mindre usikker.
Du kan finde de helt nøjagtige forklaringer om sikkerheden og de forskellige varianter af advarselssymbolerne her hos Mozilla support.

 

 

 

Konsekvensen af http-advarslen kan koste dig kassen!

For udviklere, programmører og andre webnørder er den slags advarsler normalt ikke specielt skræmmende, men for ”ganske almindelige mennesker”, som surfer på nettet uden viden om krypterede informationer og (u)vigtigheden af dem, er sådan en advarsel nok til, at de hurtigt klikker væk fra dit website igen og aldrig vender tilbage.

De allermest skræmte nøjes ikke blot med at forsvinde for good men sletter hele historikken fra browseren, taper kameraet på pc’en over, lukker alle deres konti midlertidigt og ændrer samtlige kodeord, de nogensinde har benyttet sig af i den digitale verden!

Det var de kunder, du gik glip af, pga. advarslen om ”en usikker forbindelse, men elendigheden stopper ikke her, for…

 

 

Dette er blot begyndelsen på enden, hvis du ikke skifter til https!

Med tiden vil Google ikke blot indikere den manglende sikkerhed i adresselinjen men også i søgeresultaterne – selv på inkognitosøgninger – og ve den stakkels sjæl, som ikke får fingeren ud eller tager advarslen på sin adresselinje alvorligt i tide: Her ender det (foreløbigt) med, at brugeren får leveret en knaldrød advarselstrekant efterfulgt af advarslen i skrevne ord.

 

HTTP_Googles røde advarsel ved manglende https

 

 

Fra Googles artikel om sikkerhed med https

 

Er dine besøgende endnu ikke blevet skræmt væk, garanterer jeg dig for, at du vil kunne se de manglende besøgstal i Analytics og konsekvenserne af dem på din bundlinje, når vi kommer til ”den tid”…

 

 

Https og placeringer i søgeresultaterne

Når mange SEO-folk, som så det komme, har tøvet med skiftet fra http til https, hænger det dels sammen med dovenskab men også med konkurrencen om de gode placeringer i søgeresultaterne.

Der har i SEO-branchen været en del diskussion om fordele og ulemper ved https: Alle vidste nok, det kun var et spørgsmål om tid, før Google ville stramme skruen, men mange vred sig i tøjret til det sidste, fordi det at ændre på alle sine URL’er og lave redirects ofte er et stort arbejde – og ikke noget, man bare lige gør uden bekymring for også at ændre på sine placeringer i SERP (Search Engine Result Page). Heller ikke selvom Gary Illyes fra Google i sommer tweetede, at 30x redirects ikke længere resulterer i tab af PageRank

Google annoncerede også allerede i 2014, at SSL fremadrettet ville være en ranking-faktor i søgeresultaterne, og at der således ville være god SEO-værdi i at skifte til https, men hvor stor en værdi, man kunne opnå – og ikke mindst for hvilken pris, har været det store issue omkring skiftet, og mange, som har foretaget skiftet, har da også oplevet store rutcheture i deres placeringer.

 

Ikke alle har haft lige nemt ved at se fordelen, som Google fortalte om dengang, men mange rapporterer i disse dage om, at tabet af placeringer kun er en overgang – typisk en periode af ca. 14 dage – før de atter vender tilbage til de placeringer, de havde, hvis ikke endda nogle, som er lidt bedre.

 

Herudover har der været mange diskussioner om den lidt længere load time, som https bevirker, og da indlæsningshastigheden af en side også er et af de parametre, der tæller i det store regnskab om de gode placeringer (og mange WordPress-sites i forvejen kæmper med tunge temaer), var det om ikke tungen på vægtskålen så i hvert fald endnu en god grund til at mange tøvede og trak tiden ud, til ændringerne var uundgåelige. Det siges dog imidlertid, at teknologien nu er så veludviklet, at man ikke længere måler den store forskel…

Hvorom alting er, er tiden nu kommet, hvor ændringerne er uundgåelige, hvis du da ikke vil ende med et website, som præsenteres med den røde advarselstrekant – et sted på side 998 i Googles søgeresultater!

 

 

Let's Encrypt_Fra http til https

Skift nemt fra HTTP til HTTPS via Let’s Encrypt

Som tidligere nævnt tilbyder de fleste webhoteller i dag gratis Lets’ Encrypt-support, og vælger du denne løsning, behøver du hverken rode med koder eller filer, ligesom fornyelse af SSL-certifikatet sker automatisk (i modsætning til mange andre løsninger, hvor du selv skal forny certifikatet med jævne mellemrum).

Jeg benytter et webhotel, som understøtter Let’s Encrypt, så proceduren med at skaffe SSL-certifikatet og aktivere https, krævede intet andet af mig end at bede min udbyder om det. Resten af denne guide til https tager udgangspunkt i, at du gør det samme, men:

Vær opmærksom på, at der i forbindelse med skiftet fra http til https er nogle ting, som din host ikke tager sig af – nogle vigtige ting, som du selv skal gøre – og heldigvis nemt kan gøre ved hjælp af nogle gratis plugins.

 

 

Kom i gang med en sikker forbindelse:

 Start med at kontakte din hosting-tjeneste og bed dem om at skaffe et SSL certifikat fra Let’s Encrypt og foretage skiftet til https for dig.

♦ Sikr dig, at du har dit brugernavn og din adgangskode i hovedet eller ved hånden, inden https bliver aktiveret. Du bliver nemlig logget ud af dit kontrolpanel, når din udbyder har foretaget skiftet.

♦ Du skal bruge et par gratis plugins til WordPress. Gå til:

Kontrolpanel

⇒ Plugins

 Tilføj nyt

 

 

 

Søg, installer og aktivér følgende Plugins:

Backup med UpDraftPlus Plugin

 

UpdraftPlus WordPress Backup Plugin

Plugin, som automatisk laver backups.
Bruger du allerede et andet, som virker for dig, er det fint – hovedsagen er, at du kan lave en backup lige om lidt.

 

Fra http til https_Better Search Replace_plugin

Better Search Replace

Finder alle de gamle usikre URL’er i din database (eksempelvis billeder og interne links) og opdaterer dem til de nye, sikre.

 

Eventuelt: WordPress Force Https

Redirecter automatisk alle siderne på dit website og sørger for, at alle, som besøger det, kommer ind på den sikrede version (https). Er dog kun nødvendigt, hvis din host ikke har lavet skiftet som ”HTTPS only” – hvilket i princippet er det samme som “Force Https”.

 

 

 

Start for en sikkerheds skyld med at lave en backup, før du ændrer noget

Gå til Settings/Indstillinger

Vælg UpdraftPlus Backups

Klik på ”opdater” – du behøver ikke lave backup af filerne, vælg blot at opdatere databasen

 

 

 

Usikker forbindelse_Blandet indhold_Grå hængelås med rød streg

Undgå ”Mixed Content”/ ”blandet indhold”

 

Når din host har aktiveret HTTPS, vil der stadig være indhold på dit website, som ikke er krypteret (såsom billeder og interne links). Indtil du har ændret dette, fremstår dit site som et, der har ”mixed Content”, og dine besøgende får også stadig vist en advarsel i adresselinjen (typisk en grå hængelås med en rød streg over), som indikerer, at siden indeholder ”usikre elementer”.

Du er ude efter den grønne hængelås uden streger, trekanter eller andre afskrækkende advarsler, så det skal du ændre nu!

Men frem for at bruge en krig på at finde og rette alle disse ”usikre elementer” manuelt, kan du bruge plugin’et Better Search Replace, som hurtigt og nemt hjælper dig med at finde og ændre dem.

 

 

Find og opdater URL’er med Better Search Replace:

Inden, du ændrer noget permanent, laver du lige en testkørsel:

Gå til Tools/Værktøjer

Vælg Better Search Replace

Gå ind under fanen ”Search/Replace”

Gå til feltet ”Select tables” og marker alle tabellerne i boksen

Gå op til feltet ”Search for” og indtast http-versionen af din webadresse

Gå til feltet ”Replace with” og indtast den ny adresse; https-versionen

Sæt flueben ved ”Case-insensitive”

Sæt flueben ved ”Run as dry run” (dette gør du for at teste – intet ændres)

Tryk på kommandoen ”Run Search/Replace” og vent et øjeblik, mens værktøjet kører en test…

♦ I toppen af vinduet vises snart en boks, som fortæller dig antallet af tabeller og celler, der er fundet og skal opdateres.

 

Fungerede alt efter hensigten, laver du nu de permanente ændringer:

⇒ Dobbelttjek nu, at du har skrevet de rigtige URL’er i felterne ”Search for” og ”Replace with” – altså http (uden ”s”) i ”Search for-feltet” og https (med ”s”) i ”Replace with-feltet”.

→  Fjern fluebenet fra ”Run as dry run”

→ Tryk på kommandoen ”Run Search/Replace”

♦ Plugin’et opdaterer nu, så alt tilbageværende indhold med http bliver ændret til https.

 

OBS: Deaktiver og slet efter brug!
Når Better Search Replace plugin’et har gjort sit job, går du tilbage til dine installerede plugins og deaktiverer + sletter Better Search Replace.

Du har fået det ud af værktøjet, som du skulle, og der ingen grund til at have det liggende mere. Dels optager det plads, og derudover er det ikke smart at have installeret, hvis du får uventet og uvelkomment besøg i din backend. Deaktiver og slet det straks efter brug.

 

 

HTTPS_Sikker forbindelse_grøn hængelås

 Sådan gik du fra HTTP til HTTPS og er nu en sikker forbindelse!

Tillykke! Har du fulgt vejledningen her, er du nu i besiddelse af et sikret WordPress-site, som lever op til Googles standarder og bliver belønnet med en grøn hængelås.
Og når Google er glad, er alle glade:
De mennesker, som finder frem til dit site, kan føle sig trygge ved at klikke og kigge indenfor, og mens du får flere trygge kunder, kan du i øvrigt glæde dig over, at Google sandsynligvis også snart vil belønne dig i søgeresultaterne – og prioritere dig over de af dine konkurrenter, som endnu ikke har skiftet til https…

 

Men mens vi taler om at gøre Google glad, skal du lige huske disse to ting:

Husk at ændre ejendommen til https på Google Analytics

Husk at tilføje https-versionen og uploade nyt sitemap i Google Search Console

 

Jeg ønsker dig rigtig god fornøjelse og forretning med https-versionen af dit website, og skulle du have brug for hjælp til noget af det ovenstående, rådgivning til søgemaskineoptimering, SoMe eller andet omkring din online markedsføring, er du velkommen til at kontakte mig via kontaktformularen her.