Sikkerhed er en høj prioritet overalt. Vi skal beskytte os selv, vores brugere og vores hjemmesider. I dette indlæg vil jeg vise dig hvordan du kan lave din side i WordPress sikker med https.
Det er egentlig ikke så svært, men det kræver alligevel en del frustrerende timer at finde ud af. Derfor har jeg lavet denne guide. Så burde du kunne klare det hele på en times tid eller mindre.
Advarsel!
Dette indlæg er teknisk og indholder udtryk af den slags der giver hovedpine og får dig til at falde i søvn. Jeg kan ikke gøre udtryk som kryptering og htaccess sexet…
… men – traditionen tro – vil jeg gøre det så enkelt for dig som muligt.
Hov! Dine øjenlåg er allerede tunge. Bryg en kop kaffe så du er klar til at gå i gang med en opgave du aldrig havde troet du selv kunne klare.
Klar? – Ok, lad os springe ud i det. Der er fem faser:
- Aktivér Let’s Encrypt
- Ret htaccess
- Ændr url på alle dine indlæg og sider
- Skift adresse i WordPress
- Google Search, Analytics og AdSensekoder
Da jeg læste om dette første gang, blev jeg meget tung i ansigtet. Men bare rolig. Jeg tager dig i hånden og hjælper dig igennem alt det svære.
Hvis du ikke helt forstår alt det tekniske, så er det helt ok. Vi skal nok få dig sikkert igennem alligevel 😉
1. Aktivér Let’s Encrypt
Hvad?
Let’s Encrypt er et gratis SSL certifikat de fleste webhoteller udbyder. Der er forskellige niveauer af sikkerhed. Hvis du har en større webshop, så bør du nok overveje et betalt certifikat. Men har du en blog med et par produkter, så er Let’s Encrypt fint.
Et SSL certifikat aktiverer hængelåsen i adresselinjen på din browser. Og så ændrer det dit url fra http til https. Certifikatet er dine brugeres sikkerhed. Det betyder at personlige oplysninger bliver krypteret.
Derfor vil søgemaskinerne prioritere sider der er sikre. De vil levere de søgninger der giver mest tryghed for brugerne.
Sådan gør du
Ok, jeg må gå til bekendelse. Jeg kender ikke fremgangsmåden for alle webhoteller. Derfor viser jeg dig hvordan du aktiverer Let’s Encrypt på Simply.com (tidl. UnoEuro). Hvis du har en anden udbyder, så prøv at søge på deres side efter Let’s Encrypt. Eller spørg support.
Nem søgning i Google: “Let’s encrypt [indsæt din udbyders navn]”.
- Hop til Simply.coms (reklamelink) webside.
- Log ind på Kontrolpaneler (øverst til højre).
- Vælg dit domæne (hvis du har flere).
- Klik på Website i menuen til venstre.
- Rul ned i bunden af siden. Klik på knappen HTTPS beskyttelse.
- Ud for dit domænenavn skal du vælge Let’s Encrypt.
- Klik på knappen Sæt.
- Nu er Let’s Encrypt aktiveret.
Men det virker ikke – endnu.
2. Ret htaccess
Nu skal du holde tungen lige i munden. Vi skal til at programmere. Jubii.
Ingen problem. Selvom du er bange for at lave lort i det, så viser jeg dig hvordan du kommer helskindet igennem.
Mellem dine filer på dit webhotel er der en fil der hedder htaccess. Det er den fil der fortæller serveren hvordan den skal læse din hjemmeside. Den er en vigtig fil. Normalt vil du blive advaret imod at rette i filen.
Jeg vil ikke skræmme dig – så det gør jeg. Hvis du ødelægger filen, så kan serveren ikke læse din hjemmeside. Derfor starter vi med at lave en kopi af filen 😉
Find filen
Ha. Det lyder nemt. Første gang jeg skulle finde htaccess, havde ingen anelse om hvor jeg skulle lede. Det rigtige navn for filen er “.htaccess”.
.htaccess ligger i din hjemmesides mappe på dit webhotel. Hos Simply.com skal du klikke på Kontrolpaneler og File Manager i venstre menu. Derefter klikker du på mappen public_html.
Nu skulle du kunne se .htaccess som den første fil under mapperne.
Hvis du ikke kan se filen…
Hvis .htaccess ikke er der, så kan du få WordPress til at lave den for dig ved at skifte til permanente links:
- Åbn en ny fane i din browser.
- Log ind på din hjemmeside – wp-admin.
- Vælg Indstillinger og Permanente links.
- Vælg Navn på indlæg (anbefalet).
- Klik Gem ændringer.
- Gå tilbage til filmappen på webhotellet.
- Opdatér siden – og vupti – du kan nu se .htaccess.
Kopier .htaccess
Lav en sikkerhedskopi: Find ikonet for download til højre for .htaccess. Klik på det for at hente filen ned på din computer.
Nu ligger der en kopi af .htaccess i den mappe du har bedt din computer gemme downloads i. På Mac can du også finde den ved at klikke på Overførsler i Dock’en.
Flyt filen til et sted hvor du nemt kan finde den igen.
Tilføj kode til .htaccess
Nu skal vi til det sjove :-). Det er den del de fleste vil tøve med. Når vi er færdige, vil du tænke: Jeg klarede det! – Og så har du noget at blære dig med overfor vennerne 😉
Tilbage til kontrolpanelerne og klik på .htaccess. Nu åbner et vindue med noget kode som ligner det du ser på billedet. Det er muligt at din fil inderholder lidt anden kode.
Nu skal du indsætte et nyt kodestykke i linje 1. Start med at lave plads til koden. Sæt din markør i starten af linjen og lav to linjeskift.
Kopiér kodestykket nedenfor (kaldes også en snippet). Og indsæt koden i linje 1.
RewriteCond %{HTTPS} !=on
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L]
Du skal ikke rette noget i koden. Den skal stå præcis som jeg har gengivet den ovenfor.
Nu burde din fil se ud som på billedet. Gem ved at klikke på den gule knap. Nu er den svære del klaret.
Hvad har vi lavet?
Når du aktiverer Let’s Encrypt, opretter du en ny hjemmeside. Den er en eksakt kopi af din gamle side.
Vi skal have al trafik til at gå til din nye sikre side. Altså den side der starter med https. Men der er stadig links der leder trafik til din gamle side. Den skal omdirigeres.
Da vi rettede koden i .htaccess bad vi serveren at omdirigere al trafik til den nye side. På den måde fortæller vi brugere og søgemaskiner at der kun er een side der gælder.
Hvis ikke vi omdirigerer trafikken, så vil dine læsere kunne se både din nye og gamle hjemmeside. Søgemaskinerne vil opfatte indholdet som kopieret indhold. Det er ikke godt. De nedprioriterer kopieret indhold.
Men alt er godt nu. Du har lavet din side sikker og omdirigeret al trafik. Nu er du klar til næste fase.
3. Ændre url på alle dine indlæg og sider
Selvom du har lavet din side sikker med https, så er der kun en grå hængelås i adressefeltet i browseren. Det er fordi der er sider hvor der findes usikre links.
På dine sider og indlæg er der links der stadig peger på din gamle side. Dem skal du rette.
Hvis du har en ældre side, så kan det være et ganske uoverskueligt arbejde. Måske skal du finde og rette flere hundrede links. Et for et.
Installér Velvet Blues
Men heldigvis er der et plugin der kan hjælpe dig. Jeg har brugt et plugin der hedder Velvet Blues Update URLs.
- Gå ind til back end af din WordPress-side og vælg Plugins i menuen.
- Vælg Tilføj nyt.
- Søg efter Velvet Blues Update URLs.
- Installér og aktiver plugin.
- I menuen Værktøjer er der kommet et nyt punkt – Update URLs. Vælg det.
Lav en backup
Før du går videre, vil jeg anbefale at du laver en backup af din hjemmeside. Dit webhotel har sikkert en kopi af din side der går et døgn tilbage. På Simply.com er det relativt nemt at genskabe en side, men du risikerer alligevel at miste data hvis noget går galt.
Du kan lave en manuel backup ved at kopiere din database. Den indeholder alle dine indlæg på bloggen. Derefter kopierer du alle dine WordPressfiler ved at downloade dem til din computer.
Jeg har endnu ikke lavet en vejledning til at lave backups, men jeg har fundet en god guide på Beginners Guide for WordPress.
Ændr URLs
Nu er du klar til at ændre alle links på din side.
- Skriv dit gamle url i feltet Old URL. Det er din gamle side uden -s (http://…)
- Skriv dit nye url i feltet New URL. Det er din nye sikre side (https://…)
- Vælg at opdatere alle links – undtagen All GUIDs.
- Klik på knappen Update all URLs Now.
- Gentag processen både med og uden www i din adresse.
Det var det. Alle links er nu ændret. Du har nu en sikker og grøn hængelås på alle dine sider 🙂 Du har gjort din side sikker med https.
Næsten…
4. Skift adresse i WordPress
Du har flyttet din blog eller hjemmeside fra http til https. Og når du flytter, er det vigtigt at du ændrer din adresse alle steder. Her viser jeg dig hvordan du ændrer din adresse i WordPress.
Smut ind i dine kontrolpaneler i WordPress og klik på Indstillinger. Vælg Generelt.
Nu skal du ændre WordPress-adresse (og evt. Webstedsadresse) fra http til https.
5. Fortæl Google at du er flyttet
Jeg går ud fra at du har en konto på Google Analytics og Google Search. Hvis ikke, så vil jeg stærkt anbefale dig at komme i gang.
Hvis du allerede har tilføjet dit domæne, så behøver du ikke at gøre det igen for https. Dit domæne (eksempel.dk) omfatter alle subdomæner (http, https, www og m osv).
Google Search Console
- Log ind på din konto på Google Search Console.
- Klik på Tilføj Ejendom (skifter lidt hvor du finder funktionen; pt ligger den i menuen til venstre).
- Følg vejledningen på skærmen.
Når du har oprettet din sikre side, så er det en god idé at du uploader et nyt XML sitemap. Så går det lidt hurtigere for Google at indeksere din side med det nye url.
Et XML sitemap er en liste over alle dine sider og indlæg. Den liste skal Google bruge for at kunne vise dem i sine søgeresultater.
Du kan lave et XML på mange måder. Jeg vil anbefale at du bruger Yoast SEO til opgaven. Det er et plugin der hjælper dig med at optimere dine sider til søgemaskinerne.
Når du har installeret Yoast SEO, kan du finde den i menuen til venstre i dine kontrolpaneler. Det er navngivet SEO.
- Vælg Generelt og klik på fanebladet Funktioner.
- Slå XML sitemaps til.
- Klik på det lille spørgsmålstegn efter XML-sitemaps (se billedet).
- Klik på linket: Vis XML-sitemap
- Kopiér url (i adressefeltet i din browser). Der står sandsynligvis noget i retning af https://dit-domæne.dk/sitemap_index.xml
- Gå over i Google Search Console og vælg Sitemaps i venstre menu.
- Øverst til højre er der en knap hvor der står Tilføj/test sitemap. Klik på den.
- Indsæt den del af url du lige har kopieret.
- Klik på Send.
Nu ved Google hvor dine sider er.
Google Analytics
Du bruger Analytics til at analysere trafikken på din blog eller hjemmeside. Du skal fortælle Google at den fremover skal hente data fra din https-adresse.
- Log ind på Google Analytics.
- Klik ind på Administrator (nederst i menu til venstre).
- Vælg Indstillinger for visning (øverst i 3. kolonne).
- Skift til https i Websitets adresse. Husk at klikke “Gem” nederst.
- Gør det samme i Ejendomsindstillinger (2. kolonne).
Google AdSense
For dig der har reklamer på din side. Måske bruger du andre reklamenetværk end Google. Men det samme gælder.
Du skal huske at ændre links i kildekoden til reklamerne. Hvor? Tja. Samme sted som du satte dem ind 😉
Ja, jeg ved det. Du har med garanti glemt hvordan du gjorde det. Det er en af den slags ting man kun gør én gang og glemmer alt om igen.
Men der er ikke nogen nem vej. Find koden og ret http til https. Jeg kan ikke give en præcis vejledning, for der er tusind måder at gøre det på.
Et lille hint: Sider hvor koden skal ændres, har ikke en hængelås 😉
Start eventuelt forfra med at indsætte reklamer. Det kan være en god måde at få ryddet lidt op på din side.
OBS – det er ikke altid at der er et url i koden for reklamer.
Mangler hængelåsen?
Hvis du støder på en side hvor hængelåsen mangler, så kan det være en frustrerende opgave at finde ud af hvorfor. Det er heldigt at jeg ikke har så mange hår på hovedet, for så ville jeg helt sikkert have revet dem ud da jeg stødte på dette problem første gang.
For at spare dig for de frustrationer (og redde din manke) så har jeg fundet et fantastisk værktøj der kan hjælpe dig med at finde fejlen.
Kopier url til den side der mangler en hængelås og indsæt den i værktøjet Why No Padlock?
Så tester den hurtigt din side og finder fejlen 😉
Din blog er sikker med https, men hvad er næste skridt?
Du har lige lavet et kæmpe stykke arbejde for din blog og hjemmeside. En opgave virksomheder betaler mange tusinde kroner for at få lavet.
Din side er blevet hævet mange niveauer og fremstår mere troværdig og professionel. Den rykker helt sikkert frem i søgemaskinerne.
Men der er mere du kan gøre. Jeg har lavet en blogtjekliste. Det er en komplet tjekliste med alle de ting du kan gøre for at sikre at din blog bliver en populær blog. Få den her >>