الانتقال من HTTP إلى HTTPS: دليل خطوة بخطوة

إن الانتقال إلى HTTPS لا يقتصر على تأمين موقعك فحسب: بل يحمي ترتيبك في محركات البحث، ويزيل تحذير المتصفح "غير آمن"، ويعزز ثقة الزوار. يجمع هذا الدليل العملية كاملةً من البداية إلى النهاية، من الحصول على الشهادة حتى التحقق، وينتهي بقائمة تحقق جاهزة. وبما أن التفاصيل موجودة في مقالاتنا الأخرى، نركز هنا على التدفق العام.

1. احصل على شهادة SSL وثبّتها

كل شيء يبدأ بالشهادة. يمكنك الحصول على شهادة DV المجانية لمدة 90 يومًا المعتمدة من Let's Encrypt خلال دقائق ودون الحاجة إلى حساب. يمنحك معالج SSL المجاني لدينا ملف ZIP واحدًا يحتوي على الملفات CRT وKEY وCA Bundle وfullchain وPFX.

ارفع الملفات الصحيحة بحسب لوحة التحكم لديك (cPanel أو Plesk أو IIS): عادةً الشهادة (CRT) والمفتاح الخاص (KEY) والسلسلة (CA Bundle). في IIS يحمل ملف PFX الوحيد كل شيء.

2. حوّل جميع الروابط والموارد الداخلية إلى https

حدّث الروابط الداخلية ومسارات الصور وCSS وJavaScript إلى https://. الأسلوب الأكثر متانة هو المسارات المطلقة https وليست النسبية للبروتوكول. في نظام إدارة محتوى مثل ووردبريس، اضبط عنوان الموقع على https من لوحة التحكم، ثم استبدل الإشارات المتبقية http:// دفعةً واحدة في قاعدة البيانات.

3. إعادة التوجيه 301 من HTTP إلى HTTPS

انقل كل حركة المرور http بشكل دائم إلى نسخة https. تقوم إعادة التوجيه 301 الدائمة بتوجيه الزوار ومحركات البحث معًا إلى العنوان الجديد، وتحافظ على قيمة الترتيب لروابطك القديمة.

لخادم Apache (.htaccess):

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

لخادم Nginx:

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

4. نظّف المحتوى المختلط

إذا حُمّلت الصفحة عبر https بينما لا يزال أحد مواردها يُستدعى عبر http، فسيظهر المتصفح تحذير المحتوى المختلط ويتعطّل رمز القفل. افحص التحذيرات في وحدة تحكم المطوّر بالمتصفح، وحوّل كل مورد http:// متبقٍّ إلى https. في المحتوى المختلط يكون https إلزاميًا؛ والموارد التي لا تُحمّل (خاصةً النصوص البرمجية) يحظرها المتصفح.

5. أضف HSTS في النهاية

يُخبر رأس HSTS (HTTP Strict Transport Security) المتصفحَ بأن يفتح موقعك دائمًا عبر https. ولأنه حماية قوية جدًا، يجب أن يكون الخطوة الأخيرة: أضفه فقط بعد أن تعمل إعادة التوجيه والمحتوى المختلط بلا أخطاء.

Strict-Transport-Security: max-age=31536000; includeSubDomains

اختبره أولًا بقيمة max-age قصيرة، ثم ارفعها بعد التأكد من سلامة كل شيء.

6. ملكية https وخريطة الموقع في Search Console

في Google Search Console تُعدّ نسخة https:// ملكية منفصلة. أضف ملكية https الجديدة وتحقّق منها، ثم أعد إرسال خريطة موقعك (التي تحتوي الآن على روابط https). واصل أيضًا مراقبة ملكية http القديمة للتأكد من معالجة عمليات 301.

7. الوسم القانوني والتحليلات وأكواد الإعلانات

حدّث وسوم rel="canonical" إلى نسخة https. واضبط عنوان الموقع على https أيضًا في Google Analytics وTag Manager وشبكات الإعلانات وبكسلات التواصل الاجتماعي حتى لا ينقطع القياس وتتبّع التحويلات.

8. التحقق

افحص سلسلة الشهادات بأداة اختبار SSL، وتأكد من رمز القفل في المتصفح، وزر بعض روابط http القديمة لترى أن عمليات 301 تنتهي إلى https.

قائمة تحقق الانتقال

الشهادة: تم الحصول على شهادة SSL وتثبيتها على الخادم.
الروابط الداخلية: جميع مسارات الروابط والموارد على https.
301: إعادة التوجيه الدائمة HTTP→HTTPS مفعّلة (بما في ذلك www).
المحتوى المختلط: لا تحذيرات في وحدة التحكم، ورمز القفل سليم.
HSTS: أُضيف الرأس في النهاية بينما كل شيء يعمل بسلاسة.
Search Console: أُضيفت ملكية https وأُعيد إرسال خريطة الموقع.
القانوني والأكواد: عناوين canonical والتحليلات والإعلانات والبكسلات على https.
التحقق: اجتاز اختبار SSL، وتم التحقق من 301 ورمز القفل.

الخلاصة

الانتقال إلى HTTPS عملية نقل مخطّطة تُنفَّذ فيها خطوات الشهادة وإعادة التوجيه والمحتوى المختلط وHSTS بالترتيب الصحيح. والخطوة الأولى والأهم هي الشهادة. احصل على شهادتك لمدة 90 يومًا من معالج SSL المجاني لدينا وأكمل القائمة من أعلاها إلى أسفلها. كما سينبّهك تذكير عبر البريد الإلكتروني قبل انتهاء صلاحيتها.