كيفية إصلاح موقع ويب تم وضع علامة “غير آمن” من قبل جوجل

عندما يتم وسم موقعك على الإنترنت من قبل جوجل على أنه “غير آمن” فجأة، ويرى الزوار نافذة تحذير عند محاولة تسجيل الدخول أو الدفع، فإن أكثر من 63% من المستخدمين سيغلقون الصفحة فوراً – وهذا يعني فقدان حركة المرور وسقوط حاد في ثقة العلامة التجارية!

في هذه المقالة، نقدم حلول عملية يمكن تنفيذها دون الحاجة إلى مهارات تقنية، وستعيد موقعك إلى حالة “آمن” في غضون ساعتين!

لماذا تم وسم موقعك بأنه “غير آمن”؟

منذ عام 2018، فرضت جوجل ضرورة أن تحتوي جميع الصفحات التي تتضمن إدخالات من المستخدمين (مثل تسجيل الدخول والدفع والنماذج) على شهادة SSL، وإلا سيتم وسمها مباشرة على أنها غير آمنة.

المشكلة الأكبر هي أنه حتى إذا قمت بتثبيت شهادة SSL، يمكن أن تصبح HTTPS غير صالحة إذا انتهت صلاحية الشهادة (على سبيل المثال، إذا لم يتم تجديد شهادة مجانية لمدة 3 أشهر)، أو إذا لم يتطابق النطاق (الموقع الرئيسي يستخدم نطاق “www” لكن الشهادة مرتبطة بنسخة بدون “www”)، أو إذا تم استخدام روابط HTTP في الصفحة (مثل استدعاء أكواد إعلانات خارجية).

بروتوكول HTTP يعني “نقل غير آمن”

قد تعرض متجر إلكتروني تابع لإحدى السلاسل التجارية الكبرى للمهاجمين الذين استولوا على معلومات التسجيل الخاصة بالمستخدمين بسبب عدم تفعيل HTTPS. اكتشف الفريق الفني أن المهاجم استخدم شبكة واي فاي عامة وأداة Wireshark لالتقاط أكثر من 200 كلمة مرور غير مشفرة في غضون 5 دقائق فقط.

المشكلة الرئيسية:

• بروتوكول HTTP ينقل جميع البيانات (كلمات المرور، معلومات الدفع) بشكل غير مشفر.
• الصفحات غير المشفرة عرضة للتلاعب بنسبة 3.6 مرات أكثر من صفحات HTTPS (المصدر: تقرير الأمان من Sucuri لعام 2024).
• جوجل تخفض وزن الصفحات التي تستخدم HTTP في ترتيب البحث بنسبة 15%-20% (بيانات التجارب من SEMrush).

التفاصيل “القاتلة” لشهادة SSL

في فترة التخفيضات الكبرى في 2023، قام موقع تجارة إلكترونية بتعرض صفحة الدفع الخاصة به للمنع من قبل المتصفح بسبب انتهاء صلاحية شهادة SSL، مما أدى إلى خسارة 370,000 يوان من الطلبات.

1. انتهاء الشهادة: الشهادات المجانية (مثل Let’s Encrypt) يجب تجديدها كل 90 يومًا، وإذا انتهت صلاحيتها تصبح غير صالحة.
2. عدم تطابق النطاق: الشهادة مرتبطة بـ domain.com، ولكن عندما يدخل المستخدم إلى www.domain.com تظهر تحذيرات.
3. غياب الشهادات الوسيطة: تؤثر هذه المشكلة بشكل خاص على الأجهزة التي تعمل بنظام أندرويد، مما يؤدي إلى خطأ في سلسلة الشهادات غير المكتملة.

الوضع الحالي في الصناعة: 43% من المواقع التي تستخدم HTTPS لا تزال تحتوي على أخطاء في تكوين الشهادة (المصدر: SSL Labs 2024).

المحتوى المختلط: “قشرة فاسدة تفسد الطبخة بأكملها”

أفاد مشرف موقع WordPress: “لقد قمت بتثبيت شهادة SSL، لكن ما زال يظهر أن الموقع غير آمن!”، وبعد البحث اكتشف أن الصور التي تحتوي على روابط HTTP في القالب كانت تلوث الصفحة بأكملها.

السيناريوهات الشائعة:

• الصور في المقالات القديمة التي تحتوي على روابط HTTP (مثل http://image.com/1.jpg).
• الإضافات الخارجية التي تستدعي واجهات غير HTTPS (مثل نوافذ الدردشة أو الأكواد الإعلانية).
• روابط HTTP الثابتة في قاعدة البيانات.

أدوات الفحص الذاتية:

• اضغط F12 في Chrome → وحدة التحكم (Console) لعرض الأخطاء التفصيلية.
• استخدم SSL Checker لفحص سلامة الشهادة.

الألغام الخفية: اختطاف الشبكة الإقليمي

في بعض المناطق، يقوم مزودو خدمة الإنترنت باختطاف حركة مرور HTTP وإدخال إعلانات أو روابط إعادة توجيه. على سبيل المثال، أبلغت شركة في مقاطعة يونان عن ظهور إعلانات قمار تلقائيًا على موقعها، والتي كانت في الواقع ناتجة عن اختطاف الشبكة من قبل مزود خدمة الإنترنت المحلي.

تؤدي هذه المشكلة إلى تفعيل آلية الأمان في المتصفح، مما يجعل المستخدمين يظنون أن ذلك صادر من الموقع، مما يؤدي إلى زيادة بنسبة 280% في الشكاوى (المصدر: قاعدة بيانات دراسات الحالة من ZhanZhangZhiJia).

كيفية التقديم بسرعة للحصول على شهادة SSL مجانية (3 طرق)

“تثبيت SSL يتطلب تعديل الخادم؟ التكلفة مرتفعة؟” – هذا هو المفهوم الخاطئ الذي يجعل 90% من أصحاب المواقع الصغيرة والمتوسطة يتجاهلون تحذير “غير آمن”.

في الواقع، أكثر من 430 مليون موقع في العالم يستخدمون شهادات SSL مجانية (المصدر: BuiltWith)، بما في ذلك الشركات الكبرى مثل أمازون وWordPress.

أمان الشهادات المجانية مماثل تمامًا للنسخ المدفوعة، الاختلاف الوحيد هو طريقة التحقق.

1. التثبيت بنقرة واحدة من خلال لوحة تحكم الاستضافة (مناسب للمبتدئين)

السيناريو المناسب: مستخدمو الاستضافة المشتركة / الخوادم السحابية (مثل Alibaba Cloud، Tencent Cloud، SiteGround)
خطوات التنفيذ：

1. قم بتسجيل الدخول إلى واجهة إدارة المضيف، وابحث عن وحدة “SSL/TLS” أو “الأمان”
2. اختر “شهادة مجانية”، وحدد أسماء النطاقات التي تريد تشفيرها (يدعم العمليات الجماعية)
3. انقر على “نشر”، وانتظر 3-5 دقائق حتى يتم تفعيلها تلقائيًا

نسبة النجاح：98% (المضيفين الرئيسيين في الصين قاموا بالفعل بتثبيت بيئة متوافقة)

المزايا：لا حاجة للمهارات التقنية، التجديد التلقائي، نسبة الفشل تقترب من الصفر

نقاط يجب تجنبها：

• بعض المضيفين يحددون عدد الشهادات المجانية (على سبيل المثال، West Digital يقدم شهادة واحدة فقط)
• تأكد من أن تحليل DNS مرتبط بعنوان IP الخاص بالمضيف الحالي

2. Let’s Encrypt + Certbot (موصى به من قبل المطورين)

السيناريوهات المناسبة：الخوادم الخاصة (مثل Nginx/Apache)، إدارة العديد من النطاقات

مثال تم اختباره：مدونة بها أكثر من 100,000 زيارة يوميًا، تم تشفير 100 نطاق فرعي في 3 دقائق باستخدام سطر الأوامر

عملية التنفيذ：

# تثبيت Certbot (كمثال مع Ubuntu + Nginx)
sudo apt-get update
sudo apt-get install certbot python3-certbot-nginx

# طلب وتكوين الشهادة تلقائيًا (استبدل yourdomain.com)
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

# تمكين التجديد التلقائي (صلاحية الشهادة 90 يومًا)
sudo certbot renew --dry-run

نسبة النجاح：92% (تعتمد على تكوين البيئة في الخادم)

حل الأخطاء الشائعة：

• Failed to connect to host for DVSNI challenge → تحقق من أن المنافذ 80/443 مفتوحة في الجدار الناري
• The server experienced an internal error → لم يتم تفعيل تحليل النطاق بعد، انتظر تحديث DNS

​3. خدمة CDN مع HTTPS (تسريع الحركة + التشفير في وقت واحد)​

المنصات المدعومة：Cloudflare، تسريع سحابة بايدو، Tencent Cloud CDN

شرح العمليات (كمثال مع Cloudflare)：

1. اشترك وأضف اسم نطاق الموقع
2. في صفحة “SSL/TLS”، اختر وضع “مرن” (إجبار HTTPS على الموقع بالكامل)
3. قم بتفعيل “استخدام HTTPS دائمًا” و”إعادة كتابة HTTPS تلقائيًا”

وقت التفعيل：فوري (تم تفعيله على جميع العقد العالمية)

المزايا الرئيسية：

• لا حاجة لتثبيت شهادة على الخادم الأصلي، العقد الطرفية لشبكة CDN تقوم بالتشفير تلقائيًا
• متوافق مع الخوادم القديمة HTTP، يحل بشكل مثالي مشكلة المحتوى المختلط
• الدعم المجاني لشهادات النطاق الشامل (*.domain.com)

الحلول للمشاكل

-- البحث عن روابط HTTP (استبدل your_db_prefix بالبادئة الفعلية للجدول)
SELECT * FROM your_db_prefix_posts
WHERE post_content LIKE '%http://%' AND post_status='publish';  

add_header Content-Security-Policy "upgrade-insecure-requests";  

إجبار جميع الموقع للانتقال إلى HTTPS (مثال على الكود)

„لماذا يمكن للمستخدمين الوصول إلى النسخة HTTP بعد تثبيت الشهادة؟“ — هذه هي أخطر الثغرات بعد إصلاح المحتوى المختلط.

موقع للتجارة الإلكترونية للأطفال تسبب في فقدان 40% من مستخدميه عبر الهواتف المحمولة الذين استمروا في الوصول إلى الصفحات عبر روابط HTTP القديمة، مما أدى إلى إعادة التقاطها من قبل جوجل، وانخفض ترتيب البحث بنسبة 30%.

المنطق الرئيسي للتحويل القسري هو: اعتراض جميع طلبات HTTP وتحويلها إلى HTTPS باستخدام حالة 301 بشكل دائم.

1. قالب الكود العام (متوافق مع Apache/Nginx/IIS)

خادم Apache (.htaccess)

RewriteEngine On  
# فرض إعادة التوجيه إلى الموقع الرئيسي  
RewriteCond %{HTTPS} !=on  
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]  
# إصلاح استخدام www و غير www  
RewriteCond %{HTTP_HOST} !^www\. [NC]  
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]  

حالات الاستخدام: الاستضافة الافتراضية، WordPress، Joomla وغيرها من مواقع PHP
دليل تجنب الأخطاء:

• تأكد من تمكين وحدة mod_rewrite على الخادم
• يجب تحميل الملف في الدليل الجذري للموقع
• إذا فشل التوجيه، تحقق من وجود تعارض بين عدة ملفات .htaccess

خادم Nginx (قسم إعداد nginx.conf)

server {  
    listen 80;  
    server_name example.com www.example.com;  
    # إعادة توجيه 301 لجميع المواقع  
    return 301 https://$server_name$request_uri;  
    # حظر طرق HTTP غير الضرورية  
    if ($request_method !~ ^(GET|HEAD|POST)$ ) {  
        return 444;  
    }  
}  

نصائح تصحيح الأخطاء:

• بعد التعديل، نفذ nginx -t لاختبار بناء الجملة للتكوين
• إعادة تحميل التكوين: nginx -s reload
• حظر طرق HTTP غير الضرورية لتجنب تسرب البيانات

خادم Windows IIS (قاعدة web.config)

<configuration>  
  <system.webServer>  
    <rewrite>  
      <rules>  
        <rule name="Force HTTPS" stopProcessing="true">
<match url="(.*)" />  
<conditions>  
  <add input="{HTTPS}" pattern="^OFF$" />  
</conditions>  
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />  
</rule>  
</rules>  
</rewrite>  
</system.webServer>  
</configuration>  

الأخطاء الشائعة：

• لم يتم تثبيت وحدة “URL Rewrite” في IIS → رابط التنزيل الرسمي
• خطأ في تشفير المسارات الصينية → أضف encode="false" إلى القاعدة

​2. الحلول الخاصة بأنظمة إدارة المحتوى

لمستخدمي WordPress

1. قم بتسجيل الدخول إلى لوحة التحكم → الإعدادات → عام
2. قم بتغيير عنوان WordPress وعنوان الموقع من http:// إلى https://
3. قم بتثبيت الإضافة Really Simple SSL → إصلاح المحتوى المختلط في قاعدة البيانات بنقرة واحدة

Shopify/Laravel وأنظمة الإطار الأخرى
إجبار HTTPS في ملف متغيرات البيئة (.env) :

APP_URL=https://www.example.com  
FORCE_SSL=true  
SESSION_SECURE_COOKIE=true  

3. معالجة خاصة للأجهزة المحمولة (AMP/متصفح WeChat)

• إعادة توجيه AMP: أضف <meta http-equiv="refresh" content="0; url=https://رابط-جديد"> في HTML لـ AMP
• مشكلة التخزين المؤقت في WeChat: أضف معلمة عشوائية في نهاية URL، مثل ?v=2024 لإجبار التحديث للنسخة HTTPS

4. اختبار ما إذا كانت إعادة التوجيه تعمل

اختبار المتصفح:

• افتح http://example.com → يجب أن يتحول شريط العنوان تلقائيًا إلى https://
• تحقق من أن رمز القفل بعد إعادة التوجيه هو اللون الأخضر

التحقق عبر سطر الأوامر:

curl -I http://example.com  
# يجب أن تتضمن الاستجابة الصحيحة:  
# HTTP/1.1 301 Moved Permanently  
# Location: https://example.com  

الأدوات عبر الإنترنت:

1. Redirect Checker
2. Varvy SSL Test

تحذير من الأخطاء:

إعداد خاطئ → حلقة إعادة توجيه غير محدودة (ERR_TOO_MANY_REDIRECTS)  
الأسباب الشائعة:  
1. تمكين CDN لإعادة توجيه HTTPS في نفس الوقت (تعارض مع قواعد الخادم)  
2. موازن التحميل لا ينقل رأس البروتوكول بشكل صحيح  
الحل:  
أضف في إعدادات Nginx:  
proxy_set_header X-Forwarded-Proto $scheme;  

مبادئ إعادة التوجيه الصديقة لـ SEO:

• استخدم إعادة توجيه 301 عبر الموقع بالكامل (إعادة توجيه دائمة) لنقل 100% من قيمة الرابط
• تجنب إعادة التوجيه المتسلسل (مثل http→http://www→https)؛ لا تسمح بأكثر من إعادة توجيه واحدة
• قدّم خريطة الموقع HTTPS في Google Search Console

منذ عام 2018، بدأ Google تدريجيًا إدراج HTTPS كعامل من عوامل ترتيب البحث. تفقد المواقع غير المشفرة في المتوسط 12%-15% من حركة المرور سنويًا، وهذه الخسارة تتسارع مع زيادة الوعي الأمني لدى المستخدمين.