Je vraagt je misschien af waarom we WordPress SSL/TLS zouden moeten implementeren of WordPress op HTTPS zouden moeten inschakelen? Voordat we daarmee beginnen, moeten we even wat geschiedenis vertellen.
Met 3.9 miljard internetgebruikers (en dat aantal groeit elke dag) en 1.7 miljard websites op het internet kunnen we gerust stellen dat het internet onze tweede thuis is geworden – wat ooit bekendstond als "online gaan" klopt niet meer. We zijn altijd verbonden, altijd online. Facebook heeft meer dan 2.5 miljard maandelijkse actieve gebruikers. Vroeger spraken we over "virtueel", maar het internet is zo echt geworden als maar kan, onderdeel van ons dagelijks leven.
Deze statistieken zijn ronduit overweldigend! En er is absoluut geen teken dat het zal afnemen. Naarmate opkomende landen toegang krijgen tot goedkoop internet, zullen de aantallen de komende tijd ongetwijfeld blijven stijgen.
WordPress is zeker gegroeid sinds zijn bescheiden begin als blog. En wanneer zoveel mensen een van je WordPress-sites bezoeken, is het een plicht om een uiterst veilig platform te bieden dat hun veiligheid niet in gevaar brengt.
In het bericht van vandaag, dat deel uitmaakt van onze serie informatieve WordPress-tutorials (die u in ons menu kunt bekijken), laten we u zien hoe u WordPress SSL/TLS of WordPress HTTPS op uw website kunt implementeren.
Kanttekening: een deel van de lees- en schrijfwerkzaamheden in dit artikel zijn zeer technisch en vereisen kennis van ontwikkelaars. Als je wilt huur een WordPress-ontwikkelaar in Bekijk het gelinkte artikel om meer te weten te komen over alle zaken waar u rekening mee moet houden voordat u een ontwikkelaar inhuurt.
Hulp nodig met het beveiligen van je website? Probeer deze hoog gewaardeerde, betaalbare klussen op Fiverr!
Klik hier om experts te vinden op WordPress-beveiligingscertificaten instellen.
1. Laten we beginnen bij het begin. Is het SSL of TLS? Of HTTPS?
Eigenlijk zou dit tegenwoordig TLS moeten zijn (de afkorting voor Transport Layer Security).
Dit komt doordat TLS de nieuwste versie van beveiligde certificaten is die gebruikt moet worden. Oorspronkelijk heette het gebruikte beveiligingstransport echter SSL (Secure Sockets Layer).
Hoewel TLS tegenwoordig in de praktijk wordt gebruikt, noemen de meeste mensen beveiligde certificaten SSL-certificaten. Strikt genomen zouden we ze eigenlijk alleen beveiligde certificaten moeten noemen.
HTTPS betekent HTTP overgeleverd SVeilige communicatie. HTTPS wordt tegenwoordig geïmplementeerd via beveiligde certificaten via TLS.
2. De rol van beveiligingscertificaten en hoe deze passen bij WordPress-beveiliging
SSL is de afkorting die staat voor Secure Sockets Layer en is een technologie die wordt gebruikt voor veilige communicatie via een netwerk.
Deze veilige vorm van transport wordt bereikt door een versleutelde verbinding te creëren tussen een clientcomputer en een server. In de meeste gevallen betreft dit een webserver en een clientbrowser waarop een website wordt weergegeven; of, in het geval van e-mailclients zoals MS Outlook, wordt er een verbinding gemaakt met de e-mailserver.
Het beveiligde certificaat wordt doorgaans uitgegeven door een certificeringsinstantie zoals Comodo SSLDit betekent dat een centrale, vertrouwde autoriteit "instaat" voor de server. Wanneer de webserver een bericht versleutelt, "ondertekent" hij/zij het in feite om de authenticiteit ervan te verifiëren met een certificaat van de autoriteit.
De browser controleert vervolgens de handtekening en verifieert of deze afkomstig is van een "vertrouwde" instantie. Als het certificaat vertrouwd is, is er sprake van veilige communicatie tussen de client en de server.
Het certificaat wordt vervolgens gebruikt om het bericht te ontsleutelen en de inhoud ervan te lezen.
Dit maakt beveiligde communicatie mogelijk, die niet door derden kan worden gelezen. Gebruikers kunnen er dus op vertrouwen dat de vertrouwelijke gegevens die ze via internet versturen, zoals bankgegevens, inloggegevens, burgerservicenummers, e-commercegegevens, creditcardgegevens en andere vertrouwelijke gegevens, veilig op de website aankomen waar ze worden verwerkt.
Want in werkelijkheid ligt het probleem van "vertrouwen" niet bij de website zelf, maar bij de communicatie tussen de website en de klant.
Vóór deze technologie, of wanneer een website alleen HTTP gebruikt voor communicatie die niet zo geavanceerd is, werden gegevens als platte tekst verzonden. Dit maakte het kwetsbaar voor kwaadaardige aanvallen - die de gegevens konden lezen en uiteraard voor kwaadaardige doeleinden konden gebruiken. Zo konden inloggegevens worden gestolen om een website over te nemen, of konden creditcardgegevens worden gelezen en gebruikt om frauduleus aankopen te doen.
3. Waarom moet u uw website veilig aanbieden?
Website-eigenaren die HTTPS niet hebben geïmplementeerd, zijn vatbaar voor 'spionage'.
Omdat de webserver het verkeer naar de browser niet kan versleutelen, kunnen alle datacommunicaties, inclusief vertrouwelijke gegevens, gemakkelijk door hackers worden gelezen. In principe kan alle data die tussen de client en de webserver wordt uitgewisseld, worden gelezen. Als u inlogt op een website, kunnen uw inloggegevens worden gelezen. Als u creditcardgegevens doorgeeft, kunnen deze worden gestolen.
Als u vertrouwelijke gegevens verzendt, kunnen deze worden gelezen als u geen websitebeveiliging implementeert middels beveiligingscertificaten.
Als u geen volledige encryptie implementeert, is uw site kwetsbaar voor een zogenaamde Man-in-the-Middle-aanval. Lees hier meer over op Wikipedia. Hulpmiddelen zoals: WireShark (een gratis tool die iedereen kan downloaden en gebruiken) maken het heel erg makkelijk om het internetverkeer te lezen, en hackers zetten complete infrastructuren op om ongecodeerde gegevens te lezen.
Hieronder ziet u een screenshot van Wireshark die een wachtwoord leest dat via HTTP is verzonden:
Kwaadwillende gebruikers hebben de beschikking over hulpmiddelen zoals hierboven beschreven, waarmee ze kunnen zoeken naar specifieke patronen, zoals creditcardnummers, burgerservicenummers, wachtwoorden en andere gegevens die voor hen waardevol zijn.
Als u daarentegen HTTPS op WordPress implementeert, stelt u een encryptiesysteem in dat verschillende beveiligingsvoordelen biedt, zoals integriteit, identiteit en vooral vertrouwelijkheid.
Het stelt de server en browser alleen in staat de tekst te decoderen die via het communicatiekanaal wordt verzonden. Het controleert of de gegevens intact zijn en niet zijn gewijzigd, om de integriteit van de gegevens te garanderen (d.w.z. dat er niet mee is geknoeid).
4. HTTPS en SEO
Websites die HTTPs implementeren, krijgen een hogere ranking in zoekmachines.
Google in een blog met de titel "HTTPS als rankingsignaal." kondigde aan dat het een voordeel zal geven aan websites die gebruikmaken van deze beveiligde technologie.
Dit maakt het belang van de implementatie ervan op uw website des te groter. Anders heeft uw website een achterstand ten opzichte van concurrenten die HTTPS wel hebben geïmplementeerd.
Google wil dat beveiliging de hoogste aandacht en prioriteit krijgt. Het bedrijf heeft de verantwoordelijkheid op zich genomen om ervoor te zorgen dat volledige beveiliging in de hele sector wordt toegepast. Dit garandeert dat internetgebruikers die de Google-zoekmachine en andere diensten gebruiken, veilig kunnen communiceren via alle diensten.
Ze hebben ook het concept 'HTTPS overal' bedacht om het gevoel van verhoogde internetveiligheid te bevorderen.
Dit was echter niet genoeg voor hen. Omdat ze zoveel invloed hadden, voegden ze SSL toe als rankingsignaal voor SEO en zoekmachinerankings.
Als uw website HTTPS implementeert, heeft deze een voordeel ten opzichte van websites die het niet implementeren (alle andere rankingsignalen blijven gelijk).
Meer informatie: WordPress onpage SEO-checklist: een 19-stappenplan om het verkeer te verhogen.
Heeft de migratie van HTTP naar HTTPS gevolgen voor mijn ranking?
Veel mensen vragen zich af of de overstap van HTTP naar HTTPS hun huidige organische ranking negatief zal beïnvloeden. Aangezien de HTTP- en HTTPS-versies van een website als verschillend worden beschouwd, betekent dit dan dat alle backlinks naar de http://-versie van de website verloren gaan?
Dat is een zeer terechte zorg.
Je hebt hard gewerkt om waardevolle backlinks te krijgen, en als je deze verliest, krijg je een kleine boost in je ranking, maar verlies je het grotere rankingsignaal dat afkomstig is van links.
Zoals u verderop zult zien, voeren we echter een 301-redirect uit. Dit betekent dat de server die hier voorheen stond, permanent is verhuisd naar een nieuwe locatie.
Google begrijpt dat een 301-redirect betekent: "Hallo Google, dit ben ik nog steeds, maar ik ben nu permanent verhuisd naar een nieuw adres." Dit betekent dat u geen verkeer, backlinks of link juice verliest.
Misschien wilt u nog wat meer lezen over 301-omleiding op de Moz-website. Daar vindt u onze exacte aanbevelingen.
Het enige dat onze site verloor toen we doorverwezen naar de beveiligde URL van onze site, was onze Aantal sociale shares.
Dit komt omdat Facebook en de meeste andere share counters https://www behandelen.collectiveray.com en https://www.collectiveray.com als twee compleet verschillende URL's. Dit is iets waar je waarschijnlijk mee zult moeten leren leven. Sterker nog, hoe eerder je dit doet, hoe sneller je nieuwe shares op je beveiligde adres zult krijgen.
We hebben dit op meerdere sites gedaan naast CollectiveRay, en er was nooit een negatief effect op de ranking of het verkeer. Zolang je de juiste instellingen gebruikt, hoef je je hier geen zorgen over te maken.
UPDATE: Onlangs heeft Google bevestigd dat 301-omleidingen van HTTP naar HTTPS absoluut geen link juice verliezen. Dit komt omdat het natuurlijk niet logisch is om een boete te krijgen voor het overschakelen naar iets wat Google aanbeveelt.
5. Wat moet ik nog meer doen nadat ik SSL heb ingeschakeld?
Als u er zeker van wilt zijn dat u Google duidelijk laat weten dat uw site daadwerkelijk is verhuisd, kunt u dit het beste via de Google Search Console doen.
Voeg uw site eenvoudig toe alsof het een nieuwe site is in Google Search Console.
Dit kan natuurlijk betekenen dat u bepaalde gegevens kwijtraakt, zoals gestructureerde gegevens, en dat u uw sitemaps opnieuw moet indienen. Desondanks zijn wij van mening dat dit voor Google een zeer sterke indicatie is dat dit een geldige en volledig goedgekeurde migratie is.
6. Vertrouwen winnen met beveiliging
Zoals u waarschijnlijk al weet, tonen sommige websites een groene balk in de browser. Dit geeft aan dat de website beveiligde communicatie heeft geïmplementeerd.
Een heel duidelijk voorbeeld hiervan ziet u op de website van Paypal.
Hoe kunt u controleren of uw website beveiligd is?
Om te controleren of een website SSL-beveiligd is, kunt u controleren of het voorvoegsel https:// voor de URL staat in plaats van de normale http://.
Daarnaast is er ook een slotje aanwezig in het adresveld voordat de website begint.
De afbeelding hierboven geeft aan dat een website een geautoriseerd SSL-certificaat heeft, maar de weergave van het hangslotje verschilt per browser. Websites die een Extended Validation-certificaat hebben aangeschaft, hebben een volledig groene adresbalk of de naam van het bedrijf staat vóór de URL.
Extended Validation-certificaten zijn vrij duur om aan te schaffen en te implementeren, omdat er een aantal fysieke controles nodig zijn om te bevestigen dat de webserver daadwerkelijk toebehoort aan het bedrijf dat de certificaten implementeert.
Mensen die Safari gebruiken, zien dat er een groen lettertype wordt gebruikt om aan te geven dat het bedrijf een EV-certificaat gebruikt.
Het volgende voorbeeld is een EV-certificaat dat gebruikt wordt voor de Safari-browser. De adresbalk heeft hier geen groene achtergrond zoals in andere browsers. In plaats daarvan is gekozen voor een groen lettertype.
Extended Validation-certificaten bieden uitgebreide beveiliging, wat al uit de naam blijkt.
Een EV-certificaat wordt afgegeven aan een bedrijf dat alle stappen in het validatieproces heeft doorlopen. Juridische formaliteiten zoals het overleggen van een bewijs van hun fysieke adres en toegang tot specifieke bestanden op een server zijn vereist om de wettelijke autorisatie te voltooien. Er zijn daarnaast nog een aantal andere validaties die een bedrijf moet ondergaan om een geldig Extended Validation-certificaat te verkrijgen, maar dit valt buiten het bestek van dit artikel.
U kunt meer lezen over Uitgebreide validatiecertificaten hier.
Door WordPress HTTPS te implementeren, bevestigt en verifieert een externe partij in feite dat de webserver daadwerkelijk degene is die hij beweert te zijn. Deze instantie wordt de uitgever van het certificaat genoemd - ook wel een vertrouwde certificeringsinstantie genoemd.
Wat gebeurt er als beveiligde certificaten niet meer werken?
Met behulp van bovenstaande indicatoren kunt u weten of uw beveiligingscertificaten werken of niet.
Gebruikers kunnen op dezelfde manier snel zien dat het verkeer op een website niet versleuteld is of dat hun beveiligingscertificaat verlopen is. Wanneer het hangslot rood is en er een rode lijn door de tekst gaat, kan dit wijzen op een van de volgende zaken:
- De website gebruikt een zelfondertekend certificaat, d.w.z. uitgegeven door dezelfde webserver. Dit betekent dat het certificaat niet vertrouwd is, omdat het certificaat niet is uitgegeven door een vertrouwde autoriteit.
- de vervaldatum is verstreken en het certificaat is niet langer geldig
- het certificaat wordt om een andere reden niet meer vertrouwd en wordt als ongeldig gemarkeerd
In de afbeelding hierboven ziet u de waarschuwing die verschijnt voordat u een website bezoekt. Deze waarschuwing wordt weergegeven als de browser detecteert dat het beveiligingscertificaat dat wordt gebruikt door de website die u bezoekt, is verlopen.
De meeste moderne browsers kunnen u waarschuwen voor een ongeldig certificaat (en dus een onveilige gegevensoverdracht) voordat een gebruiker een onbeveiligde website bezoekt.
Na het verlopen van het certificaat hoeft u het alleen nog maar te verlengen bij de instantie waar het certificaat oorspronkelijk is verkregen. Bovendien is het raadzaam om certificaten helemaal niet te laten verlopen. Een dergelijke vertraging wekt een slechte indruk van een website bij bezoekers.
Een website wordt beschouwd als een zelfondertekend certificaat als het certificaat door dezelfde webserver wordt aangemaakt, in plaats van uitgegeven door een vertrouwde certificeringsinstantie. Dit certificaat is NIET VERTROUWD.
Browsers vertrouwen alleen SSL-certificaten die worden uitgegeven door vertrouwde certificeringsinstanties. In alle andere gevallen tonen ze een waarschuwing voor websites die werken met een zelfondertekend certificaat.
Controlelijst voor migratie van HTTP naar HTTPS
Nu we volledig begrijpen waarom WordPress HTTPS onze site ten goede komt, leggen we hieronder in detail uit hoe je het op je website kunt implementeren. We hebben ook een checklist voor de migratie van HTTP naar HTTPS die we hieronder weergeven om ervoor te zorgen dat je alle stappen met betrekking tot de migratie naar HTTPS hebt doorlopen.
Voordat u WordPress veilig start
| 1.1. | SSL-certificeringsinstelling | Het TLS-certificaat ophalen, configureren en testen met SHA-2 voor SSL | Server |
| 1.2. | Registratie bij Google Search Console | Registreer beide domeinen http & https in Google Search Console, samen met uw www- en niet-www-versies. Als u ook afzonderlijke subdomeinen of submappen in Google Search Console had geregistreerd, repliceer die registratie en configuratie dan met hun https-versie. | Google Search Console |
| 1.3. | Ranglijstbewaking | Begin met het monitoren van de site-ranglijsten parallel aan het https-domein | Software voor rangvolging |
| 1.4. | Identificatie van huidige toppagina's en zoekopdrachten | Identificeer de toppagina's - en gerelateerde zoekopdrachten - die organische zichtbaarheid en verkeer aantrekken, die prioriteit moeten krijgen bij het valideren en monitoren van de siteprestaties. | Google Search Console en Google Analytics |
| 1.5. | Huidige site crawling | Crawl de http-site om interne kapotte links te identificeren en te repareren, evenals de huidige webstructuur, voordat u verhuist. | Staging-omgeving |
| 1.6. | Nieuwe HTTPS-webinstelling met bijgewerkte interne links | Stel de nieuwe webversie in om de wijzigingen door te voeren, test en update de links in een staging-omgeving, om te verwijzen naar de URL's (pagina's en bronnen zoals afbeeldingen, js, pdf's, enz. ook) met HTTPS | Staging-omgeving |
| 1.7. | Nieuwe HTTPS-webcanonicalisatie | Werk de canonieke tags bij om absolute URL's op te nemen met behulp van https in de stage-omgeving | Staging-omgeving |
| 1.8. | Nieuwe HTTPS-webcanonicalisatie | Controleer in de testomgeving of al het reeds bestaande herschrijf- en omleidingsgedrag (niet-www vs. www; slash vs. niet-slash, enz.) ook is geïmplementeerd in de beveiligde webversie zoals ze vroeger op de http-versie werkten. | Staging-omgeving |
| 1.9. | Omleidingen voorbereiding | Bereid de herschrijfregels voor en test deze, die alle geïdentificeerde bestaande URL's (pagina's, afbeeldingen, js, enz.) op het http-domein via 301 doorverwijzen naar het https-domein. | Server |
| 1.10. | Nieuwe XML-sitemapgeneratie | Genereer een nieuwe XML-sitemap met de URL's met geïmplementeerde beveiliging die moeten worden geüpload in het HTTPS-profiel van Google Search Console zodra de site is verplaatst | XML Sitemap Generator |
| 1.11. | Robots.txt-voorbereiding | Bereid de robots.txt voor om te uploaden naar de https-domeinversie wanneer de site wordt gelanceerd, waarbij de bestaande richtlijnen voor http worden gerepliceerd, maar indien nodig door te verwijzen naar de https-URL's. | robots.txt |
| 1.12. | Bereid wijzigingen voor in alle advertentie-, e-mail- of affiliatecampagnes zodat deze naar de https-URL-versies verwijzen wanneer de migratie is voltooid. | Campagneplatforms | Diverse platforms |
| 1.13. | Disavow-configuratie | Controleer of er in het verleden verzoeken tot afwijzing zijn ingediend die opnieuw moeten worden ingediend voor de beveiligde URL-versies in het eigen Google Search Console-profiel | Google Search Console |
| 1.14. | Geolocatieconfiguratie | Als u een gTLD migreert die u geotarget via de Google Search Console (en de subdomeinen of submappen ervan, voor het geval u deze individueel geotarget), zorg er dan voor dat u ze opnieuw geotarget met de beveiligde domeinversie | Google Search Console |
| 1.15. | URL-parameters configureren | Als URL-parameters worden afgehandeld via de Google Search Console, moet de bestaande configuratie worden gerepliceerd in het beveiligde siteprofiel | Google Search Console |
| 1.16. | CDN-configuratievoorbereiding | Als er een CDN wordt gebruikt, controleer dan of deze de beveiligde domeinversie van de site correct kan bedienen en SSL kan verwerken wanneer de migratie is voltooid. | CDN-provider |
| 1.17. | Voorbereiding van advertenties en extensies van derden | Controleer of alle weergegeven advertentiecodes, extensies van derden of sociale plug-ins die op de site worden gebruikt, goed werken wanneer deze naar https wordt verplaatst. | Advertentie- en extensieplatforms |
| 1.18. | Voorbereiding op de configuratie van webanalyses | Zorg ervoor dat de bestaande Web Analytics-configuratie ook het verkeer van het beveiligde domein bewaakt | Webanalyseplatform |
Tijdens de daadwerkelijke migratie naar een beveiligde website
| 2.1. | Lancering van HTTPS-site | Publiceer de gevalideerde https-siteversie live | productie Milieu |
| 2.2. | Nieuwe HTTPS-versie Webstructuurvalidatie | Controleer of de URL-structuur op de beveiligde siteversie hetzelfde is als die in de HTTP | productie Milieu |
| 2.3. | Nieuwe beveiligde versie interne koppeling | Controleer of de sitelinks effectief verwijzen naar de HTTPS-URL's | productie Milieu |
| 2.4. | Nieuwe HTTPS-versie canonicalisatie | Controleer of de canonieke tags op de pagina's verwijzen naar de HTTPS-URL's | productie Milieu |
| 2.5. | Nieuwe HTTPS-versie canonicalisatie | Implementeer de herschrijvingen en omleidingen van www vs. niet-www, slash vs. zonder slash, enz. in de nieuwe beveiligde webversie | productie Milieu |
| 2.6. | Implementatie van HTTP naar HTTPS-omleiding | Implementeer de 301-redirects van elke URL van de site, van de HTTP- naar de HTTPS-versie | productie Milieu |
| 2.7. | Web Analytics-configuratie | Noteer de migratiedatum in uw webanalyseplatform en controleer of de configuratie is ingesteld om de beveiligde webversie te volgen | Webanalyseplatform |
| 2.8. | Validatie van SSL-serverconfiguratie | Controleer de SSL-configuratie van uw webserver. U kunt gebruikmaken van diensten zoals https://www.ssllabs.com/ssltest/ | Productieomgeving, SSL-test |
| 2.9. | Robots.txt-update | Vernieuw de robots.txt-instelling in het https-domein met de relevante wijzigingen | robots.txt |
Na de lancering van HTTPS
| 3.1. | HTTPS-crawlvalidatie | Crawl de site om te verifiëren dat de beveiligde URL's toegankelijk zijn, gelinkt zijn en worden geserveerd zonder fouten, foutieve noindexaties, canonicalisaties en redirects. | productie Milieu |
| 3.2. | Nieuwe HTTPS-siteomleidingvalidatie | Controleer of de omleidingsregels van http vs. https, www vs. niet-www en slash vs. niet-slash correct zijn geïmplementeerd | productie Milieu |
| 3.3. | XML Sitemap Release & Indiening | Upload en verifieer de gegenereerde XML-sitemap met de beveiligde URL-versies in het https-profiel van Google Search Console | Google Search Console |
| 3.4. | Officiële update van externe links | Werk de officiële externe links die naar de site verwijzen bij om naar de beveiligde versie te gaan (socialmediaprofielen, partnersites, enz.) | Officiële aanwezigheid op externe platforms |
| 3.5. | Validatie van advertenties en extensies van derden | Controleer of plug-ins zoals sociale knoppen, advertenties en code van derden correct werken in de beveiligde URL-versies. U kunt uw website scannen op niet-beveiligde content met https://www.jitbit.com/sslcheck/ | Advertentie- en extensieplatforms, SSL-controle |
| 3.6. | Campagne-update Uitvoering | Voer de relevante wijzigingen in advertenties, e-mails en affiliate campagnes door om correct te verwijzen naar de HTTPS-webversie | Campagneplatforms |
| 3.7. | Crawling- en indexeringsmonitoring | Controleer de indexering, zichtbaarheid en fouten van zowel de HTTP- als HTTPS-siteversies | Google Search Console |
| 3.8. | Rankings en verkeersmonitoring | Controleer zowel het verkeer op HTTP- als HTTPS-siteversies en de rangschikkingsactiviteit | Platforms voor webanalyse en rangschikkingstracking |
| 3.9. | Robots.txt configuratievalidatie | Controleer de robots.txt-instelling in het beveiligde domein om er zeker van te zijn dat de configuratie correct is bijgewerkt | robots.txt |
Deze checklist voor de migratie van HTTP naar HTTPS is vriendelijk gemaakt en gedeeld met de Facebookgroep Advanced WP.
7. Hoe kun je de beveiliging van je WordPress-website verbeteren?
Laten we aan de slag gaan en de handen uit de mouwen steken. Er zijn twee manieren om WordPress SSL in te stellen:
- SSL handmatig instellen op uw WordPress-website
- De WordPress HTTPS-plug-in gebruiken
Hoe u een veilig certificaat verkrijgt
Allereerst moet u op de een of andere manier een SSL-certificaat bemachtigen.
Er zijn verschillende manieren om dit te doen, maar de makkelijkste manier is via uw hosting server.
Bij InMotion hosting kun je het certificaat en alles wat je erbij nodig hebt rechtstreeks via de Account Management Panel (AMP) console kopen. Het mooie is dat ze je uitstekend ondersteunen als je geen zin hebt om zelf aan de slag te gaan.
Inbegrepen in de prijs van $ 99 per jaar is de prijs van het benodigde dedicated IP-adres. Er zijn eenmalige kosten van $ 25, aangezien het certificaat geïnstalleerd moet worden op de server die uw website aanstuurt.
Deze kosten vervallen als u rechtstreeks toegang hebt tot de server en het certificaat zelf kunt installeren.
Als je een Virtual Private Server hebt, is het heel eenvoudig om het certificaat handmatig te installeren. We hebben de stappen gedocumenteerd in onze InMotion VPS beoordeling, dus dat gaan we niet nog een keer doen.
Als je geen hosting bij InMotion hebt (waarom niet? Weet je niet dat hun servers sneller zijn en hun ondersteuning beter?), dan is de procedure vergelijkbaar.
Nadat u het certificaat hebt gekocht en geïnstalleerd, moet u WordPress SSL/TLS inschakelen.
Let's Encrypt gebruiken als certificeringsinstantie
Eerder in dit artikel vermeldden we al dat beveiligde certificaten worden uitgegeven door een zogenaamde certificeringsinstantie. Dit is een instantie die kan "certificeren" dat de server waarop u uw certificaat hebt geïnstalleerd daadwerkelijk degene is die beweert te zijn. Dit brengt uiteraard wel wat werk met zich mee, en hiervoor worden doorgaans kosten in rekening gebracht.
Let's Encrypt is een nieuw certificaat autoriteit die het voor iedereen makkelijker wil maken om een veilig certificaat te verkrijgen, door het proces voor het verkrijgen van een certificaat te automatiseren en gratis te maken.
Dit is in wezen een autoriteit die wordt gerund door een aantal bedrijven genaamd de Internet Security Research Group, waaronder grote namen als Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook en vele anderen die het proces van het verkrijgen van een beveiligingscertificaat zo eenvoudig mogelijk willen maken: gratis, geautomatiseerd, veilig, transparant, open en coöperatief.
Waarom zouden deze bedrijven je dingen gratis willen geven? Omdat een veilig en veiliger internet een wenselijk doel is voor iedereen.
Hoewel het relatief eenvoudig kan zijn, is het toch een ietwat technische procedure om het certificaat te installeren. De meeste webhostingbedrijven hebben de functionaliteit tegenwoordig echter zo geïntegreerd dat het verkrijgen van een Let's Encrypt-certificaat voor de meeste bedrijven een kwestie is van één klik op de knop en het certificaat wordt aangemaakt en ingesteld.
Handmatig een veilig certificaat aanmaken met Let's Encrypt
(U kunt dit onderdeel overslaan als u niet van plan bent om zelf een Let's Encrypt-certificaat aan te maken en dit via uw hostingserver wilt verkrijgen)
Om de volgende procedure uit te kunnen voeren, hebt u directe of shell root-toegang tot uw server nodig.
1. Installeer de Let's Encrypt-bibliotheek op uw server
Voer de volgende opdracht uit om de Let's Encrypt-bibliotheek te installeren
$ sudo git kloon https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
Met deze opdracht wordt de LetsEncrypt-repository gedownload en gekopieerd naar uw /opt-map.
2. Genereer een veilig certificaat
De beste manier om een certificaat te genereren is door de standalone-methode te gebruiken met een sleutelgrootte van 4096 (wat erg sterk is).
$ ./letsencrypt-auto certonly --standalone --rsa-key-size 4096
Zodra u deze opdracht uitvoert, verschijnt er een venster waarin u om de domeinnaam wordt gevraagd. Het is raadzaam om zowel uw hoofddomein als andere subdomeinen in te voeren waarmee u het certificaat wilt gebruiken.
De volgende stap is het lezen en accepteren van de servicevoorwaarden van Laten we encryptenZodra u akkoord gaat, kunt u het pad naar het .pem-bestand zien. Het bevindt zich in /etc/letsencrypt/live/uw-domeinnaam/. Als u fouten tegenkomt tijdens het aanmaken van het certificaat, kunt u het beste uw firewallconfiguratie controleren, omdat er een aantal verbindingen nodig zijn om de certificaten aan te maken.
Het gegenereerde certificaat verloopt over 90 dagen en moet elke 90 dagen worden vernieuwd. Dit is een beetje een negatief en positief punt. Je kunt de redenen waarom hier 90-dagencertificaten worden gebruiktOm het certificaat te verlengen hoeft u alleen maar het Let's Encrypt-vernieuwingsscript uit te voeren.
Mogelijk wilt u een cronjob schrijven om het proces te automatiseren.
Dit is vooral belangrijk als u dit vaak vergeet. Zodra uw certificaat verloopt, ziet u de lelijke rode waarschuwing hierboven, dus het is verstandig om hier rekening mee te houden.
Stap 3: Genereer een sterke beveiliging met openbare sleutelcryptografie met behulp van een Diffie Hellman Group
Om de beveiliging verder te verhogen, kunt u ook een sterke Diffie-Hellman-groep genereren. Gebruik deze opdracht om een 4096-bits groep te genereren:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
Dit kan een paar minuten duren, maar als het klaar is, heb je een sterke DH-groep /etc/ssl/certs/dhparam.pem
Nu u over een certificaat beschikt, dient u dit op uw webserver te installeren via de SSL/TLS-functie van CPanel of via de service die uw hostingprovider gebruikt.
Als deze procedure u afschrikt, bedenk dan dat de meeste taken tegenwoordig op de meeste hosts volledig geautomatiseerd zijn.
8. Hoe je je WordPress instelt voor het gebruik van SSL (of TLS) en HTTPS (de handmatige manier)
Zodra u over een beveiligingscertificaat beschikt en dit hebt geïnstalleerd of beschikbaar hebt gemaakt op de server waarop u uw website host, moet u de volgende stappen uitvoeren: HTTPS inschakelen op WordPress.
De allereerste stap is het integreren van HTTPS in je website om de URL van je website bij te werken. Ga hiervoor naar Instellingen → Algemeen en daar kun je het veld voor je WordPress- en website-URL-adres bijwerken.
Als je een bestaande website hebt en SSL inschakelt, moet je ook een 301-redirect instellen. Deze zorgt ervoor dat alle HTTP-verzoeken veilig worden verwerkt. Dit zorgt er ook voor dat geen van je bestaande links van externe websites verloren gaan en dat er geen link juice verloren gaat.
U kunt dit doen door het onderstaande codefragment toe te voegen aan het .htaccess-bestand van uw website. U kunt dit bestand openen via uw CPanel-bestandsbeheerder.
RewriteEngine op RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.uwwebsitehier.com/$1 [R=301,L]
Je ziet dat dit een 301-redirect is, wat ervoor zorgt dat je geen linkjuice verliest. Zorg ervoor dat je jouwwebsitehier.nl vervangt door de URL van je website.
Bovenstaande dwingt je server om content veilig weer te geven. Ter informatie: alle URL's onder het hoofddomein worden met behulp van bovenstaande omgezet naar HTTPS. Dus al je oude links op bijvoorbeeld http://www.collectiveray.com/wordpress/ wordt automatisch https://www.collectiveray.com/wordpress/
Voor degenen die op Nginx-servers zitten, moet u de onderstaande HTTP-redirect toevoegen om deze om te zetten naar HTTPS:
server { luister 80; server_name websitename.com www.websitename.com; return 301 https://websitename.com$request_uri; }
Met de volgende stappen kunt u ervoor zorgen dat alle inhoud van de site veilig wordt aangeboden.
Een beveiligde beheerder configureren
Je kunt het forceren van een beveiligde WordPress-beheerder (d.w.z. het beheergedeelte van je website of /wp-admin) configureren via je wp-config.php-bestand. Als je beveiliging wilt forceren op een WordPress-website met inlogpagina's voor meerdere sites of in het beheerdersgedeelte, hoef je alleen maar het volgende codefragment toe te voegen aan het wp-config.php-bestand.
define('FORCE_SSL_ADMIN', waar);
Dat is alles. U zou nu veilig toegang moeten hebben tot uw WordPress-beheer!
9. Implementeer HTTPS met behulp van WordPress SSL-plug-ins
Een andere eenvoudige manier om SSL op uw website in te stellen, is door gebruik te maken van een WordPress SSL-plug-in.
De Really Simple SSL inpluggen
De plug-in van uw keuze voor het inschakelen van WordPress HTTPS op uw site is de Really Simple SSL plugin. Het is een heel mooi geschreven plugin van Rogier Lankhorst. Het mooie van deze plugin is dat hij alle complexiteit wegneemt die gepaard gaat met het inschakelen van beveiligde certificaten op je site.
Het is werkelijk een SSL-activeringsplug-in met één klik.
Nadat u het SSL-certificaat hebt verkregen via een van de hierboven beschreven methoden en het op uw server hebt geïnstalleerd, hoeft u alleen nog maar het SSL-certificaat te installeren en Activeren the Really Simple SSL plugin en de rest van het werk wordt voor u gedaan.
Het doet eigenlijk al behoorlijk wat werk onder de motorkap om de meeste bekende problemen met het activeren van HTTPS op je website op te lossen. Het houdt rekening met de serverconfiguratie en voert alle benodigde wijzigingen door, zodat je er zelf niets aan hoeft te doen.
Hieronder ziet u een schermafbeelding van de plugin na activering. De plugin heeft een aantal taken uitgevoerd en gedetecteerd dat er al een certificaat op de server is geïnstalleerd.
Zoals u ziet, kunt u nu gewoon op "SSL activeren" klikken en u bent klaar!
Zodra uw website is geconverteerd naar SSL, bekijkt u de instellingen of scant u op eventuele problemen, zoals u kunt zien op de onderstaande schermafbeelding.
De plugin probeert vervolgens eventuele gevonden problemen op te lossen.
Met deze plugin kunt u SSL op een eenvoudige manier inschakelen.
Andere plug-ins om SSL in te schakelen
Natuurlijk is bovenstaande niet de enige plugin die je kunt gebruiken om beveiligde certificaten in te schakelen. Hieronder volgen een aantal andere opties die je mogelijk wilt gebruiken. Beide bereiken uiteindelijk hetzelfde doel: HTTPS inschakelen op je WordPress-site.
- Eenvoudige HTTPS-omleiding
- SSL Zen - dit is een nieuwe plugin, die je helpt om het Let's Encrypt-certificaat te creëren via de plugin zelf
10. Testen van de juiste beveiligingscertificaatconfiguratie van uw website
Om er zeker van te zijn dat uw site volledig is ingesteld, raden wij u aan uw site te testen met behulp van deze SSL SEO-controleur tool die controleert of u de aanbevolen WordPress SSL-configuratie hebt.
Zodra de test is uitgevoerd, ontvangt u een SSL-rapport dat er als volgt uitziet:
11. Vergeet niet uw beveiligingscertificaat te vernieuwen
Een verlopen certificaat is een dood certificaat.
Als een certificaat verloopt, kunt u het niet verlengen.
Je moet een nieuwe versie laten uitgeven en deze opnieuw op je site installeren. Dat is natuurlijk meer gedoe dan nodig is, dus vergeet niet om hem te verlengen voordat hij verloopt.
Dit overkwam ons op de verjaardag van de installatie van ons eerste beveiligde certificaat. Het is geen prettige situatie om plotseling te zien dat al je verkeer naar nul gaat. Mensen zijn erg huiverig om verder te gaan dan een verlopen certificaat, dus de verkeersdrukte die je zult krijgen zal enorm zijn.
Wij adviseren om een aantal weken vóór de vervaldatum een herinnering in te stellen.
Je bent opgewarmd. Verlopen certificaten kosten veel werk, dus vergeet ze niet te verlengen.
Wilt u de gemakkelijke weg kiezen?
Hoewel wij het zo eenvoudig mogelijk laten lijken, kan het soms gebeuren dat dingen niet gaan zoals u verwacht. Zorg er daarom voor dat u uw supportnummers bij de hand hebt voor het geval er iets misgaat bij het instellen van de SSL-functionaliteit van uw WordPress.
Als je het makkelijk wilt maken, laat InMotion het dan allemaal voor je regelen. Je krijgt een snellere website, die bovendien SSL-gebaseerd is. Je krijgt ook een gratis domein en zij verhuizen de website voor je. CollectiveRay bezoekers krijgen ook EXCLUSIEVE 47% korting op de normale prijs, dus grijp NU uw kans en profiteer van deze koopjes.
Dit is een aanbieding voor een beperkte tijd tot December 2025, dus grijp je kans voordat de aanbieding verloopt.
Veelgestelde Vragen / FAQ
Heeft WordPress SSL?
WordPress ondersteunt SSL zowel aan de front-end als aan de back-end. Om dit te activeren, moet je een certificaat aanschaffen of Let's Encrypt gebruiken via je hostingprovider en het op de server laten installeren. Zodra het certificaat is geïnstalleerd, kun je HTTPS inschakelen met een van de bovenstaande methoden, zoals: Really Simple SSL plugin.
Hoe schakel ik SSL in WordPress in?
Om SSL in WordPress in te schakelen, is de gemakkelijkste methode het gebruik van een plug-in zoals Really Simple SSLHierbij wordt gebruikgemaakt van het certificaat dat momenteel voor het domein is ingesteld. Zorg er dus voor dat het beveiligingscertificaat al is geïnstalleerd voordat u het activeert.
Hoe krijg ik gratis SSL op WordPress?
Om gratis SSL op WordPress te krijgen, moet je de Let's Encrypt-functionaliteit op je hostingserver gebruiken. Dit genereert een gratis beveiligingscertificaat en installeert het op je domein. De meeste hostingproviders bieden deze functionaliteit tegenwoordig aan; je kunt hiervoor InMotion gebruiken.
Wat is het verschil tussen HTTP en HTTPS?
Het verschil tussen HTTP en HTTPS is dat HTTPS via een beveiligd kanaal wordt verzonden. Het beveiligingscertificaat dat op de server is geïnstalleerd, versleutelt berichten voordat ze worden verzonden. Dit kan alleen worden ontsleuteld door de browser die de verbinding tot stand heeft gebracht. Dit betekent dat gevoelige gegevens, zoals het inloggen op een website met een gebruikersnaam en wachtwoord, of het verstrekken van gevoelige gegevens zoals creditcardgegevens of andere gegevens, veilig kunnen worden verzonden.
Conclusie: HTTPS is een must
Zoals u wellicht heeft gezien, is de implementatie van HTTPS of SSL niet altijd even eenvoudig, maar wel essentieel. Google heeft onlangs aangekondigd dat het websites als NIET VEILIG zal labelen als ze geen SSL-ondersteuning hebben. Zorg er dus voor dat u dit vandaag nog op uw website installeert.