Hoe u WordPress SSL / HTTPS instelt: 11 belangrijke dingen om te weten

WordPress-SSL

Je vraagt ​​je misschien af ​​waarom we WordPress SSL/TLS moeten implementeren of WordPress op HTTPS moeten inschakelen? Voordat we daarmee beginnen, moeten we een stukje geschiedenis geven.

Met 3.9 miljard gebruikers die internet gebruiken (en elke dag groeien) en 1.7 miljard websites op internet, kunnen we zeker zeggen dat internet onze tweede thuis is geworden - wat ooit bekend stond als "online gaan" is niet echt meer accuraat. We zijn altijd verbonden, altijd aan. Facebook is uitgegroeid tot meer dan 2.5 miljard maandelijks actieve gebruikers. Vroeger spraken we over 'virtueel', maar het internet is zo echt geworden als het maar kan zijn, onderdeel van ons dagelijks leven. 

Deze statistieken zijn gewoon overweldigend! En er is absoluut geen teken dat het vertraagt. Nu opkomende landen toegang krijgen tot goedkoop internet, zullen de aantallen in de nabije toekomst zeker blijven groeien.

Inhoud[Zichtbaar]
 
Van die meer dan 1.7 miljard websites zijn maar liefst 455,000,000+ (en groeiend) gebaseerd op WordPress.com of WordPress.org
 

WordPress is zeker gegroeid van zijn bescheiden begin als blog. En als je zoveel mensen hebt die een van je WordPress-sites bezoeken, wordt het een plicht om een ​​zeer veilig platform te bieden dat hun veiligheid niet in gevaar brengt.

In het bericht van vandaag, dat deel uitmaakt van onze reeks informatieve WordPress-tutorials (die u in ons menu kunt zien), zullen we u hieronder begeleiden bij verschillende manieren waarop u WordPress SSL/TLS of WordPress HTTPS op uw website kunt implementeren.

Kanttekening: een deel van het lezen en werken in dit artikel is zeer technisch en vereist kennis van ontwikkelaars. Als je wilt huur een WordPress-ontwikkelaar in bekijk het gelinkte artikel voor meer informatie over alle dingen die u moet overwegen voordat u een ontwikkelaar inhuurt.

Hulp nodig bij het beveiligen van uw website? Probeer deze best beoordeelde betaalbare optredens op Fiverr!

fiverr-logo

 

Klik hier om experts te vinden WordPress beveiligde certificaten instellen.

1. Eerste dingen eerst. Is het SSL of TLS? Of HTTPS?

Echt en waar, vandaag zou het TLS moeten zijn (wat een acroniem is voor Transport Layer Security).

Dit komt omdat TLS de nieuwste versie van beveiligde certificaten is die moet worden gebruikt. Oorspronkelijk was de naam van het gebruikte beveiligingstransport echter SSL (Secure Sockets Layer).

Terwijl in werkelijkheid TLS tegenwoordig wordt gebruikt, verwijzen de meeste mensen naar beveiligde certificaten als SSL-certificaten. Strikt genomen zouden we ze alleen veilige certificaten moeten noemen.

HTTPS betekent: HTTP overgeleverd Secure communicatie. HTTPS wordt tegenwoordig geïmplementeerd door het gebruik van beveiligde certificaten via TLS.

2. De rol van beveiligde certificaten en hoe het past bij WordPress Security

SSL is het acroniem dat staat voor Secure Sockets Layer en is een technologie die wordt gebruikt om veilige communicatie via een netwerk uit te voeren.

Deze veilige vorm van transport wordt bereikt door een versleutelde koppeling te maken tussen een clientcomputer en een server. In de meeste gevallen is dit een webserver en een clientbrowser waarop een website wordt weergegeven; of bij mailclients zoals MS Outlook wordt verbinding gemaakt met de e-mailserver.

Het beveiligde certificaat wordt meestal uitgegeven door een certificeringsinstantie zoals: Comodo SSL. Dit betekent dat een centrale, vertrouwde autoriteit "instaat" voor de server. In wezen, wanneer de webserver een bericht versleutelt, "ondertekenen" ze het om de authenticiteit te verifiëren met een certificaat van de autoriteit.

De browser controleert vervolgens de handtekening en verifieert dat de handtekening afkomstig is van een "vertrouwde" autoriteit. Als het certificaat vertrouwd is, wordt veilige communicatie bereikt tussen de client en de server.

Het certificaat wordt vervolgens gebruikt om het bericht te decoderen en de inhoud ervan te lezen.

hoe SSL werkt

Dit maakt het mogelijk om beveiligde communicatie te hebben, die niet door derden kan worden gelezen. Dit geeft gebruikers het groene licht om erop te vertrouwen dat de vertrouwelijke gegevens die ze via internet verzenden, zoals bankgegevens, inloggegevens, burgerservicenummers, e-commercegegevens, creditcardgegevens en andere vertrouwelijke gegevens veilig op de website aankomen waar ze worden opgeslagen. verwerkt.

Want in werkelijkheid ligt het probleem van "vertrouwen" niet bij de website, maar bij de communicatie tussen de website en de klant.

Vóór deze technologie, of wanneer een website alleen HTTP gebruikt voor communicatie die niet zo geavanceerd was, zouden gegevens als platte tekst worden verzonden. Dit maakte het kwetsbaar voor kwaadaardige aanvallen - die in staat waren de gegevens te lezen en deze natuurlijk om kwaadwillende redenen te gebruiken. Inloggegevens kunnen bijvoorbeeld worden gestolen om een ​​website over te nemen, of creditcardgegevens kunnen worden gelezen en gebruikt om op frauduleuze wijze dingen te kopen.  

3. Waarom zou u uw website veilig aanbieden?

Website-eigenaren die geen HTTPS hebben geïmplementeerd, zijn vatbaar voor "snooping".

Aangezien de webserver het verkeer dat naar de browser wordt gestuurd niet kan versleutelen, kan ALLE datacommunicatie, inclusief vertrouwelijke gegevens, heel gemakkelijk door hackers worden gelezen. In wezen kunnen alle gegevens die tussen de client en de webserver gaan, worden gelezen. Als u inlogt op een website, kunnen uw inloggegevens worden gelezen. Als u creditcardgegevens doorgeeft, kunnen deze worden gestolen.

Als u ENIGE vertrouwelijke gegevens verzendt, kan dit worden gelezen als u de websitebeveiliging niet implementeert via beveiligde certificaten.

Als u geen volledige codering implementeert, is uw site vatbaar voor wat bekend staat als een Man in the Middle Attack. Lees hier meer over op Wikipedia. Hulpmiddelen zoals: WireShark (gratis tool en voor iedereen beschikbaar om te downloaden en te gebruiken) maken het heel erg gemakkelijk om verkeer via internet te lezen, en hackers zetten volledige infrastructuren op om niet-versleutelde gegevens te lezen.

Het onderstaande is een screenshot van Wireshark die een wachtwoord leest dat via HTTP is verzonden:

wachtwoord snuiven wireshark

Kwaadwillende gebruikers hebben tools zoals de bovenstaande die kunnen zoeken naar specifieke patronen, zoals creditcardnummers, socialezekerheidsgegevens, wachtwoorden en andere gegevens die waardevol voor hen zijn.

man in de middelste aanval 

Aan de andere kant, als je HTTPS implementeert op WordPress, heb je een coderingssysteem opgezet dat verschillende beveiligingsvoordelen biedt, zoals integriteit, identiteit en vooral vertrouwelijkheid.

Het staat alleen de server en browser toe om de tekst te decoderen die over het communicatiekanaal wordt verzonden. Het stelt vast of de gegevens intact zijn en niet zijn gewijzigd om de integriteit van de gegevens te waarborgen (dwz er is niet mee geknoeid).  

4. HTTPS en SEO

Websites die HTTP's implementeren, krijgen een ranking-boost in zoekmachines.

Kopen Google Reviews in een blog met de titel "HTTPS als een rangschikkingssignaal." aangekondigd dat het een voordeel zal geven aan die websites die gebruik maken van deze beveiligde technologie. 

Dit maakt het belang om het op uw website te implementeren veel groter. Anders is uw website in het nadeel in vergelijking met concurrenten die HTTPS hebben geïmplementeerd.

Google wil dat beveiliging de grootste aandacht en prioriteit krijgt. Het bedrijf heeft de verantwoordelijkheid op zich genomen om ervoor te zorgen dat in de hele branche volledige beveiliging wordt toegepast. Dit zorgt ervoor dat internetgebruikers die de Google-zoekmachine en de andere services gebruiken, veilige communicatie kunnen hebben tussen alle services.

Ze hebben ook het concept "HTTPS overal" bedacht om een ​​gevoel van verhoogde internetbeveiliging te bevorderen.

Dit was echter niet genoeg voor hen. Omdat ze zoveel invloed hebben, hebben ze SSL toegevoegd als een ranking-signaal voor SEO en zoekmachine rankings.

Als uw website HTTPS implementeert, heeft het een voordeel ten opzichte van die websites die het niet implementeren (waarbij alle andere rangordesignalen gelijk zijn).

Lees VerderWordPress onpage SEO Checklist: een 19 stapsgewijze handleiding om het verkeer te stimuleren.

Zal migreren van HTTP naar HTTPS mijn rankings schaden? 

Veel mensen vragen zich af of de verandering van HTTP naar HTTPS hun huidige organische rankings zal schaden. Aangezien de HTTP- en HTTPS-versies van een website als verschillend worden beschouwd, betekent dit dan dat alle backlinks naar de http://-versie van de site verloren gaan?

Dat is een zeer terechte zorg.

Je hebt veel gewerkt om waardevolle backlinks te krijgen, en als je ze kwijtraakt, krijg je een kleine boost in je ranking, maar verlies je het grotere rankingsignaal dat afkomstig is van links.

Zoals u verderop zult zien, voeren we echter een 301-omleiding uit. Dit betekent dat de server die hier vroeger woonde permanent is verhuisd naar een nieuwe locatie.

Google begrijpt dat een 301-omleiding betekent: "Hallo Google - dit ben ik nog steeds, maar ik ben nu permanent naar een nieuw adres verhuisd". Wat dat betekent is dat u geen van uw verkeer, backlinks of link juice verliest.

Misschien wil je wat meer lezen over 301-omleiding op de Moz-website. U zult merken dat ze onze exacte aanbevelingen zullen doen.

Het enige dat onze site verloor bij het uitvoeren van een omleiding naar de beveiligde URL van onze site, was onze Sociaal aandeel telt.

Dit komt omdat Facebook en de meeste andere deeltellers https://www behandelen.collectiveray.com en https://www.collectiveray.com als twee totaal verschillende URL's. Dit is iets waar je waarschijnlijk mee zult moeten leven. In werkelijkheid, hoe eerder u dit doet, hoe sneller u nieuwe aandelentellingen op uw beveiligde adres kunt verwerven.

We hebben dit trouwens op meerdere sites gedaan CollectiveRay, en er was nooit enig negatief effect op rankings of verkeer. Zolang u een correcte installatie uitvoert, hoeft u zich hier geen zorgen over te maken.

UPDATE: Onlangs heeft Google bevestigd dat 301-omleidingen van HTTP naar HTTPS absoluut geen link juice verliezen. Dit komt omdat het natuurlijk geen zin heeft om een ​​boete te krijgen voor het overstappen naar iets waar Google voor pleit.

5. Wat moet ik nog meer doen nadat ik SSL heb ingeschakeld?

Als je er zeker van wilt zijn dat je een sterk bericht naar Google stuurt dat je site daadwerkelijk is verhuisd, doe je dit het beste via de Google Search Console.

Voeg eenvoudig uw site toe alsof het een nieuwe site is in de Google Search Console.

Natuurlijk kan dit betekenen dat u een aantal dingen verliest, zoals gestructureerde gegevens, en dat u uw sitemaps opnieuw moet indienen. Niettemin geloven wij dat dit een zeer sterke indicator is voor Google dat dit een geldige en volledig goedgekeurde migratie is.

6. Vertrouwen winnen met beveiliging

Zoals u waarschijnlijk al kent, zullen sommige websites een groene balk in de browser tonen. Dit betekent dat de website beveiligde communicatie heeft geïmplementeerd.

Een heel duidelijk voorbeeld hiervan zie je op de website van Paypal.

Paypal met laagpictogram voor beveiligde sockets

 

Hoe kunt u controleren of uw website beveiligd is of niet?

Om te controleren of een website SSL-beveiligd is, kunt u controleren of het voorvoegsel https:// voor de URL staat in plaats van het gewone http://.

Afgezien hiervan kunt u ook een hangslot vinden dat aanwezig is in het adresveld voordat de website begint.

DART-creaties SSL

De afbeelding hierboven geeft aan dat een website een geautoriseerd SSL-certificaat heeft, maar het uiterlijk van een hangslot verschilt van browser tot browser. De websites die een Extended Validation Certificaat hebben gekocht, zullen een volledig groene adresbalk tonen, of de naam van het bedrijf zal voor de URL verschijnen.

Extended Validation Certificates zijn vrij duur om aan te schaffen en te implementeren omdat ze een aantal fysieke controles vereisen om te bevestigen dat de webserver daadwerkelijk toebehoort aan het bedrijf dat de certificaten implementeert.

Elegant Themes Extended Validation SSL-certificaat

Voor degenen die Safari gebruiken, zullen ze zien dat een groen lettertype wordt gebruikt om aan te geven dat het bedrijf een EV-certificaat gebruikt.

Het volgende voorbeeld is een EV-certificaat dat wordt gebruikt voor de Safari-browser. Hier heeft de adresbalk geen groene achtergrond zoals bij andere browsers. In plaats daarvan hebben ze ervoor gekozen om een ​​groen lettertype te gebruiken.

SSL op Safari

Extended Validation Certificates bieden uitgebreide beveiliging wat al uit de naam blijkt.

Een EV-certificaat wordt afgegeven aan een bedrijf dat alle stappen in het validatieproces heeft doorlopen. Juridische formaliteiten zoals het leveren van bewijs van hun fysieke adres en toegang tot specifieke bestanden op een server zijn vereist om de wettelijke autorisatie te voltooien. Er zijn ook nogal wat andere validaties die een bedrijf zou moeten ondergaan om een ​​geldig Extended Validation-certificaat te verkrijgen, maar dit valt buiten het bestek van dit artikel.

U kunt meer lezen over Uitgebreide validatiecertificaten hier.

Door WordPress HTTPS te implementeren, bevestigt en verifieert een derde partij in wezen dat de webserver is wie hij beweert te zijn. Deze instantie wordt de uitgever van het certificaat genoemd - ook wel een vertrouwde certificeringsinstantie genoemd.

Wat gebeurt er als beveiligde certificaten niet meer werken?

Met behulp van de bovenstaande indicatoren kan men weten of hun beveiligde certificaten werken of niet.

Evenzo kunnen gebruikers snel begrijpen dat het verkeer van een website niet is versleuteld of dat hun beveiligingscertificaat is verlopen. Wanneer het hangslot rood verschijnt en een rode lijn raakt, is dit een indicatie van een van deze dingen:

  • de website gebruikt een zelfondertekend certificaat, dwz uitgegeven door dezelfde webserver. Dit betekent dat het certificaat niet wordt vertrouwd, omdat het certificaat niet is uitgegeven door een vertrouwde autoriteit
  • de vervaldatum is verstreken en het certificaat is niet meer geldig
  • het certificaat wordt om een ​​andere reden niet vertrouwd en wordt gemarkeerd als ongeldig

Beveiliging niet correct geïmplementeerd

In de bovenstaande afbeelding ziet u de waarschuwing voordat u een website bezoekt wanneer de browser herkent dat het beveiligingscertificaat dat door een website wordt gebruikt over het bezoek is verlopen.

De meeste moderne browsers hebben deze mogelijkheid om te waarschuwen voor een ongeldig certificaat (dus onveilige gegevensoverdracht) voordat een gebruiker naar een onbeveiligde website kan gaan.

Nadat het certificaat is verlopen, hoeft u alleen maar het certificaat te vernieuwen op de plaats van de autoriteit (waar het certificaat oorspronkelijk vandaan kwam). Bovendien wordt gesuggereerd dat certificaten helemaal niet mogen verlopen. Zo'n tijdsverloop zorgt voor een slechte indruk van een website bij de bezoekers.

Er wordt gezegd dat een website een zelfondertekend certificaat heeft als het certificaat is gemaakt door dezelfde webserver, in plaats van dat het wordt uitgegeven door een vertrouwde certificeringsinstantie. Dit certificaat is NIET VERTROUWD.

Browsers vertrouwen alleen SSL-certificaten die zijn uitgegeven door vertrouwde certificeringsinstanties. Voor alle andere gevallen geven ze een waarschuwing weer voor websites die op een zelfondertekend certificaat draaien. 

Controlelijst voor HTTP naar HTTPS-migratie

Nu we volledig begrijpen waarom WordPress HTTPS onze site ten goede zal komen, zullen we hieronder in detail uitleggen hoe u het op uw website kunt implementeren. We hebben ook een controlelijst voor migratie van HTTP naar HTTPS die we hieronder opsommen om ervoor te zorgen dat u alle stappen met betrekking tot de migratie naar HTTPS hebt doorlopen.

Voordat u WordPress veilig start

1.1. SSL-certificeringsinstelling Het TLS-certificaat ophalen, configureren en testen met SHA-2 voor SSL Server
1.2. Google Search Console-registratie Registreer beide domeinen http & https in Google Search Console, samen met uw www- en niet-www-versies. Als u ook individuele subdomeinen of subdirectories had geregistreerd in de Google Search Console, repliceer die registratie en configuratie dan met hun https-versie. Google Search Console
1.3. Rankingsbewaking Begin met het monitoren van de siterangschikkingen parallel met het https-domein Software voor het volgen van ranglijsten
1.4. Huidige topsitepagina's en identificatie van zoekopdrachten Identificeer de toppagina's - en gerelateerde zoekopdrachten - die organische zoekzichtbaarheid en verkeer aantrekken die prioriteit moeten krijgen bij het valideren en bewaken van de siteprestaties Google Search Console & Google Analytics
1.5. Huidige site crawlen Doorzoek de http-site om eventuele interne verbroken links en de huidige webstructuur te identificeren en op te lossen voordat u deze verplaatst. Staging-omgeving
1.6. Nieuwe HTTPS-webinstelling met bijgewerkte interne links Stel de nieuwe webversie in om de wijzigingen aan te brengen, de koppelingen te testen en bij te werken in een testomgeving, om te verwijzen naar de URL's (pagina's en bronnen zoals afbeeldingen, js, pdf's, enz. ook) met HTTPS Staging-omgeving
1.7. Nieuwe HTTPS-webcanonicalisatie Werk de canonieke tags bij om absolute URL's op te nemen met https in de werkgebiedomgeving Staging-omgeving
1.8. Nieuwe HTTPS-webcanonicalisatie Controleer in de staging-omgeving dat al het reeds bestaande herschrijf- en omleidingsgedrag (niet-www vs. www; slash vs. niet-slash, enz.) ook is geïmplementeerd in de beveiligde webversie zoals ze vroeger werkten op de http-versie Staging-omgeving
1.9. Voorbereiding van omleidingen Bereid en test de herschrijfregels die 301 omleiden van alle geïdentificeerde bestaande URL's (pagina's, afbeeldingen, js, enz.) Op het http-domein naar het https-domein Server
1.10. Nieuwe generatie XML-sitemaps Genereer een nieuwe XML-sitemap met de URL's met geïmplementeerde beveiliging om te uploaden in het HTTPs Google Search Console-profiel zodra de site is verplaatst XML Sitemap Generator
1.11. Robots.txt-voorbereiding Bereid de robots.txt voor om te uploaden naar de https-domeinversie wanneer de site wordt gelanceerd, waarbij de bestaande richtlijnen voor http worden gerepliceerd, maar indien nodig door te verwijzen naar de https-URL's robots.txt
1.12. Bereid wijzigingen voor op advertenties, e-mails of gelieerde campagnes om te verwijzen naar de https-URL's-versies wanneer de migratie is voltooid Campagneplatforms Diverse platforms
1.13. Configuratie afwijzen Controleer of er in het verleden afwijzingsverzoeken zijn ingediend die opnieuw moeten worden ingediend voor de beveiligde URL-versies in het eigen Google Search Console-profiel Google Search Console
1.14. Geolocatieconfiguratie Als u een gTLD migreert die u via de Google Search Console (evenals de subdomeinen of submappen, indien u ze afzonderlijk geografisch target), moet u ze opnieuw geotargeten met de beveiligde domeinversie Google Search Console
1.15. URL's Parameters Configuratie Als URL-parameters worden afgehandeld via de Google Search Console, moet de bestaande configuratie worden gerepliceerd in het beveiligde siteprofiel Google Search Console
1.16. Voorbereiding CDN-configuratie Als een CDN wordt gebruikt, controleer dan of deze de beveiligde domeinversie van de site correct kan bedienen en SSL kan verwerken wanneer de migratie is voltooid CDN-provider
1.17. Voorbereiding van advertenties en extensies van derden Controleer of alle weergegeven advertentiecode, extensies van derden of sociale plug-ins die op de site worden gebruikt, correct werken wanneer deze worden verplaatst naar https Advertentie- en extensieplatforms
1.18. Voorbereiding configuratie webanalyse Zorg ervoor dat de bestaande Web Analytics-configuratie ook het verkeer van het beveiligde domein controleert Webanalyseplatform

Tijdens daadwerkelijke migratie naar een beveiligde website

2.1. Lancering van HTTPS-site Publiceer de gevalideerde https-siteversie live productie Milieu
2.2. Nieuwe HTTPS-versie Validatie webstructuur Controleer of de URL-structuur op de beveiligde site-versie dezelfde is als die in de HTTP productie Milieu
2.3. Nieuwe beveiligde versie interne koppeling Controleer of de sitelinks effectief naar de HTTPS-URL's verwijzen productie Milieu
2.4. Nieuwe canonieke versie van HTTPS Controleer of de canonieke tags op de pagina's verwijzen naar de HTTPS-URL's productie Milieu
2.5. Nieuwe canonieke versie van HTTPS Implementeer de herschrijvingen en omleidingen van www vs niet-www, slash vs. zonder slash, enz. in de nieuwe beveiligde webversie productie Milieu
2.6. Implementatie van HTTP naar HTTPS-omleiding Implementeer de 301-omleidingen van elke URL van de site van de HTTP- naar HTTPS-versie productie Milieu
2.7. Configuratie van webanalyse Annoteer de migratiedatum in uw Web Analytics-platform en controleer of de configuratie is ingesteld om de beveiligde webversie bij te houden Webanalyseplatform
2.8. Validatie SSL-serverconfiguratie Controleer de SSL-configuratie van uw webserver. U kunt diensten gebruiken zoals: https://www.ssllabs.com/ssltest/ Productieomgeving, SSL-test
2.9. Robots.txt-update Vernieuw de robots.txt-instelling in het https-domein met de relevante wijzigingen robots.txt

Na het starten van HTTPS

3.1. HTTPS-crawlvalidatie Crawl de site om te controleren of de beveiligde URL's toegankelijk zijn, gelinkt en worden weergegeven zonder fouten, foutieve no-indexeringen en canonieke doorverwijzingen en omleidingen productie Milieu
3.2. Nieuwe validatie van HTTPS-siteomleidingen Controleer of de omleidingsregels van http vs. https, www vs. niet-www & slash vs. niet-slash correct zijn geïmplementeerd productie Milieu
3.3. Vrijgeven en indienen van XML-sitemap Upload en verifieer de gegenereerde XML-sitemap met de beveiligde URL-versies in het https Google Search Console-profiel Google Search Console
3.4. Officiële update van externe links Update officiële externe links die naar de site verwijzen om naar de beveiligde versie te gaan (Social Media-profielen partnersites, enz.) Officiële aanwezigheid in externe platforms
3.5. Advertenties en validatie van extensies van derden Controleer of alle plug-ins zoals sociale knoppen, advertenties en code van derden correct werken in de beveiligde URL's-versies. U kunt uw website scannen om te zoeken naar niet-beveiligde inhoud met https://www.jitbit.com/sslcheck/ Advertentie- en extensieplatforms, SSL-controle
3.6. Campagnes update Uitvoering Implementeer de relevante wijzigingen in advertenties, e-mail en gelieerde campagnes om correct te verwijzen naar de HTTPS-webversie Campagneplatforms
3.7. Bewaking van crawlen en indexeren Bewaak de indexatie, zichtbaarheid en fouten van zowel de HTTP- als HTTPS-siteversies Google Search Console
3.8. Ranglijsten en verkeersmonitoring Bewaak zowel HTTP- als HTTPS-siteversieverkeer en rangschikkingsactiviteit Platforms voor webanalyse en rangschikking
3.9. Validatie van Robots.txt-configuratie Controleer de robots.txt-instelling in het beveiligde domein om er zeker van te zijn dat de configuratie correct is bijgewerkt robots.txt

 

Deze controlelijst voor migratie van HTTP naar HTTPS is gemaakt en gedeeld met de Advanced WP Facebook-groep. 

7. Hoe kunt u beveiliging toevoegen aan uw WordPress-website?

Laten we tot de kern van de zaak komen en onze handen vuil maken. Er zijn twee manieren om WordPress SSL in te stellen:

  • SSL handmatig instellen op uw WordPress-website
  • De WordPress HTTPS-plug-in gebruiken

Een beveiligd certificaat verkrijgen

Allereerst moet u op de een of andere manier een SSL-certificaat aanschaffen.

Er zijn verschillende manieren om dit te doen, maar de makkelijkste manier om dit te doen is via je hosting server.

Bij InMotion-hosting kunt u het certificaat en alles wat u daarbij nodig heeft rechtstreeks kopen via de console van het Account Management Panel (AMP). Het mooie is dat ze je heel goed ondersteunen als je je handen niet vuil wilt maken.

SSL-certificaat kopen

Inbegrepen in de prijs van $ 99/jaar, is de prijs van het vereiste speciale IP-adres. Er is een eenmalige vergoeding van $ 25, aangezien het certificaat moet worden geïnstalleerd op de server die uw website van stroom voorziet.

Deze vergoeding kan worden kwijtgescholden als u direct toegang heeft tot de server en het certificaat zelf kunt installeren.

Als je een Virtual Private Server hebt, is het handmatig installeren van het certificaat heel eenvoudig. We hebben de stappen gedocumenteerd in onze InMotion-VPS review, dus dat gaan we niet nog een keer meemaken.

Details voor de aankoop van een speciaal SSL-certificaat

Als u niet bij InMotion wordt gehost (waarom niet? Weet u niet dat hun servers sneller zijn en hun ondersteuning beter?) is de procedure vergelijkbaar.

Probeer InMotion Hosting nu

Nadat het certificaat is gekocht en geïnstalleerd, moet u nu WordPress SSL/TLS inschakelen.

Let's Encrypt gebruiken als certificeringsinstantie

Een back-up in dit artikel vermeldden we dat beveiligde certificaten worden uitgegeven door een zogenaamde certificeringsinstantie. Dit is een instantie die kan "certificeren" dat de server waarop u uw certificaat hebt geïnstalleerd, echt is wie hij beweert te zijn. Dit brengt natuurlijk wat werk met zich mee, en meestal worden hiervoor kosten in rekening gebracht.

Let's Encrypt is een nieuwe certificaat autoriteit dat het voor iedereen gemakkelijker wil maken om een ​​veilig certificaat te verwerven, door het proces van het verkrijgen van een certificaat geautomatiseerd en gratis te maken.

Dit is in wezen een autoriteit die wordt beheerd door een aantal bedrijven, de Internet Security Research Group genaamd, waaronder grote namen als Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook en tal van anderen die het proces van het verkrijgen van een beveiligingscertificaat willen maken: gratis, geautomatiseerd, veilig, transparant, open en coöperatief.

Waarom zouden deze bedrijven je spullen gratis willen geven? Want een veilig en veiliger internet is voor iedereen een wenselijk doel.

Hoewel het relatief eenvoudig is, is het toch een beetje een technische procedure om het certificaat op zijn plaats te krijgen. De meeste webhostingbedrijven hebben de functionaliteit tegenwoordig echter zo geïntegreerd dat voor de meeste bedrijven het verkrijgen van een Let's Encrypt-certificaat een kwestie is van op een knop klikken en het certificaat wordt aangemaakt en ingesteld.

Handmatig een beveiligd certificaat maken met Let's Encrypt

(U kunt dit deel overslaan als u niet van plan bent uw eigen Let's Encrypt-certificaat te maken en dit via uw hostingserver wilt verkrijgen)

U hebt directe of shell root-toegang tot uw server nodig om de volgende procedure uit te voeren.

1. Installeer de Let's Encrypt-bibliotheek op uw server

Voer de volgende opdracht uit om de Let's Encrypt-bibliotheek te installeren:

$ sudo git kloon https://github.com/letsencrypt/letsencrypt / Opt / letsencrypt

Dit commando zal de LetsEncrypt repository downloaden en kopiëren naar uw /opt directory.

2. Genereer een beveiligd certificaat

De beste manier om een ​​certificaat te genereren is om de standalone methode te gebruiken met een sleutelgrootte van 4096 (wat erg sterk is).

$ ./letsencrypt-auto certonly --standalone --rsa-key-size 4096

Zodra u deze opdracht uitvoert, verschijnt er een venster waarin u om de domeinnaam wordt gevraagd. Het wordt aanbevolen dat u zowel uw hoofddomein als andere subdomeinen invoert waarmee u het certificaat wilt gebruiken.

laat versleutelen certificaat genereren

De volgende stap is het lezen en accepteren van de servicevoorwaarden van Laten we encrypten. Zodra u akkoord gaat, kunt u het pad van het .pem-bestand zien. Het bevindt zich in /etc/letsencrypt/live/your-domain-name/. Als u fouten tegenkomt tijdens het maken van het certificaat, kunt u uw firewallconfiguratie controleren, omdat er een aantal verbindingen nodig zijn om de certificaten te maken.

Het gegenereerde certificaat verloopt over 90 dagen en moet elke 90 dagen worden vernieuwd. Dit is een beetje een negatief en positief punt. Je kunt vinden de redenen waarom hier 90-dagencertificaten worden gebruikt. Om het certificaat te vernieuwen hoef je alleen maar het Let's Encrypt renew script uit te voeren.

Misschien wil je een cron-job schrijven om het proces te automatiseren.

Dit is vooral belangrijk als u dit vaak vergeet. Zodra uw certificaat verloopt, ziet u de fugly rode waarschuwing hierboven, dus u kunt dit in gedachten houden.

Stap 3: Genereer een sterke cryptografiebeveiliging met openbare sleutels met behulp van een Diffie Hellman Group

Om de veiligheid verder te vergroten, moet u ook een sterke Diffie-Hellman-groep genereren. Gebruik deze opdracht om een ​​4096-bits groep te genereren:

sudo opentssl dhparam -out /etc/ssl/certs/dhparam.pem 4096

Dit kan een tijdje duren, maar als het klaar is, heb je een sterke DH-groep bij /etc/ssl/certs/dhparam.pem

Nu je een certificaat hebt, moet je dit op je webserver installeren via de SSL/TLS-functie van CPanel of wat je hostingbedrijf ook gebruikt.

ssl tls cpanel

Als je bang bent voor deze procedure, houd er dan rekening mee dat de meeste van deze dingen tegenwoordig volledig geautomatiseerd zijn op de meeste hosts.

 

8. Hoe u uw WordPress instelt om SSL (of TLS) en HTTPS te gebruiken (de handmatige manier)

Zodra je een beveiligd certificaat hebt en dit hebt geïnstalleerd of beschikbaar hebt gemaakt op de server waar je je website host, moet je de volgende stappen uitvoeren om HTTPS op WordPress in te schakelen.

De allereerste stap die moet worden gedaan, is om HTTPS in uw website op te nemen om de URL van uw website bij te werken. Om dit te doen, moet u naar Instellingen → Algemeen gaan en daar kunt u uw WordPress- en site-URL-adresveld bijwerken.


URL bijwerken om WordPress SSL te gebruiken

Als je een bestaande website hebt en SSL inschakelt, moet je ook een 301-omleiding instellen die ervoor zorgt dat alle HTTP-verzoeken veilig worden uitgevoerd. Dit zorgt er ook voor dat geen van uw bestaande links van externe websites verloren gaan, terwijl u ook geen link juice verliest.

Dit kan door het onderstaande codefragment toe te voegen aan het .htaccess-bestand van uw website, dat u kunt openen via uw CPanel-bestandsbeheer.

RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.yourwebsitehere.com/$1 [R=301,L]

Je kunt zien dat dit een 301-omleiding is, die ervoor zorgt dat je geen link juice verliest. Zorg ervoor dat je yourwebsitehere.com hebt vervangen door de URL van je website.

Het bovenstaande dwingt uw server om inhoud veilig weer te geven. Even een opmerking: alle URL's onder het hoofddomein worden geconverteerd naar HTTPS met behulp van het bovenstaande. Dus al je oude links op laten we zeggen http://www.collectiveray.com/wordpress/ zou automatisch https://www worden.collectiveray.com/wordpress/ 

Voor degenen die zich op Nginx-servers bevinden, moet u de onderstaande HTTP-omleiding toevoegen om deze naar HTTPS te converteren:

server { luister 80; servernaam websitenaam.com www.websitenaam.com; retourneer 301 https://websitenaam.com$request_uri; }

De volgende stappen helpen u ervoor te zorgen dat alle inhoud van de site veilig wordt weergegeven.

Configureer een veilige beheerder

U kunt het forceren van een beveiligde WordPress-beheerder (dwz het beheergedeelte van uw website of /wp-admin) configureren via uw wp-config.php-bestand. Als u beveiliging wilt forceren op een WordPress-website met inlogpagina's voor meerdere sites of in het beheerdersgedeelte, hoeft u alleen het volgende codefragment toe te voegen aan het bestand wp-config.php. 

definiëren('FORCE_SSL_ADMIN', waar);

Dat is het meestal, u zou nu veilig toegang moeten hebben tot uw WordPress-beheerder!

9. Implementeer HTTPS met WordPress SSL-plug-ins

Een andere eenvoudige manier om SSL op uw website in te stellen, is door gebruik te maken van een WordPress SSL-plug-in.

De Really Simple SSL inpluggen

really simple ssl inpluggen

De plug-in bij uitstek voor het inschakelen van WordPress HTTPS op uw site is de Really Simple SSL inpluggen. Het is een heel mooi geschreven plugin van Rogier Lankhorst. Het mooie van deze plug-in is dat het alle complexiteit wegneemt die gepaard gaat met het inschakelen van beveiligde certificaten op uw site.

Echt en waar, dit is een SSL-activeringsplug-in met één klik. 

Nadat u het SSL-certificaat hebt verkregen met een van de hierboven beschreven methoden en het op uw server hebt geïnstalleerd, hoeft u alleen maar te installeren en Activeren the Really Simple SSL plug-in en het zal de rest van het werk voor u doen.

Het doet eigenlijk best veel werk onder de motorkap om de meeste bekende problemen met het activeren van HTTPS op je website op te lossen. Het houdt rekening met de setup van de server en voert indien nodig alle wijzigingen uit, zodat u zelf nergens aan hoeft te knoeien.

Het onderstaande is een screenshot van de plug-in na activering - deze heeft wat werk verzet en gedetecteerd dat er al een certificaat op de server is geïnstalleerd.

Zoals je kunt zien, kun je nu gewoon op "SSL activeren" klikken en je bent klaar! 

WordPress SSL-detectie van SSL-certificaat

Zodra uw website is geconverteerd naar SSL, bekijkt u de instellingen of scant u op eventuele problemen en problemen zoals te zien is in de onderstaande schermafbeelding. 

De plug-in zal dan proberen eventuele gevonden problemen op te lossen.

Deze plug-in is uw one-stop-shop om SSL in te schakelen.

really simple ssl scan voor problemen

 

Andere plug-ins om SSL in te schakelen

Bovenstaande is natuurlijk niet de enige plug-in die u kunt gebruiken om beveiligde certificaten in te schakelen. De volgende zijn een aantal andere opties die u misschien wilt gebruiken. Beiden bereiken uiteindelijk hetzelfde doel: HTTPS inschakelen op uw WordPress-site.

10. Testen van de juiste beveiligde certificaatconfiguratie van uw website 

Om er zeker van te zijn dat uw site volledig is ingesteld, raden we u aan uw site hiermee te testen SSL SEO-checker tool, die controleert of je de aanbevolen WordPress SSL-configuratie hebt.

Zodra de test is uitgevoerd, krijgt u een SSL-rapport dat lijkt op het volgende:

ssl rapport collectiveray 

11. Vergeet niet uw Beveiligd Certificaat te vernieuwen

Een verlopen certificaat is een dood certificaat.

Als een certificaat verloopt, kunt u het niet vernieuwen.

U moet een nieuwe krijgen en deze opnieuw op uw site installeren. Dat is natuurlijk meer hoofdpijn dan je echt nodig hebt, dus vergeet niet om het te vernieuwen voordat het verloopt.

Dit overkwam ons op de verjaardag van het verkrijgen van onze eerste beveiligde certificaatconfiguratie. Het is geen prettige situatie om plotseling al je verkeer naar nul te zien gaan. Mensen zijn erg op hun hoede om verder te gaan dan een verlopen certificaat, dus het verkeer dat je krijgt, zal enorm zijn.

We raden u aan een paar weken voor de vervaldatum een ​​herinnering in te stellen.

Je bent opgewarmd. Verlopen certificaten zijn veel werk, dus vergeet ze niet te vernieuwen.

Wil je de gemakkelijke weg kiezen?

Natuurlijk, hoewel we het er eenvoudig uit laten zien, zijn er momenten waarop dingen niet gaan zoals je verwacht, dus zorg ervoor dat je je ondersteuningsnummers bij de hand hebt voor het geval het allemaal misgaat tijdens het instellen van je WordPress SSL-functionaliteit. .

Als je voor de gemakkelijke weg wilt kiezen, laat InMotion het dan allemaal voor je regelen. U krijgt een snellere website, naast dat deze wordt aangedreven door SSL. U krijgt ook een gratis domein en zij zullen de site voor u overzetten. CollectiveRay bezoekers krijgen ook een EXCLUSIEVE 47% korting op de normale prijs, dus grijp NU een koopje.

Dit is een aanbieding voor een beperkte tijd tot september 2024, dus grijp je kans voordat de aanbieding verloopt.

Veelgestelde Vragen / FAQ

Heeft WordPress SSL?

WordPress ondersteunt SSL zowel aan de front-end als aan de backend. Om het in te schakelen, moet u een certificaat aanschaffen door er een te kopen of door Let's Encrypt te gebruiken via uw hostingbedrijf en het op de server te installeren. Nadat het certificaat is geïnstalleerd, kunt u HTTPS inschakelen met een van de bovenstaande methoden, zoals het gebruik van de Really Simple SSL plugin.

Hoe schakel ik SSL in WordPress in?

Om SSL in WordPress in te schakelen, is de eenvoudigste methode om een ​​plug-in te gebruiken zoals: Really Simple SSL. Dit gebruikt het certificaat dat momenteel is ingesteld voor het domein, dus zorg ervoor dat het beveiligde certificaat al is geïnstalleerd voordat u het activeert.

Hoe krijg ik gratis SSL op WordPress?

Om gratis SSL op WordPress te krijgen, moet je de Let's Encrypt-functionaliteit gebruiken die beschikbaar is op je hostingserver. Hiermee wordt een gratis beveiligd certificaat uitgegeven en op uw domein geïnstalleerd. De meeste hostingbedrijven bieden deze functionaliteit tegenwoordig aan, hiervoor kun je InMotion gebruiken.

Wat is het verschil tussen HTTP en HTTPS?

Het verschil tussen HTTP en HTTPS is dat de laatste via een beveiligd kanaal wordt verzonden. Het beveiligde certificaat dat op de server is geïnstalleerd, versleutelt berichten voordat ze worden verzonden op een manier die alleen kan worden ontsleuteld door de browser die de verbinding heeft gestart. Dit betekent dat gevoelige gegevens zoals inloggen op een website met een gebruikersnaam/wachtwoord, het indienen van gevoelige gegevens zoals het verzenden van creditcardgegevens of andere gegevens veilig kunnen worden verzonden.

Conclusie: HTTPS is een must

Zoals je misschien hebt gezien, is de implementatie van HTTPS of SSL niet altijd eenvoudig, maar essentieel. Google heeft onlangs aangekondigd dat het websites zal labelen als NIET VEILIG, als ze niet SSL-enabled zijn. Zorg er dus voor dat u dit vandaag nog op uw website plaatst.

 

Over de auteur
David Attard
David heeft de afgelopen 21 jaar in of rond de online en digitale industrie gewerkt. Hij heeft ruime ervaring in de software- en webontwerpindustrie met behulp van WordPress, Joomla en de niches eromheen. Hij heeft gewerkt met softwareontwikkelingsbureaus, internationale softwarebedrijven, lokale marketingbureaus en is nu hoofd Marketing Operations bij Aphex Media - een SEO-bureau. Als digitale consultant ligt zijn focus op het helpen van bedrijven om een ​​concurrentievoordeel te behalen door gebruik te maken van een combinatie van hun website en digitale platforms die vandaag de dag beschikbaar zijn. Zijn mix van technologische expertise gecombineerd met een sterk zakelijk inzicht geeft zijn geschriften een concurrentievoordeel.

Nog een ding... Wist je dat mensen die nuttige dingen zoals dit bericht delen er ook GEWELDIG uitzien? ​
Alstublieft laat een nuttig geef commentaar met je mening, deel dit dan op je Facebook-groep (en) die dit nuttig zouden vinden en laten we samen de vruchten plukken. Bedankt voor het delen en aardig zijn!

Disclosure: Deze pagina kan links bevatten naar externe sites voor producten die we geweldig vinden en die we van harte aanbevelen. Als u producten koopt die we aanbevelen, kunnen we een verwijzingsvergoeding verdienen. Dergelijke vergoedingen hebben geen invloed op onze aanbevelingen en we accepteren geen betalingen voor positieve beoordelingen.

Auteur (s) Uitgelicht op:  Inc Magazine-logo   Sitepoint-logo   CSS Tricks-logo    webdesignerdepot-logo   WPMU DEV-logo   en nog veel meer ...