Je vraagt je misschien af waarom we WordPress SSL/TLS moeten implementeren of WordPress op HTTPS moeten inschakelen? Voordat we daarmee beginnen, moeten we een stukje geschiedenis geven.
Met 3.9 miljard gebruikers die internet gebruiken (en elke dag groeien) en 1.7 miljard websites op internet, kunnen we zeker zeggen dat internet onze tweede thuis is geworden - wat ooit bekend stond als "online gaan" is niet echt meer accuraat. We zijn altijd verbonden, altijd aan. Facebook is uitgegroeid tot meer dan 2.5 miljard maandelijks actieve gebruikers. Vroeger spraken we over 'virtueel', maar het internet is zo echt geworden als het maar kan zijn, onderdeel van ons dagelijks leven.
Deze statistieken zijn gewoon overweldigend! En er is absoluut geen teken dat het vertraagt. Nu opkomende landen toegang krijgen tot goedkoop internet, zullen de aantallen in de nabije toekomst zeker blijven groeien.
WordPress is zeker gegroeid van zijn bescheiden begin als blog. En als je zoveel mensen hebt die een van je WordPress-sites bezoeken, wordt het een plicht om een zeer veilig platform te bieden dat hun veiligheid niet in gevaar brengt.
In het bericht van vandaag, dat deel uitmaakt van onze reeks informatieve WordPress-tutorials (die u in ons menu kunt zien), zullen we u hieronder begeleiden bij verschillende manieren waarop u WordPress SSL/TLS of WordPress HTTPS op uw website kunt implementeren.
Kanttekening: een deel van het lezen en werken in dit artikel is zeer technisch en vereist kennis van ontwikkelaars. Als je wilt huur een WordPress-ontwikkelaar in bekijk het gelinkte artikel voor meer informatie over alle dingen die u moet overwegen voordat u een ontwikkelaar inhuurt.
Hulp nodig bij het beveiligen van uw website? Probeer deze best beoordeelde betaalbare optredens op Fiverr!
Klik hier om experts te vinden WordPress beveiligde certificaten instellen.
1. Eerste dingen eerst. Is het SSL of TLS? Of HTTPS?
Echt en waar, vandaag zou het TLS moeten zijn (wat een acroniem is voor Transport Layer Security).
Dit komt omdat TLS de nieuwste versie van beveiligde certificaten is die moet worden gebruikt. Oorspronkelijk was de naam van het gebruikte beveiligingstransport echter SSL (Secure Sockets Layer).
Terwijl in werkelijkheid TLS tegenwoordig wordt gebruikt, verwijzen de meeste mensen naar beveiligde certificaten als SSL-certificaten. Strikt genomen zouden we ze alleen veilige certificaten moeten noemen.
HTTPS betekent: HTTP overgeleverd Secure communicatie. HTTPS wordt tegenwoordig geïmplementeerd door het gebruik van beveiligde certificaten via TLS.
2. De rol van beveiligde certificaten en hoe het past bij WordPress Security
SSL is het acroniem dat staat voor Secure Sockets Layer en is een technologie die wordt gebruikt om veilige communicatie via een netwerk uit te voeren.
Deze veilige vorm van transport wordt bereikt door een versleutelde koppeling te maken tussen een clientcomputer en een server. In de meeste gevallen is dit een webserver en een clientbrowser waarop een website wordt weergegeven; of bij mailclients zoals MS Outlook wordt verbinding gemaakt met de e-mailserver.
Het beveiligde certificaat wordt meestal uitgegeven door een certificeringsinstantie zoals: Comodo SSL. Dit betekent dat een centrale, vertrouwde autoriteit "instaat" voor de server. In wezen, wanneer de webserver een bericht versleutelt, "ondertekenen" ze het om de authenticiteit te verifiëren met een certificaat van de autoriteit.
De browser controleert vervolgens de handtekening en verifieert dat de handtekening afkomstig is van een "vertrouwde" autoriteit. Als het certificaat vertrouwd is, wordt veilige communicatie bereikt tussen de client en de server.
Het certificaat wordt vervolgens gebruikt om het bericht te decoderen en de inhoud ervan te lezen.
Dit maakt het mogelijk om beveiligde communicatie te hebben, die niet door derden kan worden gelezen. Dit geeft gebruikers het groene licht om erop te vertrouwen dat de vertrouwelijke gegevens die ze via internet verzenden, zoals bankgegevens, inloggegevens, burgerservicenummers, e-commercegegevens, creditcardgegevens en andere vertrouwelijke gegevens veilig op de website aankomen waar ze worden opgeslagen. verwerkt.
Want in werkelijkheid ligt het probleem van "vertrouwen" niet bij de website, maar bij de communicatie tussen de website en de klant.
Vóór deze technologie, of wanneer een website alleen HTTP gebruikt voor communicatie die niet zo geavanceerd was, zouden gegevens als platte tekst worden verzonden. Dit maakte het kwetsbaar voor kwaadaardige aanvallen - die in staat waren de gegevens te lezen en deze natuurlijk om kwaadwillende redenen te gebruiken. Inloggegevens kunnen bijvoorbeeld worden gestolen om een website over te nemen, of creditcardgegevens kunnen worden gelezen en gebruikt om op frauduleuze wijze dingen te kopen.
3. Waarom zou u uw website veilig aanbieden?
Website-eigenaren die geen HTTPS hebben geïmplementeerd, zijn vatbaar voor "snooping".
Aangezien de webserver het verkeer dat naar de browser wordt gestuurd niet kan versleutelen, kan ALLE datacommunicatie, inclusief vertrouwelijke gegevens, heel gemakkelijk door hackers worden gelezen. In wezen kunnen alle gegevens die tussen de client en de webserver gaan, worden gelezen. Als u inlogt op een website, kunnen uw inloggegevens worden gelezen. Als u creditcardgegevens doorgeeft, kunnen deze worden gestolen.
Als u ENIGE vertrouwelijke gegevens verzendt, kan dit worden gelezen als u de websitebeveiliging niet implementeert via beveiligde certificaten.
Als u geen volledige codering implementeert, is uw site vatbaar voor wat bekend staat als een Man in the Middle Attack. Lees hier meer over op Wikipedia. Hulpmiddelen zoals: WireShark (gratis tool en voor iedereen beschikbaar om te downloaden en te gebruiken) maken het heel erg gemakkelijk om verkeer via internet te lezen, en hackers zetten volledige infrastructuren op om niet-versleutelde gegevens te lezen.
Het onderstaande is een screenshot van Wireshark die een wachtwoord leest dat via HTTP is verzonden:
Kwaadwillende gebruikers hebben tools zoals de bovenstaande die kunnen zoeken naar specifieke patronen, zoals creditcardnummers, socialezekerheidsgegevens, wachtwoorden en andere gegevens die waardevol voor hen zijn.
Aan de andere kant, als je HTTPS implementeert op WordPress, heb je een coderingssysteem opgezet dat verschillende beveiligingsvoordelen biedt, zoals integriteit, identiteit en vooral vertrouwelijkheid.
Het staat alleen de server en browser toe om de tekst te decoderen die over het communicatiekanaal wordt verzonden. Het stelt vast of de gegevens intact zijn en niet zijn gewijzigd om de integriteit van de gegevens te waarborgen (dwz er is niet mee geknoeid).
4. HTTPS en SEO
Websites die HTTP's implementeren, krijgen een ranking-boost in zoekmachines.
Kopen Google Reviews in een blog met de titel "HTTPS als een rangschikkingssignaal." aangekondigd dat het een voordeel zal geven aan die websites die gebruik maken van deze beveiligde technologie.
Dit maakt het belang om het op uw website te implementeren veel groter. Anders is uw website in het nadeel in vergelijking met concurrenten die HTTPS hebben geïmplementeerd.
Google wil dat beveiliging de grootste aandacht en prioriteit krijgt. Het bedrijf heeft de verantwoordelijkheid op zich genomen om ervoor te zorgen dat in de hele branche volledige beveiliging wordt toegepast. Dit zorgt ervoor dat internetgebruikers die de Google-zoekmachine en de andere services gebruiken, veilige communicatie kunnen hebben tussen alle services.
Ze hebben ook het concept "HTTPS overal" bedacht om een gevoel van verhoogde internetbeveiliging te bevorderen.
Dit was echter niet genoeg voor hen. Omdat ze zoveel invloed hebben, hebben ze SSL toegevoegd als een ranking-signaal voor SEO en zoekmachine rankings.
Als uw website HTTPS implementeert, heeft het een voordeel ten opzichte van die websites die het niet implementeren (waarbij alle andere rangordesignalen gelijk zijn).
Lees Verder: WordPress onpage SEO Checklist: een 19 stapsgewijze handleiding om het verkeer te stimuleren.
Zal migreren van HTTP naar HTTPS mijn rankings schaden?
Veel mensen vragen zich af of de verandering van HTTP naar HTTPS hun huidige organische rankings zal schaden. Aangezien de HTTP- en HTTPS-versies van een website als verschillend worden beschouwd, betekent dit dan dat alle backlinks naar de http://-versie van de site verloren gaan?
Dat is een zeer terechte zorg.
Je hebt veel gewerkt om waardevolle backlinks te krijgen, en als je ze kwijtraakt, krijg je een kleine boost in je ranking, maar verlies je het grotere rankingsignaal dat afkomstig is van links.
Zoals u verderop zult zien, voeren we echter een 301-omleiding uit. Dit betekent dat de server die hier vroeger woonde permanent is verhuisd naar een nieuwe locatie.
Google begrijpt dat een 301-omleiding betekent: "Hallo Google - dit ben ik nog steeds, maar ik ben nu permanent naar een nieuw adres verhuisd". Wat dat betekent is dat u geen van uw verkeer, backlinks of link juice verliest.
Misschien wil je wat meer lezen over 301-omleiding op de Moz-website. U zult merken dat ze onze exacte aanbevelingen zullen doen.
Het enige dat onze site verloor bij het uitvoeren van een omleiding naar de beveiligde URL van onze site, was onze Sociaal aandeel telt.
Dit komt omdat Facebook en de meeste andere deeltellers https://www behandelen.collectiveray.com en https://www.collectiveray.com als twee totaal verschillende URL's. Dit is iets waar je waarschijnlijk mee zult moeten leven. In werkelijkheid, hoe eerder u dit doet, hoe sneller u nieuwe aandelentellingen op uw beveiligde adres kunt verwerven.
We hebben dit trouwens op meerdere sites gedaan CollectiveRay, en er was nooit enig negatief effect op rankings of verkeer. Zolang u een correcte installatie uitvoert, hoeft u zich hier geen zorgen over te maken.
UPDATE: Onlangs heeft Google bevestigd dat 301-omleidingen van HTTP naar HTTPS absoluut geen link juice verliezen. Dit komt omdat het natuurlijk geen zin heeft om een boete te krijgen voor het overstappen naar iets waar Google voor pleit.
5. Wat moet ik nog meer doen nadat ik SSL heb ingeschakeld?
Als je er zeker van wilt zijn dat je een sterk bericht naar Google stuurt dat je site daadwerkelijk is verhuisd, doe je dit het beste via de Google Search Console.
Voeg eenvoudig uw site toe alsof het een nieuwe site is in de Google Search Console.
Natuurlijk kan dit betekenen dat u een aantal dingen verliest, zoals gestructureerde gegevens, en dat u uw sitemaps opnieuw moet indienen. Niettemin geloven wij dat dit een zeer sterke indicator is voor Google dat dit een geldige en volledig goedgekeurde migratie is.
6. Vertrouwen winnen met beveiliging
Zoals u waarschijnlijk al kent, zullen sommige websites een groene balk in de browser tonen. Dit betekent dat de website beveiligde communicatie heeft geïmplementeerd.
Een heel duidelijk voorbeeld hiervan zie je op de website van Paypal.
Hoe kunt u controleren of uw website beveiligd is of niet?
Om te controleren of een website SSL-beveiligd is, kunt u controleren of het voorvoegsel https:// voor de URL staat in plaats van het gewone http://.
Afgezien hiervan kunt u ook een hangslot vinden dat aanwezig is in het adresveld voordat de website begint.
De afbeelding hierboven geeft aan dat een website een geautoriseerd SSL-certificaat heeft, maar het uiterlijk van een hangslot verschilt van browser tot browser. De websites die een Extended Validation Certificaat hebben gekocht, zullen een volledig groene adresbalk tonen, of de naam van het bedrijf zal voor de URL verschijnen.
Extended Validation Certificates zijn vrij duur om aan te schaffen en te implementeren omdat ze een aantal fysieke controles vereisen om te bevestigen dat de webserver daadwerkelijk toebehoort aan het bedrijf dat de certificaten implementeert.
Voor degenen die Safari gebruiken, zullen ze zien dat een groen lettertype wordt gebruikt om aan te geven dat het bedrijf een EV-certificaat gebruikt.
Het volgende voorbeeld is een EV-certificaat dat wordt gebruikt voor de Safari-browser. Hier heeft de adresbalk geen groene achtergrond zoals bij andere browsers. In plaats daarvan hebben ze ervoor gekozen om een groen lettertype te gebruiken.
Extended Validation Certificates bieden uitgebreide beveiliging wat al uit de naam blijkt.
Een EV-certificaat wordt afgegeven aan een bedrijf dat alle stappen in het validatieproces heeft doorlopen. Juridische formaliteiten zoals het leveren van bewijs van hun fysieke adres en toegang tot specifieke bestanden op een server zijn vereist om de wettelijke autorisatie te voltooien. Er zijn ook nogal wat andere validaties die een bedrijf zou moeten ondergaan om een geldig Extended Validation-certificaat te verkrijgen, maar dit valt buiten het bestek van dit artikel.
U kunt meer lezen over Uitgebreide validatiecertificaten hier.
Door WordPress HTTPS te implementeren, bevestigt en verifieert een derde partij in wezen dat de webserver is wie hij beweert te zijn. Deze instantie wordt de uitgever van het certificaat genoemd - ook wel een vertrouwde certificeringsinstantie genoemd.
Wat gebeurt er als beveiligde certificaten niet meer werken?
Met behulp van de bovenstaande indicatoren kan men weten of hun beveiligde certificaten werken of niet.
Evenzo kunnen gebruikers snel begrijpen dat het verkeer van een website niet is versleuteld of dat hun beveiligingscertificaat is verlopen. Wanneer het hangslot rood verschijnt en een rode lijn raakt, is dit een indicatie van een van deze dingen:
- de website gebruikt een zelfondertekend certificaat, dwz uitgegeven door dezelfde webserver. Dit betekent dat het certificaat niet wordt vertrouwd, omdat het certificaat niet is uitgegeven door een vertrouwde autoriteit
- de vervaldatum is verstreken en het certificaat is niet meer geldig
- het certificaat wordt om een andere reden niet vertrouwd en wordt gemarkeerd als ongeldig
In de bovenstaande afbeelding ziet u de waarschuwing voordat u een website bezoekt wanneer de browser herkent dat het beveiligingscertificaat dat door een website wordt gebruikt over het bezoek is verlopen.
De meeste moderne browsers hebben deze mogelijkheid om te waarschuwen voor een ongeldig certificaat (dus onveilige gegevensoverdracht) voordat een gebruiker naar een onbeveiligde website kan gaan.
Nadat het certificaat is verlopen, hoeft u alleen maar het certificaat te vernieuwen op de plaats van de autoriteit (waar het certificaat oorspronkelijk vandaan kwam). Bovendien wordt gesuggereerd dat certificaten helemaal niet mogen verlopen. Zo'n tijdsverloop zorgt voor een slechte indruk van een website bij de bezoekers.
Er wordt gezegd dat een website een zelfondertekend certificaat heeft als het certificaat is gemaakt door dezelfde webserver, in plaats van dat het wordt uitgegeven door een vertrouwde certificeringsinstantie. Dit certificaat is NIET VERTROUWD.
Browsers vertrouwen alleen SSL-certificaten die zijn uitgegeven door vertrouwde certificeringsinstanties. Voor alle andere gevallen geven ze een waarschuwing weer voor websites die op een zelfondertekend certificaat draaien.
Controlelijst voor HTTP naar HTTPS-migratie
Nu we volledig begrijpen waarom WordPress HTTPS onze site ten goede zal komen, zullen we hieronder in detail uitleggen hoe u het op uw website kunt implementeren. We hebben ook een controlelijst voor migratie van HTTP naar HTTPS die we hieronder opsommen om ervoor te zorgen dat u alle stappen met betrekking tot de migratie naar HTTPS hebt doorlopen.
Voordat u WordPress veilig start
1.1. | SSL-certificeringsinstelling | Het TLS-certificaat ophalen, configureren en testen met SHA-2 voor SSL | Server |
1.2. | Google Search Console-registratie | Registreer beide domeinen http & https in Google Search Console, samen met uw www- en niet-www-versies. Als u ook individuele subdomeinen of subdirectories had geregistreerd in de Google Search Console, repliceer die registratie en configuratie dan met hun https-versie. | Google Search Console |
1.3. | Rankingsbewaking | Begin met het monitoren van de siterangschikkingen parallel met het https-domein | Software voor het volgen van ranglijsten |
1.4. | Huidige topsitepagina's en identificatie van zoekopdrachten | Identificeer de toppagina's - en gerelateerde zoekopdrachten - die organische zoekzichtbaarheid en verkeer aantrekken die prioriteit moeten krijgen bij het valideren en bewaken van de siteprestaties | Google Search Console & Google Analytics |
1.5. | Huidige site crawlen | Doorzoek de http-site om eventuele interne verbroken links en de huidige webstructuur te identificeren en op te lossen voordat u deze verplaatst. | Staging-omgeving |
1.6. | Nieuwe HTTPS-webinstelling met bijgewerkte interne links | Stel de nieuwe webversie in om de wijzigingen aan te brengen, de koppelingen te testen en bij te werken in een testomgeving, om te verwijzen naar de URL's (pagina's en bronnen zoals afbeeldingen, js, pdf's, enz. ook) met HTTPS | Staging-omgeving |
1.7. | Nieuwe HTTPS-webcanonicalisatie | Werk de canonieke tags bij om absolute URL's op te nemen met https in de werkgebiedomgeving | Staging-omgeving |
1.8. | Nieuwe HTTPS-webcanonicalisatie | Controleer in de staging-omgeving dat al het reeds bestaande herschrijf- en omleidingsgedrag (niet-www vs. www; slash vs. niet-slash, enz.) ook is geïmplementeerd in de beveiligde webversie zoals ze vroeger werkten op de http-versie | Staging-omgeving |
1.9. | Voorbereiding van omleidingen | Bereid en test de herschrijfregels die 301 omleiden van alle geïdentificeerde bestaande URL's (pagina's, afbeeldingen, js, enz.) Op het http-domein naar het https-domein | Server |
1.10. | Nieuwe generatie XML-sitemaps | Genereer een nieuwe XML-sitemap met de URL's met geïmplementeerde beveiliging om te uploaden in het HTTPs Google Search Console-profiel zodra de site is verplaatst | XML Sitemap Generator |
1.11. | Robots.txt-voorbereiding | Bereid de robots.txt voor om te uploaden naar de https-domeinversie wanneer de site wordt gelanceerd, waarbij de bestaande richtlijnen voor http worden gerepliceerd, maar indien nodig door te verwijzen naar de https-URL's | robots.txt |
1.12. | Bereid wijzigingen voor op advertenties, e-mails of gelieerde campagnes om te verwijzen naar de https-URL's-versies wanneer de migratie is voltooid | Campagneplatforms | Diverse platforms |
1.13. | Configuratie afwijzen | Controleer of er in het verleden afwijzingsverzoeken zijn ingediend die opnieuw moeten worden ingediend voor de beveiligde URL-versies in het eigen Google Search Console-profiel | Google Search Console |
1.14. | Geolocatieconfiguratie | Als u een gTLD migreert die u via de Google Search Console (evenals de subdomeinen of submappen, indien u ze afzonderlijk geografisch target), moet u ze opnieuw geotargeten met de beveiligde domeinversie | Google Search Console |
1.15. | URL's Parameters Configuratie | Als URL-parameters worden afgehandeld via de Google Search Console, moet de bestaande configuratie worden gerepliceerd in het beveiligde siteprofiel | Google Search Console |
1.16. | Voorbereiding CDN-configuratie | Als een CDN wordt gebruikt, controleer dan of deze de beveiligde domeinversie van de site correct kan bedienen en SSL kan verwerken wanneer de migratie is voltooid | CDN-provider |
1.17. | Voorbereiding van advertenties en extensies van derden | Controleer of alle weergegeven advertentiecode, extensies van derden of sociale plug-ins die op de site worden gebruikt, correct werken wanneer deze worden verplaatst naar https | Advertentie- en extensieplatforms |
1.18. | Voorbereiding configuratie webanalyse | Zorg ervoor dat de bestaande Web Analytics-configuratie ook het verkeer van het beveiligde domein controleert | Webanalyseplatform |
Tijdens daadwerkelijke migratie naar een beveiligde website
2.1. | Lancering van HTTPS-site | Publiceer de gevalideerde https-siteversie live | productie Milieu |
2.2. | Nieuwe HTTPS-versie Validatie webstructuur | Controleer of de URL-structuur op de beveiligde site-versie dezelfde is als die in de HTTP | productie Milieu |
2.3. | Nieuwe beveiligde versie interne koppeling | Controleer of de sitelinks effectief naar de HTTPS-URL's verwijzen | productie Milieu |
2.4. | Nieuwe canonieke versie van HTTPS | Controleer of de canonieke tags op de pagina's verwijzen naar de HTTPS-URL's | productie Milieu |
2.5. | Nieuwe canonieke versie van HTTPS | Implementeer de herschrijvingen en omleidingen van www vs niet-www, slash vs. zonder slash, enz. in de nieuwe beveiligde webversie | productie Milieu |
2.6. | Implementatie van HTTP naar HTTPS-omleiding | Implementeer de 301-omleidingen van elke URL van de site van de HTTP- naar HTTPS-versie | productie Milieu |
2.7. | Configuratie van webanalyse | Annoteer de migratiedatum in uw Web Analytics-platform en controleer of de configuratie is ingesteld om de beveiligde webversie bij te houden | Webanalyseplatform |
2.8. | Validatie SSL-serverconfiguratie | Controleer de SSL-configuratie van uw webserver. U kunt diensten gebruiken zoals: https://www.ssllabs.com/ssltest/ | Productieomgeving, SSL-test |
2.9. | Robots.txt-update | Vernieuw de robots.txt-instelling in het https-domein met de relevante wijzigingen | robots.txt |
Na het starten van HTTPS
3.1. | HTTPS-crawlvalidatie | Crawl de site om te controleren of de beveiligde URL's toegankelijk zijn, gelinkt en worden weergegeven zonder fouten, foutieve no-indexeringen en canonieke doorverwijzingen en omleidingen | productie Milieu |
3.2. | Nieuwe validatie van HTTPS-siteomleidingen | Controleer of de omleidingsregels van http vs. https, www vs. niet-www & slash vs. niet-slash correct zijn geïmplementeerd | productie Milieu |
3.3. | Vrijgeven en indienen van XML-sitemap | Upload en verifieer de gegenereerde XML-sitemap met de beveiligde URL-versies in het https Google Search Console-profiel | Google Search Console |
3.4. | Officiële update van externe links | Update officiële externe links die naar de site verwijzen om naar de beveiligde versie te gaan (Social Media-profielen partnersites, enz.) | Officiële aanwezigheid in externe platforms |
3.5. | Advertenties en validatie van extensies van derden | Controleer of alle plug-ins zoals sociale knoppen, advertenties en code van derden correct werken in de beveiligde URL's-versies. U kunt uw website scannen om te zoeken naar niet-beveiligde inhoud met https://www.jitbit.com/sslcheck/ | Advertentie- en extensieplatforms, SSL-controle |
3.6. | Campagnes update Uitvoering | Implementeer de relevante wijzigingen in advertenties, e-mail en gelieerde campagnes om correct te verwijzen naar de HTTPS-webversie | Campagneplatforms |
3.7. | Bewaking van crawlen en indexeren | Bewaak de indexatie, zichtbaarheid en fouten van zowel de HTTP- als HTTPS-siteversies | Google Search Console |
3.8. | Ranglijsten en verkeersmonitoring | Bewaak zowel HTTP- als HTTPS-siteversieverkeer en rangschikkingsactiviteit | Platforms voor webanalyse en rangschikking |
3.9. | Validatie van Robots.txt-configuratie | Controleer de robots.txt-instelling in het beveiligde domein om er zeker van te zijn dat de configuratie correct is bijgewerkt | robots.txt |
Deze controlelijst voor migratie van HTTP naar HTTPS is gemaakt en gedeeld met de Advanced WP Facebook-groep.
7. Hoe kunt u beveiliging toevoegen aan uw WordPress-website?
Laten we tot de kern van de zaak komen en onze handen vuil maken. Er zijn twee manieren om WordPress SSL in te stellen:
- SSL handmatig instellen op uw WordPress-website
- De WordPress HTTPS-plug-in gebruiken
Een beveiligd certificaat verkrijgen
Allereerst moet u op de een of andere manier een SSL-certificaat aanschaffen.
Er zijn verschillende manieren om dit te doen, maar de makkelijkste manier om dit te doen is via je hosting server.
Bij InMotion-hosting kunt u het certificaat en alles wat u daarbij nodig heeft rechtstreeks kopen via de console van het Account Management Panel (AMP). Het mooie is dat ze je heel goed ondersteunen als je je handen niet vuil wilt maken.
Inbegrepen in de prijs van $ 99/jaar, is de prijs van het vereiste speciale IP-adres. Er is een eenmalige vergoeding van $ 25, aangezien het certificaat moet worden geïnstalleerd op de server die uw website van stroom voorziet.
Deze vergoeding kan worden kwijtgescholden als u direct toegang heeft tot de server en het certificaat zelf kunt installeren.
Als je een Virtual Private Server hebt, is het handmatig installeren van het certificaat heel eenvoudig. We hebben de stappen gedocumenteerd in onze InMotion-VPS review, dus dat gaan we niet nog een keer meemaken.
Als u niet bij InMotion wordt gehost (waarom niet? Weet u niet dat hun servers sneller zijn en hun ondersteuning beter?) is de procedure vergelijkbaar.
Nadat het certificaat is gekocht en geïnstalleerd, moet u nu WordPress SSL/TLS inschakelen.
Let's Encrypt gebruiken als certificeringsinstantie
Een back-up in dit artikel vermeldden we dat beveiligde certificaten worden uitgegeven door een zogenaamde certificeringsinstantie. Dit is een instantie die kan "certificeren" dat de server waarop u uw certificaat hebt geïnstalleerd, echt is wie hij beweert te zijn. Dit brengt natuurlijk wat werk met zich mee, en meestal worden hiervoor kosten in rekening gebracht.
Let's Encrypt is een nieuwe certificaat autoriteit dat het voor iedereen gemakkelijker wil maken om een veilig certificaat te verwerven, door het proces van het verkrijgen van een certificaat geautomatiseerd en gratis te maken.
Dit is in wezen een autoriteit die wordt beheerd door een aantal bedrijven, de Internet Security Research Group genaamd, waaronder grote namen als Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook en tal van anderen die het proces van het verkrijgen van een beveiligingscertificaat willen maken: gratis, geautomatiseerd, veilig, transparant, open en coöperatief.
Waarom zouden deze bedrijven je spullen gratis willen geven? Want een veilig en veiliger internet is voor iedereen een wenselijk doel.
Hoewel het relatief eenvoudig is, is het toch een beetje een technische procedure om het certificaat op zijn plaats te krijgen. De meeste webhostingbedrijven hebben de functionaliteit tegenwoordig echter zo geïntegreerd dat voor de meeste bedrijven het verkrijgen van een Let's Encrypt-certificaat een kwestie is van op een knop klikken en het certificaat wordt aangemaakt en ingesteld.
Handmatig een beveiligd certificaat maken met Let's Encrypt
(U kunt dit deel overslaan als u niet van plan bent uw eigen Let's Encrypt-certificaat te maken en dit via uw hostingserver wilt verkrijgen)
U hebt directe of shell root-toegang tot uw server nodig om de volgende procedure uit te voeren.
1. Installeer de Let's Encrypt-bibliotheek op uw server
Voer de volgende opdracht uit om de Let's Encrypt-bibliotheek te installeren:
$ sudo git kloon https://github.com/letsencrypt/letsencrypt / Opt / letsencrypt
Dit commando zal de LetsEncrypt repository downloaden en kopiëren naar uw /opt directory.
2. Genereer een beveiligd certificaat
De beste manier om een certificaat te genereren is om de standalone methode te gebruiken met een sleutelgrootte van 4096 (wat erg sterk is).
$ ./letsencrypt-auto certonly --standalone --rsa-key-size 4096
Zodra u deze opdracht uitvoert, verschijnt er een venster waarin u om de domeinnaam wordt gevraagd. Het wordt aanbevolen dat u zowel uw hoofddomein als andere subdomeinen invoert waarmee u het certificaat wilt gebruiken.
De volgende stap is het lezen en accepteren van de servicevoorwaarden van Laten we encrypten. Zodra u akkoord gaat, kunt u het pad van het .pem-bestand zien. Het bevindt zich in /etc/letsencrypt/live/your-domain-name/. Als u fouten tegenkomt tijdens het maken van het certificaat, kunt u uw firewallconfiguratie controleren, omdat er een aantal verbindingen nodig zijn om de certificaten te maken.
Het gegenereerde certificaat verloopt over 90 dagen en moet elke 90 dagen worden vernieuwd. Dit is een beetje een negatief en positief punt. Je kunt vinden de redenen waarom hier 90-dagencertificaten worden gebruikt. Om het certificaat te vernieuwen hoef je alleen maar het Let's Encrypt renew script uit te voeren.
Misschien wil je een cron-job schrijven om het proces te automatiseren.
Dit is vooral belangrijk als u dit vaak vergeet. Zodra uw certificaat verloopt, ziet u de fugly rode waarschuwing hierboven, dus u kunt dit in gedachten houden.
Stap 3: Genereer een sterke cryptografiebeveiliging met openbare sleutels met behulp van een Diffie Hellman Group
Om de veiligheid verder te vergroten, moet u ook een sterke Diffie-Hellman-groep genereren. Gebruik deze opdracht om een 4096-bits groep te genereren:
sudo opentssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
Dit kan een tijdje duren, maar als het klaar is, heb je een sterke DH-groep bij /etc/ssl/certs/dhparam.pem
Nu je een certificaat hebt, moet je dit op je webserver installeren via de SSL/TLS-functie van CPanel of wat je hostingbedrijf ook gebruikt.
Als je bang bent voor deze procedure, houd er dan rekening mee dat de meeste van deze dingen tegenwoordig volledig geautomatiseerd zijn op de meeste hosts.
8. Hoe u uw WordPress instelt om SSL (of TLS) en HTTPS te gebruiken (de handmatige manier)
Zodra je een beveiligd certificaat hebt en dit hebt geïnstalleerd of beschikbaar hebt gemaakt op de server waar je je website host, moet je de volgende stappen uitvoeren om HTTPS op WordPress in te schakelen.
De allereerste stap die moet worden gedaan, is om HTTPS in uw website op te nemen om de URL van uw website bij te werken. Om dit te doen, moet u naar Instellingen → Algemeen gaan en daar kunt u uw WordPress- en site-URL-adresveld bijwerken.
Als je een bestaande website hebt en SSL inschakelt, moet je ook een 301-omleiding instellen die ervoor zorgt dat alle HTTP-verzoeken veilig worden uitgevoerd. Dit zorgt er ook voor dat geen van uw bestaande links van externe websites verloren gaan, terwijl u ook geen link juice verliest.
Dit kan door het onderstaande codefragment toe te voegen aan het .htaccess-bestand van uw website, dat u kunt openen via uw CPanel-bestandsbeheer.
RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.yourwebsitehere.com/$1 [R=301,L]
Je kunt zien dat dit een 301-omleiding is, die ervoor zorgt dat je geen link juice verliest. Zorg ervoor dat je yourwebsitehere.com hebt vervangen door de URL van je website.
Het bovenstaande dwingt uw server om inhoud veilig weer te geven. Even een opmerking: alle URL's onder het hoofddomein worden geconverteerd naar HTTPS met behulp van het bovenstaande. Dus al je oude links op laten we zeggen http://www.collectiveray.com/wordpress/ zou automatisch https://www worden.collectiveray.com/wordpress/
Voor degenen die zich op Nginx-servers bevinden, moet u de onderstaande HTTP-omleiding toevoegen om deze naar HTTPS te converteren:
server { luister 80; servernaam websitenaam.com www.websitenaam.com; retourneer 301 https://websitenaam.com$request_uri; }
De volgende stappen helpen u ervoor te zorgen dat alle inhoud van de site veilig wordt weergegeven.
Configureer een veilige beheerder
U kunt het forceren van een beveiligde WordPress-beheerder (dwz het beheergedeelte van uw website of /wp-admin) configureren via uw wp-config.php-bestand. Als u beveiliging wilt forceren op een WordPress-website met inlogpagina's voor meerdere sites of in het beheerdersgedeelte, hoeft u alleen het volgende codefragment toe te voegen aan het bestand wp-config.php.
definiëren('FORCE_SSL_ADMIN', waar);
Dat is het meestal, u zou nu veilig toegang moeten hebben tot uw WordPress-beheerder!
9. Implementeer HTTPS met WordPress SSL-plug-ins
Een andere eenvoudige manier om SSL op uw website in te stellen, is door gebruik te maken van een WordPress SSL-plug-in.
De Really Simple SSL inpluggen
De plug-in bij uitstek voor het inschakelen van WordPress HTTPS op uw site is de Really Simple SSL inpluggen. Het is een heel mooi geschreven plugin van Rogier Lankhorst. Het mooie van deze plug-in is dat het alle complexiteit wegneemt die gepaard gaat met het inschakelen van beveiligde certificaten op uw site.
Echt en waar, dit is een SSL-activeringsplug-in met één klik.
Nadat u het SSL-certificaat hebt verkregen met een van de hierboven beschreven methoden en het op uw server hebt geïnstalleerd, hoeft u alleen maar te installeren en Activeren the Really Simple SSL plug-in en het zal de rest van het werk voor u doen.
Het doet eigenlijk best veel werk onder de motorkap om de meeste bekende problemen met het activeren van HTTPS op je website op te lossen. Het houdt rekening met de setup van de server en voert indien nodig alle wijzigingen uit, zodat u zelf nergens aan hoeft te knoeien.
Het onderstaande is een screenshot van de plug-in na activering - deze heeft wat werk verzet en gedetecteerd dat er al een certificaat op de server is geïnstalleerd.
Zoals je kunt zien, kun je nu gewoon op "SSL activeren" klikken en je bent klaar!
Zodra uw website is geconverteerd naar SSL, bekijkt u de instellingen of scant u op eventuele problemen en problemen zoals te zien is in de onderstaande schermafbeelding.
De plug-in zal dan proberen eventuele gevonden problemen op te lossen.
Deze plug-in is uw one-stop-shop om SSL in te schakelen.
Andere plug-ins om SSL in te schakelen
Bovenstaande is natuurlijk niet de enige plug-in die u kunt gebruiken om beveiligde certificaten in te schakelen. De volgende zijn een aantal andere opties die u misschien wilt gebruiken. Beiden bereiken uiteindelijk hetzelfde doel: HTTPS inschakelen op uw WordPress-site.
- Eenvoudige HTTPS-omleiding
- SSL Zen - dit is een nieuwe plug-in, het helpt je eigenlijk om het Let's Encrypt-certificaat te maken via de plug-in zelf
10. Testen van de juiste beveiligde certificaatconfiguratie van uw website
Om er zeker van te zijn dat uw site volledig is ingesteld, raden we u aan uw site hiermee te testen SSL SEO-checker tool, die controleert of je de aanbevolen WordPress SSL-configuratie hebt.
Zodra de test is uitgevoerd, krijgt u een SSL-rapport dat lijkt op het volgende:
11. Vergeet niet uw Beveiligd Certificaat te vernieuwen
Een verlopen certificaat is een dood certificaat.
Als een certificaat verloopt, kunt u het niet vernieuwen.
U moet een nieuwe krijgen en deze opnieuw op uw site installeren. Dat is natuurlijk meer hoofdpijn dan je echt nodig hebt, dus vergeet niet om het te vernieuwen voordat het verloopt.
Dit overkwam ons op de verjaardag van het verkrijgen van onze eerste beveiligde certificaatconfiguratie. Het is geen prettige situatie om plotseling al je verkeer naar nul te zien gaan. Mensen zijn erg op hun hoede om verder te gaan dan een verlopen certificaat, dus het verkeer dat je krijgt, zal enorm zijn.
We raden u aan een paar weken voor de vervaldatum een herinnering in te stellen.
Je bent opgewarmd. Verlopen certificaten zijn veel werk, dus vergeet ze niet te vernieuwen.
Wil je de gemakkelijke weg kiezen?
Natuurlijk, hoewel we het er eenvoudig uit laten zien, zijn er momenten waarop dingen niet gaan zoals je verwacht, dus zorg ervoor dat je je ondersteuningsnummers bij de hand hebt voor het geval het allemaal misgaat tijdens het instellen van je WordPress SSL-functionaliteit. .
Als je voor de gemakkelijke weg wilt kiezen, laat InMotion het dan allemaal voor je regelen. U krijgt een snellere website, naast dat deze wordt aangedreven door SSL. U krijgt ook een gratis domein en zij zullen de site voor u overzetten. CollectiveRay bezoekers krijgen ook een EXCLUSIEVE 47% korting op de normale prijs, dus grijp NU een koopje.
Dit is een aanbieding voor een beperkte tijd tot september 2024, dus grijp je kans voordat de aanbieding verloopt.
Veelgestelde Vragen / FAQ
Heeft WordPress SSL?
WordPress ondersteunt SSL zowel aan de front-end als aan de backend. Om het in te schakelen, moet u een certificaat aanschaffen door er een te kopen of door Let's Encrypt te gebruiken via uw hostingbedrijf en het op de server te installeren. Nadat het certificaat is geïnstalleerd, kunt u HTTPS inschakelen met een van de bovenstaande methoden, zoals het gebruik van de Really Simple SSL plugin.
Hoe schakel ik SSL in WordPress in?
Om SSL in WordPress in te schakelen, is de eenvoudigste methode om een plug-in te gebruiken zoals: Really Simple SSL. Dit gebruikt het certificaat dat momenteel is ingesteld voor het domein, dus zorg ervoor dat het beveiligde certificaat al is geïnstalleerd voordat u het activeert.
Hoe krijg ik gratis SSL op WordPress?
Om gratis SSL op WordPress te krijgen, moet je de Let's Encrypt-functionaliteit gebruiken die beschikbaar is op je hostingserver. Hiermee wordt een gratis beveiligd certificaat uitgegeven en op uw domein geïnstalleerd. De meeste hostingbedrijven bieden deze functionaliteit tegenwoordig aan, hiervoor kun je InMotion gebruiken.
Wat is het verschil tussen HTTP en HTTPS?
Het verschil tussen HTTP en HTTPS is dat de laatste via een beveiligd kanaal wordt verzonden. Het beveiligde certificaat dat op de server is geïnstalleerd, versleutelt berichten voordat ze worden verzonden op een manier die alleen kan worden ontsleuteld door de browser die de verbinding heeft gestart. Dit betekent dat gevoelige gegevens zoals inloggen op een website met een gebruikersnaam/wachtwoord, het indienen van gevoelige gegevens zoals het verzenden van creditcardgegevens of andere gegevens veilig kunnen worden verzonden.
Conclusie: HTTPS is een must
Zoals je misschien hebt gezien, is de implementatie van HTTPS of SSL niet altijd eenvoudig, maar essentieel. Google heeft onlangs aangekondigd dat het websites zal labelen als NIET VEILIG, als ze niet SSL-enabled zijn. Zorg er dus voor dat u dit vandaag nog op uw website plaatst.
Alstublieft laat een nuttig geef commentaar met je mening, deel dit dan op je Facebook-groep (en) die dit nuttig zouden vinden en laten we samen de vruchten plukken. Bedankt voor het delen en aardig zijn!
Disclosure: Deze pagina kan links bevatten naar externe sites voor producten die we geweldig vinden en die we van harte aanbevelen. Als u producten koopt die we aanbevelen, kunnen we een verwijzingsvergoeding verdienen. Dergelijke vergoedingen hebben geen invloed op onze aanbevelingen en we accepteren geen betalingen voor positieve beoordelingen.