Berichten

Heb jij al een SSL certificaat geïnstalleerd voor je website? Waarom niet? De kans dat je hierdoor bezoekers laat vertrekken van je website wordt steeds groter.

https WordPress

Als er boven de snelweg een matrix-bord staat met de mededeling dat als je rechtdoor rijdt, het super gevaarlijk is, wat doe je dan? Ik durf te stellen dat je in ieder geval een aantal seconden twijfelt of je wel rechtdoor moet gaan. Ook al is dat de enige optie die je hebt op je bestemming te komen. Wat denk je als jouw websitebezoeker ziet staan in de adresbalk van Google Chrome dat de verbinding onveilig is? Ook hier gaat die bezoeker over nadenken. En twijfelen.

Naast het feit dat het het dus heel slecht is voor je conversie is het dus ook slecht om een bezoeker tot actie te bewegen om de rest van je website of webshop te bekijken.

Wat is het doel van een SSL certificaat?

De meest basis uitleg op deze vraag is: de verbinding tussen een bezoeker zijn of haar computer en de server waar jouw website gehost wordt is versleuteld. Hierdoor is het voor potentiële hackers minder gemakkelijk om de verstuurde data te lezen.

SSL Certificaat WordPress website

Denk bijvoorbeeld aan een ingestuurd contactformulier vanaf je website of een geplaatste bestelling in je webshop. Je bent verplicht om voor de veiligheid van je klanten te zorgen. Jij bent verantwoordelijk als deze data op straat belandt.

Wat gebeurt er zonder SSL certificaat?

Je website zal gewoon blijven functioneren. De kans dat je conversie naar beneden gaat is wel groter als je geen SSL-certificaat installeert. Je bezoekers krijgen namelijk vanaf juli 2018 standaard de melding ‘not secure’ te zien.

SSL Certificaat WordPress website

Op dit moment is dit alleen nog het geval op pagina’s waar gegevens ingevoerd kunnen worden, maar dit gaat dus wijzigen.

Andere browsers

Bovenstaand screenshot komt uit een recente blog van Google zelf. Andere browsers zoals Firefox en Microsoft Edge zijn achter de schermen waarschijnlijk ook al druk bezig met het bijwerken van deze zaken. Sowieso, mochten ze dat op dit moment nog niet zijn, dan zullen ze niet lang na de grootste zoekmachine dit voorbeeld volgen.

Wat kost een SSL certificaat?

De tarieven voor SSL-certificaten zijn verschillend. Er zijn ook verschillende soorten certificaten te koop.

Je kunt deze rechtstreeks bij je provider bestellen. Gemiddeld kost een basiscertificaat met domeinvalidatie 30 euro per jaar. Voor het duurste certificaat waar je ook de bedrijfsnaam in het groen te zien krijgt moet je ongeveer rekenen op 125 euro per jaar.

Comodo SSL CertificatenAls je provider geen certificaat bied (dan is het sowieso tijd om je WordPress website te verhuizen!) dan kun je eventueel zelf een ssl-certificaat bestellen bij Comodo. Hiervoor is dan wel technische kennis nodig om het toe te passen.

Daarnaast bieden sommige providers de gratis variant van een SSL-certificaat aan, dit zijn certificaten beheerd door Let’s Encrypt. Het grootste verschil tussen de verschillende certificaten is de mate van beveiliging. Meer over de verschillende SSL certificaten lees je hier.

Wat is de invloed op de vindbaarheid van je website?

Ik heb al eerder een aantal blogs geschreven over het optimaliseren van de vindbaarheid van je website. Dit blijft een punt van je website dat doorlopend aandacht verdient. Wat optimaliseer je, waarom en hoe pak je het aan? Blijf hier actief mee. Als jij niet actief blijft zul je posities gaan verliezen aangezien je concurrenten hier mogelijk wel mee bezig zijn.

Het is niet exact bekend hoeveel factoren de rankings in de Google zoekmachine bepalen. Dat SSL 1 van de rankingfactoren is, dat is door Google zelf bevestigd in deze blog op Google Webmaster Tools: https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html.

Op dit moment heb ik nog geen direct effect gemerkt wanneer een website voorzien wordt van een SSL-certificaat. In mijn beleving zal het vooral het verschil maken als twee websites ongeveer dezelfde positie hebben. Dan kan een ssl-certificaat net het laatste stukje toevoegen om boven je concurrent uit te komen.

Vergeet niet als je een SSL certificaat geïnstalleerd hebt en je website werkt weer naar behoren om ook je Google Search Console account aan te passen zodat Google als eerste op de hoogte is van je gewijzigde situatie.

Als laatste moet je ervoor zorgen dat alle websitebezoekers die naar de http:// variant van jouw website gaan doorgestuurd worden naar de https:// variant.

Conclusie

De titel van deze blog gaat over het wel of niet verplicht hebben van een SSL-certificaat. Verplicht is het niet en word het ook nog niet. WordPress website hackenWaarom zou je het niet doen? Negatief effect heeft het niet. Positief is in ieder geval dat je meer autoriteit uitstraalt naar je bezoekers en je hierdoor je conversie kunt verhogen. Dat wil jij toch ook? Of zit je niet te wachten dat een contactformulier ingevuld wordt op je website of je producten verkocht worden in je webshop? Dan zou je de eerste zijn.

Graag wil ik nog wel benoemen dat het hebben van een certificaat geen enkele garantie is op het feit dat je website veiliger is. Dit is simpelweg onjuist. Een SSL-certificaat staat los van de beveiliging van je website. Het enige wat je als extra veiligheid zou kunnen benoemen is het feit dat ook jouw ingevulde gebruikersnaam en wachtwoord versleuteld over het internet verstuurd zullen worden.

Als je bezig bent met het omzetten van je website naar https:// dan zul je in je database alle verwijzingen aan moeten passen. Hiervoor is een handige tool beschikbaar die je terug kunt vinden in deze blog.

Regelmatig krijg ik de vraag wat het beste SSL-certificaat is. Het antwoord hierop is dat dit helemaal afhankelijk is van het soort website of webshop wat je hebt. Google kijkt in ieder geval niet naar het soort versleuteling maar alleen naar wel/geen SSL certificaat geïnstalleerd.

Zijn er ook redenen om geen SSL-certificaat te installeren? Naar mijn idee niet.Waarom heb jij nog geen SSL-certificaat? Ik hoor het graag van je in een reactie onder deze blog.

 

Je hebt de stap gezet. Je gaat je WordPress website via een versleutelde verbinding aan de bezoekers aanbieden. Hoe pak je dit aan? Je hebt al gegoogeld en een heleboel handleidingen gevonden. Toch mis je nog altijd een aantal stappen in deze handleidingen. En je wilt zo graag een groen slotje op je website… Want dat beloont Google, hebben ze beloofd. Dat is niet helemaal waar, Google heeft aangegeven dat SSL een rankingsignaal wordt, waardoor de positie van je website beïnvloed kan worden. Het is slechts 1 van de ongeveer 200 rankingfactoren en op dit moment is nog niet direct merkbaar dat het effect heeft. De belangrijkste reden moet in mijn ogen ook niet zijn dat je er hoger door gaat scoren in de zoekmachines, maar dat je bezoekers een veilig gevoel geeft als ze door jouw website navigeren.

SSL WordPress installerenJe hebt daarna al diverse plug-ins uitgetest om een beveiligde https verbinding te forceren. Helaas zie je nog steeds op bepaalde pagina’s dat er geen groen slotje of groene bedrijfsnaam getoond wordt naast de URL. Of nog erger, je browser geeft een waarschuwing dat je een onveilige website wilt bezoeken. Je wilt toch niet dat bezoekers van jouw website dat te zien krijgen? Dan kun je die aankoop of het contactmoment zeker weten vergeten.

Wat zijn globaal de stappen om een https-verbinding te realiseren?

  1. Verschillende SSL-certificaten
  2. WordPress website omzetten naar SSL
  3. Problemen bij omzetten naar https
  4. SSL redirect aanmaken in htaccess-bestand
  5. Aanpassen Google Search Console property
  6. Conclusie

In deze blog gaat het vooral om de laatste vier stappen. Bij de meeste hostingproviders (hoe vind je de beste, daar schreef ik eerder over) kun je via het Control Panel een certificaat aanvragen. Vervolgens wordt dit bijna altijd door je provider geïnstalleerd en hoef jij alleen je WordPress website nog aan te passen.

1. Verschillende SSL-certificaten

Comodo SSL CertificatenEr zijn globaal drie soorten SSL-certificaten. Deze worden allemaal uitgegeven door een organisatie met de naam Comodo. Daarnaast is er tegenwoordig nog een vierde gratis variant, Let’s encrypt. Hier heb ik zelf nog te weinig ervaring mee om wat over te schrijven in deze blog.

  • Domeinvalidatie: Certificaten met domeinvalidatie bevatten geen bedrijfsgegevens. Er wordt alleen gecontroleerd of de aanvrager controle heeft over het domein waarvoor het certificaat wordt aangevraagd. Het certificaat wordt door alle browsers vertrouwd en zorgt voor een veilige verbinding met 128/256 bits encryptie. De validatie gebeurt door het versturen van een code naar een mailadres gekoppeld aan de website. Het is ook mogelijk om de validatie uit te voeren middels het plaatsen van een bestand op de server of door het toevoegen van een DNS Record. Deze validatie zorgt voor een groen slotje voor de domeinnaam in de adresbalk.
  • Organisatievalidatie: Certificaten met organisatievalidatie bevatten bedrijfsgegevens. De bezoekers van een website kunnen met deze bedrijfsgegevens controleren of ze op de website van het juiste bedrijf zijn. De bedrijfsgegevens worden in het certificaat opgenomen, maar komen niet direct in beeld zoals dat bij EV certificaten het geval is. De validatie gebeurt door het raadplegen van open bronnen zoals bijvoorbeeld een openbaar register als de KvK en daarnaast wordt er telefonisch contact opgenomen met de aanvrager. Deze validatie verzorgt ook alleen een groen slotje voor de domeinnaam in de adresbalk.
  • Uitgebreide validatie: Certificaten met uitgebreide validatie (Extended Validation) tonen de bedrijfsnaam in een groene adresbalk en voldoen aan zeer strenge vastgestelde richtlijnen. Naast de domeinvalidatie, waarbij de aanvrager laat zien controle te hebben over het domein waarvoor het certificaat wordt aangevraagd, worden ook de bedrijfsgegevens gecontroleerd. Er wordt hiervoor naar een openbaar register zoals de Kamer van Koophandel gekeken, en er wordt ter verificatie naar de organisatie gebeld. Voor sommige leveranciers is het noodzakelijk dat er documenten worden ondertekend en opgestuurd.

Voor de meeste websites en webshops is organisatievalidatie ruim voldoende. Door de telefonische validatie en het vermelden van de bedrijfsgegevens in het certificaat bouw je vertrouwen op naar je bezoekers. En hoe meer vertrouwen hoe groter de kans op een daadwerkelijke lead. Dit kan ook vaak binnen een dag gerealiseerd worden. Vooral de uitgebreide validatie kan soms langere tijd duren in verband met het aanleveren van gevraagde documenten en goedkeuring hiervan.

2. WordPress website omzetten naar SSL

Het maakt niet uit of je wel of geen www voor je domeinnaam hebt staan. Er zal in ieder geval altijd http:// voor je URL staan eventueel gevolgd door www. Hoe pas je dit nu aan? Je kunt naar de algemene instellingen van WordPress gaan en daar de home- en site-URL aanpassen. Je zult hier zien staan http://jedomeinnaam.nl en dit kun je aanpassen in https://. Hiermee zorg je er echter nog niet voor dat je hele website via een beveiligde verbinding loopt. Er zullen altijd onveilige aanroepen blijven bestaan. En onveilige aanroepen betekent dat de browsers jouw website als onveilig zullen bestempelen, met alle gevolgen van dien.

Zoeken en vervangen WordPressHoe pak je dit dan aan? Wat ik eigenlijk standaard doe, is zoeken en vervangen in de database. Ik gebruik hiervoor de fantastische tool die ik al eerder beschreven heb in deze blog: https://lamper-design.nl/zoeken-en-vervangen-wordpress-database/ De http:// verwijzingen staan namelijk in de database, daar staat alle content van je website, dus dat is ook de locatie waar je ze zult moeten wijzigen. Maak voordat je iets gaan doen met de database ALTIJD eerst een back-up.

Als je eerst bij de site-URL in de WordPress instellingen gekeken hebt, weet je hoe je website nu aangeroepen wordt. Zoek dan in de plugin naar http://jedomein.nl en vervang dit voor https://jedomein.nl. Je kunt als eerste een dry run uitvoeren en kijken of er daadwerkelijk zaken vervangen worden. Als dit niet zo is dan heb je waarschijnlijk niet goed gezocht en raad ik je aan nogmaals je site-URL te bekijken en deze desnoods te kopiëren. Let er op dat er geen / achter de originele zoekterm staat, of zet deze bij de te vervangen URL ook neer.  Ben je overtuigd van de juiste termen? Dan kun je een live run uitvoeren en heb je stap twee ook afgerond.

Google Chrome heeft een erg sterke ingebouwde caching. Onder voorkeuren > Geschiedenis > Wis Browsegegevens kun je ervoor kiezen om alleen de bestanden te wissen. Doe dit voordat je naar jouw website gaat, anders krijg je namelijk nog een oude lokale versie van je website te zien.

3. Problemen bij omzetten naar https

Er zijn uiteraard diverse zaken te bedenken die voorkomen dat jij een groen slotje te zien krijgt. Er zijn er een heel aantal te noemen. Een belangrijke gratis tool om te bekijken waar mogelijk problemen zitten is whynopadlock.com. Hier kun je jouw website scannen en krijg je te zien wat de onveilige aanroepen veroorzaakt. De bron weergeven via Weergave > Ontwikkelaar > Toon paginabron (Chrome) en zoeken op een http:// versie kan natuurlijk ook. Dan heb je meer een directe richting waar je naar moet zoeken. Kijk daarbij vooral of je de naam van een plugin ziet staan bijvoorbeeld, of de naam van een themamap.

Onveilige items WordPress oplossen

  • Je website URL staat bij de site-URL in de WordPress instellingen met www genoemd. Daar heb je ook op gezocht in de database en deze ook vervangen. Maar nu kan het ook zo zijn dat er plugins op je website actief zijn die het niet zo nauw nemen en deze hebben een aantal keer een aanroep geplaatst naar de non-www versie. Die heb je dus nog niet vervangen.
  • Er wordt gebruik gemaakt van externe fonts die op een onjuiste manier geladen worden. Vaak worden Google Fonts helaas aangeroepen via http://googlefont. Mocht je dit tegenkomen dan is het belangrijk om in je bron te kijken waar dit gebeurt; in welk deel van je website. Daarna kun je dit aanpassen. De beste optie is om hier geen http of https voor te zetten maar gewoon direct te beginnen met //. Daarmee geef je een browser de vrijheid om indien nodig er iets voor te plaatsen wat benodigd is.
  • Elementen op je website worden hard gecodeerd. Wat bedoel ik hiermee? Vaak zie ik bijvoorbeeld dat een logo van een bedrijf als http:// in de thema-opties geplaatst wordt. Die zul je dus moeten aanpassen. Ook gebeurt het soms dat er ergens in een tekstveld http:// staat ipv // of https://. Het grootste probleem is vaak het zoeken, het oplossen is dan niet meer moeilijk, zeker niet na het lezen van deze blog.

4. SSL redirect aanmaken in htaccess-bestand

Een redirect aanmaken? Ik schreef er al eerder over in de blog over een 301 redirect. Waarom is dat nodig, zul je je afvragen? Dit heeft een hele simpele reden. Bezoekers die http intoetsen en je website gaan bezoeken zonder dat er een redirect gemaakt is zullen ook daadwerkelijk de http versie te zien krijgen. Maar je hebt een SSL-certificaat, dus dat wil je niet.

Hoe pas je het htaccess-bestand dan aan? Log in via FTP en in de root van je websitebestanden zul je een htacess bestand aantreffen. Open dit en voeg de onderstaande regels toe:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://{REQUEST_URI} [L,R=301]

Dit is voldoende om alle bezoekers automatisch naar de beveiligde versie van je website te redirecten door middel van een permanente 301 redirect. Ook voor de Google zoekresultaten is dit van belang. Als mensen jouw website in de zoekresultaten tegenkomen dan zal dit, zeker de eerste tijd na je migratie, nog een link naar de http versie van je website zijn. Met bovenstaande code klikken bezoekers op de http-versie en krijgen de https-versie te zien.

Als laatste is het ook van belang voor de backlinks die je ondertussen hebt naar je website. Ook deze verwijzen naar de http-versie en moeten dus automatisch doorgestuurd naar de nieuwe https-URL’s. Anders zul je iedereen die ooit een link naar jouw website geplaatst heeft moeten vragen deze aan te passen.

Een hele handige tool voor het maken van regels in je htaccess-bestand is http://www.aleydasolis.com/htaccess-redirects-generator/ Hier kun je ook regels aan maken voor het automatisch doorsturen van bezoekers naar de www- of juist non-www versie van je website.

5. Aanpassen Google Search Console property

Google Search Console. Dat gebruik jij toch wel om je vindbaarheid te optimaliseren? Mocht je dit nog niet gebruiken dan moet je zeker deze blog lezen: https://lamper-design.nl/gebruik-google-search-console-om-website-vindbaar-te-maken/. Als je deze wel hebt moet je de aangemaakte property laten staan.

Google Search ConsoleHet beste is een nieuwe property aanmaken voor de https variant van je domein. Daarnaast kun je aangeven in Search Console wat je voorkeursdomein is. Dit is dus de https-variant van je website.

6. Conclusie

Er zijn diverse plugins die veel gebruikt worden om een beveiligde verbinding af te dwingen. Zoals eerder aangegeven, deze vertragen je website omdat er eerst gecheckt moet worden of je website SSL gebruikt ja of nee en vervolgens de URL’s live omgezet moeten worden. En waarom zou je een plug-in gebruiken als het prima op te lossen is zonder? Daar is geen excuus voor te bedenken.

Een probleem wat ik nog regelmatig tegenkom na alle bovenstaande stappen uitgevoerd te hebben is dat er nog steeds onveilige aanroepen in je website aanwezig zijn. Hoe los je dit op? Je kunt daarvoor de eerder genoemde https://whynopadlock.com inzetten en uitzoeken waar de aanroepen gedaan worden. Maar je kunt ook gewoon in de bron van je website kijken en daar zoeken op http://. Dan weet je ook waar het probleem vandaan komt. Wat vaak het probleem veroorzaakt zijn de Google Fonts die door je thema geladen worden. Pas de URL’s van de Google Fonts dan aan naar // in plaats van http:// en ook deze meldingen zijn opgelost. Op naar een volledige veilige verbinding.

Moet je overstappen op SSL? Er zijn twee redenen waarom ik mijn klanten dit zeker adviseer.

  1. Google heeft al vaker updates in het algoritme aangekondigd, vaak heeft dit lange tijd nodig maar uiteindelijk ga je voordeel krijgen als je een SSL certificaat op je WordPress website geïnstalleerd hebt.
  2. Als je klantgegevens ontvangt wil je jouw klanten toch ook bewijzen dat jij serieus met hun privacy omgaat?

Wat zijn de kosten van een certificaat? Dit varieert per provider. Gemiddeld kun je aanhouden dat het goedkoopste certificaat voor een paar tientjes te krijgen is. Het duurste SSL-certificaat kost bij de meeste providers iets meer dan honderd euro. Wil je het exact weten? Vraag het dan na bij je provider.

Heb je hulp nodig bij het installeren van een SSL-certificaat of wil je er meer over weten? Neem dan direct contact met ons op.

Portfolio Items