SSL WordPress website installeren

Je hebt de stap gezet. Je gaat je WordPress website via een versleutelde verbinding aan de bezoekers aanbieden. Hoe pak je dit aan? Je hebt al gegoogeld en een heleboel handleidingen gevonden. Toch mis je nog altijd een aantal stappen in deze handleidingen. En je wilt zo graag een groen slotje op je website… Want dat beloont Google, hebben ze beloofd. Dat is niet helemaal waar, Google heeft aangegeven dat SSL een rankingsignaal wordt, waardoor de positie van je website beïnvloed kan worden. Het is slechts 1 van de ongeveer 200 rankingfactoren en op dit moment is nog niet direct merkbaar dat het effect heeft. De belangrijkste reden moet in mijn ogen ook niet zijn dat je er hoger door gaat scoren in de zoekmachines, maar dat je bezoekers een veilig gevoel geeft als ze door jouw website navigeren.

SSL WordPress installerenJe hebt daarna al diverse plug-ins uitgetest om een beveiligde https verbinding te forceren. Helaas zie je nog steeds op bepaalde pagina’s dat er geen groen slotje of groene bedrijfsnaam getoond wordt naast de URL. Of nog erger, je browser geeft een waarschuwing dat je een onveilige website wilt bezoeken. Je wilt toch niet dat bezoekers van jouw website dat te zien krijgen? Dan kun je die aankoop of het contactmoment zeker weten vergeten.

Wat zijn globaal de stappen om een https-verbinding te realiseren?

  1. Verschillende SSL-certificaten
  2. WordPress website omzetten naar SSL
  3. Problemen bij omzetten naar https
  4. SSL redirect aanmaken in htaccess-bestand
  5. Aanpassen Google Search Console property
  6. Conclusie

In deze blog gaat het vooral om de laatste vier stappen. Bij de meeste hostingproviders (hoe vind je de beste, daar schreef ik eerder over) kun je via het Control Panel een certificaat aanvragen. Vervolgens wordt dit bijna altijd door je provider geïnstalleerd en hoef jij alleen je WordPress website nog aan te passen.

1. Verschillende SSL-certificaten

Comodo SSL CertificatenEr zijn globaal drie soorten SSL-certificaten. Deze worden allemaal uitgegeven door een organisatie met de naam Comodo. Daarnaast is er tegenwoordig nog een vierde gratis variant, Let’s encrypt. Hier heb ik zelf nog te weinig ervaring mee om wat over te schrijven in deze blog.

  • Domeinvalidatie: Certificaten met domeinvalidatie bevatten geen bedrijfsgegevens. Er wordt alleen gecontroleerd of de aanvrager controle heeft over het domein waarvoor het certificaat wordt aangevraagd. Het certificaat wordt door alle browsers vertrouwd en zorgt voor een veilige verbinding met 128/256 bits encryptie. De validatie gebeurt door het versturen van een code naar een mailadres gekoppeld aan de website. Het is ook mogelijk om de validatie uit te voeren middels het plaatsen van een bestand op de server of door het toevoegen van een DNS Record. Deze validatie zorgt voor een groen slotje voor de domeinnaam in de adresbalk.
  • Organisatievalidatie: Certificaten met organisatievalidatie bevatten bedrijfsgegevens. De bezoekers van een website kunnen met deze bedrijfsgegevens controleren of ze op de website van het juiste bedrijf zijn. De bedrijfsgegevens worden in het certificaat opgenomen, maar komen niet direct in beeld zoals dat bij EV certificaten het geval is. De validatie gebeurt door het raadplegen van open bronnen zoals bijvoorbeeld een openbaar register als de KvK en daarnaast wordt er telefonisch contact opgenomen met de aanvrager. Deze validatie verzorgt ook alleen een groen slotje voor de domeinnaam in de adresbalk.
  • Uitgebreide validatie: Certificaten met uitgebreide validatie (Extended Validation) tonen de bedrijfsnaam in een groene adresbalk en voldoen aan zeer strenge vastgestelde richtlijnen. Naast de domeinvalidatie, waarbij de aanvrager laat zien controle te hebben over het domein waarvoor het certificaat wordt aangevraagd, worden ook de bedrijfsgegevens gecontroleerd. Er wordt hiervoor naar een openbaar register zoals de Kamer van Koophandel gekeken, en er wordt ter verificatie naar de organisatie gebeld. Voor sommige leveranciers is het noodzakelijk dat er documenten worden ondertekend en opgestuurd.

Voor de meeste websites en webshops is organisatievalidatie ruim voldoende. Door de telefonische validatie en het vermelden van de bedrijfsgegevens in het certificaat bouw je vertrouwen op naar je bezoekers. En hoe meer vertrouwen hoe groter de kans op een daadwerkelijke lead. Dit kan ook vaak binnen een dag gerealiseerd worden. Vooral de uitgebreide validatie kan soms langere tijd duren in verband met het aanleveren van gevraagde documenten en goedkeuring hiervan.

2. WordPress website omzetten naar SSL

Het maakt niet uit of je wel of geen www voor je domeinnaam hebt staan. Er zal in ieder geval altijd http:// voor je URL staan eventueel gevolgd door www. Hoe pas je dit nu aan? Je kunt naar de algemene instellingen van WordPress gaan en daar de home- en site-URL aanpassen. Je zult hier zien staan http://jedomeinnaam.nl en dit kun je aanpassen in https://. Hiermee zorg je er echter nog niet voor dat je hele website via een beveiligde verbinding loopt. Er zullen altijd onveilige aanroepen blijven bestaan. En onveilige aanroepen betekent dat de browsers jouw website als onveilig zullen bestempelen, met alle gevolgen van dien.

Zoeken en vervangen WordPressHoe pak je dit dan aan? Wat ik eigenlijk standaard doe, is zoeken en vervangen in de database. Ik gebruik hiervoor de fantastische tool die ik al eerder beschreven heb in deze blog: https://lamper-design.nl/zoeken-en-vervangen-wordpress-database/ De http:// verwijzingen staan namelijk in de database, daar staat alle content van je website, dus dat is ook de locatie waar je ze zult moeten wijzigen. Maak voordat je iets gaan doen met de database ALTIJD eerst een back-up.

Als je eerst bij de site-URL in de WordPress instellingen gekeken hebt, weet je hoe je website nu aangeroepen wordt. Zoek dan in de plugin naar http://jedomein.nl en vervang dit voor https://jedomein.nl. Je kunt als eerste een dry run uitvoeren en kijken of er daadwerkelijk zaken vervangen worden. Als dit niet zo is dan heb je waarschijnlijk niet goed gezocht en raad ik je aan nogmaals je site-URL te bekijken en deze desnoods te kopiëren. Let er op dat er geen / achter de originele zoekterm staat, of zet deze bij de te vervangen URL ook neer.  Ben je overtuigd van de juiste termen? Dan kun je een live run uitvoeren en heb je stap twee ook afgerond.

Google Chrome heeft een erg sterke ingebouwde caching. Onder voorkeuren > Geschiedenis > Wis Browsegegevens kun je ervoor kiezen om alleen de bestanden te wissen. Doe dit voordat je naar jouw website gaat, anders krijg je namelijk nog een oude lokale versie van je website te zien.

3. Problemen bij omzetten naar https

Er zijn uiteraard diverse zaken te bedenken die voorkomen dat jij een groen slotje te zien krijgt. Er zijn er een heel aantal te noemen. Een belangrijke gratis tool om te bekijken waar mogelijk problemen zitten is whynopadlock.com. Hier kun je jouw website scannen en krijg je te zien wat de onveilige aanroepen veroorzaakt. De bron weergeven via Weergave > Ontwikkelaar > Toon paginabron (Chrome) en zoeken op een http:// versie kan natuurlijk ook. Dan heb je meer een directe richting waar je naar moet zoeken. Kijk daarbij vooral of je de naam van een plugin ziet staan bijvoorbeeld, of de naam van een themamap.

Onveilige items WordPress oplossen

  • Je website URL staat bij de site-URL in de WordPress instellingen met www genoemd. Daar heb je ook op gezocht in de database en deze ook vervangen. Maar nu kan het ook zo zijn dat er plugins op je website actief zijn die het niet zo nauw nemen en deze hebben een aantal keer een aanroep geplaatst naar de non-www versie. Die heb je dus nog niet vervangen.
  • Er wordt gebruik gemaakt van externe fonts die op een onjuiste manier geladen worden. Vaak worden Google Fonts helaas aangeroepen via http://googlefont. Mocht je dit tegenkomen dan is het belangrijk om in je bron te kijken waar dit gebeurt; in welk deel van je website. Daarna kun je dit aanpassen. De beste optie is om hier geen http of https voor te zetten maar gewoon direct te beginnen met //. Daarmee geef je een browser de vrijheid om indien nodig er iets voor te plaatsen wat benodigd is.
  • Elementen op je website worden hard gecodeerd. Wat bedoel ik hiermee? Vaak zie ik bijvoorbeeld dat een logo van een bedrijf als http:// in de thema-opties geplaatst wordt. Die zul je dus moeten aanpassen. Ook gebeurt het soms dat er ergens in een tekstveld http:// staat ipv // of https://. Het grootste probleem is vaak het zoeken, het oplossen is dan niet meer moeilijk, zeker niet na het lezen van deze blog.

4. SSL redirect aanmaken in htaccess-bestand

Een redirect aanmaken? Ik schreef er al eerder over in de blog over een 301 redirect. Waarom is dat nodig, zul je je afvragen? Dit heeft een hele simpele reden. Bezoekers die http intoetsen en je website gaan bezoeken zonder dat er een redirect gemaakt is zullen ook daadwerkelijk de http versie te zien krijgen. Maar je hebt een SSL-certificaat, dus dat wil je niet.

Hoe pas je het htaccess-bestand dan aan? Log in via FTP en in de root van je websitebestanden zul je een htacess bestand aantreffen. Open dit en voeg de onderstaande regels toe:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://{REQUEST_URI} [L,R=301]

Dit is voldoende om alle bezoekers automatisch naar de beveiligde versie van je website te redirecten door middel van een permanente 301 redirect. Ook voor de Google zoekresultaten is dit van belang. Als mensen jouw website in de zoekresultaten tegenkomen dan zal dit, zeker de eerste tijd na je migratie, nog een link naar de http versie van je website zijn. Met bovenstaande code klikken bezoekers op de http-versie en krijgen de https-versie te zien.

Als laatste is het ook van belang voor de backlinks die je ondertussen hebt naar je website. Ook deze verwijzen naar de http-versie en moeten dus automatisch doorgestuurd naar de nieuwe https-URL’s. Anders zul je iedereen die ooit een link naar jouw website geplaatst heeft moeten vragen deze aan te passen.

Een hele handige tool voor het maken van regels in je htaccess-bestand is http://www.aleydasolis.com/htaccess-redirects-generator/ Hier kun je ook regels aan maken voor het automatisch doorsturen van bezoekers naar de www- of juist non-www versie van je website.

5. Aanpassen Google Search Console property

Google Search Console. Dat gebruik jij toch wel om je vindbaarheid te optimaliseren? Mocht je dit nog niet gebruiken dan moet je zeker deze blog lezen: https://lamper-design.nl/gebruik-google-search-console-om-website-vindbaar-te-maken/. Als je deze wel hebt moet je de aangemaakte property laten staan.

Google Search ConsoleHet beste is een nieuwe property aanmaken voor de https variant van je domein. Daarnaast kun je aangeven in Search Console wat je voorkeursdomein is. Dit is dus de https-variant van je website.

6. Conclusie

Er zijn diverse plugins die veel gebruikt worden om een beveiligde verbinding af te dwingen. Zoals eerder aangegeven, deze vertragen je website omdat er eerst gecheckt moet worden of je website SSL gebruikt ja of nee en vervolgens de URL’s live omgezet moeten worden. En waarom zou je een plug-in gebruiken als het prima op te lossen is zonder? Daar is geen excuus voor te bedenken.

Een probleem wat ik nog regelmatig tegenkom na alle bovenstaande stappen uitgevoerd te hebben is dat er nog steeds onveilige aanroepen in je website aanwezig zijn. Hoe los je dit op? Je kunt daarvoor de eerder genoemde https://whynopadlock.com inzetten en uitzoeken waar de aanroepen gedaan worden. Maar je kunt ook gewoon in de bron van je website kijken en daar zoeken op http://. Dan weet je ook waar het probleem vandaan komt. Wat vaak het probleem veroorzaakt zijn de Google Fonts die door je thema geladen worden. Pas de URL’s van de Google Fonts dan aan naar // in plaats van http:// en ook deze meldingen zijn opgelost. Op naar een volledige veilige verbinding.

Moet je overstappen op SSL? Er zijn twee redenen waarom ik mijn klanten dit zeker adviseer.

  1. Google heeft al vaker updates in het algoritme aangekondigd, vaak heeft dit lange tijd nodig maar uiteindelijk ga je voordeel krijgen als je een SSL certificaat op je WordPress website geïnstalleerd hebt.
  2. Als je klantgegevens ontvangt wil je jouw klanten toch ook bewijzen dat jij serieus met hun privacy omgaat?

Wat zijn de kosten van een certificaat? Dit varieert per provider. Gemiddeld kun je aanhouden dat het goedkoopste certificaat voor een paar tientjes te krijgen is. Het duurste SSL-certificaat kost bij de meeste providers iets meer dan honderd euro. Wil je het exact weten? Vraag het dan na bij je provider.

Heb je hulp nodig bij het installeren van een SSL-certificaat of wil je er meer over weten? Neem dan direct contact met ons op.

4 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *