WPdesk

WordPress, HTTPS en SSL; dit moet je weten

Je hebt vast wel eens gehoord of gelezen over SSL certificaten. Zo’n certificaat maakt van HTTP HTTPS. Die ene letter meer of minder kan je website maken of breken. Dus hebben we alles wat je moet weten over HTTP, HTTPS, SSL en WordPress voor je op een rijtje gezet.

In 2014 maakte Google voor de eerste keer duidelijk dat een SSL-certificaat een ‘ranking factor’ is. Kortom: een website met SSL certificaat staat hoger in de zoekmachine dan een verder vergelijkbare site zonder certificaat.

Waarom je met SSL van Google zo’n voorkeursbehandeling krijgt? Omdat websites met een SSL certificaat veiliger zijn dan websites zonder zo’n certificaat. En veiligheid is volgens Big G prioriteit nummer 1.

Toen Google in 2014 liet weten dat ’n SSL certificaat tot ‘ranking factor’was gepromoveerd, stelde de zoekmachines ons ook gerust: er was geen haast. De impact van de koerswijziging zou “voorlopig nog even” nihil zijn, liet Google weten. Om er in één adem door aaan toe te voegen, dat HTTPS/SSL “in de toekomst steeds zwaarder zou gaan meetellen”.

Zo’n aankondiging (je leest ‘m hier overigens) is een gebruikelijke techniek van Google. We krijgen als webmasters tijd om onze websites aan te passen en wellicht zelfs onze strategie aana te passen. Maar niet oneindig. Zo’n anderhalf jaar later, eind 2016 dropte Big G het échte bommetje:

“(…) 2017 is going to be the year that we’re going to see features in WordPress which require hosts to have HTTPS available. (…) SSL just makes sense as the next hurdle our users are going to face.”

Volgens Google heeft je website dus alleen toekomst mét HTTPS. 2017 ziet Google als een overgangsjaar. Je hoeft dus niet bang te zijn dat je WordPress website er morgen mee ophoudt. Je moet er wel op voorbereid zijn dat bepaalde functies de komende maanden alleen nog werken mét HTTPS. Welke functies? Google gaf het gebruik van API’s als voorbeeld van een van de functies die straks HTTPS vereist. Maar dat zal niet de enige zijn.

O, en wat betreft het feit dat 2017 een overgangsjaar is: als we dit schrijven zijn we al bijna op de helft. Het is overdreven om te zeggen dat de tijd dringt, maar relaxed achterover leunen kan niet meer.

Wat is een SSL certificaat?
SSL staat “secure sockets layer” en voor de echte theorietijgers, heb ik de officiële definitie voor je, rechtstreeks geleend van ssl.com:

SSL (Secure Sockets Layer) is the standard security technology for establishing an encrypted link between a web server and a browser. This link ensures that all data passed between the web server and browsers remain private and integral. SSL is an industry standard and is used by millions of websites in the protection of their online transactions with their customers.

In klip en klaar hartstikke Hollands: SSL versleutelt de verbinding tussen de website en de server. Daardoor kunnen hackers en ander cybertuig niet meelezen. Je verbinding is dus veilig. Je kunt met een (voor internetbegrippen) gerust hart je credit card gebruiken, je bankrekeningnummer opgeven of andere persoonlijke data versturen.

Of een website informatie versleutelt, zie je in de url in je browser. Die vertelt het hele verhaal. Als dat begint met HTTPS (in plaat van http) dan zit je goed. Daarnaast heeft elke browser zijn eigen symbooltje voor een veilige verbinding. Vaak een sleuteltje.

Omdat het leven nu eenmaal niet altijd simpel is, zijn er meerdere soorten SSL-certificaten. Daar komen we zo op terug. Net zo goed als op de vraag hoe je kunt overstappen van HTTP naar HTTPS.

HTTPS SSL Certificaat
Een website zonder SSL certificaat heeft voor de url een simpele icon: een cirkel met daarin een ‘i’. Klik je daarop, dan krijg je de mededeling dat de site niet beveiligd is. Soms verschijnt er een geel uitroepteken of een slot met een rode streep er doorheen als waarschuwing dat de website niet veilig is wat betreft het versturen van gegevens omdat die niet versleuteld worden en hackers dus zouden kunnen meelezen.

Zeker voor webwinkels is het ontbreken van die ‘S’ achter HTTP een probleem aan het worden. Klanten weten steeds beter ‘wat goed voor ze is’. Het ontbreken van de S achter HTTP is steeds vaker een reden om af te haken. Simpelweg omdat ze het niet vertrouwen. En geeft ze eens ongelijk…

Hoe krijg je een SSL-certificaat
Grofweg zijn er twee manieren om aan een SSL-certificaat te komen. Via een leverancier van SSL-certificaten of via je webhost. Die tweede is de snelste en technisch vaak de makkelijkste, snelste manier omdat je host de koppeling waarschijnlijk al heeft voorbereid.

Maar wat nu als je host/server geen certificaat biedt?

Ten eerste zou ik serieus overwegen een andere webhost te kiezen. WordPress hosting is niet ongelofelijk ingewikkeld of veeleisend. Maar als je host (nu nog steeds!) niet is voorbereid op HTTPS dan klopt er daar iets niet. En wellicht meer dan je van buitenaf kunt zien.

Neemt niet weg dat je soms toch moet besluiten een SSL-certificaat van buitenaf aan te schaffen. Dan kun je terecht bij clubs als DigiCert, GeoTrust opf bijvoorbeeld RapidSSL. Raadpleeg Google. Er zijn er meer dan de drie die me net te binnen schoten.

Het ene SSL certificaat is het andere niet
Als je wat dieper in de materie duikt, kom je er al snel achter dat er niet zoiets bestaat als ‘een SSL-certificaat’. Je hebt DV certificaten, EV certificaten, wildcard certificaten en net als je denkt dat je alles op een rijtje hebt, begint er iemand over SAN certificaten.

Daarom hebben we de 3 meest voorkomende voor je op een rijtje gezet.

Domain Validation (DV-certificaat)
Een DV certificaat is het meest simpele een daardoor meest gebruikte en goedkoopste SSL certificaat dat je zult vinden. Ideaal voor websites die niet gebruikt worden om persoonlijke informatie via cyberspace uit te wisselen. Als je een gemiddelde, standaard zakelijke website hebt, is een DV-certificaat een prima oplossing.

Organization Validation (OV-certificaat)
Een OV-certificaat biedt net iets meer zekerheid dan zijn DV-broertje. Een DV certificaat valideer je zelf. Een OV certificaat daarentegen moet gevalideerd worden door een instantie die daartoe gemachtigd is, een zogenaamde ‘Certificaat Autoriteit’ (CA). Je moet geen gierende haast hebben. Als je zo’n domein aanvraagt, controleert de CA zowel het bedrijf als de website. Daarom duurt het aanvragen van een OV-certificaat vaak een paar dagen.

Extended Validation (EV)
Een EV-certificaat is vergelijkbaar met een OV-certificaat. Het verschil zit ‘m in de controles van zowel de eigenaar als het domein. Die zijn strikter en uitgebreider. De ‘Certificaat Autoriteit’ controleert bijvoorbeeld ook bij derde partijen. Denk aan de KvK. Dit is het certificaat dat banken, overheden en de groterem bekende webshops gebruiken.

En hoe zit het met ‘Let’s Encrypt’…?
Let’s Encrypt biedt een gratis, ‘open source’ SSL certificaat. Om dat te kunnen gebruiken moet je ‘shell access’ (SSH) hebben tot je server en niet bang zijn om het certificaat zelf te installeren. Dat is meestal niet heel erg ingewikkeld en kun je dus (meestal) zelf doen. Handig en effectief, maar daarna begint het éche werk pas.

Kom ik zo op terug…

Heb je een SSL-certificaat echt nodig?
Ja. Punt uit. Zelfs als je ’m niet nodig hebt (omdat er nooit gegevens over je domein worden verstuurd) heb je ‘m nodig. Je hebt’t ‘m domweg nodig omdat Google dat zo langzamerhand eist.

Leuk of niet. Het is realiteit. Wen er aan. Vandaag of morgen zet het ontbreken van HTTPS je op een achterstand tegenover concurrenten die dat certificaat wel hebben. Je kunt het flauwekul vinden of zelfs machtsmisbruik, maar je kunt niet zeggen dat Google je niet gewaarschuwd heeft.

Heb je een webwinkel? Of een website waar (noem eens wat) klanten, medewerkers of wie dan ook op kunnen of moeten inloggen?

Dan is een SSL certificaat onmisbaar. Niet alleen omdat Google het wil maar ook (het kwam net ook al even ter sprake) omdat klanten steeds bewuster worden van cyber security. Ze kiezen eerder voor sites met HTTPS dan sites met slechts HTTP.

Kortom, die ene ‘S’ achter http gaat je omzet en geld kosten of omzet en geld opleveren. Je mag zelf kiezen.

Het installeren van een SSL certificaat
We zeiden het net al: na het aanvragen en installeren van een SSL-certificaat, begint het échte werk. Dit is waar menig ‘amateur webmaster’ de bibbers krijgt. Dat herken je? Blijf ademen, komt goed.

Het proces rond het installeren van een SSL-certificaat verschilt van host tot host. Als je bij ons host bijvoorbeeld, is het ‘aanzetten’ van een gratis Let’s Encrypt SSL certificaat een kwestie van een paar muisklikken. Op de meeste andere (professionele) hosts is het vaak niet veel moeilijker.

Als je een SSL certificaat eenmaal hebt geïnstalleerd, schakelt je website niet zo maar uit zichzelf over van http naar https. Je zult je site een handje moeten helpen. Daarbij maakt het uit of je website nieuw is of al een tijdje meegaat. De eerste is simpel, de tweede een stuk ingewikkelder.

Nieuwe WordPress site?
Als je site (hagel)nieuw is, dan heb je het verrekte makkelijk. Ga (nadat je certificaat hebt geïnstalleerd) naar ‘Instellingen’ → ‘Algemeen’ en pas daar het adres aan van zowel je website als je domein. Dus http://www.jedomein.nl’ wordt https://www.jedomein.nl. Sla die aanpassingen wel op voordat je die pagina verlaat….

Schrik niet als je vervolgens wordt uitgelogd.

Controleer vervolgens of je site HTTPS is en ook daadwerkelijk ‘veilig’ is door in de browser op het icoontje naast je url te klikken. Niet? Dan is je website waarschijnlijk niet 100% kakelvers. Er zijn bijvoorbeeld al berichten gemaakt. Dan is je website feitelijk een bestaande website en heeft ‘ie een spreekwoordelijk kontje nodig om van HTTP naar HTTPS te gaan. Dat kan op een makkelijke of een iets moeilijkere (met code) manier. Eerst de simpele manier? Dat dacht ik al…

Plugin: Really Simple SSL
Je had het kunnen bedenken: er is een plugin voor. Die heet Really Simple SSL en doet zijn naam eer aan. Installeren, activeren en (soms) een paar voor de hand liggende instellingen opslaan. Meer komt er niet bij kijken.

Het lekkere van WordPress HTTP naar HTTPS is dat er (je had het kunnen weten) plugins zijn die het leven net even wat makkelijker maken.Click To Tweet

Wat Really Simple SSL doet?
• Het past het adres van je site aan van http naar https
• Het redirect (via JavaScript of htaccess) naar HTTPS
• Past interne links aan naar HTTPS
• Past indien noodzakelijk server-instellingen aan

Je doet het graag ‘moeilijk’?
Als je liever geen plugin gebruikt, dan kun je in 99% van de gevallen ook uit de voeten met een paar regels code. Dat voeg je toe aan .htaccess in de root van je op de server.

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.jouwwsite.nl/$1 [R,L]

Daarbij vervang je ‘jouwsite.nl’ natuurlijk voor de url van je domein. Als je geen www gebruikt in het adres van de site, haal dat dan ook uit deze ‘snippet’. Dan wordt het dus https://jouwwsite.nl

WooCommerce?
Als je een webshop hebt met WooCommerce, dan moet je een stapje extra zetten. Je moet nog steeds Really Simple SSL installeren en inregelen of dat stukje code aanpassen en in .htaccess plakken. Vervolgens ga je naar WooCommerce → Instellingen → Checkout en selecteer je Force Secure Checkout. Wees slimmer dan ondergetekende en vergeet die aanpassing niet op te slaan…

Test je webshop vervolgens uitgebreid om verrassingen te voorkomen. Loop je tegen problemen op, kijk dan op deze pagina voor oplossingen: https://docs.woocommerce.com/document/ssl-and-https/

Maar dan begint het echte werk…
Je zult niet de eerste zijn: je website draait op HTTPS maar een paar plugins houden er mee op, al je ‘likes’ (Facebook, Pinterest, Google+ en whatever) staan ineens op nul (paniek!) en je bent in Google niet meer terug te vinden.

Blijf ademen…

Als plugins niet werken, is de remedie vaak opvallend simpel: deactiveren en opnieuw activeren. In heel veel gevallen lost dat het probleem op. Zo niet, ga naar de hulppagina van de plugin op WordPress.org. Je bent vast niet de eerste gebruiker die overtapt op HTTPS en dus ook niet de eerste met dit probleem. In veel gevallen is er een oplossing voor handen.

En mijn ‘likes’…?
Is je door de jaren heen met hard werken verdiende ‘social proof’ terug naar nul na de overstap op HTTPS? Daar is wat aan te doen. Maar een waarschuwing vooraf: dat gaat niet altijd even snel en simpel. Tenzij je de eerder genoemde plugin Really Simple SSL hebt geinstalleerd. De makers van die plugin hebben namelijk een andere plugin gemaakt die er voor zorgt dat je ‘socials’ behouden blijven. Die plugin is genaamd Really Simple SSL Social (je had het kunnen weten) en is hier verkrijgbaar.

Eigenlijk heeft die plugin maar één nadeel: hij kost geld. €15 om precies te zijn. Eenmalig. Geloof me – als je door de overstap naar HTTPS tegen de bodem van je sociale schatkist kijkt, dan is dat een schijntje. Het handmatig fixen van dit probleem kost je een dag – zelfs als je een ervaren ‘coder’ bent.

Er is overigens een tweede alternatief. De Premium versie van Social Warfare kan je likes ook terughalen. We hebben er zelf geen ervaring mee, maar die optie schijnt prima te werken. Nadeel van Social Warfare is dat de plugin €29 kost. Voordeel is dat je voor dat bedrag verreweg de beste en meest uitgebreide ‘social plugin’ van de wereld op je site plaatst, inclusief mogelijkheden zoals ‘click to tweet’ en noem maar op.

Even geen budget voor wat voor plugin dan ook? Dat kan natuurlijk. Dan kun je online gaan uitvogelen hoe je je site op HTTPS houdt en tegelijkertijd de sociale waarde behoudt. Het is te ingewikkeld en tijdrovend om hier uit te leggen. En om heel eerlijk te zijn: als je niet is staat bent om €15 of €29 op te hoesten, dan moet je misschien om heel andere dingen druk maken dan oom HTTPS.

En wat zegt Google over HTTPS
We begonnen deze exercitie om je website veiliger te maken en (geef het maar toe!) om een wit voetje te halen bij Google. Dat is eerste is gelukt, maar dat tweede vraagt wat extra aandacht, tijd en energie.

Vergis je niet: in de ogen van Google, is http://www.jouwwebsite.nl/pagina1 een heel andere pagina dan https://www.jouwwebsite.nl/pagina1. Dat kan je positie in de zoekmachines om allerlei redenen negatief beïnvloeden.

Dat is uiteraard niet de bedoeling.

Een van de eerste dingen die je moet doen zodra je bent overgestapt op HTTPS is voor de HTTPS-versie van je website een nieuw profiel aanmaken in Google Search Console. Dien op dat profiel meteen je nieuwe sitemap in.

Een ander probleem dat je moet oplossen zijn ‘hard coded’ interne links. Die verwijzen naar de HTTP-versie van een pagina of bijvoorbeeld een foto en niet naar de HTTPS-versie. Je kunt dat vrij snel en opvallend effectief doen met de plugin Better Search Replace. Zoek met behulpvan die plugin naar “http://www.jouwwebsite.nl” en vervang die door “https://www.jouwwebsite.nl.” Lost het probleem bijna altijd op met één druk op de knop. Daar houden we van!

Het probleem dat we net beschreven staat bekend als ‘wordpress https mixed content’.  Oftewel: op een en dezelfde pagina in je WordPress site staat content dat wel veilig achter een certificaat draait en content die niet is beschermd. Een praktische, online tool om dat probleem zichtbaar te maken (zodat je het kunt aanpakken) vind je op SSL Check. Die scant alle pagina’s op je website voor content die (nog) niet onder het HTTPS-protocol valt. Vaak zijn dat foto’s of bijlagen.

Tot slot
Hou je ranking in de gaten zodra je bent overgestapt. Waarschijnlijk zak je eerst even weg. Maak je geen zorgen. Dat is een normaal beeld. Als het goed is, stuiter je terug op minimaal hetzelfde niveau. Als het een beetje meezit, misschien een paar plekjes hoger. Het resultaat kan verschillen van pagina tot pagina. Maar wat het resultaat ook is: het duurt even. Geef Google de tijd om je opnieuw te waarderen. Reken in weken en niet in dagen. Komt goed. Is het vandaag niet, dan bewijst HTTPS zijn waarde wel in de komende periode.

Geef een reactie

Top
Stel je voor: je website gaat
onderuit en je
hebt géén backup...
Shit happens. Daarom is er het GRATIS WordPress Backup Abonnement. Professionele backups waarmee je beschermd bent tegen cybertuig, rammelende servers, domme pech en zelfs tegen klungelige webmasters.

Regel het vóórdat de bliksem inslaat. Vandaag dus.
Stel je voor: je website gaat
onderuit en je
hebt géén backup...
Shit happens. Daarom is er het GRATIS WordPress Backup Abonnement. Professionele backups waarmee je beschermd bent tegen cybertuig, rammelende servers, domme pech en zelfs tegen klungelige webmasters.

Regel het vóórdat de bliksem inslaat. Vandaag dus.
Stel je voor: je website gaat
onderuit en je
hebt géén backup...
Shit happens. Daarom is er het GRATIS WordPress Backup Abonnement. Professionele backups waarmee je beschermd bent tegen cybertuig, rammelende servers, domme pech en zelfs tegen klungelige webmasters.

Regel het vóórdat de bliksem inslaat. Vandaag dus.