Zo gaat dat: WordPress met SSL versleutelen

Zo gaat dat: WordPress met SSL versleutelen

Een versleutelde gegevensoverdracht tussen browser en webserver biedt je extra veiligheid. Daarom let Google er steeds meer op of websites per SSL communiceren. Het is zelfs een factor die je ranking in de zoekresultaten beïnvloedt. Ook laten browsers steeds duidelijker zien of een website is versleuteld of niet. Hier laten we in vier stappen zien hoe je jouw WordPress site met SSL versleutelt.

STRATO biedt bij elk hostingpakket een gratis SSL-certificaat. SSL kost je dus niets extra. Het is bovendien vrij eenvoudig in te stellen. We raden je dan ook aan je website van SSL te voorzien.

Maar let op: soms kan een SSL-configuratie tóch lastig worden. In deze tutorial lees je de standaardoplossing. Daarnaast geven we je een paar tips om je te helpen als het toch wat moeilijker wordt.

Browser: Deze website is niet beveiligd
Uitgangspunt: een website wordt in de browser als ‘niet beveiligd’ weergegeven

SSL en https – wat betekent dit?

SSL betekent: ‘Secure Sockets Layer’. Het wil zeggen dat de gegevensoverdracht tussen een webserver en een browser versleuteld plaatsvindt. Dit voorkomt het afluisteren, stelen of misbruiken van deze gegevens.

Het bijbehorende gegevensprotocol is https (Hypertext Transfer Protocol Secure) – dit is een aanvulling op het standaardprotocol http (Hypertext Transfer Protocol). Op Wikipedia lees je een goede uitleg over de werking van https. Je kunt een SSL-beveiligde website overigens herkennen aan de URL, die met https:// begint.

Stap 1: SSL-certificaat installeren

Om SSL te laten functioneren, moet op de webserver een SSL-certificaat zijn geïnstalleerd. Bij STRATO wordt ieder hostingpakket geleverd met een gratis SSL-certificaat van DigiCert. De installatie hiervan is vrij eenvoudig.

In de klantenlogin van je STRATO hostingpakket kies je hiervoor de menuoptie Beveiliging – STRATO SSL. Hier kun je het gratis SSL-certificaat activeren.

Klik op de knop Toewijzen en selecteer in de keuzelijst de domeinnaam van je blog. Klik vervolgens de knop Domein toewijzen.

STRATO klantenlogin: SSL-certificaat aan domeinnaam koppelen
Zo koppel je het SSL-certificaat aan het domein

Hierna wordt de opdracht in bewerking genomen en zie je onder Status een klokje. De bewerking kan een paar minuten tot maximaal een uur duren. Daarna is het SSL-certificaat actief en zie je onder Status een hangslotje.

STRATO klantenlogin: STRATO SSL
Zodra het SSL-certificaat actief is, verschijnt er onder status een hangslotje

Stap 2: WordPress met SSL versleutelen

Sinds WordPress 5.7 is de overstap naar SSL een stuk eenvoudiger, aangezien daarvoor nu een eigen functie is. Zodra je in stap 1 het SSL-certificaat hebt toegewezen aan het domein van je site, vind je in het WordPress dashboard een melding dat er een paar items zijn die je aandacht vereisen:

WordPress dashboard - Status sitediagnose
De status van je website in het WordPress dashboard

Als je vervolgens de sitediagnose opent, zie je al snel de opmerking “Je site gebruikt geen HTTPS”:

WordPress - sitediagnose zegt dat je geen HTTPS gebruikt

WordPress detecteert automatisch of je het SSL-certificaat eerder correct aan het domein hebt toegewezen. Als het goed is, zie je nu dus een update-knop:

WordPress auf SSL umstellen - naar HTTPS overschakelen

Als de update succesvol is, verschijnt het bericht: “de website-URL’s zijn omgezet naar HTTPS”. Aansluitend moet je opnieuw inloggen in WordPress.

Onder Instellingen – Algemeen kun je zien dat de URL’s automatisch zijn gewijzigd van HTTP naar HTTPS. Dat geldt ook voor interne links en afbeeldingen uit je mediatheek.

Idealiter is de overstap naar SSL nu succesvol afgerond. Je moet echter goed controleren of er echt geen problemen zijn. WordPress kan bijvoorbeeld niet automatisch de URL aanpassen van bestanden die zich in je thema bevinden, zoals functions.php of style.css. URL’s in plug-in-opties, aangepaste berichttypen of aangepaste velden kunnen ook problemen veroorzaken.

Succesvol overgestapt?

Om erachter te komen of de wijziging succesvol is afgerond of dat je nog verdere aanpassingen moet doen, open je de site in je browser. Linksboven in de URL zou nu een gesloten hangslotsymbool moeten verschijnen. Als je erop klikt, zie je de melding “Verbinding is beveiligd”.

Stap 3: SSL afdwingen in de klantenlogin

Het is aan te raden om van de functie SSL afdwingen in de STRATO klantenlogin gebruik te maken. Met deze functie kun je SSL inschakelen zonder dit handmatig in het .htaccess-bestand van je WordPress installatie te moeten doen.

Kies in het volgende scherm de bovenste variant met 301-forward. We raden je aan om de tijdelijke forward 302 alleen voor het testen van de SSL-migratie te gebruiken. Uiteraard kun je deze optie op elk moment van 302 omschakelen naar 301.

STRATO klantenlogin: SSL afdwingen
Door het afdwingen van SSL worden alle oproepen van je domein naar https omgeleid

Stap 4: SEO niet vergeten…

Deze laatste stap is belangrijk voor de zoekmachineoptimalisatie. Hierbij breng je Google ervan op de hoogte dat je site is overgezet naar SSL. Vanuit het oogpunt van Google zijn de http:// en https://-varianten namelijk twee verschillende websites, maar uiteindelijk wil je natuurlijk alleen de nieuwe https://-variant in Google laten opnemen.

Als je de Google Search Console al gebruikt, kun je daar de http://-versie invoeren. Voeg nu via Property toevoegen je blog in de https://-versie toe en laat de http://-versie bestaan. Gebruik je de Google Search Console nog niet? Dan maak je een nieuwe ‘Property’ aan met de https://-URL.

Opmerking: diverse tutorials op het web beweren dat je in de Google Search Console het oude http://-adres moet wijzigen. Maar Google zelf stelt dat deze optie niet geschikt is om over te schakelen naar SSL. Stel daarom een forward in van je http://-adressen naar de https://-versies, zoals hierboven in de STRATO instellingen beschreven. Google detecteert dan automatisch de wijziging.

Heb je eerder een sitemap ingediend in de Google Search Console? Dan moet je deze opnieuw indienen, voorzien van de nieuwe https://-URLs. Als je hiervoor een plug-in gebruikt, moet je ervoor zorgen dat deze de nieuwe sitemap indient.

Vergeet overigens niet de links te wijzigen als je jouw site hebt gekoppeld aan Facebook, Twitter, Instagram of andere social media. Deze links moeten voortaan verwijzen naar het https://-adres, zodat bezoekers je site direct bereiken, niet via de forward.

Lukt het niet: Troubleshooting

Zie je in de browser nog steeds een SSL-foutmelding? Dan zit er niets anders op dan verder te speuren naar de oorzaak. Er zijn veel mogelijke oorzaken, die we hier niet allemaal kunnen bespreken. Maar we geven je tips over hoe je te werk kunt gaan!

Controleer eerst nauwkeurig de opties van je plug-ins. Soms staan daar nog URLs vermeld die je naar https:// moet omzetten. Ook advertenties in plug-ins als Adrotate kunnen nog niet-versleutelde http://-adressen bevatten. Let erop dat je deze adressen pas wijzigt als ze ook daadwerkelijk via SSL bereikbaar zijn, anders leidt een https://-versie van dit adres immers naar een onvindbare site.

Nog steeds last van SSL-foutmeldingen? Dan moet je de niet-SSL-elementen zien op te sporen. Dit lukt bijvoorbeeld eenvoudig met de hulpprogramma’s voor ontwikkelaars in de browser Google Chrome. Die vind je in het menu van Chrome onder Meer hulpprogramma’s – Hulpprogramma’s voor ontwikkelaars. Ga naar het tabblad Security. In het console-venster toont Chrome je dan de mixed code-elementen die problemen veroorzaken.

Het console-venster toont Chrome je dan de mixed code-elementen die problemen veroorzaken
De hulpprogamma’s van Google helpen je bij het vinden van onveilige elementen

Om de fouten op te lossen, moet je soms lang speuren en heb je meestal kennis van HTML of PHP nodig. Heb je een plug-in of thema ontdekt dat de oorzaak van de problemen vormt? Zoek dan in het supportforum van WordPress naar meer informatie. Daar ontdek je snel of er een oplossing bestaat. Zo niet, moet je het thema of de plug-in verwijderen of vervangen.

Als tijdelijke oplossing kun je een child-thema aanmaken en daarin de juiste aanpassingen doorvoeren. Plug-ins kun je kopiëren, van deze kopie maak je dan een eigen plug-in met gewijzigde code. Hiermee los je in elk geval tijdelijk het SSL-probleem op. Op de lange termijn heb je waarschijnlijk een beter alternatief nodig, bijvoorbeeld omdat je het thema of de plug-in niet zelf kunt of wilt onderhouden.

Waarom is ‘mixed content’ lastig?

Het lastige van een SSL-migratie is dat verschillende browsers zich verschillend gedragen als ze onveilige webpagina’s tegenkomen. Dit zijn websites die worden verzonden met SSL, maar onveilige elementen bevatten. Sommige browsers geven dan alleen een subtiele hint, andere programma’s waarschuwen voor grote gevaren en bieden de gebruikers zelfs de mogelijkheid om de website als gevaarlijk te laten registreren. Dat gebeurt bij deze browsers zelfs als de site slechts één niet-versleutelde afbeelding bevat, waaruit geen echt gevaar voortvloeit.

Firefox waarschuwing bij SSL-fouten
Firefox waarschuwt expliciet bij SSL-fouten

Daarom is het belangrijk ervoor te zorgen dat de gehele website via een SSL-verbinding wordt verstuurd. Test je website dus grondig, zodat je zeker weet dat nergens een probleem optreedt. Want bezoekers en vooral zoekmachines vinden het niet prettig als in plaats van je website een grote, rode gevaarmelding te zien is.

Wil je extra grondige tests uitvoeren? Probeer dan de SSL-test van SSL Labs.

SSL-report van Qualys
Met de SSL-report van Qualys kun je testen of alles veilig is

Tot slot nog een tip

Deze workshop laat je zien hoe je een WordPress website omzet in een SSL-versie. Maar vanwege de vele thema’s, plug-ins en individuele aanpassingen kunnen natuurlijk problemen optreden die we niet in deze workshop hebben aangestipt. Neem dus de tijd voor de SSL-migratie en bereid alles goed voor. Dan kan er weinig misgaan. Veel succes!

Ben je nog op zoek naar hosting voor je WordPress site?

Naar onze WordPress pakketten

Dit artikel verscheen voor het eerst op 30 oktober 2018. Wij hebben dit artikel op 6 juli 2021 geactualiseerd.

Zoekwoorden: ,

Delen

  1. Avatar

    Freek zei op

    Bedankt voor dit artikel.
    Het is mij echter nog niet duidelijk hoe ik ons www-domein beveilig. Als het gratis SSL-certificaat standaard op je hoofddomein gebruikt wordt, hoe kan ik dan in WordPress het www-domein gebruiken?

    Beantwoorden
    • Avatar

      Sjef Huijbregts zei op

      Beste Freek,

      Bedankt voor je vraag. Het gratis SSL-certificaat bij STRATO geldt zowel voor het hoofddomein (jedomeinnaam.nl) als het www-subdomein (www.jedomeinnaam.nl). Welk adres door WordPress wordt gebruikt (met of zonder “www”) kun je in de back-end van WordPress configureren (onder de algemene instellingen -> WordPress-adres en site-adres).

      Ik hoop dat je er zo uitkomt. Zo niet, laat het zeker weten!

      Met vriendelijke groet,
      Sjef

      Beantwoorden
  2. Avatar

    Bert zei op

    Op welke wijze kan ik aan een subdomein een gratis SSL certificaat toekennen in WP

    Beantwoorden
    • Jorrit van der Heide

      Jorrit van der Heide zei op

      Beste Bert,

      Dank voor je vraag. Ons gratis SSL-certificaat geldt alleen voor het hoofddomein. Wanneer je een SSL-certificaat op één van je subdomeinen wil gebruiken, kun je het beste een Wildcard-certificaat nemen. Daarbij zijn namelijk ook al je subdomeinen inbegrepen. Meer informatie over de SSL Wildcard vind je hier. Laat het gerust weten als je nog vragen hebt.

      Hartelijke groet,

      Jorrit van der Heide

      Beantwoorden
  3. Avatar

    Sara zei op

    Bedankt voor de uitgebreide uitleg! Ik ben ook een super beginner en deze uitleg heeft mij echt geholpen.

    Beantwoorden
  4. Avatar

    kees zei op

    Ik wilde alleen maar even kwijt dat dit een geweldig artikel is. Ben echt een beginner maar kon binnen no time mijn site naar https migreren. Dank.

    Beantwoorden

Je kunt pas een reactie plaatsen nadat je ons privacybeleid en cookies hebt geaccepteerd. Om privacyredenen mogen wij jouw persoonsgegevens anders niet verwerken.

Klik onderaan de pagina op de blauwe button OK. Nadat je de pagina opnieuw hebt geladen, kun je een reactie achterlaten.

 

Deze website maakt gebruik van cookies voor onder andere Google Analytics. Deze melding verdwijnt zodra je de cookies hebt geaccepteerd. Meer informatie