Hoe en wat van SSL in WordPress

Hoe en wat van SSL in WordPress

Op 1 december 2016 heeft Matt Mullenweg (de maker van WordPress) aangekondigd dat WordPress gaat overstappen naar SSL. Dit zal in fases gebeuren. Vanaf begin 2017 zal WordPress alleen nog maar partners aanbevelen die SSL standaard in hun accounts aanbieden. Later zullen sommige functies in de WordPress API alleen nog maar werken als SSL actief is.

Daarnaast heeft Google aangegeven dat ze sites zonder SSL standaard gaan aanduiden als onveilig. Ook is SSL een factor geworden in zoekmachine ranking.

Wat is SSL

SSL staat voor Secure Sockets Layer. Het betekent simpelweg dat de verbinding tussen jouw site en de bezoeker versleuteld is. Dan kunnen derden niet meer zien wat jouw bezoekers aan het doen zijn, en blijft alle informatie die je bezoekers invullen privé (e.g. de gebruikersnaam en wachtwoord van jouw admin account). Anderen kunnen jouw informatie dan niet meer afluisteren!

In dit post-Snowden tijdperk is privacy essentieel, zelfs als je niets te verbergen hebt.

“Arguing that you don’t care about the right to privacy because you have nothing to hide is no different than saying you don’t care about free speech because you have nothing to say.” – Edward Snowden

Als je website geen SSL heeft gaat Google protesteren, in Chrome ziet dat er zo uit:Onveilige website

Chrome is veel blijer als je wel SSL hebt, dat ziet er zo uit:

Als je dus op een website bent die er uitziet als het eerste plaatje moet je geen informatie invoeren, ook al denk je dat het geen gevoelige informatie is.

Zeker als je gevoelige informatie verzamelt op jouw website (emailadressen, bankgegevens voor een eCommerce site, etc.) MOET je SSL hebben. Serieus, dat is de wet. Je kunt een boete tot € 4500 krijgen als je het niet doet. Lees de Wet Bescherming Persoonsgevens maar eens na.

‘De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen…’

Daarnaast heb je verzonken kosten; als iedereen weet dat hun informatie onveilig is op jouw website, je bent bijvoorbeeld gehackt, loop je flink veel inkomsten mis. En als je gehackt bent kunnen de slachtoffers een schadevergoeding van jou krijgen.

Ben je al overtuigd dat je SSL nodig hebt?

Hoe krijg je SSL op je website

Het ligt aan je hoster hoe je SSL op jouw website krijgt. Ik raad je aan om in de FAQ van jouw hoster te kijken, of een berichtje te sturen met de vraag hoe je SSL op je website krijgt.

Ik heb een VPS, dus ik heb zelf SSL toegevoegd met LetsEncrypt. LetsEncrypt is een gratis dienst die het hele internet op een makkelijke en gratis manier wil versleutelen.

Digital Ocean heeft een hele goede handleiding hoe je SSL toevoegt met LetsEncrypt op Ubuntu voor Apache.

Extra WordPress stappen
Als je SSL hebt moet je nog een paar dingen doen in WordPress om SSL goed in te stellen. Je hebt twee instellingen onder Algemeen:

  • WordPress-adres (URL)
  • Siteadres (URL)

Vaak zijn deze hetzelfde (hoeft niet). Voor mijn site was dit voor ik SSL had allebei:

http://www.online-wp-leren.nl

Toen ik SSL had ingesteld moest ik deze veranderen in

https://www.online-wp-leren.nl

Let op de https vs de http. Deze aanpassing moet jij ook maken voor jouw eigen site.

Daarnaast moet je je oude content nalopen. Als jij hardcoded in jouw website http://www.jouwsite.nl hebt gezet moet je dit overal vervangen door https://www.jouwwebsite.nl. Als je een kleine site hebt kun je dit beter handmatig vervangen. Heb je heel veel pagina’s, plaatjes en andere content hebt kun je het beter via een SQL query doen. Als je niet weet wat dat betekent kun je beter iemand inhuren om dit voor je te doen. Je kunt namelijk je hele site verpesten als je het fout doet. Daarom ga ik je ook niet vertellen hoe je dit precies doet.

Als je deze stappen hebt doorlopen zou ik op alle links in je site klikken en kijken of je het groene slotje ziet. Als je geen groen slotje hebt moet je onderzoeken wat er niet via https gaat, en dit aanpassen.

Verder kan het zijn dat gebruikers een favoriet voor jouw site hebben gemaakt voor je SSL had. Deze gaat uiteraard nog naar de onveilige versie. Dit willen we niet, en we kunnen SSL verplichten door .htaccess aan te passen. Plak de volgende code aan het eind van je .htaccess (of vraag een expert dit te doen):

1
2
3
    RewriteEngine On
    RewriteCond %{HTTP:X-Forwarded-Proto} !https
    RewriteRule (.*) https://jouwsite.nl/$1 [R=301,L]

Gefeliciteerd!

Je hebt het gedaan! Door je site te upgraden naar SSL heb je jouw website veiliger, beter en moderner gemaakt! En het hoeft je niet eens wat te kosten.

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.