In de loop van 2017 brak er grootschalig onrust uit over SSL certificaten. Je móest echt als website eigenaar een SSL certificaat hebben, want anders zou je WordPress website onveilig worden. En zou Google je site gaan blokkeren. En meer indianenverhalen.
Hoe zit dat nu echt?
Om maar direct met de deur in huis te vallen: er is wel degelijk iets aan de hand en ja, het is beter om je website te voorzien van zo’n SSL certificaat. In dit artikel ga ik er dieper op in.
HTTPS of SSL?
Deze termen worden vaak door elkaar heen gebruikt. Dat is niet onlogisch overigens. Het is eigenlijk vrij eenvoudig:
Een website met een SSL certificaat is bereikbaar onder https://domeinnaam
Een website zónder SSL certificaat in bereikbaar onder http://domeinnaam
Met andere woorden, een SSL certificaat heb je nodig om ervoor te gaan zorgen dat je website onder https bereikbaar wordt.
Waarom HTTPS?
Een website die onder https draait verzekert een veilige verbinding tussen de website en de bezoeker. Met andere woorden, gevoelige informatie zoals bijvoorbeeld wachtwoorden kunnen niet onderschept worden door kwaadwillenden. Op een website die op http draait is dat een stuk eenvoudiger.
Verzamel je informatie van bezoekers zoals bijvoorbeeld naam, e-mailadres e.d. dan is het om die reden al snel beter om je website op https te draaien. Voor webshops is dat dus helemaal een must, hoewel de echt kritische (betaal)informatie vaak via een betaalprovider wordt afgehandeld en die verbinding is per definitie al https.
Heb je een eenvoudig informatief blog waar je verder geen data verzamelt van je bezoekers dan is dat dus geen reden om direct een SSL certificaat te installeren.
Websites die wel data verzamelen van klanten en die geen https hebben worden door Google als onveilig gemarkeerd. Dat ziet er als volgt uit en je kunt je er alles bij voorstellen dat je dit wilt voorkomen!
Soorten SSL certificaten
Wanneer je je eenmaal in de materie gaat verdiepen dan kom je erachter dat er verschillende soorten SSL certificaten verkrijgbaar zijn. Zo is er onderscheid tussen:
- SSL Domeinvalidatie
- SSL Organisatievalidatie
- SSL Extended validatie
De domeinvalidatie is het meest eenvoudig. Zo’n certificaat kun je als domeineigenaar eenvoudig verkrijgen. De bezoeker ziet dan wel een groen slotje, maar niet de bedrijfsnaam. Zoals op deze website. Een dergelijk certificaat is voldoende voor een kleine site of shop en is ook de goedkoopste variant. Via Letsencrypt is dit certificaat ook gratis verkrijgbaar, maar niet alle providers ondersteunen dat.
De uitgebreidere en duurdere varianten gaan gepaard met meer controles. Je zult de nodige informatie moeten aanleveren voordat je voor een dergelijk certificaat in aanmerking komt. Als bezoeker zie je in de adresbalk bij zo’n certificaat ook de bedrijfsnaam, zoals in onderstaand voorbeeld.
HTTPS en SEO
Ook wanneer je om de eerder genoemde reden zo’n SSL certificaat niet direct nodig hebt kan het toch nog verstandig zijn er één te overwegen. Google heeft namelijk aangegeven dat https-websites de voorkeur krijgen boven websites zonder certificaat. Vaak wordt dit gelijk gesteld aan “zonder https daal je in de zoekresultaten”, maar zo drastisch is het nou ook weer niet. Je moet de uitspraken van Google als volgt interpreteren: indien twee pagina’s van verschillende websites in aanmerking komen voor – laten we zeggen – positie drie in Google, dan krijgt een https-website de voorkeur boven een website zonder https.
Met andere woorden: je hebt een klein voordeel boven je concurrent als jouw WordPress site voorzien is van een SSL certificaat en die van je concurrent niet. SSL begint echter zo ingeburgerd te raken, dat het eerder andersom is: je WordPress website zonder https loopt een achterstand op. Er zijn echter heel veel meer factoren van invloed op de Google rankings die een grotere invloed hebben dan https. Dus ja, https heeft invloed op SEO, maar het is niet je hoogste prioriteit. Wel eentje die je vrij eenvoudig kunt fixen, dus waarom zou je het laten?
HTTPS voor WordPress
Zoe zit dat dat met https onder WordPress? Gebruik je een account op WordPress.com dan ben je automatisch al voorzien van een certificaat en hoef je verder niets te doen.
Je hebt een bestaande WordPress website op basis van de WordPress.org software? In dat geval kun je vrijwel altijd een SSL certificaat aanschaffen bij je provider. Sommige providers helpen je ook met de installatie en activatie ervan. In andere gevallen moet je dat zelf doen. Er zijn dan ook wat wijzigingen in je WordPress database nodig, om ervoor te gaan zorgen dat alles verwijzingen netjes naar https gaan. Gebeurt dit niet goed dan is het SSL certificaat wel actief, maar is de verbinding nog steeds niet veilig. In de browser ziet dat er dan als volgt uit:
In deze situatie kun je twee dingen doen:
1. Installeer een plugin binnen WordPress die ervoor zorgt dat alle verwijzingen worden aangepast naar https. Deze plugin doet dat bijvoorbeeld voor je: Really Simple SSL. In veel gevallen is dat voldoende
2. Schakel iemand in die je hierbij kan helpen. Uiteraard kun je met een dergelijke vraag ook bij ons terecht.
HTTPS en Beveiliging
Je hoort nog wel eens dat een met https beveiligde website veiliger is. Dat is slechts ten dele waar, want https zorgt voor een veilige verbinding tussen website en de bezoeker. Echter, een SSL certificaat zal er op zich niet voor zorgen dat je website niet meer kwetsbaar is voor aanvallers. Een WordPress website met https die niet goed onderhouden wordt zal dus nog steeds gekraakt worden door hackers. Wees je hiervan bewust. Https is geen vervanging voor goed en regelmatig onderhoud van je WordPress website!
Conclusie: Is HTTPS voor WordPress een must?
Eigenlijk staat deze vraag los van WordPress. Voor elke website geldt dat het verstandig is een SSL certificaat af te nemen. Dat hoeft je tegenwoordig de kop niet meer te kosten. En het geeft sowieso je bezoekers een veiliger gevoel. Alleen dat al is het al waard. Een absolute must is het niet altijd. Dat ligt aan het doel van je website. Inmiddels begint voorgaande conclusie achterhaald te raken. Met ingang van juli 2018 zal Google alle websites zonder https als ‘onveilig’ gaan markeren. Dat betekent dat bezoekers dat duidelijk zullen zien en snel zullen gaan afhaken. Met andere woorden: is jouw website nog niet voorzien van een SSL certificaat dan is dit het moment om dat alsnog te regelen.
Wil je meer weten over https voor jouw WordPress website of een onderhoudscontract afsluiten? Neem dan direct vrijblijvend contact met ons op!