In de loop van 2017 ontstond er op grote schaal onrust over SSL-certificaten. Je moest als website-eigenaar echt een SSL-certificaat hebben, anders werd je WordPress-website onveilig. En Google zou uw site blokkeren. En nog meer Indiase verhalen.
Hoe is dat eigenlijk? Om met de deur in huis te vallen: er is zeker iets aan de hand en ja, het is beter om je website te voorzien van zo’n SSL-certificaat. In dit artikel ga ik er dieper op in.
HTTPS of SSL?
Deze termen worden vaak door elkaar gebruikt. Dat is overigens niet onlogisch. Het is eigenlijk vrij simpel:
- Een website met een SSL-certificaat bereikt u onder https:// domeinnaam
- Een website zonder SSL-certificaat is te bereiken onder http://domeinnaam
Met andere woorden: u heeft een SSL-certificaat nodig om ervoor te zorgen dat uw website toegankelijk is onder https.
Waarom HTTPS?
Een website die onder https draait zorgt voor een veilige verbinding tussen de website en de bezoeker. Met andere woorden: gevoelige informatie zoals wachtwoorden kunnen niet door kwaadwillenden worden onderschept. Dit is veel gemakkelijker op een website die op http draait.
Verzamel je gegevens van bezoekers zoals naam, e-mailadres etc. dan is het om die reden al snel beter om je website op https te laten draaien. Voor webshops is dit absoluut een must, al loopt de echt kritische (betaal)informatie vaak via een payment provider en is die verbinding per definitie al https.
Als je een eenvoudige informatieve blog hebt waarbij je geen gegevens van je bezoekers verzamelt, dan is dat geen reden om meteen een SSL-certificaat te installeren.
Websites die wel gegevens van klanten verzamelen en die geen https hebben, worden door Google als onveilig gemarkeerd. Dat ziet er zo uit en je kunt je van alles voorstellen dat je dit wilt voorkomen!
Typen SSL-certificaten
Als u zich eenmaal in de materie verdiept, zult u ontdekken dat er verschillende soorten SSL-certificaten beschikbaar zijn. Er is dus een onderscheid tussen:
- SSL-domeinvalidatie
- SSL-organisatievalidatie
- SSL Uitgebreide validatie
De domeinvalidatie is het gemakkelijkst. Een dergelijk certificaat kunt u als domeineigenaar eenvoudig verkrijgen. De bezoeker ziet dan een groen slotje, maar niet de bedrijfsnaam. Zoals op deze website. Zo’n certificaat is voor een kleine site of winkel voldoende en is tevens de goedkoopste variant. Dit certificaat is ook gratis verkrijgbaar via Letsencrypt, maar niet alle providers ondersteunen het.
De uitgebreidere en duurdere varianten gaan gepaard met meer controles. Voordat u in aanmerking komt voor een dergelijk certificaat, moet u de benodigde gegevens verstrekken. Bij zo’n certificaat ziet u als bezoeker ook de bedrijfsnaam in de adresbalk, zoals in onderstaand voorbeeld.
HTTPS en SEO
Ook als je een dergelijk SSL-certificaat om bovengenoemde reden niet nodig hebt, kan het toch verstandig zijn om er een te overwegen. Google heeft aangegeven dat https-websites de voorkeur hebben boven websites zonder certificaat. Vaak wordt dit gelijkgesteld met ‘zonder https zak je in de zoekresultaten’, maar zo ingrijpend is het niet. De uitspraken van Google moet je als volgt interpreteren: als twee pagina’s van verschillende websites in aanmerking komen voor – laten we zeggen – positie drie in Google, dan zal een https-website de voorkeur krijgen boven een website zonder https.
Met andere woorden: u heeft een klein voordeel ten opzichte van uw concurrent als uw WordPress-site een SSL-certificaat heeft en die van uw concurrent niet. SSL begint echter zo gemeengoed te worden, dat het andersom is: je WordPress-website zonder https blijft achter. Er zijn echter nog veel meer factoren die van invloed zijn op de Google-ranglijst, die een grotere impact hebben dan https. Dus ja, https heeft invloed op SEO, maar het heeft niet de hoogste prioriteit. Eén die je gemakkelijk kunt repareren, dus waarom zou je hem laten staan?
HTTPS voor WordPress
Is dat ook zo met https onder WordPress? Als je een account gebruikt op WordPress.com, ben je automatisch al voorzien van een certificaat en hoef je verder niets te doen.
U heeft een bestaande WordPress-website gebaseerd op de WordPress.org-software? Dan kunt u vrijwel altijd een SSL-certificaat aanschaffen bij uw provider. Sommige providers helpen je ook met de installatie en activatie. In andere gevallen moet u dat zelf doen. Ook zijn er enkele aanpassingen in je WordPress database nodig, om ervoor te zorgen dat alles waarnaar verwezen wordt netjes naar https gaat. Mocht dit niet goed werken dan is het SSL-certificaat actief, maar is de verbinding nog steeds niet beveiligd. In de browser ziet het er als volgt uit:
In deze situatie kunt u twee dingen doen:
1. Installeer een plugin binnen WordPress die ervoor zorgt dat alle verwijzingen worden aangepast naar https. Deze plugin doet dat bijvoorbeeld voor je: Echt Simpel SSL. In veel gevallen is dat voldoende
2. Schakel iemand in die je hierbij kan helpen. Uiteraard kunt u ook met een dergelijke vraag bij ons terecht.
HTTPS en beveiliging
Je hoort wel eens dat een https-beveiligde website veiliger is. Dit is maar ten dele waar, want https zorgt voor een veilige verbinding tussen de website en de bezoeker. Een SSL-certificaat op zichzelf zorgt er echter niet voor dat uw website niet langer kwetsbaar is voor aanvallers. Een WordPress website met https die niet goed onderhouden wordt, zal dus alsnog gehackt worden door hackers. Wees je hiervan bewust. Https is geen vervanging voor goed en regelmatig onderhoud van uw WordPress-website!
Conclusie: Is HTTPS voor WordPress een must?
Eigenlijk staat deze vraag los van WordPress. Voor iedere website is het verstandig om een SSL-certificaat te nemen. Daar hoef je je tegenwoordig geen zorgen meer over te maken. En het geeft je bezoekers sowieso een veiliger gevoel. Alleen dat is het al waard. Het is niet altijd een absolute must. Dat hangt af van het doel van uw website. Als je online verkoopt, zou ik er zeker voor kiezen om je website te voorzien van SSL.