Hoe belangrijk is SSL en https voor jouw WordPress website?
Van alle kanten hoor je tegenwoordig dat het verstandig is om je WordPress blog of e-commerce website te voorzien van SSL en https. Maar wat is dat nou precies? Wat zijn de voordelen en nadelen? En hoe krijg je SSL op je website?
Wat is SSL?
SSL staat voor Secure Sockets Layer. Het is een protocol waarbij de uitwisseling van informatie tussen website en bezoeker via encryptie wordt versleuteld. Dit zorgt er voor dat jouw gegevens, die je als bezoeker of klant op een website achterlaat, niet kunnen worden gelezen door derden. Het vernieuwde SSL-protocol is ook wel bekend als TLS (Transport Layer Security).
Wanneer een website gebruik maakt van SSL herken je dit aan het webadres in de adresbalk van je browser. Dit wordt namelijk voorafgegaan door de protocolaanduiding https (Hypertext Transfer Protocol Secure) in plaats van het standaard http. Meestal wordt dit weergegeven in het groen en zie je ook een klein slotje voor het protocol staan met eventueel de naam van het bedrijf in een blokje (zie fig. 1).
[clear]
fig. 1 – SSL op de icloud website van Apple.
Het gebruik van SSL is verplicht voor onder andere online bankieren en afrekenen. In Nederland geldt namelijk de wet bescherming persoonsgegevens. In deze wet wordt aangegeven (artikel 13) dat het verplicht is om passende technische en organisatorische maatregelen te treffen die de persoongegevens beveiligen. Wanneer je een webwinkel hebt, dienen de pagina’s waarop wordt afgerekend dus altijd voorzien te zijn van het https protocol.
Wanneer je deze wet goed interpreteert geldt het beveiligen echter niet alleen voor bankieren en betalen, maar in principe voor elke situatie waarin een bezoeker persoonlijke gegevens achterlaat. Dus bijvoorbeeld ook voor een pagina met een contactformulier.
De voor- en nadelen van https
Een van de grote voordelen van https is dus dat de gegevens die worden uitgewisseld worden versleuteld. Maar dat is niet alles. Google maakt tegenwoordig onderscheid tussen websites die wel en niet beveiligd zijn met https. Beveiligde sites hebben een streepje voor wat betreft de ranking in de zoekmachine van Google. Voor SEO (Search Engine Optimization) is het dus slim om https op je site te gebruiken.
Een ‘nadeel’ van https, is dat het een heel klein beetje meer tijd kost om de gegevens tussen website en bezoeker te versleutelen. Deze vertraging gebeurt voornamelijk in de eerste communicatie, de zogenaamde handshake waarin de sleutels worden uitgewisseld. In de praktijk is deze vertraging echter zo klein dat je het kunt verwaarlozen. De voordelen wegen veel zwaarder tegenover dit ene zeer kleine nadeel.
Hoe beveilig ik mijn WordPress website met SSL?
SSL implementeer je op je website door een SSL-certificaat aan te schaffen. Dit is een stukje code op je website dat aangeeft dat je een legitiem bedrijf bent en dat de gegevensuitwisseling wordt versleuteld. Er bestaan verschillende SSL-certificaten in diverse prijsklassen. Zo zijn er certificaten om een enkel domein te beschermen, of meerdere subdomeinen (wildcard certificaat). Een ev-certificaat gaat nog een stapje verder. Deze valideert jouw bedrijfsnaam op een uitgebreide manier en zorgt voor de groene balk met bedrijfsnaam in de adresbalk van je browser. De kosten hiervoor zijn wel aanzienlijk hoger. Een basiscertificaat is echter al voldoende, volledig rechtsgeldig en meestal het goedkoopst.
Er zijn diverse manieren om SSL op je website te krijgen. Een SSL-certificaat kun je zelf bemachtigen bij bedrijven als Globalsign, Digicert of Geotrust. Hiervoor moet je wel eerst een CSR hebben (Certificate Signing Request). Hierin staan jouw bedrijfsgegevens aan de hand waarvan het SSL-certificaat kan worden opgesteld. Zo’n CSR kun je aanvragen bij je webhost. Vervolgens gebruik je dit om het certificaat aan te maken bij bijvoorbeeld de eerder genoemde partijen.
Makkelijker is het echter wanneer je SSL door je webhost laat inschakelen. Qua kosten ben je dan meestal wel wat duurder uit. Maar wanneer je er zelf geen verstand van hebt is het de ideale oplossing. Jouw webhost moet deze service natuulijk wel aanbieden.
Vervolgens dien je er voor te zorgen dat alle hyperlinks en verwijzingen in de database op je WordPress site netjes naar https verwijzen. Als het mogelijk is kan je dit ook weer door je webhost laten verzorgen. Zij draaien dan een script op de server dat in alle pagina’s en bestanden http vervangt door https. Doet je host dit niet, dan kun je ook gebruikmaken van een WordPress plugin zoals Really Simple SSL.
Al met al hoeft het niet moeilijk te zijn om SSL te gebruiken op je WordPress site. Zorg wel altijd voor backups van je website en de database voordat je overstapt. Goede WordPress backup-plugins zijn onder andere Backup Buddy, Vaultpress en BackWPup.