WordPress website migreren naar HTTPS / SSL

Steeds meer websites nemen een SSL certificaat en schakelen over naar HTTPS.

Met name Google heeft ervoor gezorgd dat de laatste tijd steeds meer websites zijn overgaan door te melden dat het een ranking signaal is.

Webtalis heb ik sinds 15 januari ook gemigreerd naar HTTPS en dit is goed verlopen.

Met dit artikel wil ik jullie extra informatie geven over wat SSL is en wat de voor- en nadelen zijn. Verder wil ik alle stappen aan je laten zien die je kunt nemen om jouw WordPress website ook te migreren naar HTTPS.

Het artikel is nogal lang geworden omdat ik zoveel mogelijk over SSL en het migreren naar HTTPS wil vertellen. Via onderstaande inhoudsopgave kun je navigeren naar de onderwerpen die je wilt lezen. Wil je de inhoudsgave niet zien, dan kun je op “Verbergen” klikken en direct starten met het artikel.

Inhoudsopgave

Wat is SSL?

SSL staat voor Secure Sockets Layer en is een encryptieprotocol die de communicatie beveiligd. De huidige uitvoering van SSL is Transport Layer Security (TLS) en is gebaseerd op de derde versie van SSL. Ondanks dat de huidige uitvoering anders heet wordt de naam SSL nog altijd gebruikt.

Ik zal verder niet heel gedetailleerd vertellen hoe SSL precies werkt aangezien dat een saai verhaal zou worden, maar simpel gezegd zorgt SSL voor een versleutelde veilige verbinding tussen jou (de gebruiker) en de website met SSL (in dit geval Webtalis).

Alle data die wordt verstuurd tussen de browser waar je gebruik van maakt en de server waar de website opstaat wordt versleuteld (data encryptie) verzonden en is niet te onderscheppen door kwaadwillende. Verder zorgt SSL er ook voor dat je daadwerkelijk verbinding hebt met de website waar je verbinding mee denkt te hebben (authenticatie).

SSL beveiligd de verbinding, maar je moet niet denken dat je WordPress website meteen niet meer gehackt kan worden. SSL staat verder los van hoe veilig je website is tegen hack aanvallen. Je moet nog steeds de WordPress versie, plugins en thema up-to-date houden en een veilig wachtwoord kiezen.

Hoe kun je websites met SSL herkennen?

Websites die gebruikmaken van een SSL certificaat zijn vrij eenvoudig te herkennen. Normale websites maken namelijk gebruik van HTTP en websites met een SSL certificaat maken gebruik van HTTPS.

Wanneer je dus in een adresbalk “https://” ziet staan, dan weet je dat je te maken hebt met een website met een beveiligde verbinding. Naast dat er een extra S te zien is geven browsers vaak ook aan of een website gebruikmaakt van SSL en of alles wel goed geregeld is.

In de browser “Chrome” kun je aan de hand van onderstaande icoontjes controleren of een website van SSL gebruikmaakt:

SSL in Chrome controleren

Het mag duidelijk zijn dat je het liefst alleen het groene slotje wilt hebben op je website omdat anders niet de volledige pagina van de websites gebruikt maakt van SSL of dat er problemen zijn met het certificaat.

Naast het groene slotje krijg je met een EV SSL certificaat ook een groene adresbalk , dit valt extra op. Een EV SSL certificaat ziet er in Chome als volgt uit:

EV SSL certificaat in Chrome

In andere browsers zal het er allemaal iets anders uitzien dan in Chrome, maar in alle browsers zal je ergens in de adresbalk een slotje zien staan wanneer je met een website met SSL te maken hebt.

Wat zijn de voordelen van SSL?

Indien je overweegt om je website te migreren naar SSL, dan wil je natuurlijk wel graag alle voordelen weten.

De voordelen van SSL zijn veiligheid en privacy, meer vertrouwen, het is goed voor je Google ranking en tot slot krijg je ook meer verwijzingsverkeer gegevens in Google Analytics te zien.

Veiligheid en privacy

Eén van de beste dingen aan het installeren van een SSL certificaat is dat je de bezoekers kunt garanderen dat je daadwerkelijk bent wie je zegt dat je bent en dat alle data versleuteld wordt verzonden.

Wanneer een bezoeker bijvoorbeeld gebruikmaakt van een openbare WiFi hotspot en gegevens moet invullen op je website, dan kan met een versleutelde verbinding niemand meekijken. Heb je een normale HTTP verbinding en moet je bezoeker gegevens invullen, dan kan een kwaadwillende bij een openbare WiFi hotspot vrij eenvoudig meekijken wat je bezoeker precies invult.

Meer vertrouwen

Wanneer je een SSL certificaat hebt geïnstalleerd geeft de browser van je bezoekers aan dat je website veilig is. Met een EV SSL certificaat valt het helemaal op dat je gebruikt maakt van SSL, omdat je dan ook een groene adresbalk hebt.

Wanneer een bezoeker ziet dat je gebruikmaakt van een versleutelde verbinding zal de bezoeker meer vertrouwen in je website hebben. Het is tenslotte altijd fijn om te weten dat een website de veiligheid serieus neemt.

HTTPS is een ranking factor van Google

Google heeft in augustus 2014 openlijk gezegd dat HTTPS een ranking factor is in Google (lees het hier). Hoewel je dus kunt lezen dat het een ranking factor is, wilt dit nog niet zeggen dat het erg zwaar telt.

Er valt namelijk ook te lezen dat op dit moment minder dan 1% van de rankings beïnvloed wordt door de HTTPS ranking factor. Er zijn dus nog genoeg andere ranking signalen die zwaarder tellen, maar hier kan Google in de toekomst natuurlijk ook weer verandering inbrengen.

Kortom: HTTPS is een ranking factor in Google, maar verwacht niet dat je met een HTTPS website direct bovenaan staat. Alle beetjes helpen natuurlijk wel.

Meer verwijzingsverkeer gegevens in Google Analytics

Wist je dat wanneer gebruikers via een HTTPS website naar een normale HTTP website gaan je dit niet kunt zien in Google Analytics? Ik voorheen ook niet.

Het verkeer dat via een HTTPS naar een HTTP website gaat komt bij “direct” te staan in Google Analytics. Wanneer beide websites echter gebruikmaken van HTTPS krijg je wel te zien via welke website bezoekers naar je website komen.

Komt er verkeer via een HTTP website naar jouw HTTPS website, dan kun je dit ook gewoon zien in de statistieken. Meer informatie hierover kun je vinden op de website van Yoast.

Wat zijn de nadelen van SSL?

Waar je voordelen voor kunt verzinnen, kun je ook nadelen voor verzinnen. Bij SSL is het niet anders en het is wel zo handig om ook de nadelen te weten.

De nadelen van SSL zijn de kosten, de fouten die je kunt maken tijdens het overzetten, dat niet alles met HTTPS werkt en dat het je website iets trager kan maken.

Een SSL certificaat kost geld

Laten we eerlijk zijn, wanneer SSL geen kosten met zich mee zou brengen, dan was de kans een stuk groter dat je jouw website al had overgezet naar HTTPS.

Een SSL certificaat kost toch weer extra geld per jaar wat voor een drempel zorgt. De prijs is echter ook weer afhankelijk van het soort SSL certificaat dat je neemt.

Bij Neostrada kun je een domein validatie SSL certificaat voor € 12,49 per jaar krijgen en een EV SSL certificaat voor € 149,95 per jaar.

Je kunt fouten maken tijdens het overzetten

Je hebt kennis nodig om je website te migreren naar HTTPS. Het overzetten van je HTTP website naar een HTTPS website is geen simpele druk op de knop. Het is daarom heel goed mogelijk dat je een stap overslaat, per ongeluk iets verkeerd doet of ergens op een pagina van je website iets vergeet.

Zo moet je erop letten dat je alle URL’s goed doorstuurt, de canonical URL naar de HTTPS URL verwijst, en nog veel meer.

Wanneer je iets belangrijks fout doet zal Google niet goed meer snappen wat er nu geïndexeerd moet worden en kun je je rankings verliezen.

Niet alles werkt met HTTPS

Op je WordPress website maak je natuurlijk gebruik van plugins. Wanneer een plugin niet helemaal goed in elkaar zit of geen rekening houdt met de mogelijkheid dat je SSL gebruikt, dan zal de plugin stoppen met werken zodra je jouw website naar HTTPS migreert.

Het maakt dan ook niet uit of je alles goed hebt overgezet. De browser zal inhoud van de plugin blokkeren, waardoor het gewoon niet werkt en je op zoek moet gaan naar een alternatieve plugin.

Naast plugins kan het ook zijn dat bepaalde insluitcodes niet meer goed werken in combinatie met je HTTPS website.

HTTPS maakt je website iets trager

HTTPS maakt je website trager omdat er extra handelingen uitgevoerd moeten worden tussen de servers. Wanneer je het echter goed aanpakt zal je hier niet heel veel van merken.

Daarnaast heeft Google ook een stukje technologie uitgebracht waarmee je HTTPS sneller kunt maken. Je kunt dit doen met SPDY, maar helaas is hier bij veel hostingproviders nog geen ondersteuning voor. Zo maken veel hostingproviders gebruik van cPanel en daarmee is het nog niet mogelijk om SPDY in te schakelen.

Het zal waarschijnlijk een kwestie van tijd zijn voordat er overal ondersteuning voor SPDY is en je jouw HTTPS website hiermee sneller kunt maken.

SSL certificaat aanvragen en installeren

Om een website over te zetten naar HTTPS heb je natuurlijk eerst een SSL certificaat nodig voor je domeinnaam.

Om een SSL certificaat te installeren is het noodzakelijk dat SSL/TLS geactiveerd is op de server waar je website opstaat. Om hierachter te komen kun je het best even, voordat je een SSL certificaat koopt, een mail sturen naar je hostingprovider met de vraag of SSL/TLS geactiveerd is en of je jouw website over kunt zetten naar SSL.

Is dit niet het geval, dan kun je vragen of dit mogelijk gemaakt kan worden. Is het niet mogelijk en wil je wel migreren naar HTTPS, dan kun je beter een andere hostingprovider zoeken.

Een andere manier om te controleren of je een SSL certificaat kunt installeren is om zelf in te loggen op je hostingaccount.

  • Via Cpanel: Ga op zoek naar “Security -> SSL/TLS Manager”;
  • Via DirectAdmin: Ga op zoek naar “Advanced Features -> SSL Certificates”;
  • Via Plesk: Ga op zoek naar “Websites & Domains -> SSL Certificates”.

Ben je niet 100% zeker of het mogelijk is, vraag het dan altijd aan je hostingprovider. Nadat je weet dat je een SSL certificaat kunt installeren is het tijd om een certificaat aan te schaffen.

Waar kun je een SSL certificaat kopen?

Er zijn diverse bedrijven die SSL certificaten verkopen en steeds meer hostingproviders geven je ook de mogelijkheid om een SSL certificaat aan te schaffen.

Hoewel het niet verplicht is om via je eigen hostingprovider een SSL certificaat aan te schaffen, kan het proces hierdoor wel weer een klein stukje eenvoudiger worden. De kans bestaat namelijk dat je niet zelf een CSR code moet opvragen (kom ik verderop op terug).

Ik heb mijn SSL certificaat via mijn eigen hostingprovider gekocht en hoefde dit dus niet te doen.

Welk SSL certificaat heb ik nodig?

Het is allemaal wel leuk en aardig dat je ondertussen zoveel van SSL weet, maar waarschijnlijk zit je nu met de vraag “Welk SSL certificaat heb ik nodig?. Wanneer je een SSL certificaat wilt aanschaffen heb je meestal de keuze uit de volgende vier certificaten:

Domein Validatie SSL certificaat

Het domein validatie SSL certificaat kan door iedereen aangevraagd worden en wordt meestal ook al binnen enkele minuten na de aanvraag uitgegeven.

Het domein validatie SSL certificaat is te gebruiken op 1 domein. Het is dus niet mogelijk om ook HTTPS te gebruiken op subdomeinen van dit domein.

Dit certificaat wordt door de meeste website-eigenaren aangeschaft en is met name handig voor als je een “normale” website hebt waar je de beveiliging wilt verbeteren voor je bezoekers. Wanneer je jouw website succesvol hebt gemigreerd naar HTTPS zal er een slotje zichtbaar zijn.

Wilcard SSL certificaat

Wil je naast het hoofddomein ook HTTPS gebruiken op meerdere subdomeinen, dan is het Wilcard SSL certificaat waarschijnlijk de beste optie voor jou.

Normaal moet je voor elk domein een nieuw SSL certificaat aanvragen, dit geldt dus ook voor een subdomein. Met een Wildcard SSL certificaat heb je geen last van dit probleem, want met dit certificaat kun je HTTPS op alle subdomeinen van je website gebruiken.

Voorbeeld: Wanneer je het membership gedeelte van je website op een subdomein als “membership.jedomeinnaam.nl” hebt staan en je webshop weer op een ander subdomein, dan is dit certificaat handig voor jou.

Daarnaast hoef je ook niet van te voren aan te geven op welk subdomein je het certificaat wilt gebruiken omdat je dit certificaat op alle subdomeinen kunt gebruiken. Het is dus geen probleem als je later nog een andere subdomein maakt.

Organisatie Validatie (OV) SSL certificaat

Het organisatie validatie SSL certificaat is zoals de naam al doet vermoeden voor organisaties. Om dit certificaat te krijgen wordt eerst de identiteit van de eigenaar van de website en de KvK inschrijving van de organisatie bekeken. Vervolgens wordt de contactpersoon van de organisatie gebeld voor een telefonische controle.

Door de extra controle duurt het langer voordat dit SSL certificaat wordt uitgegeven. Het duurt ongeveer 2 tot 5 werkdagen. Het extra voordeel van een OV SSL certificaat is dat ook de organisatie gegevens zichtbaar zijn in het certificaat en dat je direct zichtbaar bent in Site Seal.

Uitgebreide Validatie (EV) SSL certificaat

Het EV SSL certificaat is voor bedrijven. Voordat het certificaat wordt uitgegeven is er eerst een uitgebreide controle. De identiteit van de eigenaar van de website en de KvK inschrijving worden bekeken en je dient een EV formulier in te vullen. Tot slot volgt er ook nog een telefonische controle.

Het zal je door de controle vast niet verbazen dat de levertijd en kosten van een EV SSL certificaat hoger liggen dan bij andere SSL certificaten. De levertijd is ongeveer 3 tot 7 werkdagen.

Het extra voordeel van een EV SSL certificaat is dat je een groene adresbalk krijgt met zichtbaar bedrijfsnaam, de bedrijfsgegevens zichtbaar zijn in het certificaat en dat je direct zichtbaar bent in Site Seal.

Een EV SSL certificaat is goed voor bedrijven waar beveiliging en betrouwbaarheid een belangrijke rol speelt. Je ziet EV SSL certificaten daarom met name bij online bankieren, maildiensten en grote webwinkels.

SSL certificaat activeren

Wanneer je een SSL certificaat aanvraagt, dan zal dit certificaat nog geactiveerd en uitgegeven moeten worden. Het is afhankelijk van het type certificaat hoelang dit precies duurt en hoe het validatieproces gaat. De meeste websites hebben aan een domein validatie SSL certificaat genoeg en die is binnen een paar minuten beschikbaar.

Om een SSL certificaat te activeren zal je domeinnaam gevalideerd moeten worden en hiervoor heb je een Certificate Signing Request (CSR) code nodig.

Bestel je een SSL certificaat bij je eigen hostingprovider, dan bestaat de kans dat je hier niet naar om hoeft te kijken omdat alles automatisch voor je geregeld wordt.

Bestel je een certificaat bij een ander bedrijf, dan zal je een CSR code moeten opvragen. Hoe je dit precies moet doen is afhankelijk van het controle paneel waar je hostingprovider gebruik van maakt.

Doordat het overal anders gaat zal ik het hier niet uitgebreid beschrijven omdat het artikel dan onoverzichtelijk wordt. Op de website van SSLcertificaten.nl kun je precies bekijken hoe je de CSR code kunt opvragen via de verschillende hosting controle panelen.

Als het je te moeilijk lijkt kun je eventueel ook vragen of je hostingprovider dit voor je wilt doen of je kunt het laten doen door iemand die er verstand van heeft.

Heb je de CSR code opgevraagd, dan kun je een SSL certificaat bestellen en de CSR code, samen met de overige gegevens, invullen bij het bedrijf waar je een SSL certificaat aanvraagt.

Wanneer je alles hebt ingevuld zal je van het bedrijf verdere instructies krijgen.

SSL certificaat installeren

Wanneer je alle validatieprocedures hebt doorlopen en je SSL certificaat hebt gekregen is het tijd om het SSL certificaat te installeren.

Als het goed is heb je via de mail of via een andere weg een certificaatbestand gekregen die je nodig hebt bij het installeren van het certificaat. De bestandsnaam is meestal het domeinnaam.

Net als bij het opvragen van de CSR code gaat ook het installeren van een certificaat via de verschillende controle panelen weer net iets anders. Weet je niet hoe je dit moet doen, dan kun je het wederom aan je hostingprovider vragen of aan iemand die er verstand van heeft.

Wil je het zelf doen en heb je alleen een beetje sturing nodig, dan kun je de stappen uit onderstaande artikelen volgen:

Is het gelukt? Mooi, dan kunnen we nu je WordPress website migreren naar HTTPS.

Hoe kun je een WordPress website migreren naar HTTPS?

Nu alles gereed is kunnen we eindelijk aan de slag met het WordPress gedeelte om je website helemaal over te zetten naar HTTPS.

Om dit succesvol voor elkaar te krijgen gaan we het volgende doen:

  • Ervoor zorgen dat WordPress overgaat van HTTP naar HTTPS;
  • HTTP naar HTTPS redirecten;
  • HTTP Strict Transport Security (HSTS) inschakelen;
  • Alle interne links en links van afbeeldingen overzetten naar HTTPS;
  • Controleren of alles verwijst naar HTTPS;
  • Website aanmelden bij Google Webmaster Tools;
  • SSL website status controleren.

Maak een complete back-up voordat je begint

Voordat je aan dit alles begint raad ik je aan om een back-up te maken. Je website werkt namelijk op dit moment goed en stel dat er iets mis gaat en je weer opnieuw wilt beginnen, dan kun je dit met een back-up realiseren.

Eenmaal een back-up gemaakt kunnen we echt aan de slag en WordPress naar HTTPS overzetten.

WordPress van HTTP veranderen naar HTTPS

Alles links in WordPress, zoals de links van afbeeldingen, CSS bestanden en JavaScript bestanden, zijn gebaseerd op de installatie URL.

Aangezien je dit artikel leest zal de URL met HTTP beginnen, dus dit moeten we gaan aanpassen naar HTTPS.

Je kunt dit doen door in te loggen op je WordPress website en naar “Instellingen -> Algemeen” te gaan. Je komt nu op een pagina uit waar je de WordPress-adres (URL) en Siteadres (URL) kunt invullen.

HTTPS in WordPress

Zet hier een S achter http en klik onderaan de pagina op “Wijzigingen opslaan”.

WordPress beheerdersgedeelte veranderen van HTTP naar HTTPS

Het beheerdersgedeelte van WordPress kun je ook vrij eenvoudig overzetten naar SSL. Je kunt dit doen door “FORCE_SSL_ADMIN” aan te zetten via het wp-config.php bestand van je WordPress installatie.

Je kunt het wp-config.php benaderen via FTP met een programma als FileZilla en vervolgens bewerken met een programma als Notepad++ of zelfs met een kladblok programma.

Om FORCE_SSL_ADMIN in te schakelen kun je de volgende code na “<?php” in het bestand plaatsen.

define('FORCE_SSL_ADMIN', true);

Meer informatie over FORCE_SSL_ADMIN kun je lezen in de WordPress Codex.

WordPress website van HTTP naar HTTPS redirecten

Nu je jouw WordPress website succesvol hebt overgezet naar HTTPS, moet je natuurlijk niet vergeten om alle oude URL’s door te verwijzen naar de nieuwe URL’s met een 301 permanent redirect.

Met een redirect komen je bezoekers altijd op de juiste pagina terecht en snapt Google waar de pagina’s gebleven zijn, waardoor je de ranking van je website kunt vasthouden.

Je kunt een 301 redirect voor de hele website in één keer instellen door de volgende code aan het .htaccess bestand toe te voegen:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]

Er zijn ook andere codes om je hele website van HTTP naar HTTPS te redirecten, maar Apache (waarop de meeste servers draaien) beveelt deze code aan.

Zet je een nieuwe website op en gebruik je vanaf het begint HTTPS? Je kunt deze code dan ook gebruiken. Met deze redirect zorg je er namelijk voor dat je website niet op HTTP en HTTPS bereikbaar is, maar dat alles altijd op de HTTPS website uitkomt.

HTTP Strict Transport Security (HSTS) inschakelen

Het is goed dat je een 301 redirect hebt ingesteld, maar helaas moeten je bezoekers toch telkens doorverwezen worden wanneer er op een HTTP link geklikt wordt. Het laden van je website duurt hierdoor iets langer.

Nu kun je denken “Overal op mijn website staan HTTPS links”, maar het kunnen ook links op andere websites zijn die naar de HTTP versie van je website linken.

Wanneer je HTTP Strict Transport Security (HSTS) inschakelt los je dit probleem op. Wanneer een bezoeker op je website komt zal de browser in het vervolg onthouden dat het automatisch HTTPS moet gebruiken voor jouw website, waardoor de redirect overgeslagen kan worden omdat de browser weet wat hij moet doen.

Daarnaast is dit tevens een extra indicatie voor Google dat de HTTPS website moet worden geïndexeerd.

Om HSTS op jouw website in te schakelen kun je de volgende code plaatsen in het .htaccess bestand:

<IfModule mod_headers.c>
    Header set Strict-Transport-Security "max-age=31536000"
</IfModule>

Je kunt HSTS eventueel ook inschakelen op serverniveau. Meer informatie hierover kun je vinden op owasp.org.

HSTS werkt overigens helaas nog niet in alle browsers. In de nieuwere versies van Chrome, Firefox, Safari en Opera werkt het al wel, maar in Internet Explorer werkt het nog niet.

De browser “Spartan”, de vervanger van Internet Explorer in Windows 10, zal HSTS wel ondersteunen.

Alle interne links en links van afbeeldingen veranderen naar HTTPS

Wanneer je website al een tijd bestaat is de kans groot dat je veel interne links hebt en dat je ook veel afbeeldingen in je artikelen hebt gebruikt. Al deze links staan vast in je artikelen met HTTP in de URL.

Je vraagt je wellicht af waarom je dit moet veranderen omdat alles werkt en dat de links toch doorverwezen worden. Het antwoord hierop is simpel, je moet dit aanpassen omdat je anders een slotje met een gevarendriehoek in de browser veroorzaakt.

Helaas heb ik de gevarendriehoek al meerdere malen bij websites gezien en dit is zonde. Je bezoeker begint dan namelijk weer te twijfelen of je website wel echt betrouwbaar is.

Het is natuurlijk ontzettend veel werk om alle artikelen handmatig af te gaan om de links en afbeeldingen te vervangen voor de nieuwe links. Je kunt het echter ook via de database aanpassen en de plugin “Search & Replace” kan je hier goed bij helpen.

Zodra de plugin op je website draait kun je aan de slag via “Extra -> Search & Replace”. Voordat je hiermee start is het wederom handig om eerst een back-up te maken voor het geval er iets mis gaat.

Search and Replace HTTP naar HTTPS

Eenmaal een back-up gemaakt kun je verder gaan en kun je bij “Search for” de HTTP versie van je domeinnaam invullen, dus ook met “www.” als je hier gebruik van maakt. Bij “Replace with” kun je de HTTPS versie van je domeinnaam invullen.

Vergeet tot slot niet het ronde bolletje te verplaatsen van “All – search only!” naar “All – search and replace!” om daadwerkelijk alle URL’s van de interne links en afbeeldingen die je op je website gebruikt aan te passen naar HTTPS.

Heb je alles ingevuld en ook nog even dubbel gekeken of alles goed is ingevuld? Mooi, dan kun je op “Go” klikken en de plugin het werk laten doen.

Controleer of alles naar de HTTPS versie van je website verwijst

Je hebt zelf de volledige controle over je website, maar de kans is groot dat je het thema en de plugins die je gebruikt op je WordPress website niet zelf hebt geprogrammeerd.

Je weet dus niet zeker of alles daadwerkelijk naar HTTPS verwijst en dit is een probleem omdat browsers scripts die met een HTTP URL worden aangeroepen blokkeert.

Je kunt naar je website gaan en even meerdere pagina’s bekijken om te controleren of je geen gevarendriehoek op het slotje in de browser “Chrome” ziet staan. Zie je geen gevarendriehoek, dan is de kans groot dat alles goed staat, maar het blijft het best om toch even de code te controleren.

Een handige website die je kan helpen bij het opsporen van onveilige inhoud is whynopadlock.com. Vul de URL in van een pagina van je website en het zal gecontroleerd worden.

Je kunt de code ook eenvoudig controleren door naar je website te gaan en de rechtermuisknop te gebruiken om vervolgens op “bron weergeven” (tekst verschilt per browser) te klikken.

Je ziet nu een scherm met de code van je website en wanneer je de toetscombinatie “CTRL + F” of “CMD + F” gebruikt kun je in de broncode zoeken. Vul in het zoekvenster “http://jedomeinnaam.nl” in en kijk of je een resultaat krijgt.

Is er geen resultaat maar wel een probleem, dan kun je kijken of de externe JavaScript bestanden, Google Fonts, en CSS bestanden met http:// beginnen.

Is er wel een resultaat, dan moet je kijken of dit veroorzaakt wordt door de code van een thema of van een plugin. Vervolgens zal je dit moeten aanpassen om het op te lossen.

HTTP URL’s aanpassen in de thema bestanden

Wanneer er een URL verkeerd staat in de code van het thema, dan kun je dit aanpassen in de bestanden van het thema.

Zorg er overigens wel voor dat je de aanpassingen in een child theme doet en ook de child theme als actief thema gebruikt. Zo hoef je dit namelijk niet opnieuw te doen wanneer er een update van je thema is.

Tip: Vaak is het een CSS of JavaScript bestand dat verkeerd staat. De code hiervan staat meestal in het header.php bestand van je thema.

Protocol relative URL

Wanneer je eenmaal de locatie van de verkeerde URL gevonden hebt in een thema-bestand, dan kun je de URL aanpassen voor een “Protocol relative URL”.

Met een protocol relative URL plaats je in plaats van “http://” alleen “//”, dit zorgt ervoor dat er automatisch gekeken wordt of HTTP of HTTPS gebruikt moet worden op je website.

Zie ook onderstaande slide die in de Google presentatie “HTTPS Everywhere” voorbij kwam.

Protocol relative URL

HTTP URL’s in plugins oplossen

HTTP URL’s in plugins oplossen is een ander verhaal en ook hier gaat het waarschijnlijk om een JavaScript of CSS bestand dat verkeerd geladen wordt.

In de code van de plugin is dan niet goed rekening gehouden met HTTPS websites en hierdoor moet je bij elke plugin update zelf de code aanpassen. Het is daarom beter om een alternatieve plugin te zoeken die hetzelfde kan en waar de code wel goed in elkaar zit.

Ik heb dit probleem zelf ook gehad. De plugin die ik gebruikte voor de inschrijfformulieren op de website deed het niet meer nadat ik over ben gestapt naar HTTPS.

Ik heb toen meerdere plugins geprobeerd waar het helaas ook fout bij ging, maar uiteindelijk ben ik bij OptinMonster uitgekomen. Met OptinMonster gaat alles perfect en hoef ik verder niet meer op te letten bij een update van de plugin.

Staat de Canonical URL van alle pagina’s goed?

Je hebt voor alle pagina’s een 301 redirect ingesteld en zo hoort het ook. Heb je echter ook gekeken of de canonical URL goed staat?

Wanneer je een pagina doorverwijst en bij de canonical URL staat nog de oude URL, dan denkt Google dat de oude pagina nog steeds de echte pagina is. Je geeft namelijk met de canonical URL de echte pagina aan van het artikel.

Indien je de plugin WordPress SEO by Yoast gebruikt zal dit automatisch goed staan nadat je jouw website naar HTTPS hebt overgezet.

Oude YouTube insluitcodes worden ook geblokkeerd

Ik had op mijn website nog een paar YouTube filmpjes staan die ik in 2011 tot en met begin 2013 had geplaatst. Ik kwam hierdoor tot de ontdekking dat de oude insluitcode van YouTube geblokkeerd werden en de video’s niet meer zichtbaar waren voor de bezoekers.

De oude insluitcode maakt nog gebruik van een directe URL naar YouTube met “http://”. Wanneer je website overgaat naar HTTPS worden deze video’s niet meer getoond.

Tegenwoordig kun je YouTube video’s op je WordPress website embedden op een eenvoudige manier zonder een insluitcode te gebruiken. De huidige insluitcodes van YouTube maken overigens gebruik van protocol relative URL’s, waardoor hier ook geen problemen meer mee door ontstaan.

Nadat je website overgezet is naar HTTPS

Nadat je website volledig is overgezet naar HTTPS kun je nog het een en ander testen en kun je de HTTPS versie van je website aanmelden bij de Google Webmasterhulpprogramma’s.

Verder is het ook verstandig om externe links aan te passen naar de HTTPS versie van je website om nog sneller de nieuwe website te laten indexeren.

SSL test doen om te controleren of je nog wat kunt verbeteren

Wanneer je alles gedaan hebt wil je natuurlijk graag weten of je website goed beveiligd is en of de server wellicht nog iets beter geconfigureerd kan worden.

Om de instellingen van de server te testen kun je de SSL Server Test doen op Qualys SSL Labs.

SSL Server Test

Je hoeft alleen maar je domeinnaam in te vullen en op “Submit” te klikken om de test direct te laten starten.

Nadat de test succesvol is uitgevoerd krijg je verbeterpunten te zien en een score hoe goed je website het doet. De laagste score die je kunt krijgen is F en de hoogste score is A+.

Wanneer je veel verstand hebt van servers zou je de verbeterpunten zelf kunnen oplossen, maar een goede hostingprovider wilt je hier graag bij helpen.

Ik kreeg zelf in eerste instantie een C omdat er nog een “Poodle Attack” en wat andere dingen uitgevoerd konden worden op mijn website. Ik heb toen de informatie van de test doorgegeven aan mijn hostingprovider (Neostrada) en die hebben het gratis voor mij opgelost zonder dat andere websites op de server er last van hebben. Ik scoor nu een A- wat bijna perfect is.

Meld je HTTPS site aan bij de Google Webmasterhulpprogramma’s

Wanneer je klaar bent met het overzetten van je WordPress website naar HTTPS is het verstandig om ook de HTTPS versie van je website aan te melden in de Google Webmasterhulpprogramma’s.

Waarom je dit moet doen? Google ziet een website op HTTP of HTTPS als twee totaal verschillende websites. Bij de HTTPS versie in Google Webmasterhulpprogramma’s zal je dus kunnen zien hoe alle URL’s, die je hebt ingediend met je sitemap, geïndexeerd worden. Bij de HTTP versie zie je juist dat alles uit de index van Google verdwijnt.

Indien je alle versies aan de Google Webmasterhulpprogramma’s hebt toegevoegd kun je zien of er ergens iets mis gaat. Dit is eigenlijk de belangrijkste reden om je aan te melden.

Je krijgt meldingen wanneer Google dingen niet kan indexeren en met deze informatie kun je de problemen opsporen en oplossen.

Zet zoveel mogelijk externe links om naar de HTTPS versie

Om Google zo snel mogelijk het signaal te geven dat je over bent gegaan naar HTTPS, kun je op externe websites je links aanpassen naar HTTPS. Zo kun je eenvoudig de link van je website in je Twitter, Facebook en Google+ profiel aanpassen naar HTTPS.

Verder heb je wellicht ook nog invloed op andere websites waar je eenvoudig de link kunt aanpassen, zoals bijvoorbeeld de links in de beschrijving van je YouTube video’s.

Hoe snel staat mijn HTTPS website in Google?

Nu je echt alles gedaan hebt wat mogelijk is vraag je jezelf waarschijnlijk af hoe snel Google de HTTPS versie van je website indexeert en hoe snel de HTTP versie uit de zoekresultaten verdwijnt.

Helaas is hier geen goed antwoord op te geven omdat het per website zal verschillen. Zo kan het minder lang duren voor een website met 200 pagina’s, dan voor een website met 5000 pagina’s.

Daarnaast hangt het ook af van de structuur van je website. Heb je veel interne links of link je naar elk artikel maar 1 keer? De Googlebot kan sneller de pagina’s opnieuw bezoeken wanneer er veel intern gelinkt wordt.

De eerste signalen die ik via de Google Webmasterhulpprogramma’s kreeg waren 2 dagen nadat ik mijn website had gemigreerd naar HTTPS. 15 januari heb ik Webtalis gemigreerd naar HTTPS en 17 januari waren de eerste 9 URL’s geïndexeerd.

Ondertussen is op 25 januari 2015 ongeveer 75% van de HTTPS versie van Webtalis geïndexeerd. Het heeft dus even de tijd nodig voordat Google alles echt volledig heeft overgezet in de zoekresultaten.

Gaat de social media teller bij mijn artikelen op 0?

Wanneer je website gemigreerd is naar HTTPS zal je in eerste instantie inderdaad alle likes, tweets, +1’s en andere social media cijfers kwijt zijn.

Het zal er dus als volgt uitzien:

Social media counter op 0

Dit is helaas in eerste instantie het resultaat van HTTPS op de social media cijfers.

Je bent dus direct je “Social Proof” kwijt bij je artikelen en dit kan frustrerend zijn wanneer bepaalde pagina’s erg veel gedeeld waren via social media en er nu een duidelijke 0 staat.

De cijfers van verschillende social media kanalen komen vanzelf weer terug, maar dit kan een tijd duren. Zo krijg je de cijfers van Facebook, Google+ en Linkedin weer terug, maar van Twitter en Pinterest helaas niet.

Google+ heeft als eerste door dat je bent overgeschakeld naar HTTPS. Twee dagen na de migratie van Webtalis kwamen bij verschillende artikelen de Google+ cijfers alweer terug.

Bij Facebook en LinkedIn schijnt het echter weken of zelfs maanden te duren. Wanneer ik mijn Facebook likes weer terug heb zal ik vertellen hoelang het bij mij geduurd heeft.

Het is overigens ook mogelijk om de cijfers van je oude URL’s te laten zien, maar hiervoor moet je wel de code induiken. Het nadeel van deze methode is dat de cijfers “vast” blijven staan en niet meer omhoog kunnen. Je kunt op de website blogmarketingacademy.com lezen hoe je dit kunt bereiken.

Conclusie

Wanneer je jouw website een stuk veiliger wilt maken voor je bezoekers door alles over een versleutelde verbinding te laten gaan, dan heb je een SSL certificaat nodig en moet je jouw website migreren naar HTTPS.

Door deze handleiding te volgen zal je voldoende informatie hebben om te beslissen of je over wilt gaan naar SSL / HTTPS, weet je wat voor SSL certificaat je het best kunt gebruiken en hoe je jouw website daadwerkelijk kunt migreren naar HTTPS.

Wil je alleen om SEO redenen migreren naar HTTPS, dan kun je je op dit moment beter richten op een van de vele andere ranking signalen.Wat je overigens ook niet moet vergeten is dat SSL niet meteen zorgt dat je website veilig is. Zorg er dus voor dat je de WordPress versie, plugins en thema’s altijd up-to-date houdt.

Heb je na het lezen van dit artikel vragen, suggesties of toevoegingen, dan hoor ik dit graag van je in de reacties hieronder.

Heb je wat aan dit artikel gehad? Ik zou het ontzettend waarderen als je dit artikel wilt delen via social media. Je kunt dit doen via onderstaande deelknoppen.

91 reacties Voeg ook een reactie toe

  1. Beste Maikel,

    Heel handig dit artikel. Super !
    Ik kan nu over naar HTTPS zonder plugin.
    Wel heb ik een klein probleem met de .htaccess regel die je aangeeft. Bij mij werkte die niet. Bij een aanpassing werkt hij wel en is het deze geworden:

    RewriteEngine On
    RewriteCond %{SERVER_PORT} 80
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    Vind je jouw regel beter of is het exact hetzelfde ?
    Wel heb ik gezien dat wanneer ik expliciet http://domein.nl typ hij dan niet automatisch de https:// versie doorlinkt. Maar soms gewoon op de http:// blijft staan.
    Ik dacht dat die rewrite regel dat toch juist opvangt ?

  2. Heel goed artikel die bij de meeste sites een perfecte migratie naar https heeft opgeleverd. Bedankt!

    Bij mijn laatste site werd de layout van een plugin voor auto’s (meegeleverd met het thema) helaas volledig door elkaar gehaald na het gebruik van the Better Search Replace plugin. Gelukkig had ik een backup. Enig idee wat de oorzaak hiervan kan zijn en hoe dit kan worden opgelost?

  3. Dag Maikel

    Bedankt voor dit uitgebreide artikel!
    Ik heb een vraag: ik heb mijn domeinnaam en gisteren mijn wordpress theme (Soledad) aangekocht. Via mijn host heb ik een SSL (let’s enscrypt) die nu geactiveerd is heb ik ook de optie kunnen aanduiden om te redirecten naar https.

    Ik heb bij instellingen – algemeen mijn wordpress adres URL en Site adress URL aangepast: https://…. ipv http://.

    Mijn website is dus helemaal nieuw, ik heb nog geen tekst, afbeeldingen, blogposts,… gemaakt. Het enige wat op mijn site staat is de demo data van mijn thema (die ik uiteraard ga vervangen door mijn eigen teksten enzo).

    Ik heb mijn url zonet ook getest in Qualys SSL en kreeg een A+

    Hoef ik nu nog iets extra te doen voor mijn nieuwe website opdat alles wordt weergegeven in https? En ik zie naast mijn url nog een cirkel met een uitroeptekentje staan en geen groen slotje? Hoe komt dat? Wat kan ik daar aan doen?

    Alvast bedankt!

    • Wanneer je geen groen slotje krijgt ben je nog niet klaar. Je krijgt dit omdat nog niet alle verbindingen via de beveiligde verbinding lopen. Je kunt dus het beste nog een search & replace uitvoeren om alle http url’s te vervangen voor https.

    • Het is zo te zien alleen bij de homepage. Alle andere pagina’s worden wel netjes naar https doorgestuurd. Het zou kunnen zijn dat een plugin of iets dergelijks het tegenhoudt. Ik kan dit vanaf hier alleen niet zien.

  4. Beste Maikel,

    Bedankt voor deze duidelijk uitleg. Ik heb er lang tegen aan “zitten hikken” om mijn site naar HTTPS/SSL over te zetten. Maar gisteravond heb ik de stoute schoenen aangetrokken.

    Ik dacht het een langdurige zaak zou worden, maar dat viel heel erg mee. Binnen 30 minuten draaide de site op HTTPS/SSL (ik had het certificaat al eerder aangevraagd en geïnstalleerd).

    Toch een vraagje: Als ik de “SSL Server Test doen op Qualys SSL Labs” wordt mijn site als “B” gekwalificeerd. Mijn weblog is puur recreatief, geen commerciële zaken of iets dergelijks. Kan ik het zo laten, of toch voor een “A” kwalificatie gaan? Wat zou jij doen?

    • In principe kun je het zo laten, maar voor het optimale resultaat wil je natuurlijk A hebben. 🙂 Je zou de punten aan je hoster kunnen doorgeven, wellicht dat zij het voor je kunnen verbeteren, dan hoef je er zelf niet eens naar te kijken.

  5. Hoi Maikel,

    Ik ben nog niet overgestapt naar https, maar ik ga dit zeer binnenkort wel doen. Momenteel zet ik mijn html website over naar WP, gelukkig heb ik een plugin gevonden, waarmee ik de slugs met extensie .html kan behouden voor de huidige artikelen die ik er heb staan. Dat scheelt enorm veel 301 redirects maken 😉 Het is al monnikenwerk om alle pagina’s over te zetten etc. Ik doe dit nu allemaal even in een aparte directory, de oude site draait dus nog tot ik alles heb verhuisd naar WP, dan zet ik de url over en ga ik ook over op SSL. Ik zie er een klein beetje tegenop, het lijkt heel wat allemaal, maar met jouw fantastische artikel gaat het vast en zeker lukken! Het lijkt veel werk, maar volgens mij valt het ook wel weer mee.

    Ik laat het nog wel even weten zodra alles werkt. Nu snel verder met alle artikelen migreren, zucht… maar ja, als het er allemaal eenmaal staat, dan is het onderhoud zoveel makkelijker geworden en voor SEO is het ook veel beter om WP te gebruiken (als je Yoast gebruikt). Dus daar denk ik dan maar aan.

    Ik wens je een fijne dag! ☼

  6. Dag Maikel, ik ben een beetje dom geweest. Ik kreeg bericht van een provider (Vivor) dat sites zijn voorzien van een SSL certificaat en ik dacht dus makkelijk https te implementeren door de URLs aan te passen in de instellingen bij de WordPress sites. Helaas heb ik dat ook gedaan bij een site die bij een andere provider is ondergebracht en nu is de site onbereikbaar geworden. Wat kan ik doen om de instellingen aan te passen nu ik ook niet meer kan inloggen?

  7. Dank voor je snelle reactie!
    Bedoel je dat ik naar het wp-config.php-bestand moet gaan (via een programma zoals FileZilla) en het hier aanpassen, gewoon van http naar https? en is het dan voldoende? Dank nogmaals voor je advies!

    Groetjes Malou

  8. Hoi Maikel,

    Fijn zo’n uitgebreid artikel. Ik ga er binnenkort mee aan de slag. Echter heb ik het eerder geprobeerd, ben ik er zelf niet uitgekomen (de afbeeldingen etc. moesten nog worden omgezet) en heb ik alles even terug gezet.
    Het lukte mij niet om in WordPress instellingen de URL handmatig te veranderen, dit balkje was ‘grijs’ en kon ik niet handmatig aanpassen, weet jij hoe ik dit anders kan oplossen en wel kan veranderen?

    Ik hoor het graag!
    Groetjes Malou

    • Waarschijnlijk staat de URL in het wp-config.php-bestand aangegeven, waardoor je het bij de instellingen niet kunt wijzigen. Je kunt dit uit het bestand halen en het vervolgens wel op de ‘normale’ manier wijzigen.

  9. Ik heb nog één probleempje. Alles is overgezet naar https. Maar als ik een media upload doe (foto toevoegen) dan wordt deze nog op de http locatie gezet. Alle links naar de media gebruiken wel https. Ik heb met search en replace alles vervangen. Ik heb voor alle zekerheid alle plugins uitgeschakeld. Maar ook dat lost het probleem niet op. De rechten op de nieuwe upload directory staan goed. Enig idee?

  10. Beste Maikel, een geweldige handleiding voor het overschakelen van http naar https.
    bedankt voor de duidelijk uitleg.
    PS; je wijzigingen moet je nog steeds doen ;-).
    grtjes

  11. Hey Maikel,

    Dank voor deze uitleg.
    Ik heb alles klaar en vraag me nu af of ik alle (interne)links die ik zelf in mijn posts naar andere posts op mijn site heb gemaakt, ook moet aanpassen. Ik heb ongeveer 20.000 berichten en veel hebben dat. Dat is niet handmatig te doen. Met Beter Search en Replace krijg ik 71.000 cels die moeten worden geüpdatet als ik een dry-run doe.

    • Ja, het is wel het beste dat je echt alles omzet naar https, dus ook de interne links. Met Better Search Replace zou dit prima moeten lukken. Voor de zekerheid moet je natuurlijk altijd een back-up maken, maar ik heb eerder ongeveer dezelfde hoeveelheid links omgezet met deze plugin zonder problemen.

  12. Hoi Maikel, wat een interessant en gedegen uitleg om over te schakelen naar https. ook heb ik alle reacties gelezen wat een werk is er verzet om dit allemaal te doen. ik ga er even rustig voor zitten en nogmaals alle stappen doornemen, en dat zijn er nog wat.

    Ps: heb je ook een pdf file, met de wijzigingen, ervan dan kan je deze naast je neerleggen en stap voor stap nalezen en doen ;-).

    oke ik kijk uit naar je reactie,
    een mooi stuk.
    grtjes
    Percy & Renate

  13. Hallo Maikel,
    Interessant artikel. De plugin Search & Replace waarin je verwijst in dit artikel, is qua lay-out wel grondig gewijzigd. Ik zou eea willen wijzigen, maar met een vernieuwde lay-out/functie durf ik dit niet.

  14. Vraagje? Klopt het dat je dit hele verhaal ook met een plug-in automatisch kan laten geschieden, ik heb gelezen over de plug ” Really Simple SSL”. Dit ziet er heel simpel uit maar ik vraag me werkelijk af of deze plug al het werk voor je zal doen, wat jij hierboven allemaal hebt beschreven. Ben namelijk zeer huiverig om alles handmatig te doen en in de php te gaan zitten ploegen. Heb zoveel werk en tijd in m’n website zitten, maar wil mijn klanten ook een stukje veiligheid bieden, hierna zal ik braad mijn site weer laten verifiëren in de search console.

    Met vriendelijke groet,
    Danielle

    • Ik ben eerlijk gezegd geen fan van dit soort plugins, aangezien de plugin het niet helemaal doet zoals je zou willen. Met name dit stukje wat bij de omschrijving staat “Your insecure content is fixed by replacing all http:// urls with https://, except hyperlinks to other domains. Dynamically, so no database changes are made (except for the siteurl and homeurl).”. De aanpassingen gebeuren niet in de database, wat natuurlijk vreemd is en naar mijn mening eigenlijk de enige juiste methode zou moeten zijn. Als alles eenmaal goed staat in de database hoeft het tenslotte niet telkens dynamisch aangepast te worden en staat het gewoon zoals het hoort te staan.

  15. Goedemorgen,
    Bedankt voor je uitgebreide informatie. Heel goed.
    Mijn vraag is of je social interest cijfers alweer terug hebt. Dan kan ik zo snel niet terug vinden. Hoe lang heeft het geduurt. Uberhaupt terug gekregen of opnieuw moeten beginnen?
    Ik heb mijn site overgezet op https en ben ze ook kwijt en had er behoorlijk wat.

  16. Ik heb ook mijn website overgezet naar https alleen heb ik nu een probleempje
    het gaat om een subdomein, als ik dit subdomein wil benaderen krijg ik eerst de pagina van het hoofddomein te zien, klik ik vervolgens op ctrl+ F5 komt wel de goede pagina in beeld.

    • Ongetest, maar je zou dit kunnen proberen in het htaccess bestand:

      RewriteEngine On 
      RewriteCond %{SERVER_PORT} 80 
      RewriteCond %{HTTP_HOST} ^(.+\.)?domeinnaam\.nl$
      RewriteRule ^(.*)$ https://%1domeinnaam.nl/$1 [R=301,L]

      Uiteraard de domeinnaam nog even aanpassen naar die van jezelf.

  17. Bedankt voor de duidelijke en uitgebreide uitleg. Ik heb het net gebruikt om mijn website over te zetten naar https.
    Ik heb overigens wel ‘Search and Replace’ gebruikt. Blijkbaar bestaat de plugin wel (weer). De foutmelding uit de vorige reactie kreeg ik ook maar daar heb je geen last van als je het resultaat eerst exporteert en dan weer importeert.
    Maar misschien is ‘Better search Replace’ nog wat eenvoudiger…

  18. Hey Maikel,

    Alles werkte. Ik kom op A-, wat ik best ok vind.

    Maar…een stap heb ik niet gedaan: de search & replace. Die gaf namelijk de foutmelding dat
    Your search contains your current site url. Replacing your site url will most likely cause your site to break. If you want to change the URL (and you know what you doing), please use the export function and make sure you backup your database before reimporting the changed SQL.
    Wat eigenlijk niet zou mogen, omdat mijn ‘current url’nu geen http://….. is, maar https://…..

    Misschien na 24 uur nog eens proberen?
    Of heb jij een ander idee?

  19. Dank je wel voor je reactie. Waar zou ik die dan moeten zien? In de htacces (childtheme) stond verder niets.

    • Ik weet niet waar jij redirects maakt of hebt staan. Het htaccess-bestand waarin het zou kunnen staan is in de rootfolder (hoofdmap). Thema’s staan hier verder los van. Het kan daarnaast ook zijn dat je een redirect plugin op je website hebt staan en deze misschien voor problemen zorgt omdat er nog oude redirects staan die niet meer goed doorgestuurd kunnen worden.

  20. Hallo,

    Bij een van de eerste stappen, de redirect, gaat het bij mij iedere keer mis. Als ik dit doe: WordPress website van HTTP naar HTTPS redirecten dan krijg ik dit:

    ERR_TOO_MANY_REDIRECTS

    Het enige wat ik nog krijg als ik mijn site bezoek. Met Google word ik niets wijzer en ik heb nog steeds geen oplossing gevonden hiervoor.

    • Vermoedelijk heb je nog meer redirects staan en komt het in een oneindige loop terecht, waardoor het niet meer duidelijk is op welke pagina je nu echt uit moet komen. Je zou dus de andere redirects moeten nakijken.

  21. Na het installeren van mijn ssl certificaat kan ik geen media meer uploaden. Weet iemand hoe dit kan ?

  22. Oh ja, ik had nog een vraagje: het slotje komt slechts even zichtbaar als de webpagina geladen wordt. Daarna verdwijnt ‘ie weer. Enige tip in dat gebied?

  23. Fijn, dat ik met jouw stappen er (uiteindelijk…) aardig uitkwam. Ik heb het ook iets aangepast zoals in de opmerkingen van ene Peter, en nu wordt alles doorgestuurd naar HTTPS.
    Alleen als ik de ‘oude’ site (in dit geval gaat het om http://www.koot15.nl) intoets, kom ik nog steeds op dat HTTP domein. Als ik vanaf daar de links klik, gaat het wel goed. Maar de directe (oude) http links (ook bijv. http://www.koot15.nl/shop) blijven de ‘oude route’ volgen. Enig idee hoe dat komt en wat ik daaraan kan doen?

  24. Beste Maikel,

    Ook ik heb nog een vraag mbt je interessante artikel. Op mijn website staan 2 Iframes die nu niet meer te zien zijn. Volgens mij staat de rest verder goed ingesteld op https. Ik ben benieuwd of je een antwoord weet hierop. Alvast bedankt hiervoor.

  25. Hoi Maikel,

    Bedankt voor je berichtje. Probleem nu is dat het redirecten niet helemaal lekker gaat.

    Het gaat om de website rijschoolbeugelsdijk.nl, deze is volledig beveiligd en versleuteld, maar http://www.rijschoolbeugelsdijk.nl geeft een foutmelding als “onveilig”.

    Dit is mijn htacess file

    # BEGIN WordPress

    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]

    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]

    Header set Strict-Transport-Security “max-age=31536000”

    # END WordPress

    # WP Maximum Execution Time Exceeded

    php_value max_execution_time 300

    RewriteCond %{HTTP_HOST} ^www\.rijschoolbeugelsdijk\.nl$
    RewriteRule ^/?$ “https\:\/\/rijschoolbeugelsdijk\.nl\/” [R=301,L]

    Wat doe ik nog verkeerd?

    Groetjes Jordi

  26. Hoi,

    Mijn vader zijn website ga ik migreren van Joomla naar WordPress met een heel nieuw design en veel meer op SEO gericht. Alles ga ik dus opnieuw maken en mijn vraag is dan ook of het dan slim is om nu meteen over te gaan stappen naar SSL, lijkt mij dat dit het juiste moment is, want dan kan je alles al op https:// instellen. Graag hoor ik of ik gelijk heb 🙂

    Jordi

    • In principe kun je overstappen wanneer je wilt, maar als je toch zo hard aan de slag gaat en superveel gaat aanpassen kan dit er ook nog prima bij ja.

      Daarnaast is het aan te raden om het nu te doen omdat Google dan maar 1 keer opnieuw de nieuwe URL structuur hoeft te verwerken. Het zou namelijk 2 keer moeten gebeuren als je eerst van Joomla naar WordPress overgaat en dan later nog eens naar SSL.

  27. Hoi Maikel,

    Werkt die re-direct zowel voor www als non-www. voorkeursdomeinen of moet is die dan anders worden ingesteld?

    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]

    En lost dit meteen het probleem op voor de links in bijv Google sitelinks? Ik heb de ervaring dat deze links nog http blijven en niet worden ge-reditect.

    Bedank voor je goede artikel!!

    Groet,

    Erik

    • Dat is nog een goed punt dat je noemt. Voor www websites kun je de onderste regel voor volgende veranderen:

      RewriteRule ^/?(.*) https://www.%{SERVER_NAME}/$1 [R=301,L]

      Persoonlijk heb ik geen last gehad van sitelinks die HTTP bleven en niet werden doorgestuurd. Uiteraard is Google wel wat trager voordat alles goed staat, maar de redirect hoort altijd te werken.

  28. Hoi Maikel,

    Ik heb je uitgebreide uitleg gelezen en toegepast en… het werkt. Dank je wel.

    Eén vraag heb ik nog wel. Als ik voor de allereerste keer op mijn website kom, dan verschijnt niet direct een ssl slotje. Als ik eenmaal op mijn website ben en door verschillende pagina’s klik, dan blijft het ssl slotje in beeld. Wat kan ik doen om te zorgen dat bij het allereerste bezoek van de website ook het slotje verschijnt?

    Nogmaals, hartelijk dank.
    Uitstekende uitleg!

    Groetjes.
    Michael

    • Wordt de rest van de website goed doorgestuurd naar HTTPS als je er gewoon heengaat met HTTP? Het lijkt erop dat iets de redirect op de homepage blokkeert als je het zo zegt.

      Ik weet niet of je het over dezelfde website hebt als je mailadres, maar wanneer ik dit bekijk krijg ik dat de toegang verboden is.

      • Hoi Maikel,

        Dank je wel voor je reactie.
        Website is weer toegankelijk.

        Wat betreft je vraag, ik denk dat er inderdaad iets fout gaat. En mogelijk de redirect van de homepage. Maar eerlijk gezegd, geen idee waar ik de fout kan vinden en kan oplossen.

        Groetjes,
        Michael

  29. Hi Maikel,

    Ik ben zo blij met jouw artikel! Ik krijg dus die gevaren-driehoek-melding als ik mijn SSL activeer, wat ik natuurlijk gelijk weer terug heb gedraaid omdat bezoekers anders denken dat het niet veilig is. Met als gevolg dat ik het dure certificaat nu niet gebruik. Mijn hostingbedrijf bood helaas verder geen hulp, alleen de installatie vanaf hun kant.
    Het is een aardige klus als ik het zo doorlees. Is er een manier om dit te doen zonder dat klanten er last van hebben? Je site een melding geven dat het under construction is bijvoorbeeld?

    Wat ik mij daarnaast nog afvroeg voordat ik hieraan begin (of het zeer waarschijnlijk laat doen;)) is of je ook alleen de checkout-pagina van je wordpress webshop HTTPS kunt maken? Dat is namelijk de enige pagina waar klanten hun gegevens invullen en dus naar mijn mening de enige pagina die encrypted hoeft te zijn.

    Bedankt alvast!

    Groet,
    Kelly

    • Je kunt met de plugin “WordPress HTTPS (SSL)” ervoor zorgen dat alleen bepaalde pagina’s gebruikmaken van HTTPS. De plugin is al een tijd niet geüpdatet, maar doet nog altijd zijn werk.

      Je zou verder inderdaad even under construction gaan, maar wanneer je 1 pagina wilt doen zou je in principe alles ook vrij snel kunnen uitvoeren, waardoor je bezoekers hier weinig last van zullen hebben (zeker wanneer je het op een tijdstip doet wanneer er weinig bezoekers zijn.

      • Bedankt Maikel! Ik had die plugin inderdaad doorgekregen van mijn hostingpartij, maar vond het wat eng aangezien hij al 2 jaar niet geupdate was. Ik denk er nog over na om toch de gehele site in https te zetten.
        Maakt het de website trager? En zo ja, heb jij een tip daarvoor? Je artikelen zijn heel duidelijk en hoop nog veel te kunnen leren ervan 🙂

        • HTTPS maakt je website inderdaad ietsjes trager omdat er extra handelingen uitgevoerd moeten worden. Over het algemeen zal je hier niet heel veel van merken omdat tegenwoordig iedereen wel snel internet heeft.

          Om HTTPS nog sneller te maken kun je kijken naar SPDY, maar veel hostingproviders ondersteunen dit nog niet.

          Wanneer je website snel was met HTTP zal het ook nog wel snel zijn met HTTPS. Het is tevens handig (zowel bij HTTP als HTTPS) om een cache plugin te gebruiken om te zorgen dat je pagina’s sneller geladen kunnen worden.

  30. Bedankt voor de duidelijke informatie Maikel! Ik lees je blogs altijd met veel plezier.

    Ik heb een website gemigreerd naar https en krijg keurig een slotje te zien voor de URL. Alle links staan goed, so far so good.

    Wat ik echter erg vervelend vind is dat de browser eerst een waarschuwing geeft dat de browser de identiteit niet kan controleren. De bezoeker van de site staat dan voor een dilemma wel of niet vertrouwen…. Heb je enig idee?

    • Wanneer je een certificaat bij een betrouwbare organisatie hebt aangeschaft is het waarschijnlijk geen probleem met het certificaat zelf.

      Vaak is deze melding een probleem dat ontstaat op je eigen computer. Krijg je deze melding bij alle browsers te zien of bijvoorbeeld alleen in safari? (die geeft dit soort meldingen volgens mij het vaakst)

      Staat de klok van je pc goed ingesteld? Zelfs dit kan voor problemen zorgen.

      Ik kan verder ook niet nakijken of ik het probleem ook heb als ik naar de website ga aangezien ik de URL niet weet.

  31. Bedankt – heel interessant, en stap voor stap gebracht. Eén opmerking: ik moest mijn .htaccess aanpassen omdat de site anders niet meer werkte. De drie lijnen moeten achteraan bijgekleefd worden. Hij ziet er nu zo uit:

    # BEGIN WordPress

    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    RewriteCond %{HTTPS} !=on
    RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]

    # END WordPress

    Hosting provider is One.com – misschien dat dat er ook wat mee te maken heeft?

    • Het is niet noodzakelijk, maar het zal natuurlijk wel beter en overzichtelijker staan wanneer je alles netjes op een rijtje hebt staan zoals je het nu gedaan hebt. Het zou via beide manieren moeten werken, maar wellicht dat de hostingprovider daar inderdaad ook wat invloed op heeft, dit durf ik niet te zeggen.

      Mooi dat het je nu in ieder geval gelukt is.

  32. Hartstikke bedankt voor dit artikel. Ik heb het al sinds begin dit jaar op mijn to-do list om mijn website via https te laden. Het probleem was alleen dat ik niet goed wist hoe ik het voor elkaar kon krijgen. Ik denk dat het met dit artikel wel gaat lukken en ga hier binnenkort zeker mee aan de slag!

    • Geen dank, veel succes met het migreren van je website naar HTTPS. Wanneer er iets onduidelijk is in het artikel of als je vragen hebt, dan kun je dit gerust hier in een reactie plaatsen.

Geef een reactie