WordPress - HTTPS


Het is betrekkelijk eenvoudig om WordPress te laten draaien op een beveiligde verbinding (https), iets wat voor webshops bijvoorbeeld al verplicht is. Om te controleren of een website SSL gebruikt kun je kijken naar de adresbalk en de gebruikte iconen zoals in bijvoorbeeld Chrome. Zoals je hieronder ziet zal er een groen slotje verschijnen indien er gebruikt wordt gemaakt van een beveiligde verbinding gevolgd door de toevoeging https.

Om SSL te gebruiken in combinatie met WordPress is op zich niet veel benodigd, eigenlijk is het alleen nodig om een SSL-certificaat aan te schaffen en te laten installeren via de hostingprovider of een andere partij. Indien het certificaat beschikbaar is dan zal WordPress hierop ingesteld moeten gaan worden. Je begint dan met het aanpassen van het WordPress-adres en het siteadres, te vinden door naar de Instellingen te gaan in WordPress en dan te kiezen voor Algemeen. In beide velden wijzig je dan de URL van http: naar https:.

Na het wijzigen dien je ervoor te zorgen dat alle interne links ook worden omgezet naar https://. Het gaat dan niet alleen om links naar andere pagina's maar ook afbeeldingen en eventuele verwijzingen in het thema naar CSS bestanden en Javascript bestanden. Denk echter ook aan externe plugins die gebruikt worden, advertenties en ingevoegde video's.

Voor een goede werking van de website is het cruciaal dat alle links kloppen, ook is het voor Google uiteraard belangrijk dat alles correct is ingesteld. Daarnaast is het handig voor met name bestaande websites om de onderstaande code toe te voegen aan het .htaccess bestand om ervoor te zorgen dat bezoekers altijd zullen worden doorgestuurd naar HTTPS.

<IfModule mod_rewrite.c>
        RewriteEngine On
        RewriteCond %{SERVER_PORT} 80
        RewriteRule ^(.*)$ https://www.website.nl/$1 [R,L]
</IfModule>


Aanvullend op de bovenstaande code kan de onderstaande code ook nog worden toegevoegd aan het .htaccess bestand van de website. Deze toevoeging zorgt ervoor dat de browser van de bezoeker bij toekomstige bezoeken (met uitzondering van het eerste bezoek) weet dat er HTTPS gebruikt moet worden. In dat geval zal de bovenstaande redirect worden overgeslagen door de browser en direct worden overgeschakeld op HTTPS.

<IfModule mod_headers.c>
        Header set Strict-Transport-Security "max-age=31536000"
</IfModule>


Voeg als laatste dan de onderstaande regel nog toe aan het wp-config.php bestand van WordPress om ervoor te zorgen dat loginpagina's en de backend altijd op SSL werken.

define('FORCE_SSL_ADMIN', true);


Als je dan klaar bent met instellen is het belangrijk om de volledige website goed te testen, onder andere met bijvoorbeeld deze tool van Qualys Lab Tool. Denk ook aan het koppelen van Google Webmaster Tools. Enkele aanvullende tips van Google vind je hier.