WordPress beveiligen met Solid Security Pro -installatie handleiding

Solid Security Pro voor het beveiligen van je website

Solid Security Pro (voorheen iThemes Security) is een plugin die helpt om indringers buiten de deur te houden en een hulpmiddel is om je WordPress website te beveiligen. Het is een betaalde plugin die je op de website van SolidWP kan aanschaffen.

Solid Security Pro activeren in WordPress

Nadat je de plugin hebt aangeschaft, installeer je deze via het WordPress dashboard door de plugin handmatig toe te voegen. Hoe je zelf een plugin kan toevoegen lees je in WordPress plugin uploaden via de Upload functie.

Vervolgens activeer je de licentie door naar het overzicht van geïnstalleerde plugins te gaan. Bovenin zie je nu de optie om de plugin te activeren.

Solid Security activeren via de pop-up bovenin het overzicht van geïnstalleerde plugins

Zie je deze pop-up niet? Dan kan je ook onderin je scherm op de knop “SolidWP Licensing” klikken.

Zorg dat bij het invoerveld de url van de website staat waarvoor je de licentie wilt activeren, meestal is de huidige url automatisch ingevuld.

Klik nu op “Save” om door te gaan.

Vervolgens vul je dezelfde gebruikersnaam en wachtwoord in die je gebruikt hebt om Solid Security aan te schaffen en klik je op “License Products” om alle functies te ontgrendelen.

Activeren van Solid Security Pro binnen de WordPress instellingen

Solid Security Pro installatie wizard

Nadat je Solid Security Pro (of SolidWP) hebt geactiveerd, kunnen we beginnen met de installatie wizard. De wizard bestaat uit vijf stappen:

Website
Global Settings
Features
User Groups
Notifications

1. Website

Hier wordt je gevraagd naar een aantal algemene gegevens over je website.

Soort website

Allereerst stel je in om wat voor soort website het gaat. Het maakt niet heel veel uit welke optie je hier kiest, omdat we de instellingen toch nog gaan aanpassen. In ons voorbeeld kiezen we voor een e-commerce website.

Beheer en gebruikersrollen

Ook kies je hier of het om je eigen website gaat of die van een klant en kan je gebruikersrollen toewijzen.

Two-factor authentificatie

Daarna word je gevraagd of je two-factor authenticatie wilt inschakelen. Dit zorgt voor extra beveiliging en kan daarom handig zijn. Let er alleen wel op als je met meerdere mensen aan je site gaat werken. Dat iedereen dan een eigen account nodig heeft.

Password policy

We adviseren om dit altijd in te stellen. Een password policy kan bestaan uit een regels zoals het verplicht stellen om alleen sterke wachtwoorden te gebruiken en dat wachtwoorden die eerder zijn voorgekomen bij een datalek, niet opnieuw gebruikt kunnen worden.

Website instellingen installatie wizard Solid Security

2. Global Settings

Hier vind je een aantal basisinstellingen die bepalen hoe Solid Security Pro straks op je website werkt. De belangrijkste instelling hier is dat je je eigen IP-adres kan opgeven onder “Authorized Hosts”. Dit zorgt ervoor dat je later niet wordt uitgesloten van je eigen website.

3. Features

Hier kan je een aantal functionaliteiten instellen met betrekking tot je websitebeveiliging.

Onder het eerste tab vinden we drie instellingen: Two-factor, Passwordless Login en Trusted Devices.

Two-factor

Je kan hier wederom aangeven of je gebruik wilt maken van two-factor authentificatie.

Met deze optie kan je ervoor kiezen dat mensen in plaats van met een wachtwoord, kunnen inloggen met een link die zij toegestuurd krijgen per mail.

Trusted Devices

Deze optie zorgt ervoor dat mensen die inloggen met een apparaat dat niet wordt herkend door SolidWP eerst een e-mail ontvangen waarmee zij hun identiteit moeten bevestigen.

Firewall

Onder het tweede tab vinden we een aantal firewall opties. Deze kan je standaard allemaal aan houden. Magic Links zetten we zelf wel altijd uit. Deze optie houdt in dat gebruikers die uitgesloten zijn van de website op basis van een gebruikersnaam of IP-adres, op deze manier via een link toch nog toegang kunnen krijgen tot de website.

Site Check

In het derde en laatste tab kan je toestemming geven voor het uitvoeren van site scans. Hiermee wordt je website twee keer per dag automatisch gescand op mogelijke beveiligingsproblemen.

4. User Groups

Hiermee kan je de gebruikersgroepen instellen. Wij kiezen standaard voor “Default User Groups”. Vervolgens verschijnen er verschillende opties.

Password Requirements

Je komt hier via de hoofdtab “Customers”. Vervolgens ga je naar Features en Password Requirements. De opties “Strong Passwords” en “Refuse Compromised Passwords” adviseren we je om altijd aan te laten staan. Deze opties zorgen ervoor dat je gebruikers verplicht worden om een sterk wachtwoord te kiezen en dat wachtwoorden die eerder bij een beveiligingslek uitgesloten worden om nog een keer te gebruikken.

Wanneer je klaar bent, klik je op “Next”.

5. Notifications

Als je klaar bent met het doorlopen van de installatie wizard, klik je op “Complete Setup” om de installatie te voltooien. Voordat je dit doet, kan je nog een mailadres opgeven waar notificaties naar gestuurd worden wanneer er beveiligingsupdates zijn.

Onze tip is om All “Beheerders” Users uit te zetten. Dit voorkomt dat notificaties naar iedereen binnen het team worden gestuurd en niemand actie onderneemt. In plaats daarvan is het beter om één persoon eindverantwoordelijk te maken voor de websitebeveiliging.

Voltooi de installatie wizard van Solid Security Pro

Solid Security Pro extra instellingen

We hebben nu gezien hoe je Solid Security downloadt en installeert. Maar hoe haal je het meest uit deze plugin en waar moet je op letten? We nemen je mee in alle belangrijke features en instellingen.

Global settings

Wanneer je binnen WordPress links onderin op “Settings” klikt, kom je binnen het instellingenpaneel van SolidWP. Je komt hiermee automatisch uit bij de “Global Settings”. Hier vind je instellingen over onder andere wat er moet gebeuren wanneer iemand een aantal mislukte inlogpogingen heeft uitgevoerd en opties voor het bijhouden en opslaan van logbestanden.

Lockouts

Met deze optie stel je in wat er moet gebeuren wanneer een IP-adres het maximaal aantal loginpogingen heeft bereikt. Met “MINUTES TO LOCKOUT” stel je in hoe lang iemand geen nieuwe inlogpogingen kan doen. Standaard staat dit ingesteld op 15 minuten. Om de beveiliging te verhogen kan je het aantal minuten verhogen. Maar bedenk altijd dat het mes aan twee kanten snijdt. Leden van je website of webshop hebben hierdoor bijvoorbeeld langer geen toegang tot je site terwijl zij geen kwaad in de zin hadden.

Logging

Met deze optie regel je de manier waarop logs van SolidWP worden bijgehouden. Zo kan je instellen hoe lang je de logs wilt opslaan en ook hoe je deze wilt opslaan. Afhankelijk van hoe actief je website is en met hoeveel mensen je eraan werkt, is het soms beter om de logs weg te schrijven in een apart bestand. Doe je dit niet, dan kan je database heel snel vol raken.

UI Tweaks

Als je graag met een opgeruimde admin bar werkt, kies dan om het security menu niet te laten zien. Je doet dit door “Hide Security Menu in Admin Bar” aan te vinken binnen de algemene settings.

Features

Het features tabblad bestaat uit vier delen en je kan hier instellingen regelen op het gebied van het inloggen in de admin omgeving van WordPress, de firewall, monitoring van wijzigingen op je site en utilities.

Privilege Escalation

Binnen de eerste tab “Login Security” zie je de optie “Privilege Escalation”. Hiermee geef je gebruikers tijdelijk extra bevoegdheden en dit is handig bij het installeren van een plugin bijvoorbeeld.

Ban Users

Deze optie en de opties die je hieronder ziet, zijn onderdeel van de instellingen van de firewall en wil je altijd aan hebben staan. Klap de instellingen uit om “Default Ban List” te zien. Dit is een handige optie en zorgt ervoor dat veelvoorkomende bots automatisch geblokkeerd worden.

Firewall Rules Engine

Hiermee stel je het maximaal aantal “misbruik pogingen” in. Deze optie kan je van 10 naar 5 zetten.

Local Brute Force

Met Local Brute Force zorg je ervoor dat loginpogingen met een gebruikersnaam “admin” automatisch geblokkeerd worden. Let op dat je hiervoor wel een andere gebruikersnaam moet hebben dan de standaard “admin” naam.

Ook kan je hier het maximaal aantal loginpogingen instellen en hoe lang dit onthouden moet worden. 5 loginpogingen moet vaak genoeg zijn.

Network Brute Force

Met de Network Brute Force API kan je jouw website beschermen met blokkeerlijsten van andere websites. Dit levert dus extra bescherming voor je website op.

File Change

Je vindt deze optie onder de “Site Check” instellingen. Hiermee kan je in de gaten houden wanneer bestanden gewijzigd worden. Dit is vooral handig als je ziet dat een plugin gewijzigd is, maar je zelf geen wijzigingen hebt aangebracht. Leuk is het niet, want dit kan een signaal zijn dat er iets aan de hand is.

Version Management

Deze instelling is handig als je een website zelf beheert. Bij onze websites zetten we deze optie meestal uit.

Enforce SSL

Deze optie vinden we onder de meest rechter kop “Utilities”. Zorg dat deze optie aanstaat. Hiermee maak je SSL altijd verplicht.

Database Backups

Deze optie zetten wij standaard uit. Het is beter om dit op serverniveau te regelen of met andere plugins zoals BlogVault of UpdraftPlus. Eerder schreven wij hoe je handmatig een back-up maakt van je WordPress website.

Als je toch kiest om een backup te maken via SolidWP, let er dan op dat er alleen een backup wordt gemaakt van de database van je website. En dus niet van de bestanden. Als je website dan volledig hersteld moet worden, dan heb je zonder deze bestanden alsnog niet zo veel aan een backup.

Features instellingen Solid Security Pro

User Groups

Binnen dit menu kan je instellen welke beveiligingsopties gebruikers van je website kunnen aanpassen. Zorg er in ieder geval voor dat de instellingen “Strong Passwords” en “Refuse Compromised Passwords” aanstaan. De andere instellingen kan je achterwege laten. Vergeet niet om de aanpassingen van de instellingen op te slaan.

Notifications

Hiermee kan je instellen welke notificaties je wilt ontvangen en hoe vaak. Je voelt het al aankomen maar dit levert al snel een berg aan e-mails op. Beter is om het aantal mails te beperken. Als je alleen de meldingen voor “Site Scan Results” en “Inactive Users” aanzet, dan zou dat genoeg moeten zijn.

Je krijgt dan alleen een melding als er tijdens de sitescan iets naar voren komt of wanneer gebruikers van je website voor een langere tijd inactief zijn.

Security Digest

Deze optie kan je op wekelijks zetten. Als je liever zo min mogelijk meldingen ontvangt, dan kan je deze optie ook uitzetten.

Site Lockouts

Deze optie kan je ook uitschakelen. Dit scheelt veel e-mails en is er alleen om een melding te geven dat SolidWP zijn werk doet.

Site Scan Results

Deze optie kan je aan laten en geeft je een bericht als er problemen zijn tijdens het uitvoeren van site scans.

Inactive Users

Deze optie kan je op maandelijks zetten en geeft je een overzicht van de gebruikers die langer dan 30 dagen niet ingelogd hebben.

Notifications instellingen Solid Security Pro

Advanced settings

Binnen de advanced opties staan instellingen om de bestanden binnen je database te beschermen. Vergeet ook hier niet om gemaakte wijzigingen goed op te slaan.

System Tweaks Settings

Deze instellingen kan je het best allemaal aanzetten. De System Tweaks Settings bestaan uit:

File Access

Hieronder vallen “Protect System Files” en “Disable Directory Browsing”. Deze opties houden in dat kwaadwillende niet zomaar bestanden van je website kunnen bekijken zoals de readme.html en wp-config.php files.

PHP Execution

Hiermee kan je PHP uitschakelen bij uploads, plugins en thema’s. Dit zorgt ervoor dat het voor hackers een stuk lastiger wordt om je website schade toe te brengen als deze al malware bevat. En dient dus als extra bescherming laag boven op alle andere maatregelen.

WordPress Tweaks

Onder deze instellingen vallen algemene WordPress aanpassingen.

API Access

Met het aanpassen van de XML-RPC naar “Disable XML-RPC” zorg je dat hackers niet je gebruikersnaam en wachtwoord kunnen “raden” door heel veel login verzoeken naar je website te sturen.

Het kan zijn dat je bij het uitzetten van deze optie meldingen krijgt van externe plugins zoals Jetpack of je koppeling met WordPress.com. Maar het uitschakelen van XML-RPC helpt bij het verbeteren van de beveiliging van je website.

Zorg ook dat je de “REST API” ingesteld hebt op “Restricted Access”. Anders is de lijst van gebruikers van je site zichtbaar voor kwaadwillende en kunnen zij je website helemaal leegtrekken.

Users

We raden aan om “Disable Extra User Archives” aan te vinken. Dit zorgt dat er geen gebruikersprofiel wordt aangemaakt als deze gebruiker nog geen posts heeft gecreëerd binnen WordPress. Als je wil kan je ook de optie “Force Unique Nickname” aanzetten.

Hide Backend

Er is ook nog een optie om het “/wp-admin” deel van je website te verbergen door “Hide Backend” aan te vinken. Bij een goede webhosting provider is dit deel gelukkig al extra beveiligd. Verander je de url van je website, dan maakt dit de beveiliging vaak al niet meer actief. Deze optie gebruiken voegt dus weinig toe en kan je website in veel gevallen zelfs nog een stukje onveiliger maken.

Let er ook op dat het inschakelen van deze optie problemen kan geven met andere plugins. Ook kan je de nieuwe admin-url van je site vergeten. Je loopt dan het risico dat je helemaal niet meer kan inloggen op je website. Het is beter om deze optie dus uit te laten staan.

Site Scans uitvoeren met SolidWP

Het Site Scan dashboard van Solid Security geeft je een handig overzicht van de status van de beveiliging op je website. Zo zie je realtime het aantal uitgevoerde updates en zie je per dag hoeveel aanvallen er geblokkeerd zijn. Ook vind je er een overzicht van aandachtspunten, de status, het type fout en een advies waarbij je de keuze hebt om de plugin te verwijderen of de melding te negeren.

Let er op wanneer je jouw plugins opschoont, je deze programma’s niet alleen deactiveert maar ook verwijdert. Gedeactiveerde plugins vormen namelijk nog steeds een risico voor je site.

Site Scan dashboard van Solid Security Pro

Solid Security Pro de beste beveiligings plugin?

Met Solid Security Pro plugin van SolidWP voorkom je dat je een makkelijk doelwit wordt voor kwaadwillende en het biedt dan ook een stukje extra beveiliging voor je website. Let er alleen wel op dat het niet voorkomt dat je helemaal geen risico meer loopt. Dat is simpelweg niet mogelijk.

De belangrijkste basis voor het beveiligen van je WordPress website blijft een goede webhosting, sterke wachtwoorden en het niet zomaar delen van logingegevens. Download ook niet zonder na te denken thema’s en plugins van onbekende bronnen en probeer het aantal plugins zo laag mogelijk te houden.

Dat Solid Security geen waarschuwingsmelding geeft over een plugin of thema, betekent niet dat er helemaal geen updates voor beschikbaar zijn. Bedenk dat deze tool dan ook een prima toevoeging voor je website is, maar geen volledige garantie geeft.

Solid Security Pro en Patchstack

Een mooie extra van Solid Security Pro is dat er een integratie met Patchstack heeft. Je kan het zien als een virtuele extra firewall die je beschermt tegen plugins die een beveiligingslek bevatten, maar plugins die je toch nodig hebt omdat ze essentieel zijn voor de werking van je site. Hiervoor geld wel dat het beter is om een plugin met een lek te verwijderen van de website omdat dit nog steeds een risico vormt.

Je WordPress website goed beveiligen

Ben je klaar voor de volgende stap of heb je na het lezen van onze uitleg nog vragen? Stuur dan een bericht en laat het ons weten. Hulp nodig bij het beveiligen van je WordPress site of het bij het opschonen van een gehackte website? Gebruik het formulier hieronder.

E-mails over Wachtwoord resetten

Beste,

Ik Ontvang om.de haverklap onderstaande mail. Wat kan ik hieraan doen?

Probeert iemand mijn site te hacken?

Van: WordPress <[email protected]>

Datum: 

Aan: 

Onderwerp: [site naam] Wachtwoord resetten

Iemand heeft verzocht om het wachtwoord van het volgende account opnieuw in te stellen:

Sitenaam: 

Gebruikersnaam: 

Als dit een vergissing was, kun je deze e-mail negeren en zal er niets gebeuren.

Ga naar dit adres om je wachtwoord opnieuw in te stellen:

<http://www.wphelpdesk-voorbeeld.nl/wp-login.php?action=rp&key=>

Rare mailtjes, is mijn WordPress site gehackt?

Ik krijg rare mailtjes dat mijn website gehackt zou zijn, met vooral uitnodiging van vreemde vrouwen. Vreselijk vervelend. Hoe kan ik mijn website beter beveiligen?

Fout: Toegang van jouw IP-adres is geblokkeerd

Ik krijg de melding: “Fout: Toegang van jouw IP-adres is geblokkeerd”

Ik dacht echt de goede gegeven in te typen om weer in mijn website te komen, maar ik kreeg na een paar pogingen dit op mijn scherm:

Fout: Toegang van jouw IP-adres is geblokkeerd voor veiligheidsredenen. Neem contact op met de beheerder.

Hoe neem ik contact op met de beheerder?

WordPress Captcha plugin updaten

In een veel gebruikte ‘Captcha’ plugin voor WordPress is vorige week (december 2017) een ‘backdoor’ gevonden.
Deze ‘backdoor’ (beveiligingslek) is inmiddels opgelost. Je moet daarvoor echter wel de laatste versie van de plugin gebruiken.

Dit updaten is enkel van belang als je een zelf-gehoste WordPress website hebt.
Als je inlogt, kun je vanuit je dashboard de plugins updaten.

De plugin waar het omgaat is Captcha, een uitgebreide omschrijving van het probleem kun je lezen op de website van WordFence.

In de onderstaande afbeelding laten we je de stappen zien die je moet nemen om de plugin te updaten.

stappen plan Captcha plugin update — 1.Ga naar het update scherm
2. selecteer de plugin
3. klik op de knop plugins bijwerken

Wil je dat wij deze en toekomstige (beveiligings) updates voor je uitvoeren?
Neem dan contact met ons op!

Wat is SSL/HTTPS Encryptie? Is dit verplicht voor een WordPress site?

Iedereen die wel eens op het internet zit is het vast al eens tegen gekomen, een groen slotje in de adresbalk al dan niet met de tekst ‘veilig’ erbij.
Misschien ben je het tegen over gestelde ook al eens tegen gekomen, een ‘open slotje’ en de tekst ‘onveilig’ er bij. Hoe onveilig is dit nou écht?

Melding ‘niet veilig’, is mijn site gehacked?

Geen SSL melding in Chrome op pagina met invoervelden — Chrome geeft een melding ‘niet veilig’ op een pagina met wachtwoord veld wanneer die niet over SSL geladen wordt.

Wanneer je de melding in Google Chrome of Firefox ziet die aangeeft dat je website ‘niet veilig’ is betekend dat meestal niet dat de website gehacked is. Deze melding geeft enkel aan dat er is vast gesteld dat je pagina een invul formulier bevat en dat de verbinding niet versleuteld is met een SSL-certificaat.

Wat is een versleutelde verbinding

Wanneer de verbinding beveiligd is met een SSL certificaat dan kan de informatie die jij verzend met een formulier op de website enkel door jou en de ontvangende webserver gelezen worden. Als iemand anders jouw internet verkeer probeert af te luisteren zal die enkel een wirwar van rare codes zien de niet bruikbaar zijn.

Chrome website met SSL — Website met SSL certificaat in Google Chrome

Wanneer de verbinding echter niet beveiligd zou zijn, dan zou in het geval van een login scherm zowel je gebruikersnaam als wachtwoord open en bloot leesbaar zijn. Omdat steeds meer gevoelige informatie over het internet verzonden en uitgewisseld wordt is een beveiligde verbinding over HTTPS door middel van een SSL-certificaat in steeds meer gevallen sterk aan te raden.

Is SSL verplicht?

Volgens de Wet Bescherming Persoonsgegevens(WBP)¹ (Artikel 13) wordt er genoemd dat organisaties en bedrijven “passende technische en organisatorische maatregelen moeten nemen”. Dit is een breed begrip en kan op veel manieren geïnterpreteerd worden. SSL zou je in deze context als één van de technische maatregelen kunnen zien.

Wanneer moet je een SSL certificaat hebben?

Beveiligingsrichtlijn U/WA.05 vanuit Nationaal Cyber Security Centrum (NCSC)

Het Nationaal Cyber Security Centrum (NCSC) heeft een whitepaper ICT-Beveiligingsrichtlijnen (2015) beschikbaar op hun website. Hierin staat onder andere:

De webapplicatie garandeert de betrouwbaarheid van informatie door toepassing van privacybevorderende en cryptografische technieken. ²

Versleutel communicatie. ²

Wat in deze twee punten omschreven staat is het geen wat SSL/HTTPS doet, met het groene slotje in de adresbalk wordt aangegeven dat de verbinding tussen de browser van de gebruiker (jij) en de webserver, waar je website staat versleuteld is.

Wanneer er naast het groene slotje ook nog de naam van het bedrijf vermeld staat betekend dat niet alleen de verbinding tussen jou en de webserver is versleuteld maar dat ook de identiteit van het bedrijf dat het domeinnaam geregistreerd heeft gecontroleerd is door de uitgever van het SSL-certificaat.

Sinds januari 2017 geeft Google Chrome op alle pagina’s die een wachtwoord veld hebben of Credit Card gegevens verzamelen een melding in de adres balk als een SSL-certificaat ontbreekt. Op termijn is Google van plan dit te doen voor alle websites die geen https/ssl gebruiken.

Vanaf Chrome versie 62 (oktober 2017) gaat dit al gelden voor alle websites met invoer velden, dus ook ‘normale’ contact formulieren. Daarnaast is de melding niet veilig standaard voor alle websites zonder SSL wanneer je ‘incognito modus’ gebruikt.

chrome waarschuwingen — Toekomstige waarschuwingen in Google Chrome

Na de wijziging van Chrome volgde Firefox binnen zeer korte tijd, daarnaast heeft Mozilla Firefox dezelfde ambitie uitgesproken om voor alle pagina’s die niet over SSL geladen worden een waarschuwing weer te geven.

Daarnaast wordt per 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van kracht, dit is de Europese wet waarmee een en het zelfde WBP voor alle landen binnen de Europese unie gaat gelden. Met deze wet worden de regels voor organisaties die persoonsgegevens verwerken nog verder aangescherpt.

Zelf wanneer je geen persoonsgegevens verwerkt en enkel een formulier op je website hebt staan is een SSL-certificaat zeer sterk aan te raden, de Chrome en Firefox browsers hebben samen een marktaandeel van bijna 50% met een waarschuwing als ‘niet veilig’ kan je een hoop potentiële klanten afschrikken.

Voor webshops is het al langere tijd verplicht om een SSL-certificaat te gebruiken tijdens het afreken proces³ ⁴.

Logo Autoriteit Persoonsgegevens

Vergis je echter niet; Het installeren van een SSL certificaat zal niet al je problemen met hackers oplossen, het zorgt er alleen voor dat deze gegevens niet meer onderschept kunnen worden op het moment dat deze verstuurd worden. Mocht een hacker toch in je database komen en deze gegevens alsnog op straat komen moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Ook moet je daarnaast kunnen aantonen dat je dan zoveel mogelijk eraan gedaan hebt om dit kunnen voorkomen, een SSL certificaat is hier een (klein) onderdeel van.

Wil je meer weten over de beveiliging van je website en het overzetten naar SSL? Stuur ons dan een bericht via het formulier onderaan deze pagina of email ons op [email protected]

Voordelen van een SSL certificaat

Naast dat een SSL certificaat zorgt voor een veilige verbinding heeft het ook een aantal andere voordelen. Zo heeft het ook een positieve invloed voor je SEO, Google rankt websites met SSL hoger dan een vergelijkbare website zonder SSL.

Door het groene slotje en het woord ‘veilig’ geeft het SSL certificaat een extra indicatie van betrouwbaarheid aan de bezoekers van je website.

Firefox adresbalk geladen over SSL — Adresbalk in Firefox wanneer een pagina over SSL/HTTPS geladen wordt.

Daarnaast wordt met SSL, HTTP/2 ondersteund door meer browsers⁵. Als ook je webhost HTTP/2 ondersteund dan kan je website een verbetering in laadtijd zien (mits juist geoptimaliseerd⁶).

Voor sommige functionaliteiten in de browser is een SSL-certificaat ook vereist, zo kan je wanneer je gebruik maakt van HTTPS ook (mits de gebruiker dit toestaat) toegang krijgen tot de ‘locatie’ van de gebruiker⁷ ⁸ en zou je ze ‘push’-meldingen in de browser kunnen sturen⁹.

Wat zijn de verschillen tussen SSL-Certificaten?

Er zijn een drietal verschillende certificaten, deze worden vaak afgekort als DV, OV, EV.

DV – Domain Validation

Lets Encrypt geeft DV-certificaten uit.

DV staat voor Domain Validation, in het Nederlands Domein Validatie. Dit zijn de meest veelvoorkomende en goedkoopste certificaten, deze zijn tegenwoordig dankzij Let’s Encrypt vaak ook gratis beschikbaar.

De gratis DV certificaten bieden meestal echter geen verzekering, de betaalde DV certificaten wisselen qua verzekeringswaarde tussen de €0 en €500.000,- dit verschilt per uitgever.

Naast de lage kosten van DV certificaten worden deze vaak ook geautomatiseerd geleverd, hierdoor kan je na de aanvraag het certificaat vrijwel direct instellen.

OV – Organization Validation

OV staat voor Organization Validation, in het Nederland Organisatie Validatie. Bij dit certificaat wordt door de uitgever van het certificaat ook het bedrijf achter de website die het certificaat aanvraagt gekeken. Hierbij worden de Kamer van Koophandel inschrijving gecontroleerd en wordt er vaak met het bedrijf gebeld ter verificatie.

De kosten voor deze certificaten zijn een stukje hoger en lopen behoorlijk uit een, de verzekeringswaarde van deze certificaten doet dat overigens ook. Sommige staan garant tot een bedrag van €1,5 miljoen.

Door de controle kan de levering van deze certificaten soms tot wel een week duren.

EV – Extended Validation

EV staat voor Extended Validation, in het Nederlands Uitgebreide Validatie. Bij dit certificaat wordt naast het groene slotje ook de bedrijfsnaam in de adresbalk weergegeven zoals bij grote organisaties vaak te zien is. Bij de uitgebreide validatie wordt naast de controle van het bedrijf ook vaak nog een analoge controle gedaan en dient er in sommige gevallen een contract ondertekend te worden.

EV certificaat in Firefox voorbeeld — Een EV certificaat in Firefox. op de website van Mozilla.org organisatie achter Firefox)

Kosten voor EV certificaten beginnen vaak bij de €100+ en de garantie bedragen lopen op tot 1,75 miljoen bij sommige uitgevers.

Door de uitgebreide controle duurt de levering van deze certificaten vaak wat langer, dit kan soms wel 10 (werk)dagen duren.

Aandachtspunten, over naar HTTPS

Wanneer je van plan bent de overstap te gaan maken is het tijd om hier de voorbereidingen voor te gaan treffen. Hou er rekening mee dat dit behoorlijk wat tijd in beslag kan nemen wanneer je dit gaat doen. Hou er ook rekening mee dat er altijd wat fout kan gaan.
Doe dit ook niet op een vrijdag eind van de middag, als er op dat moment iets fout gaat is de kans groot dat je webhoster of andere professionele ondersteuning niet meer beschikbaar is tot maandag morgen.

Voor

Zorg altijd voor een recente backup van de website, test deze backup ook! Probeer je website eens terug te zetten met enkel deze backup.

Informeer bij je webhosting over de mogelijkheden met betrekking tot een SSL-certificaat. Vraag of ze ook certificaten van Let’s Encrypt aanbieden. Doen ze dit niet, vraag dan welk certificaat ze wel ondersteunen en wat de kosten daarvoor zijn.
Sommige webhosting partijen brengen hier extra (installatie) kosten voor in rekening.

Test of het certificaat goed is ingesteld. Dit kan je zelf eenvoudig testen door https://voorbeeld.nl in te typen, vervang ‘voorbeeld.nl’ door je eigen website adres. Je kan dit ook testen door het adres op deze website van SSLLabs in te voeren.

firefox ssl foutmelding — SSL/HTTPS fout het certificaat is niet geldig of niet juist ingesteld

Wanneer de tekst van je website nu zichtbaar is maar de opmaak heel vreemd, dan is het certificaat goed ingesteld.
Als je een blanco scherm krijgt met een engelse tekst regel die meld dat (in het Engels) dat je een index bestand moet uploaden, dan is het certificaat ook goed ingesteld.
Als je een grote foutmelding krijgt met de melding dat je verbinding niet privé is, dan is het certificaat niet goed ingesteld.

Tijdens

Wanneer het certificaat goed is ingesteld kan je de website gaan ‘overzetten’. Als eerste moet je in de instellingen > algemeen je “WordPress-adres (URL)” en “Siteadres (URL)” moeten wijzigen naar de https:// variant.

Als je dat gedaan hebt zal je waarschijnlijk opnieuw moeten inloggen.

Wanneer je eerder de melding kreeg dat je een index bestand moest uploaden zal je nu de bestanden van je website moeten verplaatsen naar de ‘private directory’.

Als het goed is zou je website nu moeten laden over SSL.

LET OP! Ondanks dat je website nu over SSL geladen wordt zal je nog wel ALLE verwijzingen in je berichten en pagina’s aan moeten passen. Afbeeldingen, links en bestanden in berichten verwijzen nog altijd naar het oude http:// adres.

Als je dit niet doet zullen afbeeldingen niet goed geladen worden. Ook is het soms nodig om aanpassingen te doen in je thema wanneer die nog naar code verwijzen die over http:// wordt ingeladen.

Na

Wanneer je website helemaal functioneert via SSL moeten de bezoekers nog doorverwezen worden en moet je aan de zoekmachine’s laten weten dat alle pagina’s verplaatst zijn naar de https:// variant. Hiervoor kan je een 301-redirect gebruiken, zelf gebruiken we daarvoor de volgende code die we in het .htaccess bestand plaatsen.

RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Deze code verwijst al het verkeer dat op http:// binnenkomt door naar https://

Hulp nodig?

Het overzetten van een WordPress website naar https is behoorlijk complex zijn. Zeker wanneer je dit nog niet vaker gedaan hebt. Als ‘ouwe rotten’ in dit vak hebben we hier veel ervaring mee, we kunnen dit zonder problemen voor je uitvoeren. Vul onderstaand formulier in en wij nemen vandaag nog contact met je op, je kan ons ook bellen op 0900-0279

Autoriteit Persoonsgegevens. (z.j.). Beveiliging van persoonsgegevens. Geraadpleegd van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/beveiliging-van-persoonsgegevens ↩
Nationaal Cyber Security Centrum (NCSC). (2015). ICT-Beveiligingsrichtlijnen voor Webapplicaties (p.18, U/WA.05). Geraadpleegd van https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-webapplicaties/2/ICT%2BBeveiligingsrichtlijnen%2Bvoor%2BWebapplicaties%2B%2B%2BRichtlijnen%2B%2B%2BPrintversie.pdf ↩ ↩
Landeweerd, M. (2012, 12 januari). SSL voor webwinkels verplicht? Geraadpleegd van https://www.webwinkelkeur.nl/ssl-voor-webwinkels-verplicht/ ↩
College Bescherming Persoonsgegevens. (2013). CBP Richtsnoeren BEVEILIGING van persoonsgegevens. Geraadpleegd van https://www.autoriteitpersoonsgegevens.nl/sites/default/files/downloads/rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf ↩
IETF HTTP Working Group. (z.j.). HTTP/2 Frequently Asked Questions. Geraadpleegd van https://http2.github.io/faq/#does-http2-require-encryption ↩
Valk, J. de. (2016, 22 december). Performance optimization in an HTTP/2 world. Geraadpleegd van https://yoast.com/performance-optimization-http2/ ↩
W3schools. (z.j.). HTML5 Geolocation. Geraadpleegd op 8 augustus 2017, van https://www.w3schools.com/html/html5_geolocation.asp ↩
Kinlan, P. (2017, 16 mei). Geolocation API Removed from Unsecured Origins in Chrome 50. Geraadpleegd op 8 augustus 2017, van https://developers.google.com/web/updates/2016/04/geolocation-on-secure-contexts-only ↩
Medley, J. (2017, 14 juni). Web Push Notifications: Timely, Relevant, and Precise. Geraadpleegd op 8 augustus 2017, van https://developers.google.com/web/fundamentals/engage-and-retain/push-notifications/ ↩