Je wordpress site naar https overzetten

Het web wordt met de dag onveiliger. Daarom lopen er ook grootschalige acties, zoals Letsencrypt, om alle website-eigenaren over te halen de site op https over te zetten. Dit houdt in:

  • de verbinding wordt versleuteld met een cryptografische sleutel, verstopt in een certificaat.
  • door die versleuteling kan je verkeer met de site niet (zo makkelijk) worden afgeluisterd. Met brute-force technieken is AES-128 weliswaar niet gekraakt, maar academische studies laten zien dat er wel andere manieren zijn om binnen te komen. Toch maar versleutelen, ondanks dat. Want 99% van de hackers hou je er wel mee weg.
  • je bent er ook van verzekerd dat de site niet tijdens het transport naar jou toe, nog even wordt veranderd door iemand die een router onderweg heeft gehacked. En trouwens, die routers maken dit jaar geen reclame voor zichzelf: het ene na het andere veiligheidslek.

Hoe werkt het ?

Er zijn heel veel manieren om de versleuteling voor elkaar te krijgen. De volgende methode is één van de makkelijkste. We maken een ssl verbinding mogelijk via service-provider Cloudflare. Je hoeft hierbij alleen maar wat online te klikken. Je hoeft niet zelf met sleutels of certificaten te slepen, of een root account op je server te hebben. Je moet wel bij de DNS instellingen van je domein-boer kunnen.

We lopen eerst even in hoofdlijnen door de stappen heen, voordat we ze in detail uitleggen.

  1. Maak een account bij Cloudflare.com. Voor deze setup heb je het free (gratis) plan nodig.
  2. Voeg het domein toe bij Cloudflare.
  3. Meldt bij je DNS-provider dat je de DNS-servers van Cloudflare gaat gebruiken.
  4. Wacht tot het DNS over is naar Cloudflare. Je kunt dan https voor je site typen en dat werkt dan.
  5. Voeg 2 plugins toe aan je WordPress installatie. Nog niet activeren.
  6. Als de site half door komt maar tekst, opmaak of plaatjes vallen weg, dan gaan we dat oplossen.
  7. Activeer de plugins in WordPress
  8. Maak een page rule aan bij Cloudflare
  9. Enjoy!

Stap 1. Een Cloudflare account

Ga naar https://www.cloudflare.com/ en maak een account. Voor elk domein dat je wilt overzetten heb je een “free plan” nodig. Je hebt maar een klein gedeelte van het gratis pakket nodig. Handig is dat, als je “under attack” komt te liggen, je makkelijk kunt opschalen naar extra bescherming. De attack–bescherming, dat is waar we Cloudflare immers van kennen.

Een klein nadeel is dat dit een Amerikaanse partij is. Wettelijk gezien moeten zij ook klantgegevens overleggen. Er is vast een betere, nog meer privacy-aware mogelijkheid om HTTPS SSL te activeren. Dit was de makkelijkste, nietwaar!

Stap 2. Voeg het domein toe op Cloudflare

In een aantal stapjes zullen we de site toevoegen aan je Cloudflare dashboard.

Eerst, klik Add Site in de bovenbalk
Geen http:// nodig.
Ze gaan je DNS opvragen. Zeg Next.
Purchase het Free Plan

Ga bij Cloudflare door tot je het volgende scherm ziet. Je moet dan je DNS servers aanpassen bij je ISP.

Neem de juiste DNS servers mee naar uw huidige DNS-ISP

Stap 3. De DNS Servers aanpassen

We gaan Cloudflare de macht geven over ons DNS. Zou je dat nu wel doen? Net zo gemakkelijk!

Ga naar het controlepaneel van je internet-provider die je DNS host. Meestal is dat dezelfde als die je website host. Vrijwel alle ISP’s bieden dit aan. Zo niet, dan kun je het beste eerst een andere optie proberen om HTTPS / SSL actief te krijgen. Verhuizen van aanbieder voor deze ene optie, zou ik zelf niet zomaar doen.

Ik gebruik transip.nl voor DNS-registratie omdat ze snel en goed zijn – de prijzen zijn overal even laag. Na aanpassing zien de DNS-servers voor Maassluis.online er zo uit:

Stap 4. Wachten.

Ga nu weer naar het Dash van Cloudflare. Knop Continue. Je DNS is nu aan het verhuizen.

Je DNS kan tot 24 moeten wachten op updates. Check maximaal 1x per uur de status. Je kunt pas verder als deze actie is voltooid.

Als de status Active is, kun je weer verder. Kijk ook naar dat SSL: Flexible. Dat is goed.

Als de Status Active is, kun je door. Check dat je SSL op Flexible staat. Zo niet, ga naar Crypto en dan, in de Sectie SSL, kies Flexible.

 

5. Voeg 2 plugins toe

Log in op het Dashboard van je website – het WordPress beheerpaneel.

De plugin Really Simple SSL van Rogier Lankhorst kun je vinden met de zoekterm Really simple. Installeer, maar activeer nog niet.

Als tweede installeren we de plugin Cloudflare Flexible van iControlWP. Hoewel de versiedatum anders doet vermoeden werkt het ding prima. Installeren, nog niet activeren.

 

Stap 6. Test https

Bezoek nu je site met

https://

in de adresbalk. Als alle delen werken, tekst, vormgeving en afbeeldingen, kun je er vanuitgaan dat alles werkt. Als de site half doorkomt – wel tekst maar een vage opmaak heeft of weggevallen plaatjes – dan moeten in links, includes / embeds en andere codes waar http staat, worden omgezet naar https. Met de hand of lekker vanzelf met de SSL Insecure Content Fixer Plugin.

Stap 7. Activeer de plugins

Activeer eerst de Cloudflare Flexible en dan Really Simple SSL. Deze laatste vraagt om een reload over https. Doen !

Na het activeren van de plugins heb je een groen slotje, want je draait nu op het SSL certificaat van Cloudflare.

Een groen slotje betekent geldig ssl certificaat.

8. Maak een Page Rule

Nu werkt https maar http werkt ook gewoon. Net wat je intypt. Het is handig om bezoekers te “forceren” naar https te gaan. Dat laat je over aan Cloudflare.

Ga naar Page Rule in de bovenbalk. Type het http adres en voeg de setting toe: always use https.

9. Testen!

En Klaar. veel plezier.

Credits

Concept: Donovan van System CSL. Kopie. Realisatie: Barry Voeten