Geschreven door: Securityteam

Feature Update: One-Click HTTPS Migration voor WordPress 5.7
welke is te downloaden vanaf 9 maart 2021

Een overview:

WordPress wordt op zo’n 34% van de webservers op wereldwijd niveau gebruikt. (source: Kinsta). Hiermee is het belang van een zo veilig mogelijke configuratie groot, omdat het veel particulieren, zelfstandigen, maar ook bedrijven raakt. WordPress is met een feature gekomen die ervoor zorgt dat de HTTPS functionaliteit voor je website vereenvoudigd kan worden. We laten dit verderop in het artikel zien alsmede andere opties, maar eerst volgt nog even een korte uitleg. 

Geschiedenis (recent):

Firefox 83 introduceerde HTTPS-Only Mode op 17 November 2020 en Google Chrome heeft HTTPS inschakelt sinds het nieuwe jaar (2021). Microsoft Edge laten wij hierbij buiten beschouwing. Wat ik wel kan zeggen is dat Microsoft Edge het aan de website overlaat, anders dan daarover te publiceren. 

Meest gestelde vragen: 

Een aantal vragen die u mogelijk heeft over HTTPS zijn:

  • Waarom doen deze partijen dat?
  • Wat is het nut ervan?
  • En hoe moet ik dat regelen?


Aanleiding:

Waarom deze partijen dat doen, is om u te beschermen. Te lang hebben bekende organisaties aangekeken hoe hun browser functionaliteiten of eigenlijk onveilige wijzen werden misbruikt. Dat doet hun imago geen goed en daarop hebben Firefox en onder andere Chrome besloten om zich te wapenen tegen cybercriminaliteit. En dat doen zij met de HTTPS functionaliteit als standaard in te stellen voor het website gebruik van hun eindgebruikers.

Motivatie:

Eén van de redenen is, dat Criminele Hackers meer moeite moeten doen om een zogenaamde veilige omgeving op zetten. Een certificaat aanmaken kost immers werk. Natuurlijk zijn er methoden om dat automatisch te laten verlopen, maar ook dat moeten de criminelen dan wel regelen. Door deze vereiste als standaard te verplichten (welke wel teruggezet kan worden, vooralsnog), bij de bekende browsers betekent dit onder anders dat het op dit vlak alweer lastiger wordt voor criminelen om een valide website aan te bieden waarop malware staat. Ook malafide e-mails waarop onder water een andere link staat dan verwacht, kan u verleiden doordat de mail vrij echt lijkt om erop te klikken als u het niet valideert. Klikt u regelmatig op links of kent u iemand in uw organisatie die dat veel doet? Kijk dan naar onze diensten als Phishing Simulaties en Klassikale Awareness Trainingen. Wij weten dat dit geen overbodige luxe is voor de meeste organisaties.

HTTPS in een notendop: 

De verbinding tussen gebruiker en de website wordt versleuteld wanneer u een pagina met https:// ervoor bezoekt en het is voor criminele hackers dan ook heel erg moeilijk, eigenlijk onmogelijk is om de communicatie te onderscheppen en te decrypten. Het zorgt er tevens voor dat er niet geknoeid kan worden met de data of de gegevens die u probeert te verzenden. Ook betalingsverkeer wordt hiermee beveiligd. De huidige standaarden voor TLSv1.2 en TLSv1.3 bieden nog meer bescherming daar waar TLSv1.3 efficiënter werkt dan TLSv1.2. Deze settings zijn vaak van toepassing bij het in eigen beheer hebben van webservers en dienen dan als zodanig te worden geconfigureerd door de web- en/of systeembeheerder. Heb je een hosting-provider? Dan wordt dit voor u geregeld. Wel nog een kleine notitie voor de web- en/of systeembeheerders: sluit TLSv1.2 voorlopig nog niet uit van uw configuratie. De onderhandeling van het verkeer wordt mede bepaald door de cliënt-browser en systeeminstellingen van uw gebruikers. Het uitsluiten hiervan betekent dat bepaalde verouderde eindpunten uw website niet kunnen bezoeken. Normaal gesproken regelt de webhosting-provider dit. 

WordPress Feature binnenkort beschikbaar:

In dit overzicht laten wij u verschillende opties zien, maar adviseren wij met name de One-Click HTTPS Migration feature, die u heel makkelijk configureert en kan ingesteld worden in de WordPress 5.7 Update die op 9 maart 2021 uit komt. Daarnaast is het te allen tijde aanbevolen om updates van WordPress z.s.m. te installeren. Mogelijk wilt u nog een backup maken voordat u upgrade, maar updaten in zijn algemeenheid is aanbevolen.

Andere opties zijn plugins o.a. maar deze laten wij buiten beschouwing.

1 Really Simple SSL
2 HTTPS redirection
3 WordPress HTTPS (SSL)
4 Force HTTPS
5 SSL Insecure Content Fixer
6 One Click SSL
7 WC SSL Seal
8 JSM Force SSL
9 Verve SSL
10 SSL Secure Seal For WooCommerce

Informatie over de One-Click HTTPS Migration Feature

Wij gaan hierbij uit van een standaard installatie van wordpress die wij lokaal in een XAMPP omgeving opzetten om de functionaliteit te bespreken. Wilt u ook eerst lokaal testen? Download dan de laatste versie van XAMPP en installeer WordPress hier dan op. Daarvoor zoekt u op de wordpress site naar de WordPress 5.7 RC1 installatie. Let wel, dit is niet de versie die je in productie moet gebruiken. Wacht hiervoor op de officiële berichtgeving of zoek dit op de website van WordPress zelf op de downloadpagina

Bij een installatie van WordPress vind je onder Gereedschap > SiteDiagnose

De instelling om je site te configureren voor HTTPS

Klik op de eerste link in het bericht genaamd: WordPress adres.

Vervolgens kom je op de pagina, die je ook direct kan bereiken op: Instellingen > Algemeen

En vul hier je https adres in:

van:

naar:

Vervolgens klik je helemaal onderaan op:

De website wordt nu omgezet naar een standaard HTTPS verbinding voor je omgeving.

Certificaat error melding:

Wanneer je geen certificaat bij je hostingprovider hebt geïnstalleerd krijg je een not-secure melding vanuit de browser en WordPress geeft aan dat mijn certificaat niet geldig is. Wij komen hier zo dadelijk op terug om u van advies te voorzien.

Browser:

WordPress:

Andere mogelijkheden via een .htaccess file

Om SSL te activeren voor je website is via een zogeheten .htaccess file, welke je in de root van je website directory plaatst. Echter, dit is vaak een stuk foutgevoeliger. Hoe je dit doet is als volgt:

Bestandsnaam: .htaccess (punt.htaccess die je in de top directory van je website plaatst).

  • # HTTP TO HTTPS #
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]</IfModule>


Ik wil dit, maar hoe gaat het bestellen van een certificaat?

Heb je een hosting-provider, maar geen certificaat? Kijk dan vooral op onze website om een ssl certificaat aan te vragen en installeer deze bij je hosting-provider. Ons proces verloopt makkelijk en simpel. Wij refereren hier aan een recente webinar voor het ssl portfoliobeheer om u van informatie te voorzien hoe dit allemaal verloopt. 

Om te valideren om je site voor SSL geschikt is 

En je hebt een certificaat geinstalleerd ga je naar: https://www.networking4all.com/quickscan en voer je je website adres daar in. 

Contact

Heeft u naar aanleiding van deze informatie nog vragen? Neem dan contact met ons op via de volgende mogelijkheden die tevens op onze website staan: https://www.networking4all.com/nl/bedrijf/contact

Telefoonnummer:

+31 (0)20 788 10 30

sales@networking4all.com


Deel artikel via: