Een SSL-certificaat op je WordPress-site: wat het doet en waarom het niet optioneel is
Als je website nog op HTTP draait, toont Chrome al jaren een “Niet veilig”-waarschuwing in de adresbalk. Bezoekers zien dat. En zoekmachines ook. Een SSL-certificaat is al lang geen nice-to-have meer — het is een basisvereiste voor elke serieuze website.
Toch zijn er nog WordPress-sites die zonder draaien, of waarbij SSL wel geïnstalleerd is maar niet goed geconfigureerd. In dit artikel leg ik uit wat SSL precies doet, hoe je het correct instelt in WordPress, en wat de valkuilen zijn.
Wat doet een SSL-certificaat?
SSL staat voor Secure Sockets Layer — een protocol dat de verbinding tussen je server en de browser van je bezoeker versleutelt. Alles wat over die verbinding gaat (formulierdata, logingegevens, betalingsinformatie) is onleesbaar voor wie het probeert te onderscheppen.
In de praktijk zie je SSL terug als het slotje in de adresbalk en als https:// in je URL. Zonder SSL is je verbinding onversleuteld — en dat is zichtbaar voor iedereen op hetzelfde netwerk.
SSL en WordPress: twee dingen die apart moeten worden ingesteld
SSL installeren op je server is één ding. WordPress correct configureren om HTTPS te gebruiken is een tweede. Dat tweede wordt regelmatig vergeten — met als gevolg mixed content-fouten (waarbij sommige elementen nog via HTTP laden) of eindeloze omleidingslussen.
Wat je moet doen na de SSL-installatie: de WordPress-URL bijwerken naar https:// in Instellingen → Algemeen, een redirect instellen van HTTP naar HTTPS (via je .htaccess of een plugin), en mixed content controleren met een tool als Why No Padlock.
Gratis of betaald SSL-certificaat?
Voor de meeste WordPress-sites volstaat een gratis Let’s Encrypt-certificaat, dat via de meeste hostingproviders in een paar klikken te activeren is. Het enige nadeel is dat je het elke 90 dagen moet vernieuwen — maar de meeste goede hosts doen dat automatisch.
Betaalde certificaten (EV of OV) bieden meer verificatie en zijn relevant voor e-commercesites of organisaties die een hogere mate van vertrouwen willen uitstralen. Voor een standaard zakelijke WordPress-site is Let’s Encrypt meer dan voldoende.
Wat SSL niet doet
SSL versleutelt het verkeer tussen server en browser — maar beschermt je site niet tegen hacks, malware of verouderde plugins. Het is één laag van beveiliging, niet de enige. Een site met SSL maar zonder updates, zonder firewall en zonder monitoring is nog steeds kwetsbaar.
Lees ook hoe je je WordPress-site verder beveiligt en waarom beveiligingslogs een onderschat hulpmiddel zijn. En als je wil dat iemand dat allemaal bijhoudt zodat jij er niet aan hoeft te denken: Jouw WP Check is daarvoor opgezet.
Meer over de cruciale rol van regelmatige updates vind je in dit artikel over WordPress-updates.
