WordPress onder HTTPS: een eenvoudig certificaat maakt je pagina's in één klap sneller

Jan Hornung Laatst bijgewerkt op 21.10.2020
9 Min.
WordPress  HTTPS: een eenvoudig certificaat kan uw site enorm versnellen

Er bestaat een hardnekkige misvatting dat HTTPS WordPress traag maakt. In feite is het tegendeel waar: dankzij HTTP/2 worden SSL-gecodeerde pagina's soms extreem versneld. En dankzij gratis SSL-certificaten en geïntegreerde installaties is het nog nooit zo eenvoudig geweest om WordPress over te schakelen op HTTPS. En dat is maar goed ook, want HTTP-pagina's zullen binnenkort met een aantal nadelen te maken krijgen. Wij tonen u wat de overstap inhoudt en hoe u met één blik kunt controleren of uw hoster HTTP/2 gebruikt.

Vandaag kent elke klant en eindgebruiker het verschil tussen geëncrypteerde en niet-geëncrypteerde pagina's. Tenminste op een subjectief niveau: Het groene slot geeft gewoon een goed gevoel. Maar net zo bekend als het positieve effect op het vertrouwen van sitebezoekers is de misvatting dat SSL, of TLS (leg het verschil uit), gecodeerd is. verschil bijv. de collega's van CHIP.de) maken WordPress traag.

En ja, theoretisch is dit waar: als een pagina wordt afgeleverd via HTTPS (de beveiligde variant van HTTP), dan duurt de verbinding tussen de webserver en de browser iets langer vanwege de zogenaamde SSL-handshake. Maar we hebben het hier maar over een paar milliseconden.

Tegenwoordig kun je gerust spreken van een gerucht dat HTTPS vertragend werkt op WordPress . In principe brengt een SSL-certificaat uw site alleen maar voordelen. En aangezien Google binnenkort onversleutelde pagina's zal gaan markeren met de toevoeging "niet veilig", is het hoog tijd om nu uw eigen site om te zetten naar HTTPS.

Ik zal het je vandaag laten zien:

  • Waarom nu het beste moment is om WordPress over te schakelen op HTTPS
  • Hoe WordPress overschakelen naar HTTPS
  • Waarom HTTP/2 uw WordPress pagina's sneller maakt
  • Wat voor prestatieverbetering kunt u verwachten voor een WordPress site onder HTTPS
  • Een eenvoudige truc om te zien of uw hoster al HTTP/2 gebruikt (wat het geval zou moeten zijn!)

Alles draait om HTTPS, of het nu WordPress is of niet

Al drie jaar geleden riep Google op zijn ontwikkelaarsconferentie Google I/O Google riep het motto "HTTPS everywhere" uit. Kort samengevat namen de toenmalige Google-ontwikkelaars, Pierre Far en Ilja Grigorik, het op voor het gebruik van TLS (de opvolger van SSL) en demonstreerden in hun zitting onder andere, manieren om het uit te voeren.

Slechts een paar weken later, in augustus 2014, werd de HTTPS werd toen opgenomen als een officieel ranking signaal in de Google zoekresultaten. Google probeert dus al jaren om websitebeheerders ertoe te bewegen hun websites over te schakelen op HTTPS door argumenten te gebruiken en feiten te creëren.

Het feit dat Google Chrome binnenkort HTTP-pagina's zal bestraffen met een "niet veilig"-melding kan zeker worden gezien als de volgende grote stap in Google's "HTTPS everywhere"-offensief. In feite is deze aankondiging al wordt sinds Chrome versie 56 weergegeven voor pagina'sdie kredietkaartinformatie opvragen, bijvoorbeeld. Met de nieuwe versie 62 van de Google-browser wordt deze regel echter toegepast op alle pagina's die invoer van de klant toelaten, zoals contactformulieren of zoekvelden.

Wachtwoorden en kredietkaarten zijn niet de enige soorten gegevens die privé moeten zijn. Alle soorten gegevens die gebruikers in websites typen, mogen niet toegankelijk zijn voor anderen op het netwerk. Daarom geeft Chrome vanaf versie 62 de waarschuwing 'Niet veilig' weer wanneer gebruikers gegevens in HTTP-sites typen.

- Emily Schechter, Chrome Beveiligingsteam

Gratis SSL: Nooit eerder was de situatie zo gunstig om WordPress over te schakelen op HTTPS

Drie jaar geleden, toen de twee Google-ontwikkelaars hun pleidooi voor TLS hielden, moest je nog SSL-certificaten kopen en die zelf installeren. Dat is sindsdien drastisch veranderd, en ten goede.

In 2016 is het Let's Encrypt-initiatief gestart met de uitgifte van gratis SSL-certificaten. Dank aan sponsors zoals Chrome, maar ook Facebook en bedrijven uit het WordPress universum, kunnen de Californiërs nu bijna 40 miljoen actieve gratis SSL-certificaten aanbieden.

WordPress  HTTPS Let's Encrypt groeicijfers. Sinds oktober 2016 is het aantal actieve certificaten bijna verachtvoudigd.
Zoals u kunt zien, is de groei van Let's Encrypt sterk aangetrokken sinds oktober 2016. Sindsdien is het aantal actieve certificaten bijna acht keer zo groot geworden.

Deze ontwikkeling heeft een enorme impact gehad op het hostinglandschap: gratis SSL-certificaten zijn nu standaard en zelfs installatie is nu voor elke gebruiker mogelijk dankzij de integratie van installaties met één klik.

In het verleden was HTTPS een echt pijnpunt voor WordPress .

Vóór de massale verspreiding van gratis SSL-certificaten een goede twee jaar geleden, was het overschakelen van WordPress naar HTTPS een echte pijn. Vooral voor eigenaren van kleine sites die alleen certificaten met domeinvalidatie nodig hebben.

Info: Deze soorten SSL-certificaten zijn beschikbaar

  • DV-certificaten: DV staat voor Domain Validated. Een DV-certificaat wordt gebruikt om te controleren of domein en webruimte "bij elkaar horen". Als alles in orde is, kunt u ervan uitgaan dat wanneer u het domein bezoekt, u ook echt op de bijbehorende webruimte terechtkomt en niet op een phishing-site. Het instellingsproces is hier nog vrij eenvoudig: De domeinbeheerder bevestigt dat hij de juiste rechten heeft over een domein en kan dan zijn pagina dienovereenkomstig coderen.
  • OV Certificaten: OV staat voor Organisatie Gevalideerd. Naast domeinvalidatie garandeert een dergelijk certificaat dat de pagina die u bezoekt werkelijk toebehoort aan het bedrijf waarvan u de offerte wilde opvragen.
  • EV-certificaten: De zogenaamde Extended Validated Certificates gaan nog een stap verder: hier controleert de certificatie-instelling de bedrijfsdocumenten intensief. In het certificaat wordt onder meer de rechtsvorm van de vennootschap vermeld.

Zelfs het instellen van een eenvoudig DV-certificaat was vroeger een hele klus voor WordPress sites en misschien zelfs niet haalbaar voor niet-technische mensen. Het proces bestond uit ten minste vier stappen:

  1. Koop een certificaat: Hier moest u naar het aanbiederslandschap kijken en actief prijzen en voorwaarden vergelijken, zelfs voor eenvoudige DV-certificaten. Dit heeft er ook toe geleid dat sommige aanbieders zeer creatieve kenmerken, zoals verzekeringen, hebben bedacht om hun producten te differentiëren. Met uitgebreide certificaten komt hier de validatiestap - bewijzen dat u, de domeineigenaar, ook de bedrijfseigenaar bent. Afhankelijk van het certificaat kan dit proces dagen of weken duren.
  2. Stel een certificaat op: De volgende stap was het opslaan van de certificaatinformatie op de webserver. Afhankelijk van de verstrekker was dit meer of minder tijdrovend. Maar intussen hebben alle hostingproviders eigenlijk een min of meer goede workflow gecreëerd die u als gebruiker door het setup-proces leidt.
  3. BereidWordPress voor op HTTPS: Nadat het certificaat zelf was ingesteld, moest de site worden voorbereid op de overschakeling van HTTP naar HTTPS. Om dit te doen, moest elke invoer in de database en elke bron op de pagina worden geconverteerd naar HTTPS en moest het resultaat vervolgens worden gecontroleerd op fouten in gemengde inhoud.
  4. Configureer Google: Na de conversie van de site moesten de entiteiten in Google Analytics en in de Google Search Console (voorheen Google Webmaster Tools) nog worden aangepast.

Door de door Let's Encrypt geïnitieerde ontwikkeling van de gratis DV-certificaten is dit proces enorm vereenvoudigd. Veel hosters bieden nu ook een vereenvoudigde installatie aan, waarbij in het beste geval met één klik een certificaat wordt geactiveerd en ingesteld en de site automatisch op HTTPS wordt overgeschakeld. En dit staat los van de vraag of het een WordPress -project is of niet.

TIP: SSL instellen zonder een één-kliks installatie?

Als u pech hebt, biedt uw hoster nog geen vereenvoudigde installatie aan. Dan moet je de WordPress -sided instellingen voor HTTPS zelf doen:

Geen HTTP/2 zonder Google

Ik heb het al gezegd: Google is er altijd in geïnteresseerd geweest om zoveel mogelijk sites met SSL-certificaten te laten werken, als onderdeel van zijn "HTTPS everywhere"-offensief. Dit is waarschijnlijk ook de reden waarom Chrome een officiële sponsor is van Let's Encrypt. De zoekmachinegigant was ook sterk betrokken bij de ontwikkeling van HTTP/2.

Omdat het voorganger protocol, SPDYwerd aanvankelijk door Google ontwikkeld als een experiment om de technische mogelijkheden te onderzoeken waarmee het bijna antieke HTTP/1 kon worden verbeterd. Dat was in 2009. In 2015 werden de bevindingen van het experimentele SPDY-project vervolgens opgenomen in het gestandaardiseerd HTTP/2-protocol.

Dit is de reden waarom HTTP/2 uw WordPress pagina's sneller maakt

HTTP/2 is uitgerust met een schat aan nieuwe functies waarmee gegevens vele malen sneller kunnen worden overgedragen:

  • Multiplexing: Met deze functie kunnen meerdere verschillende datastromen over één verbinding tussen de webserver en de client (d.w.z. de browser van de bezoekers van uw site) worden geladen. Met HTTP/1 moet voor elke gegevensstroom een aparte verbinding worden geopend. En het openen van deze verbindingen kost tijd.
  • Header compressie: Elk HTTP-verzoek dat een client aan een webserver doet, bevat meta-informatie, zodat de pagina goed kan worden opgebouwd. Deze meta-informatie is in de loop der jaren steeds omvangrijker geworden. HTTP/2 comprimeert deze informatie en bespaart dus datavolume.
  • Server Push: Soms ook wel cache push genoemd. Het principe achter deze functie is heel eenvoudig: De overgrote meerderheid van de verzoeken aan een pagina lijken sterk op elkaar. Als uw webserver het typische verzoekpatroon herkent, bijvoorbeeld voor uw startpagina, dan stuurt de server alle informatie die hij nodig heeft om de pagina op te bouwen ongevraagd naar de browser. Op deze manier hoeft de browser veel minder HTTP-verzoeken aan de server te doen. Hierdoor wordt de pagina sneller geladen.

Dus, dat klinkt allemaal heel mooi in theorie. Maar wat betekent dit in de praktijk? De testpagina HTTPS vs. HTTP laat op indrukwekkende wijze zien hoe groot het verschil tussen de twee protocolgeneraties is.

In een vergelijking tussen HTTPS en HTTP, kan HTTPS veel sneller zijn.
In een van onze tests toonde de HTTP/1 vs. HTTP/2 test verschillen in laadtijd als dag en nacht. De HTTP-variant van de test was 914 procent langzamer dan de HTTP/2-variant. Dit zijn goede voortekenen voor de conversie van uw WordPress pagina's naar HTTPS.

Wat natuurlijk het interessantst is, is hoe deze nieuwe functies de laadtijd van uw pagina's in de echte wereld zullen beïnvloeden. Om te weten te komen of uw site op een HTTP/2-server draait, kunt u het gewoon aan uw hoster vragen (of het zelf te weten komen met deze eenvoudige truc). Op voorwaarde natuurlijk dat WordPress onder HTTPS draait.

De lakmoesproef: HTTPS maakt WordPress 45 procent sneller in de test

Maar laten we nu overgaan tot de kern van de zaak: Welke prestatieverbetering kunt u realistisch gezien verwachten van het converteren van een WordPress site naar HTTPS? Omdat een afgewerkte pagina niet de zojuist gemeten 914 procent zal laten zien. Daarom hebben we de hele zaak getest met onze homepage. Dat wil zeggen dat we raidboxes.de een keer met en een keer zonder HTTPS hebben getest.

WordPress  HTTPS zonder SSL heeft RAIDBOXES meer dan 5 seconden nodig om te laden
WordPress  HTTPS met SSL heeft RAIDBOXES slechts 3 seconden nodig om te worden geladen.
We hebben de eigenlijke test uitgevoerd met Webpagetest. De laadtijd van een kloon van raidboxes.de is gemeten via nederlandse testserver. In totaal werden zeven opeenvolgende tests uitgevoerd voor de HTTPS- en HTTP-varianten en de resultaten werden gemiddeld. Het is belangrijk op te merken: de site laat een zeer slechte prestatiescore zien. Dit komt omdat bepaalde bronnen alleen werken onder het juiste domein van de pagina. Daarom is alleen de laadtijd doorslaggevend voor de vergelijking.

De test toont aan: een kopie van onze homepage wordt in één klap 45 procent sneller met HTTPS. Onze gedetailleerde test met zeven opeenvolgende tests van Duitse servers laat vergelijkbare resultaten zien.

Life hack voor webmasters: Zo weet u in één oogopslag of uw hoster HTTP/2 gebruikt

En omdat HTTPS uw WordPress -WordPress projecten die handige prestatieboost geeft, is het des te belangrijker dat u weet of uw host HTTP/2 gebruikt. U kunt het natuurlijk gewoon aan de support vragen, maar er is ook een manier om in één oogopslag te zien of uw site, of een andere site die u aan het testen bent, baat heeft bij HTTP/2.

Hiervoor heb je maar één ding nodig: een watervaldiagram van je pagina. U kunt dit maken door de laadtijd te meten met de hulpmiddelen Webpagetest, Pingdom of GTmetrix. Voer gewoon de te testen URL in en laat de test lopen. Voor deze truc maakt het overigens niet uit van waar en met welke specificaties de test wordt uitgevoerd.

In het voltooide watervaldiagram hoeft u er nu alleen nog maar op te letten of afzonderlijke verzoeken gelijktijdig of uitsluitend chronologisch worden geladen. Als ze gelijktijdig worden geladen, gebruikt uw pagina HTTP/2.

WordPress  HTTPS vs WordPress  HTTP
Zoals u kunt zien, worden de afzonderlijke verzoeken in de linker versie (HTTP) chronologisch geladen, d.w.z. de ene na de andere. In de juiste versie (WordPress met HTTPS) worden alle verzoeken gelijktijdig geladen.

Als je HTTPS hebt ingeschakeld op je WordPress -WordPress -projecten en de verzoeken worden niet parallel geladen, moet je dringend contact opnemen met je hoster 😉

Conclusie: HTTPS als kans voor uw WordPress projecten

Onlangs is Google begonnen met het versturen van de eerste waarschuwingsmails aan beheerders van HTTP-pagina's. Vanaf versie 62 zal de Chrome-browser pagina's die gebruikersinvoer toestaan, voorzien van de melding "niet beveiligd".

WordPress  HTTPS Voorbeeld van een HTTP-pagina in de nieuwe Chrome-versie 62
Zo zou de adresbalk van onze collega's bij t3n er bijvoorbeeld uitzien als Chrome voor alle HTTP-pagina's de melding "Niet veilig" zou weergeven.

Dit betekent in principe dat elke HTTP-pagina met contactformulier of commentaarfunctie door Google wordt gebrandmerkt. Gelukkig is het nog nooit zo eenvoudig geweest als vandaag om uw eigen WordPress pagina's om te zetten naar HTTPS: SSL-certificaten zijn meestal gratis en installaties met één klik besparen een hoop werk tijdens de installatie en maken het zelfs voor minder technisch onderlegde webmasters mogelijk om over te schakelen. En onze test toont aan: zelfs met een minder geoptimaliseerde site kan WordPress extreem profiteren van HTTPS en laadt het gewoon veel sneller.

In het beste geval is er maar één klik nodig. Dus als u nog steeds sites onder HTTP draait, kunnen we u alleen maar sterk aanraden om over te stappen.

RAIDBOXER van het eerste uur en Head of Support. Bij Bar- en WordCamps praat hij het liefst over PageSpeed en website-performance. De beste manier om hem om te kopen is met een espresso - of Beierse Brezel.

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.