WordPress onder HTTPS: een eenvoudig certificaat maakt je pagina's in één klap sneller

Jan Hornung
9 Min.
WordPress  HTTPS: Een eenvoudig certificaat kan uw site enorm versnellen

De misvatting dat HTTPS WordPress traag is, is hardnekkig. In feite is precies het tegenovergestelde waar: dankzij HTTP/2 worden SSL-gecodeerde pagina's soms extreem versneld. En dankzij gratis SSL-certificaten en geïntegreerde installaties was het nog nooit zo eenvoudig om over te stappen WordPress op HTTPS. En dat is een goede zaak, want HTTP-pagina's zullen binnenkort een aantal nadelen moeten accepteren. We laten zien wat de overgang brengt en hoe u met één blik kunt controleren of uw hoster gebruik maakt van HTTP/2.

Vandaag de dag kent vrijwel elke klant en eindgebruiker het verschil tussen versleutelde en niet-versleutelde pagina's. Tenminste op een subjectief niveau: het groene slot geeft gewoon een goed gevoel. Echter, net zo bekend als het positieve effect op het vertrouwen van de bezoekers van de site is de misvatting van SSL, of TLS (de Het verschil uitleggen z. b.v. de collega's van CHIP.de) WordPress vertragen.

En ja, theoretisch is dat ook zo: als een pagina via HTTPS (de beveiligde variant van HTTP) wordt afgeleverd, duurt de verbinding tussen webserver en browser iets langer door de zogenaamde SSL-handshake. Maar we hebben het slechts over een paar milliseconden.

Tegenwoordig gaat het gerucht dat HTTPS WordPress langzamer gaat. In principe komt een SSL-certificaat alleen maar ten goede aan uw site. En aangezien Google binnenkort zal beginnen met het toevoegen van het woord "niet veilig" aan niet-versleutelde pagina's, is het hoog tijd om nu over te stappen op HTTPS.

Ik ga het je vandaag laten zien:

  • Waarom is nu het beste moment om over te stappen WordPress op HTTPS?
  • Hoe over te schakelen WordPress naar HTTPS
  • Waarom HTTP/2 uw WordPress pagina's sneller maakt
  • Welke prestatieverhoging kunt u verwachten voor een WordPress site onder HTTPS
  • Een eenvoudige truc om te detecteren of uw hoster al gebruik maakt van HTTP/2 (wat het zou moeten!)

Het gaat om HTTPS, of het nu WordPress gaat of niet...

Al drie jaar geleden belde Google op zijn ontwikkelaarsconferentie... Google I/O het motto "HTTPS overal". Kortom, de toenmalige Google-ontwikkelaars Pierre Far en Ilja Grigorik namen de knuffels voor het gebruik van TLS (het opvolgingsprotocol van SSL) ter hand en toonden in hun Sessie Er worden onder andere manieren aangegeven om ze uit te voeren.

Een paar weken later, in augustus 2014. HTTPS dan als officieel rangschikkingssignaal opgenomen in de Google-zoekpositie. Google probeert dus al jaren om website-exploitanten zover te krijgen dat ze hun websites naar HTTPS omschakelen door argumenten te gebruiken en feiten te creëren.

Het feit dat Google Chrome binnenkort HTTP-pagina's zal bestraffen met de noot "niet veilig" is zeker te zien als de volgende grote stap in het "HTTPS overal" offensief van Google. In feite is deze hint al weergegeven voor pagina's sinds Chrome versie 56die creditcardgegevens ophalen, bijvoorbeeld. Met de nieuwe versie 62 van de Google-browser wordt deze regel echter toegepast op alle pagina's die klantinvoer mogelijk maken, zoals contactformulieren of zoekvelden.

Wachtwoorden en creditcards zijn niet de enige soorten gegevens die privé moeten zijn. Elk type gegevens dat gebruikers in websites typen mag niet toegankelijk zijn voor anderen op het netwerk, dus vanaf versie 62 toont Chrome de waarschuwing "Niet veilig" wanneer gebruikers gegevens in HTTP-sites typen.

– Emily SchechterChrome Security Team.

Gratis SSL: Nog nooit was het zo handig om over te schakelen WordPress naar HTTPS

Drie jaar geleden, toen de twee Google-ontwikkelaars zich sterk maakten voor TLS, moest je zelf SSL-certificaten kopen en installeren. Dat is sindsdien drastisch veranderd; en ten goede.

In 2016 is het Let's Encrypt-initiatief begonnen met de uitgifte van gratis SSL-certificaten. Dankzij Sponsors Zoals - geen wonder - Chrome, maar ook Facebook en bedrijven uit het WordPress -universum, kunnen Californiërs vandaag de dag bijna 40 miljoen actieve gratis SSL-certificaten aanbieden.

WordPress  HTTPS Laten we de groeicijfers versleutelen. Het aantal actieve certificaten is sinds oktober 2016 bijna verachtvoudigd.
Zoals u kunt zien, is de groei van Let's Encrypt sinds oktober 2016 sterk aangetrokken. Sindsdien is het aantal actieve certificaten bijna verachtvoudigd.

Deze ontwikkeling heeft het ontvangende landschap enorm beïnvloed: gratis SSL-certificaten zijn vandaag de dag standaard en zelfs de opstelling is nu voor elke gebruiker mogelijk dankzij de integratie van installaties met één muisklik.

Vroeger was HTTPS WordPress een echte pijn

Voor de massale verspreiding van gratis SSL-certificaten, ruim twee jaar geleden, was het overstappen van WordPress HTTPS een echte pijnlijke zaak. Vooral voor eigenaren van kleine sites die alleen maar domeingevalideerde certificaten nodig hebben.

Info: Deze soorten SSL-certificaten zijn beschikbaar

  • IT-certificaten: DV staat hier voor Domein Gevalideerd. Een DV-certificaat dient om te controleren of domein en webruimte "bij elkaar horen". Als alles klopt, kunt u ervan uitgaan dat u bij toegang tot het domein echt op de bijbehorende webruimte terechtkomt en niet op een phishingsite. Het setup-proces is hier nog vrij eenvoudig: de domeinbeheerder bevestigt dat hij de juiste rechten heeft over een domein en mag vervolgens zijn pagina dienovereenkomstig versleutelen.
  • OV-certificaten: OV staat voor Organization Validated. Naast de domeinvalidatie garandeert zo'n certificaat dat de pagina die u bezoekt echt behoort tot het bedrijf waarvan u het aanbod wilde bezoeken.
  • EV-certificaten: De zogenaamde Extended Validated Certificates gaan nog een stap verder: hier controleert de certificatie-instelling intensief de bedrijfsdocumenten. In het certificaat is onder andere de rechtsvorm van het bedrijf opgenomen.

Zelfs het opzetten van een eenvoudig DV-certificaat was vroeger een echt pijnpunt voor pagina'WordPress s en is misschien niet haalbaar voor niet-technici. Het proces bestond uit ten minste vier stappen:

  1. Koop een certificaat: Hier had men te maken met het leverancierslandschap en moest men actief prijzen en voorwaarden vergelijken, zelfs voor eenvoudige IT-certificaten. Dit heeft er ook toe geleid dat sommige aanbieders zeer creatieve kenmerken hebben uitgevonden, zoals verzekeringspolissen, om hun producten te differentiëren. In het geval van uitgebreide certificaten wordt hier de validatiestap toegevoegd, d.w.z. het bewijs dat de domeineigenaar ook de bedrijfseigenaar is. Afhankelijk van het certificaat kan dit proces dagen of weken duren.
  2. Zet het certificaat op: De volgende stap was het opslaan van de certificaatinformatie op de webserver. Afhankelijk van de aanbieder was dit min of meer complex. Inmiddels hebben alle hostingproviders echter een min of meer goede workflow gecreëerd die u als gebruiker door het installatieproces leidt.
  3. WordPress bereidt u zich voor op HTTPS: Nadat het certificaat zelf was opgezet, moest de site worden voorbereid op de overgang van HTTP naar HTTPS. Om dit te doen, moest elke database entry en elke bron op de pagina worden geconverteerd naar HTTPS en het resultaat werd vervolgens gecontroleerd op gemengde inhoudelijke fouten.
  4. Configureer Google: Na de omschakeling van de pagina moesten de entiteiten in Google Analytics en in de Google Search Console (voorheen Google Webmaster Tools) worden aangepast.

De ontwikkeling die Let's Encrypt in gang heeft gezet in de richting van gratis IT-certificaten heeft dit proces enorm vereenvoudigd. Veel hosters bieden nu ook een vereenvoudigde installatie aan, waarbij in het beste geval Activeer en stel een certificaat in met één klik en de pagina wordt automatisch overgeschakeld naar HTTPS. Dit is ongeacht of het project een WordPress -project is of niet.

TIP: U dient SSL in te stellen zonder een eenduidige installatie?

Als u pech heeft, biedt uw hoster nog geen vereenvoudigde installatie aan. In dit geval moet u zelf de WordPress instellingen voor HTTPS maken:

Zonder Google geen HTTP/2

Ik heb het al gezegd: Google, als onderdeel van zijn "HTTPS everywhere" offensief, is altijd al geïnteresseerd geweest in het laten draaien van zoveel mogelijk sites met SSL-certificaten. Dit zou de reden kunnen zijn waarom Chrome de officiële sponsor is van Let's Encrypt. De zoekmachinegigant heeft ook een rol gespeeld bij de ontwikkeling van HTTP/2.

Omdat het vorige protocol, SPDYwerd voor het eerst ontwikkeld als een experiment door Google om de technische mogelijkheden te onderzoeken waarmee het bijna oude HTTP/1 kon worden verbeterd. Dat was in 2009. In 2015 gingen de bevindingen van het experimentele SPDY-project naar de Gestandaardiseerd HTTP/2-protocol via.

Dit is de reden waarom HTTP/2 uw WordPress pagina's sneller maakt

HTTP/2 is uitgerust met een schat aan nieuwe functies die een veel snellere gegevensoverdracht mogelijk maken:

  • Multiplexing: Met deze functie kunnen verschillende gegevensstromen worden geladen via een verbinding tussen webserver en client (d.w.z. de browser van de bezoekers van uw site). Bij HTTP/1 moet voor elke datastroom een aparte verbinding worden geopend. En het openen van deze verbindingen kost tijd.
  • Kopcompressie: Elke HTTP-verzoek dat een client aan een webserver doet, bevat meta-informatie zodat de pagina correct kan worden ingesteld. Deze meta-informatie is in de loop der jaren gegroeid. HTTP/2 comprimeert deze informatie en slaat zo het datavolume op.
  • Server Push: Soms ook wel cache-push genoemd. Het principe achter deze functie is zeer eenvoudig: de overgrote meerderheid van de verzoeken aan een site zijn zeer gelijkaardig. Als uw webserver het typische belpatroon herkent, bijvoorbeeld voor uw homepage, dan stuurt de server alle informatie die hij nodig heeft om de pagina op te bouwen naar de browser zonder dat er gevraagd wordt. Op deze manier hoeft de browser aanzienlijk minder HTTP-verzoeken aan de server te doen. Hierdoor wordt de pagina sneller opgebouwd.

Nou, dat klinkt allemaal best aardig in theorie. Maar wat betekent het in de praktijk? De testpagina HTTPS vs. HTTP laat op indrukwekkende wijze zien hoe groot het verschil is tussen de twee protocolgeneraties.

In een vergelijking tussen HTTPS en HTTP kan HTTPS veel sneller zijn.
In een van onze tests toonde de HTTP/1- versus HTTP/2-test verschillen in laadtijd zoals dag en nacht. De HTTP-variant van de test was 914 procent langzamer dan de HTTP/2-variant. Dit zijn goede voortekenen om uw pagina'WordPress s om te schakelen naar HTTPS.

Natuurlijk is het vooral interessant om te zien hoe deze nieuwe functies de laadtijd van uw pagina's in de echte wereld beïnvloeden. Als uw pagina op een HTTP/2-server draait, kunt u het eenvoudigweg aan uw hoster vragen (of u kunt het zelf uitzoeken via deze eenvoudige truc). Op voorwaarde natuurlijk WordPress dat het onder HTTPS werkt.

De zuurtest: HTTPS is 45 procent sneller WordPress in de tests

Laten we aan de slag gaan: Welke prestatieverhoging kan realistisch gezien worden verwacht van een conversie van een WordPress pagina naar HTTPS? Omdat een afgewerkte pagina niet de 914 procent zal tonen die zojuist is gemeten. Daarom hebben we het geheel getest met onze homepage. Dat betekent dat we raidboxes.de een keer met en een keer zonder HTTPS hebben getest.

WordPress  HTTPS zonder SSL duurt RAIDBOXES  meer dan 5 seconden om te laden
WordPress  HTTPS met SSL heeft RAIDBOXES  slechts 3 seconden nodig om te laden
De eigenlijke test werd gedaan met Webpagetest. De laadtijd van een kloon werd gemeten door raidboxes.de via een nederlandse testserver. In totaal zijn voor elk van de HTTPS- en HTTP-varianten zeven opeenvolgende tests uitgevoerd en zijn de resultaten gemiddeld. Belangrijk: De pagina toont een zeer slechte prestatiescore. Dit komt omdat bepaalde middelen alleen onder het juiste domein van de site werken. De laadtijd is daarom de enige doorslaggevende factor voor de vergelijking.

De test toont aan: Een exemplaar van onze homepage is met HTTPS in één klap 45 procent sneller. Onze uitgebreide test met zeven opeenvolgende tests van Duitse servers laat vergelijkbare resultaten zien.

Life-Hack voor webmasters: Zo kunt u in één oogopslag zien of uw host gebruik maakt van HTTP/2

En omdat HTTPS uw WordPress -WordPress projecten die handige prestatieboost geeft, is het nog belangrijker om te weten of uw hoster gebruik maakt van HTTP/2. Natuurlijk kunt u in de support gewoon vragen, maar er is ook een methode waarmee u in één oogopslag kunt zien of uw site, of een andere site die u aan het testen bent, profiteert van HTTP/2.

U heeft maar één ding nodig: een watervaldiagram van uw site. U maakt dit door de laadtijd te meten met de gereedschappen Webpagina test, Koninkrijk of GTmetrix. Voer gewoon de te testen URL in en voer de test uit. Voor deze truc maakt het niet uit van waar en met welke specificaties de test wordt uitgevoerd.

In het voltooide watervaldiagram hoeft u nu alleen nog maar te letten op het feit of individuele verzoeken gelijktijdig of uitsluitend chronologisch worden geladen. Als ze tegelijkertijd worden geladen, zal uw pagina gebruik maken van HTTP/2.

WordPress  HTTPS vs WordPress  HTTP
Zoals u kunt zien, worden de individuele verzoeken chronologisch, d.w.z. na elkaar, in de linker versie (HTTP) geladen. In de juiste versie (WordPress met HTTPS) worden alle aanvragen gelijktijdig geladen.

Als u HTTPS op uw WordPress -WordPress projecten hebt geactiveerd en de aanvragen niet parallel worden geladen, dient u dringend contact op te nemen met uw hoster 😉.

Conclusie: HTTPS als kans voor uw WordPress projecten

Onlangs is Google begonnen met het verzenden van eerste waarschuwingsmails naar exploitanten van HTTP-pagina's. Want vanaf versie 62 worden de Chrome Browser-pagina's die gebruikersinvoer mogelijk maken, gemarkeerd met "niet veilig".

WordPress  HTTPS Voorbeeld van een HTTP-pagina in de nieuwe Chrome versie 62
De adresbalk van de collega's van t3n zou er bijvoorbeeld zo uitzien als Chrome op alle HTTP-pagina's het bericht "Niet veilig" zou weergeven.

Dit betekent in principe dat elke HTTP-pagina met een contactformulier of commentaarfunctie door Google wordt gebrandmerkt. Gelukkig is het nog nooit zo eenvoudig geweest als vandaag om je eigen WordPress pagina's om te schakelen naar HTTPS: SSL-certificaten zijn meestal gratis en één-klik-installaties besparen veel werk tijdens de installatie en laten zelfs minder technisch ervaren webmasters toe om de wijziging door te voeren. En onze test toont aan: zelfs met een minder geoptimaliseerde site kan men WordPress extreem profiteren van HTTPS en gewoon veel sneller laden.

In het beste geval is er maar één klik nodig. Dus als u nog steeds pagina's onder HTTP draait, kunnen we u alleen maar sterk adviseren om te switchen.

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een commentaar

Uw e-mail adres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met * gemarkeerd.