14 berichten aan het bekijken - 1 tot 14 (van in totaal 14)
  • Q:

    Bijdrager
    koen

    Van http -> https?

    Hoe verander ik de url van een website die ik beheer zodat het begint met https ipv http?


    Bijdrager
    TheBigZ

    Bijdrager
    Ree

    Dat is een simpele vraag, maar zonder simpel antwoord.

    De meeste websites zijn PHP gebaseerd, en geserveerd met Apache. Geldt dat voor jou ook?

    Zo ja:

    1: zorg voor een valide SSL certificaat.
    Sommige hosters hebben de mogelijkheid van Let’s Encrypt (zoals TheBigZ adviseert) ingebouwd in het control panel. DirectAdmin bijvoorbeeld heeft ingebouwde ondersteuning daarvoor.
    Alternatief is een gekocht SSL certificaat, meestal heb je voor een paar euro per jaar al een SSL certificaat.

    2: configureer je website voor gebruik van https.
    In WordPress (bijvoorbeeld) doe je dat via Instellingen > Algemeen

    3: zoek-en-vervang in je database http://www.domein.nl met https://www.domein.nl
    Dit klinkt eenvoudig, maar de meeste frameworks slaan gegevens geserialiseerd op en dan kun je niet zomaar zoek-en-vervang doen.
    Gebruik een tool hiervoor. Wij gebruiken (zeer regelmatig) dbSearchReplace2 van interconnet/it, en inderdaad, we gebruiken de OUDE versie 2 omdat dat een single-file is. plaatsen, aanroepen, gebruiken en weggooien.

    tip: zoek en vervang niet alleen http://www.domein.nl, maar ook http://domein.nl:)

    4: plaats hetvolgende stukje bovenin je .htaccess bestand:

    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteCond %{REQUEST_METHOD} GET
    RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NC,QSA]

    Dit redirect alle GET requests naar https, maar laat POST-requests met rust (een POST request kun je niet redirecten zonder verlies van POST-data, vandaar)

    veel succes!

    • Deze reactie is gewijzigd 11 maanden, 1 week geleden door  Ree. Reden: Vergeten: htaccess regels

    Bijdrager
    koen

    Tof, bedankt voor de uitleg! Ik ga eens verder lezen(y)


    Bijdrager
    polansky

    Wanneer je WordPress gebruikt kan het allemaal veel eenvoudiger en hoef je niet in je database of in je .htaccess bestand te gaan klooien.

    Installeer de ‘Really Simple SSL’ plugin -> activeer en je bent klaar. Eenvoudiger kan bijna niet.

    In dat geval hoef je dus alleen te zorgen voor een valide certificaat.


    Bijdrager
    Ree
    polansky op 13 juni 2017

    … Installeer de ‘Really Simple SSL’ plugin -> activeer en je bent klaar. Eenvoudiger kan bijna niet….

    Leuke tip!

    Een search and replace is misschien iets meer werk dan het activeren van een plugin (ongeveer 2 minuten meer werk) maar daarmee is alle data in de database valide EN je website is niet afhankelijk van NOG een plugin. Elke extra plugin levert extra vertraging in je website. Als je iets zonder een plugin kunt doen, moet je dat zonder plugin doen. Dat is ons devies.

    Really Simple SSL werkt middels een uitvoer-buffer. In plaats dat je website direct (en dus zo snel mogelijk) naar de eindgebruiker gaat, wordt deze in het geheugen opgeslagen tot deze geheel is opgebouwd. Wanneer gereed wordt de https-fix uitgevoerd en de pagina naar de gebruiker gezonden.

    In de meeste gevallen betekent dat — voor de bezoeker — langere wachttijden op je website.

    Tuurlijk, dat kun je afvangen door een goede caching plugin te gebruiken (wp-super-cache, bijvoorbeeld) maar ja, dat is wéér een plugin, wéér meer vertraging. Je bezoekers zullen daar minder last van hebben door de caching, maar jij als beheerder zult in het Admin deel daar weer wel hinder van ondervinden.

    De RSSSL plugin doet meer dan alleen switchen naar SSL, maar al die extra’s kun je met de hand ook doen;
    hsts? dat kun je in de .htaccess file regelen
    e-mail als je SSL certificaat verloopt? die krijg je van je SSL-leverancier ook, en als je Let’s Encrypt (op de juiste manier) gebruikt wordt er automatisch
    verlengd.

    Veel succes!


    Bijdrager
    koen

    Inderdaad, de website is WordPress, dus die plugin lijkt ideaal. Nu nog even een certificaat scoren…

    • Deze reactie is gewijzigd 11 maanden, 1 week geleden door  koen.

    Bijdrager
    koen

    Whoa, ik nu pas hoe duur zo een certificaat is…8-O

    • Deze reactie is gewijzigd 11 maanden, 1 week geleden door  koen.

    Bijdrager
    computer space

    Verzamel je klantgegevens via invulvelden… Ja… ga zo door maar zorg dat de gegevens niet in de WP database blijven hangen want dat is zo lek als een vergiet, nee… laat https lekker voor wat het is.

    • Deze reactie is gewijzigd 11 maanden, 1 week geleden door  computer space.

    Bijdrager
    koen

    Het enige is dat bepaalde pagina’s met een paswoord zijn beschermd, is het dan ook nodig?


    Bijdrager
    streeff

    Zeker, de paswoordbeveiliging wordt een stuk moeilijker te kraken over https.


    Bijdrager
    Ree

    Duur?

    https://www.sslcertificaten.nl/certificaten#DV_Standaard_1

    8 eur ex btw, nog geen 10 euro per jaar, goedkoper als je voor 2 of 3 jaar aanschaft.

    Als 10 euro per jaar te duur is; Let’s Encrypt; GRATIS!!!!!!!

    Advies om geen SSL te nemen?

    slecht advies. Niet alleen scoren SSL websites hoger in Google, er is simpelweg geen valide reden om het niet te doen.
    Je doet je schuur ook op slot, ook al staat er alleen maar rommel in.

    “zorg dat de gegevens niet in de WP database blijven hangen want dat is zo lek als een vergiet”

    Right …
    WordPress is zo veilig of onveilig als elk ander systeem, maak je geen illusies.
    Alle beveiliging is zo goed als de zwakste schakel.
    Als je inlogt op je website, wat voor platform je ook gebruikt, zonder SSL, dan kan een “man in the middle” je wachtwoord achterhalen, inloggen en je gegevens stelen. Dat heeft niets met WordPress te maken.
    Als je een zwak wachtwoord gebruikt ben je binnen 3 dagen het haasje. Ook dat heeft niets met WordPress te maken.
    Als je je website niet beschermd tegen brute-force attacks/rainbow table attacks, dan heb je weer andere problemen, die eenvoudig te voorkomen zijn. Ook niets met WordPress te doen.

    Hier is mijn advies voor een veilige WordPress (en met aanpassingen voor alle platformen) website, gebaseerd op ruim 9 jaar professionele ervaring met ruim 300 WordPress websites en een handvol Drupal en Symfony websites.

    1. Zorg voor SSL, nogmaals; dat is een must in deze tijd, en gratis beschikbaar.
    2. Zorg voor sterke wachtwoorden, minstens 16 karakters, mixed case, cijfers en leestekens. Gebruik een goede password generator (WordPress heeft tegenwoordig een zeer goede sterk wachtwoord generator, andere platformen hebben wellicht hulp nodig)
    3. Zorg voor Two-factor authentication (Google Authenticator, bijvoorbeeld)
    4. (optioneel) Limiteer je admin-paneel op IP-adressen.
    5. (optioneel) Maskeer je inlog-paneel achter een unieke url, anders dan “login”, “inloggen” etc.
    6. neem maatregelen tegen Brute-Force aanvallen (Rate-limiting voor POSTs op wp-login.php bijvoorbeeld)

    Waterdicht? nee, nooit, onmogelijk, maar;

    het gaat er niet om wat er te halen valt, maar hoe makkelijk ze binnen kunnen komen.

    (Ik blijf het toch zeggen, hoor)

    Succes verder!

    • Deze reactie is gewijzigd 11 maanden, 1 week geleden door  Ree.

    Bijdrager
    koen

    8 eur ex btw, nog geen 10 euro per jaar, goedkoper als je voor 2 of 3 jaar aanschaft.

    Dat is inderdaad niet duur, ik las ergens anders over een paar honderd om het aan te schaffen.

    Bedankt voor alle andere nuttige informatie.

    • Deze reactie is gewijzigd 11 maanden, 1 week geleden door  koen.

    Bijdrager
    Chorro

    De kosten van een dergelijk certificaat verschilt naar wat je nodig hebt, een zogeheten wildcard certificaat zodat subdomeinen ook beveiligd zijn kan inderdaad wel wat tientjes kosten. Een single domain heb je voor zo’n 7-8 euro ex BTW. Zelf gebruik ik altijd de Comodo certificaten.

14 berichten aan het bekijken - 1 tot 14 (van in totaal 14)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.