SSL-certificaat controleren in WordPress

Gewijzigd op Vr, 5 Jun om 5:20 PM

Een geldig SSL-certificaat zorgt voor een veilige HTTPS-verbinding en het hangslotje in de browser. Ontbreekt of werkt het certificaat niet goed, dan zien bezoekers waarschuwingen. In dit artikel controleert u het SSL-certificaat in WordPress, dwingt u HTTPS af en lost u mixed content op zodat het hangslot weer verschijnt.

Probleem

De website toont een beveiligingswaarschuwing, een doorgestreept hangslot of de melding ’niet veilig’ in plaats van een veilige HTTPS-verbinding.

Oorzaak

Zonder geldig SSL-certificaat of bij een verlopen certificaat weigert de browser een veilige verbinding en toont een waarschuwing.

Mixed content ontstaat wanneer een pagina via HTTPS laadt maar nog onderdelen (afbeeldingen, scripts) via het onveilige HTTP ophaalt, waardoor het hangslot wegvalt.

Een WordPress-installatie die nog op HTTP staat ingesteld, leidt bezoekers niet automatisch naar de veilige variant.

Oplossing

Controleer of het certificaat geldig en actief is, stel de site-URL’s in op HTTPS, dwing HTTPS af met een redirect en herstel mixed content zodat alle onderdelen veilig laden.

Stappenplan

Controleer in de browser of het certificaat geldig is door op het hangslot te klikken.
Controleer de vervaldatum en of het certificaat bij uw domein hoort.
Ga in WordPress naar Instellingen, Algemeen en zet beide adressen op https://.
Stel een redirect in van HTTP naar HTTPS via .htaccess of een plugin.
Spoor mixed content op met de ontwikkelaarsconsole van de browser.
Vervang verwijzingen naar http:// door https:// in inhoud en instellingen.
Leeg de cache en herlaad de site.
Controleer of het hangslot op alle pagina’s verschijnt.

Configuratievoorbeeld: HTTPS afdwingen in .htaccess

Met een herschrijfregel in .htaccess stuurt u alle HTTP-verkeer door naar HTTPS:

Voorbeeld:

# Alle verkeer naar HTTPS dwingen
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

// In wp-config.php (achter een proxy/CDN):
if ( isset($_SERVER[’HTTP_X_FORWARDED_PROTO’]) &&
     $_SERVER[’HTTP_X_FORWARDED_PROTO’] === ’https’ ) {
  $_SERVER[’HTTPS’] = ’on’;
}

Certificaten, verlenging en mixed content

Een SSL-certificaat heeft een beperkte geldigheidsduur. Veel certificaten, zoals die van Let’s Encrypt, worden automatisch elke paar maanden verlengd door de hostingomgeving. Werkt die automatische verlenging niet, dan verloopt het certificaat en zien bezoekers plotseling een waarschuwing. Controleer daarom periodiek of verlenging goed verloopt.

Mixed content is een veelvoorkomende oorzaak van een wegvallend hangslot na het overstappen naar HTTPS. De pagina laadt veilig, maar verwijst intern nog naar HTTP-bronnen zoals afbeeldingen of scripts. De browser markeert de pagina dan als niet volledig veilig. Het opsporen en vervangen van deze verwijzingen herstelt het hangslot.

Voor het structureel afdwingen van HTTPS is een redirect onmisbaar, zodat niemand per ongeluk de onveilige variant bezoekt. Aanvullend kunt u met een beveiligingsheader (HSTS) browsers dwingen voortaan alleen via HTTPS te verbinden, wat de veiligheid verder verhoogt.

Veelgemaakte fouten

Vergeten de site-URL’s in WordPress op https:// te zetten na installatie van het certificaat.
Mixed content negeren, waardoor het hangslot blijft wegvallen.
Geen redirect van HTTP naar HTTPS instellen.
Aannemen dat een certificaat eeuwig geldig is en verlenging niet controleren.
De cache niet legen na het overschakelen naar HTTPS.
Hardgecodeerde HTTP-links in thema of inhoud over het hoofd zien.

Controle na afloop

Controleer of het hangslot op alle pagina’s verschijnt.
Controleer de geldigheid en vervaldatum van het certificaat.
Controleer met de browserconsole of er geen mixed-content-waarschuwingen zijn.
Controleer of HTTP-verzoeken correct naar HTTPS worden omgeleid.

Praktische tips

Controleer periodiek of de automatische certificaatverlenging werkt.
Gebruik de browserconsole om mixed content snel op te sporen.
Overweeg een HSTS-header voor extra beveiliging na een succesvolle overstap.

Veelgestelde vragen

Waarom valt mijn hangslot weg?

Meestal door mixed content: de pagina laadt via HTTPS maar haalt onderdelen nog via HTTP op.

Verlengt mijn certificaat automatisch?

Vaak wel, zoals bij Let’s Encrypt, maar controleer of de automatische verlenging in uw hostingomgeving werkt.

Hoe dwing ik HTTPS af?

Met een redirect in .htaccess of via een plugin die al het HTTP-verkeer naar HTTPS stuurt.

Samenvatting

U controleert een SSL-certificaat in WordPress door de geldigheid en vervaldatum te verifiëren, de site-URL’s op HTTPS te zetten en een redirect van HTTP naar HTTPS in te stellen. Mixed content spoort u op met de browserconsole en vervangt u door veilige verwijzingen. Controleer periodiek of de automatische verlenging werkt.

Gerelateerde artikelen

Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.