WordPress timmert hard aan de weg als het om veiligheid gaat. Dat is niet zo heel gek eigenlijk, want inmiddels draait zo’n 25% van de websites op dit CMS, waaronder vele webshops.
In 2017 wil WordPress daarom dat hosting providers die door WordPress gepromoot worden, verplicht worden SSL te draaien. Als een hosting provider geen SSL aanbiedt, wordt deze door WordPress niet meer gepromoot. Matt Mullenweg, CEO van WordPress, kondigde dit aan in een nieuwsbericht. “Het wordt een omslagpunt”, zegt hij.
SSL is een protocol waarmee data die via het internet verstuurd wordt versleuteld wordt. Hiermee wordt het lastiger om deze data uit te lezen. Systemen die gelaagde encryptie gebruiken zijn dan ook veiliger, en veel systemen waarbij de veiligheid in het geding is – zoals internetbankieren – gebruiken standaard encryptie voor hun internetapplicaties.
Doordat WordPress gefaseerd SSL als vereiste invoert, zet Mullenweg erop in dat daarmee geëncrypteerd datatransport (mede door deze actie) de standaard wordt.
SSL voor WordPress
“2017 wordt het jaar waarin we features gaan aanbieden die vereisen dat de hosting met HTTPS werkt.” Mullenweg legt uit dat SSL voorheen moeilijk te implementeren, duur en langzaam was. Maar met moderne browsers en projecten als “Let’s Encrypt” zegt hij dat het verkrijgen van een certificaat snel en gratis is. WordPress vindt dat het de standaard voor iedere host moet worden.
Daar is WordPress trouwens niet de enige in. Google – ook geen kleine speler – zet al langer in op het promoten van encryptie gebruik. Zo verhoogt het ondersteunen van SSL je ranking in hun zoekmachine en werken vrijwel al hun eigen diensten met SSL.
SSL nodig voor API’s
Na de verplichting om SSL te draaien voor WordPress hosts die gepromoot willen worden, is Mullenweg van plan om SSL ook uit te rollen voor gebruikers met eigen hosting. Hierbij wordt gekeken naar features die het meeste profiteren van de extra veiligheid, zoals API authenticatie. Deze worden dan alleen ingeschakeld als SSL dat ook is, waardoor feitelijk iedereen die WordPress met deze features draait verplicht wordt HTTPS te gebruiken.
2017: het jaar van SSL
Het idee van WordPress is niet geheel zonder consequenties. Veel hosts en diverse advertentieplatforms ondersteunen nog geen SSL, of hebben geen geldige certificaten. Gebruikers die in de toekomst met WordPress willen werken (of hosts die hun WordPress klanten willen houden) zijn hiermee alvast gewaarschuwd: 2017 wordt het jaar om dat op orde te krijgen.