WordPress auf HTTPS und SSL Verschlüsselung umstellen

HTTPS und : Wer eine eigene Webseite betreibt, kommt wohl über kurz oder lang nicht mehr an einem verschlüsselten Internetprotokoll vorbei. Auch ein mit WordPress betriebener lässt sich relativ einfach manuell auf HTTPS und Verschlüsselung umstellen, was nicht nur für den Besucher sicherer ist (z.B. bei persönlichen Daten im Kontaktformular), sondern auch Euren Blog besser vor Angriffen böser Buben schützen kann. Auch wenn die Gesetzgebung nach dem IT-Sicherheitsgesetz und einem möglichen neuen Telemediengesetz noch keine grundsätzliche HTTPS Verschlüsselung vorschreibt, ist es durchaus sinnvoll, auch Wordpress auf HTTPS und Verschlüsselung umzustellen.

Blogs und Webseiten von HTTP auf HTTPS umstellen

Nicht jeder Nutzer kennt sich auch zwangsläufig mit Sicherheit, Datenschutz und HTTP (Hypertext Transfer Protocol) bzw. HTTPS (Hypertext Transfer Protocol Secure) aus, weswegen wir hier einmal kurz auf “sichere” und “unsichere” Verbindungen eingehen wollen. Ruft einfach mal die Webseite Eurer Bank oder PayPal etc. im Browser auf und achtet oben links auf das kleine Schloss Symbol.


Was ist HTTPS und SSL Verschlüsselung?

Das HTTP-Protokoll ist ein Kommunikationsprotokoll zur Datenübertragung im Internet. Der Unterschied zwischen HTTPS und HTTP besteht in der verschlüsselten und abhörsicheren Übertragung der Daten über das SSL/TLS Protokoll. Nutzt eine Website nun ein SSL-Zertifikat, wird die komplette Kommunikation zwischen dem Besucher und der besuchten Webseite verschlüsselt übertragen. Ohne HTTPS Protokoll mit einer entsprechenden Verschlüsselung sind alle im Internet übertragenden Daten im Klartext einsehbar und auch von Dritten manipulierbar.

Wie funktioniert HTTPS zur sicheren Kommunikation?

Von der Syntax her ist HTTPS identisch mit dem Schema für HTTP, die zusätzliche Verschlüsselung der Daten geschieht unter Verwendung des SSL-Handshake-Protokolls wobei zuerst eine geschützte Identifikation und Authentifizierung der Kommunikationspartner stattfindet und im Anschluss mit Hilfe asymetrischer Verschlüsselung oder des Diffie-Hellman-Schlüsselaustauschs ein gemeinsamer symmetrischer Sitzungsschlüssel ausgetauscht und ebenfalls zur Verschlüsselung der jeweiligen Daten verwendet wird. Der Standard Port für HTTPS Verbindungen ist Port 443, den einige vielleicht schon einmal der der Einrichtung eines E-Mail Programms gesehen haben könnten.

WordPress Blog auf HTTPS und SSL umstellen?

Neben dem Google HTTPS Ranking-Faktor Update für eine bessere Bewertung von verschlüsselten Webseiten von 2014 (siehe: Google Webmaster Blog) kann es bald für Webseiten ohne HTTPS Protokoll ungemütlich werden, denn das Google-Security Team hat bereits im Januar 2016 angekündigt, unverschlüsselte Seiten mit einem fetten roten X als “unsafe” im (Chrome) Browser zu markieren. Direkt bei WordPress.com gehosteten Seiten sind übrigens mittlerweile komplett mit SSL verschlüsselt, warum also nicht den Blog auf dem eigenen oder gemieteten sicherer machen?

Ist HTTPS und SSL wirklich sicher?

Die Antwort ist leider “jein”, denn diverse Webseiten die zwar über ein gültiges SSL-Zertifikat verfügen, weisen dennoch massive Fehler bei der Implementierung des Protokolls auf, was jedoch größtenteils von den Browsern erkannt und anhand der Schloss Symbole dargestellt wird. Aber auch sonst sollte man einer Seite mit HTTPS Protokoll nicht zwingend vertrauen, auch wenn das “SSL Gütesiegel” in der Regel ein guter Indikator für eine sichere Webseite ist, denn wer möchte schon seine vertraulichen Daten vollkommen ungeschützt im Internet übertragen und somit vielleicht sogar Daten- und Identitätsdiebstahl sowie Phishing begünstigen?

Wer jetzt den Sinn einer Umstellung von HTTP auf HTTPS verstanden hat, kann gerne die nachfolgende Anleitung zur SSL Umstellung nutzen, die im Idealfall nicht mehr als 3 Stunden dauern sollte. Selbstverständlich ist auch .de inzwischen auf das HTTPS Protokoll umgestellt worden, wie Ihr am kleinen grünen Schloss neben der URL im Browser erkennen könnt.

HTTPS und SSL Umstellung für WordPress leicht gemacht

Die nachfolgende Anleitung zur HTTPS und SSL Umstellung Eures WordPress Blogs ist zwar relativ simel, wer jedoch gar keinen Plan von Datenbanken und -Strukturen hat, sollte hiervon in jedem Fall die Finger lassen und sich erst einmal die Basics aneignen!


Das SSL Zertifikat als Grundlage für HTTPS

Als Erstes müsst Ihr Euch ein SSL Zertifikat besorgen. Schaut einfach mal bei Eurem Hoster und informiert Euch über die entsprechenden Preise und Möglichkeiten. Wichtig natürlich die 256 Bit SSL Verschlüsselung, Kompatibilität mit Mobilgeräten und ob Ihr nur eine URL oder eben ein Projekt mit Subdomains betreibt. Bei einem WordPress Blog oder kleinerem Onlineshop reicht in der Regel ein relativ günstiges SSL Zertifikat, welches ein guter Hoster entweder kostenlos, oder für weniger als 30€ im Jahr anbieten dürfte. Also einfach mal recherchieren und erst wenn Euer WordPress Blog neben http://www.xyz.de auch über https://www.xyz.de erreichbar ist, mit Schritt 2 dieser Anleitung fortfahren.

WordPress im Backend auf HTTPS umstellen

Nun geht es ans Eingemachte, denn jetzt müsst Ihr die URL Eures Blogs auf HTTPS umstellen, was im Backend unter den Menüpunken “Einstellungen” => “Allgemein” in wenigen Sekunden erledigt ist.
WordPress HTTPS SSL Umstellung
Gleich nach der Änderung der Daten müsste euer Blog dann auch schon unter HTTPS erreichbar sein und Ihr könnt mit Schritt 3 dieser Anleitung fortfahren…

WordPress Datenbank auf HTTPS umstellen

Keine angst, Ihr müsst hierfür keine SQL Profis sein und zum Glück gibt es sehr komfortable Plugins, welche Euch diese nicht ganz ungefährliche Arbeit abnehmen. Ich habe hierbei mal wieder auf das Plugin Better Search Replace von Matt Shaw zurückgegriffen, welches sich wunderbar für frickelige Arbeiten an der WordPress Datenbank eignet und nach der Installation unter: “Werkzeuge” im Backend zu finden ist.

WordPress auf HTTPS und SSL umstellen
Hiermit lassen sich wirklich ALLE Felder der WordPress Datenbank umstellen, aber bitte macht vorher ein Backup und achtet darauf, Euch bei der URL nicht zu vertippen! Um alle Tabellen im Pulldown auszuwählen, einfach die erste Zeile anklicken, bis zum Ende scrollen, die “Shift Taste” gedrückt halten und auf die letzte Zeile klicken. Bevor Ihr mit der automatischen Ersetzung startet, kann wahlweise noch ein Häkchen bei “Auch GUIDs ersetzen” gesetzt werden und sogar ein Testlauf gestartet werden. Keine Angst, der Vorgang kann ein paar Minuten dauern und sind dann alle internen WordPress Verlinkungen von HTTP auf HTTPS umgestellt, könnt Ihr auch schon mit Schritt 4 diese Anleitung fortfahren!

Alle Anfragen von HTTP auf HTTPS umleiten

Grundsätzlich sollte jetzt Euer kompletter WordPress Blog auf das HTTPS Protokoll umgestellt sein, aber eingehende Links (und natürlich Google) würden immer noch auf HTTP landen. Also schnell noch eine permanente 301 Umleitung in die .htaccess gebastelt:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Auch hier sollte die ursprüngliche .htaccess zunächst gesichert werden, aber dass wisst Ihr ja sowieso… Sobald die 301 Redirection eingerichtet ist, werden alle Anfragen nach z.B. http://www.tutsi.de automatisch auf https://www.tutsi.de umgeleitet. Wenn alles geklappt hat einmal tief durchatmen und bitte weiter zu Schritt 5

Suchmaschinen informieren und doppelten Content verhindern

Auch wenn Euer Blog nun endlich über eine gesicherte HTTPS Verbindung erreichbar ist, hat z.B. Google noch alle Seiten mit HTTP im Index und kennt die “neuen” HTTPS Seiten natürlich noch nicht. Also ab in die Google Webmaster Tools und eine neue Property angelegt. Natürlich muss auch eine neue Sitemap eingereicht werden, die dann hoffentlich auch schnell gecrawlt wird. Bis Google, Bing & Co. Eure neuen Seiten verarbeitet haben, kann es natürlich etwas dauern und bis dahin landen Besucher über Suchmaschinen eben noch auf den “alten” HTTP statt HTTPS Seiten. Wenn soweit aber alles klar ist, geht es weiter zum nächsten Schritt, der unter Umständen etwas nervig und zeitintensiv sein kann… Also Käffchen holen und weiter geht’s 🙂

HTTPS Fehler und “gemischte Inhalte” ausmerzen

wie bereits in der Einleitung geschrieben, weisen euch aktuelle Browser auf mögliche Schwachstellen und Sicherheitslücken hin und auch bei Eurem WordPress Blog ist es wahrscheinlich, dass nicht alle Seiten “grün markiert” sind. Grundsätzlich ist das kein Problem und liegt in der Regel an manuell eingefügtem Code oder eben schlampig programmierten Plugins, Widgets. Teilweise ist auch Bannerwerbung oder anderer Affiliate Code Schuld an der Misere, weswegen die größten “Werbehuren” (sorry) ihre Seiten eben nicht auf HTTPS umstellen, um weiter munter mit Klickibunti und stressigen Bannern Kohle scheffeln zu können. Wir wollen hier keine Namen nennen, aber gebt einfach mach den Namen bekannter Seiten im Format HTTPS ein und seht nach was passiert… Um Euren eigenen Blog zu überprüfen empfehlen wir Tools wie z.B. den SSL Check von JitBit, der Euch gleich die entsprechenden Fehler auflistet und zudem komplett kostenfrei ist.

Dann gleich weiter zu Schritt 7…

:-)

Einfach mal abschalten… holt Euch ein lecker Bierchen und empfehlt diesen Artikel auch Euren Freunden und Bekannten 🙂


Wir hoffen Euch mit dieser kleinen Anleitung zur Umstellung von WordPress auf HTTPS etwas geholfen zu haben und würden uns über entsprechendes Feedback freuen. Bevor Ihr jetzt aber gleich loslegt, bitte wirklich an eine komplette Datensicherung denken, denn Ihr seid für Euer Handeln selbst verantwortlich. Wer zu diesem Thema Fragen oder Probleme hat, kann wie immer jederzeit einen Kommentar hinterlassen.

Weitere interessante Artikel für Dich:

Es ist in jedem Fall zu beachten, dass eine Publikation nur den Stand der Dinge zum jeweiligen Zeitpunkt der Veröffentlichung wiedergeben kann. Die Redaktion von Tutsi.de ist Mitglied in Deutschen Verband der Pressejournalisten und behält sich die Veröffentlichung von Spam, Abmahnungen und anderen Abartigkeiten vor. Die Verwendung der Inhalte dieser Seite sowie des RSS Feeds für kommerzielle Blogs, Webseiten und anderen Publikationen wird hiermit untersagt. Wer auch in Zukunft regelmäßig informiert werden möchte, sollte den RSS Newsfeed abonnieren, uns bei Twitter folgen oder Tutsi.de bei Facebook besuchen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dein Kommentar muss manuell freigeschaltet werden, bitte etwas Geduld... Danke! Time limit is exhausted. Please reload CAPTCHA.