WordPress Anleitung: Umstellung auf HTTPS (SSL-Verschlüsselung aktivieren)

Was ist ein SSL-Zertifikat?

Ein SSL-Zertifikat wird benötigt, um Daten die zwischen den Besuchern einer Website und den Webserver ausgetauscht werden, zu verschlüsseln. Sollten diese Daten von Dritten irgendwie abgefangen werden, sind sie dank der Verschlüsselung unlesbar. Um eine sichere Verbindung zwischen Browser und Webserver zu gewährleisten ist also ein SSL-Zertifikat notwendig. Eine Seite mit SSL-Zertifikat erkennt man am Vorhängeschloss in der Adresszeile des Webbrowsers und an der Anzeige von https statt http vor der eigentlichen Domain.

SSL-Verschlüsselung aktiv

Warum sollte man ein SSL-Zertifikat nutzen?

Sicherheit

Verschlüsselung der gesendeten Daten

E-Commerce

Sales steigern und neue Kunden gewinnen

SEO

Verbessertes Ranking auf Suchmaschinen erhöht Traffic

Umsetzung

Maßnahmen sind günstig und schnell umsetzbar

In Deutschland verpflichtet §13 des Telemediengesetzes (TMG) eine sichere Aufbewahrung, Versendung und Empfang von sensiblen Daten. Websites mit Zahlungs- bzw. Anmeldemodulen (Registrierung) und sogar Kontaktformularen müssen dessen Einhaltung deshalb sicher zu stellen. Das Gesetz verlangt zwar nicht direkt eine technische Lösung, doch rechtlich gesehen besteht ohne SSL-Zertifikat ein hohes Risiko für Abmahnungen. Unterhält man lediglich einen privaten Blog, so kann man getrost auf die Nutzung von SSL-Zertifikaten absehen. Wer jedoch einen Online-Shop betreibt oder aber ein Kontaktformular anbietet und mit sensiblen Nutzerdaten zu tun hat, sollte deshalb unbedingt auf SSL-Verschlüsselung setzen.

Neben der bereits erwähnten Sicherheit bringt ein SSL-Zertifikat weitere wichtige Vorteile für Website-Betreiber und Besucher.

  • Ein SSL-Zertifikat kann die Konversionsrate  der eigenen Website erhöhen. Beispielsweise erhöhte sich die Konversionsrate von zamberg.com um 11% und der durchschnittliche Wert pro Bestellung sogar um 23% .
  • Ein weiterer Vorteil eines SSL-Zertifikates ist ein positiveres Ranking in Google. Ende 2015 hat Google angegeben, dass SSL als Ranking-Kriterium ein höherer Bewertungsfaktor zukommt. Die Umstellung auf HTTPS kommt folglich auch der Suchmaschinenoptimierung zugute und erhöht den Traffic.
  • Während früher die Nutzung von SSL-Zertifikaten relativ teuer und kompliziert umzusetzen war, gibt es inzwischen günstige oder sogar kostenlose Alternativen, welche innerhalb kurzer Zeit umgesetzt werden können.

Google Chrome mahnt zur Vorsicht

Seit Anfang des Jahres 2017 markiert Version 56 des Browser Google Chrome Websites ohne SSL mit einem roten Gefahrendreieck und klassifiziert sie in der Adresszeile als „Unsicher“. Google selbst hat schon angegeben, diese Meldung regelmäßig zu ändern, weil Studien haben ergeben, dass Nutzer „blind“ für Meldungen wie diese werden, falls sie zu oft gesehen werden.

HTTP nicht sicher Chrome

Die Zukunft: HTTP/2

Zukünftig wird das HTTP/2-Protokoll den alten HTTP-Standard ablösen. In den neusten Browserversionen von Chrome, Safari, Opera, Firefox und Microsoft Edge ist dieses Protokoll bereits implementiert. Diese neue Version des HTTP-Protokolls hilft dabei, die Datenübertragung zwischen Server und Client zu beschleunigen. Das HTTP/2-Protokoll enthält viele Eigenschaften des durch Google veröffentlichten SPDY-Protokolls. Weil jetzt die Verwendung von HTTP/2 zunimmt, hat Google angegeben, ab dem 15. Mai 2016 SPDY auf HTTP/1.1 nicht mehr zu unterstützen. Das HTTP/2-Protokoll ist jedoch nur verwendbar, wenn man ein SSL-Zertifikat hat.

Wie wirkt sich ein SSL-Zertifikat auf die Performance aus?

Die negativen Auswirkungen auf die Performance sind meist nur marginal. Ein SSL-Zertifikat bewirkt einen sog. „Handshake“ zwischen Client und Server beim Aufrufen einer Website, um die Gültigkeit des Zertifikates zu überprüfen. Hierdurch verliert man einige hundert Millisekunden an Performance – meistens sogar weniger. Im Regelfall spüren Website-Besucher dies nicht einmal.

WordPress Anleitung: SSL-Verschlüsselung aktiveren

Die Umstellung erfolgt auf eigene Gefahr. Zur Umstellung ist technisches Basiswissen notwendig. NUMARX übernimmt keine Haftung für eine fehlerhafte Umstellung und deren Folgen.

Genauso einfach wie die Installation und Einrichtung von WordPress selbst ist auch die Aktivierung einer SSL-Verschlüsselung. Die nachfolgende Anleitung zeigt dabei Schritt-für-Schritt wie die Umsetzung gelingt, um mögliche Fehler zu vermeiden. Der Zeitaufwand liegt bei rund 1 – 2 Stunden.

1. Voraussetzungen

Zu Beginn wird das wichtigste benötigt: Das SSL-Zertifikat selbst! Es gibt ein großes Angebot verschiedenster Anbieter mit unterschiedlicher Verschlüsselung und Browserkompatibilität. Die erste Anlaufstelle sollte dabei jedoch stets der eigene Hosting-Anbieter sein, wo die eigene Website gehosted wird – egal, ob es um die Integration eines Eigen- oder Fremdzertifikats handelt. Dieser übernimmt im Regelfall die Installation automatisch. Anfangs sollte man sich deshalb bei Fragen immer zuerst an den Support seines Hosters wenden. Daneben gibt es sogar kostenlose Anbieter von SSL-Zertifikaten. Let’s Encrypt z.B. unterstützt eine Vielzahl vieler Webhoster.

2. Datensicherung

Der nächste Schritt ist die Sicherung von MySQL-Datenbank und FTP-Daten, da diese im Laufe der Umstellung verändert werden. Eine Sicherung der Daten ist deshalb unabdingbar. Es gibt diverse WordPress-Plugins die die Sicherung und die Wiederherstellung bei etwaigen Fehlern ermöglichen. Daneben bieten auch viele Hoster eine komfortable Möglchkeit, die Datenbank zu bearbeiten und zu sichern.

3. Umstellung auf https

Anfangs muss im WordPress-Bacckend unter Einstellungen -> Allgemein, WordPress-Adresse (URL) und Seiten-Adresse (URL), das Protokoll von http auf https geändert werden.

WordPress Umstellung auf https mit SSL-Zertifikat

4. Änderung der URLs

Normalerweise sollte die Webseite nun wieder erreichbar sein, da WordPress weitgehend alle URLs selbst anpasst. Oftmals muss jedoch nachgeholfen werden. Hierzu wird ein FTP-Programm benötigt, mit dem man direkt auf den FTP-Server und die dort hochgeladenen Dateien zugreift. Zunächst muss die Datei wp-config.php im Hauptverzeichnis geändert werden (ein geeignetes Programm hierfür ist Notepad++). Folgender Code muss dabei entweder ersetzt oder hinzugefügt werden.

define(‚WP_SITEURL‘, ‚https://website.de‘);
define(‚WP_HOME‘, ‚https://website.de‘);

Als nächstes werden Änderungen in der MySQL-Datenbank vorgenommen. Vorsicht! Eine falsche Anwendung kann die Datenbank beschädigen und die eigene Seite lahmlegen. Als Lösung ist Better Search Replace zu empfehlen, jedoch gibt es diverse solcher Plugins, um Datensätze zu suchen und zu ersetzen. Aus Sicherheitsgründen sollte es nach Umstellung umgehend vom Server entfernt werden.

Eine andere Möglichkeit ist die manuelle Anpassung der Datenbank. Nach Anmeldung im Administrationstool phpMyAdmin beim Hosting-Dienstleister, sollte folgender Code unter dem Reiter SQL im Feld SQL-Befehl(e) in Datenbank dbxxx-Ihre Datenbank ausführen eingegeben werden:

UPDATE wp_options SET option_value = replace(option_value, ‚http://www.website.de‘, ‚https://www.website.de‘) WHERE option_name = ‚home‘ OR option_name = ’siteurl‘;

UPDATE wp_posts SET guid = replace(guid, ‚http://www.website.de‘,’https://www.website.de‘);

UPDATE wp_posts SET post_content = replace(post_content, ‚http://www.website.de‘, ‚https://www.website.de‘);

UPDATE wp_postmeta SET meta_value = replace(meta_value,’http://www.website.de‘,’https://www.website.de‘);

Man sollte daran denken, jeweils (www.)website.de mit der eigenen Webseiten-Adresse zu ersetzen. Ebenso müssen etwaige Datenbank-Präfixe berücksichtigt werden und jeweils wp_ mit dem eigenen Präfix ersetzt werden. Danach sollte man mit „Abfrage simulieren“ einen Probedurchlauf starten, um etwaige Fehler ausschließen zu können.im Anschluss kann die Änderung mit einem Klick auf OK gestartet und alle URL-Adressen in der Datenbank auf https geändert werden.

5. Umleitung in der htaccess-Datei festlegen

Damit alle (externen) Links sicher funktionieren, sollte in der .htaccess-Datei eine Weiterleitung hinzugefügt werden. Diese bewirkt, dass Aufrufe der http-Seite automatisch zu einem gesicherten https-Seitenaufruf umgewandelt werden.

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

6. Überprüfung der Website

Nun sollte man alle Seiten testen und überprüfen, ob das oben bereits vorgestellte Sicherheitsschloss in der Adresszeile angezeigt wird. Falls nicht, so werden weiterhin „unsichere Inhalte“ geladen. Das können Bilder oder Dateien sein, die von externen Quellen geladen werden.

Von | 2017-04-02T23:29:42+00:00 3. April 2017|Website|

Hinterlassen Sie einen Kommentar