In WordPress SSL-Zertifikat einbinden und Webseite auf HTTPS umstellen

Sicherheit zuerst – Schutz für deine Besucher und deine Seite

Wenn es etwas gibt, das wichtiger ist als eine gute Usability deiner Webseite, dann ist es die Sicherheit der Daten deiner Besucher. Denn mit der Sicherheit von Bankdaten, Adressen und anderen sensiblen Informationen deiner Website-Besucher solltest du nicht spielen. Zudem werden vom neuen Google Chrome Browser in der Version 68 ab Mitte Juli 2018 alle HTTP-Webseiten als „Nicht sicher“ kennzeichnen. Du betreibst nur einen einfachen Blog oder eine Visitenkarte im Netz? Selbst dann benötigst du ein SSL-Zertifikat und HTTPS, wenn du verhindern willst, dass deinen Besuchern beim Aufruf deiner Webseite künftig ein „nicht sicher“-Warnhinweis angezeigt wird.

Glücklicherweise gibt es das Verschlüsselungsprotokoll zur sicheren Datenübertragung SSL (Secure Sockets Layer) sowie das sichere Hypertext-Übertragungsprotokoll HTTPS (Hyper Text Transfer Protocol Secure), um die von deinen Besuchern im Browser eingegebenen Daten zu schützen, während diese von einem Server zu einem anderen Server übertragen werden. Beide Verfahren erscheinen auf den ersten Blick kompliziert. Als WordPress-Anwender kannst du sie aber ganz einfach nutzen. Du weißt nicht, wie du deine WordPress-Webseite mit SSL und HTTPS absichern kannst? Kein Problem, lies einfach weiter.

 

Was ist SSL (Secure Sockets Layer) und HTTPS?

Abbildung - GoDaddy Webseite - Browserzeile mit HTTPS Seitenaufruf

Wenn du eine Webseite aufrufst, werden Daten von einem Server zu einem anderen Server übertragen. Diese Daten sind nicht immer verschlüsselt und deshalb nicht sicher, wenn sie auf ihrem Weg zum Beispiel abgefangen werden sollten. Die Geschichte von SSL und HTTPS ist ein wenig kompliziert, aber letztendlich sind beide Technologien aus dem Bedürfnis heraus entstanden, den Online-Datenverkehr zu schützen.

  1. SSL: SSL (Secure Sockets Layer) ist das Verschlüsselungsprotokoll, das dir Kommunikationssicherheit über ein Netzwerk bietet.
  2. HTTPS: HTTPS (Hyper Text Transfer Protocol Secure) ist im Wesentlichen eine geschützte Version von HTTP, die die Authentifizierung einer Website und des zugehörigen Servers ermöglicht.

Allerdings kann man das eine nicht ohne das andere haben. Das heißt: nur wenn du ein SSL-Zertifikat implementiert hast und deine Webseite auf HTTPS umgestellt ist, sind die zwischen den Servern übertragenen Daten so gut wie möglich geschützt.

 

So fügst du WordPress SSL und HTTPS hinzu

Obwohl es sich um komplexe Protokolle handelt, ist die Einbindung von SSL (Secure Sockets Layer) und die Umstellung einer Webseite auf HTTPS (Hyper Text Transfer Protocol Secure) im Laufe der Jahre immer einfacher geworden. Praktisch jeder kann seine WordPress-Webseite selbst mit SSL und HTTPS absichern. Folge einfach den drei unten beschriebenen Schritten

1. Wähle ein geeignetes SSL-Zertifikat aus

Während die Einbindung eines SSL-Zertifikats in deine Website bei GoDaddy sehr einfach ist, kann die Auswahl des richtigen Zertifikats komplizierter sein, denn es gibt viele Optionen. Deine Bedürfnisse sollten entscheiden. Die am häufigsten verwendeten SSL-Zertifikate sind folgende drei Arten:

  • SSL-Zertifikat (DV) mit Domain-Validierung: Dieses Zertifikat bestätigt, dass du der Inhaber der Domain bist.
  • SSL-Zertifikat (OV) mit Organisation-Validierung: Neben der Überprüfung deiner Domain bestätigt dieses Zertifikat, dass die Identität deines Unternehmens geprüft wurde.
  • SSL-Zertifikat (EV) mit erweiterter Validierung (Extended Validation): Mit diesem Zertifikat bietest du deinen Kunden ein Höchstmaß an Sicherheit. Alle Bewerber müssen ein strenges Prüfverfahren durchlaufen.
Insgesamt gilt: Je sensibler die von dir verarbeiteten Daten sind, desto höher sollte die Sicherheitsstufe sein, die du benötigst, um diese Daten zu schützen.

Beachte jedoch, dass eine höhere Sicherheit mit zusätzlichen Kosten verbunden ist. Das Niveau, das du benötigst, hängt von dir ab. Wenn du auf deiner WordPress-Webseite mit Kundendaten arbeitest, empfehlen wir dir die Verwendung eines Extended (EV) SSL-Zertifikats.

GoDaddy bietet dir all diese Lösungen. Wenn du ein GoDaddy-Hosting-Kunde bist, kannst du SSL-Zertifikate einfach einrichten. Ein einziger Klick genügt.

Auch wenn du noch kein Kunde eines GoDaddy-Produkts bist, lassen sich deine Daten innerhalb von Minuten verschlüsseln.

 

2. Erzeuge eine Certificate Signing Request (CSR).

Um deine WordPress-Webseite, dein Unternehmen und deinen Server zu validieren, benötigest du einen Certificate Signing Request (CSR). Kurz gesagt: ein CSR identifiziert den Server und die Domains, für die du dein Zertifikat verwenden möchtest.

Die Anweisungen sind je nach verwendetem Server unterschiedlich. Im Allgemeinen musst du wie folgt vorgehen:

  1. Verbinde dich mit deinem Server über Secure Shell (SSH)
  2. Führe einen Konsolen-Befehl aus
  3. Gib deine URL und deine Geschäftsdaten ein
  4. Kopiere den Text und füge ihn in den SSL-Anfragebereich deines Kontos ein

Wie bereits erwähnt, benötigen GoDaddy-Kunden weniger Schritte, um ihre Daten zu verschlüsseln, da sich GoDaddy um diesen Teil des Prozesses kümmert. Unabhängig von deinem Hosting-Provider musst du jedoch noch einige Optimierungen in deinem WordPress-Dashboard vornehmen, sobald dein Zertifikat fertig ist.

 

3. Konfiguriere WordPress für die Verwendung von SSL und HTTPS

In einem letzten Schritt musst du sicherstellen, dass WordPress weiß, dass du jetzt SSL und HTTPS verwenden möchtest.

  • Logge dich zunächst in dein WordPress-Dashboard ein und gehe auf Einstellungen > Allgemein.
  • Scrolle zu den beiden Feldern: WordPress Adresse (URL) und Website Adresse (URL)
  • Tausche HTTP:// gegen HTTPS://

Abbildung - WordPress Allgemeine Einstellungen Umstellung der URL von HTTP auf HTTPS

Nachdem du diese Änderungen gespeichert hast, solltest du alle Einstellungen vorgenommen haben.

Wenn du das SSL-Zertifikat jedoch in eine bestehende Webseite implementieren möchtest, musst du außerdem Änderungen in deiner .htaccess-Datei vornehmen. Aber bevor du an deinen WordPress-Systemdateien herumbastelst, solltest du deine Fähigkeiten im Bereich File Transfer Protocol (FTP) auffrischen und ein Backup deiner Webseite erstellen, für den Fall, dass etwas schiefgeht.

  • Logge dich anschließend per FTP in das Verzeichnis deiner Webseite ein.
  • Suche die .htaccess-Datei. Sie befindet sich im Hauptverzeichnis von WordPress.
  • Füge in dieser Datei folgenden Code hinzu:
    RewriteEngine On
    RewriteCond %{SERVER_PORT} 80
    RewriteRule ^(.*)$ https://www.deine-webseite.de/$1 [R,L]
  • Stelle sicher, dass du den Platzhalter: yoursite.com durch die URL deiner WordPress-Webseite ersetzt und deine Änderungen speicherst.
  • Jetzt sollte die Datenübertragung zu deiner Webseite verschlüsselt sein. Rufe nun zur Sicherheit deine Startseite auf. Überprüfe in der Browserzeile die Seiten-URL, um sicherzugehen, dass der Seitenaufruf per HTTPS erfolgt.

Unter Umständen kann es vorkommen, dass deine Webseite vom Browser lediglich als „teilweise sicher“ eingestuft wird. Dies ist ein häufiges Problem bei WordPress-Webseiten, die SSL-Zertifikate von Drittanbietern verwenden. Die gute Nachricht: mit einem Plugin wie Really Simple SSL kannst du dieses Problem schnell lösen.

 

Fazit

Wenn es um deine WordPress-Webseite geht, sollte für dich die Sicherheit deiner Besucher oberste Priorität haben. Zudem drängen einflussreiche Unternehmen wie Google und WordPress selbst darauf, dass alle Webseiten die Daten ihrer Besucher schützen. Das bedeutet: du solltest jetzt schnellstmöglich lernen, wie man eine WordPress-Webseite mit SSL und HTTPS absichert und die entsprechenden Änderungen sofort vornehmen. Die hier vorgestellten drei Tipps helfen dir dabei.

Bildnachweis: PixaBay Free Pictures

Aus dem Englischen: Wolf-Dieter Fiege