Beiträge

So gelingt die SSL Verschlüsselung Ihrer WordPress Website

Erfahren Sie hier alles über SSL, https, Sicherheits­zertifikate und wie Sie bei deren Einrichtung vorgehen!

Google und die neue DSGVO machen es nötig: Die Umstellung von Websites auf verschlüsselte Datenübertragung. Google, weil der Suchmaschinenriese Websites mit SSL Verschlüsselung bevorzugt. Und die neue Datenschutzgrundverordnung der EU, kurz DSGVO, weil jeder Betreiber einer Website dazu verpflichtet wird, mittels technischer Applikationen die Daten der Besucher seines Angebots zu schützen.
Fazit: An SSL bzw. https:// geht kein Weg mehr vorbei!

Was bedeuten SSL und https?

Die Begriffe SSL und https:// stehen beide für eine verschlüsselte Datenübertragung, aber für unterschiedliche Sachverhalte.
SSL ist die Abkürzung für „Secure Socket Layer“ und bedeutet die verschlüsselte Kommunikation zwischen einem Browser, mit dem eine Website aufgerufen wird, und dem Server, auf dem diese Website gehostet wird. Ziel ist dabei, eine Verfälschung oder den Diebstahl von Daten während der Verbindung zwischen Browser und Server zu verhindern.
Ist eine SSL-Verschlüsselung eingerichtet, erfolgt die Datenübertragung mittels des Kommunikationsprotokolls https, die Abkürzung für Hypertext Transfer Protocol Secure. Angezeigt wird dies in vielen Browsern durch ein grünes Schlüsselchen in der Adressleiste oder durch ein grünes https://.
Nicht verschlüsselte Datenübertragung ist dagegen an einem durchgestrichenen Schlüssel oder am Hypertext Transfer Protocol, kurz http://, zu erkennen. Vielfach liefern Browser auch Hinweise wie „Diese Seite ist sicher“ für SSL-Verschlüsselung oder „Diese Seite ist nicht sicher“, wenn die SSL-Verschlüsselung fehlt.

Was ist ein Sicherheitszertifikat und wo bekommt man es?

Ein Sicherheitszertifikat ermöglicht es, in einem Authentifizierungsverfahren die Identität des Kommunikationspartners beim Aufbau einer Internetverbindung zu überprüfen. Dabei tauschen Browser und Server Schlüssel aus und gleichen diese ab. Stimmen die Schlüssel überein, erfolgt die verschlüsselte Datenübertragung. Server und Browser geben sich quasi die Hand, der Vorgang wird daher auch als „Handshake“ bezeichnet und das Protokoll als „SSL-Handshake-Protokoll“.

Viele Hoster stellen bereits vorinstallierte Sicherheitszertifikate zur Verfügung, zumeist kostenfrei für ihre Kunden. Und die bekannten Browser erkennen im allgemeinen alle gängigen Zertifikate.
Seit 2015 wurde u.a. von Mozilla und der Electronic Frontier Foundation die Zertifizierungsstelle Let’s Encrypt ins Leben gerufen. Let’s Encrypt stellt kostenlose Zertifikate zur Verfügung und zwar für jedermann. Einige Hoster haben Let’s Encrypt in ihr Angebot integriert und unterstützen damit die gemeinnützige Internet Security Research Group, kurz ISRG.

Ein Let’s Encrypt Sicherheitszertifikat ist so leistungsfähig wie jedes andere Sicherheitszertifikat. Allerdings stellt Let’s Encrypt keine Zertifikate für eine Organisationsvalidierung oder eine erweiterte Validierung zur Verfügung. Diese sind jedoch für Webshops, Banken und sonstige Zahlungsanbieter unerlässlich.

Umstellung Ihrer WordPress Website auf SSL in fünf Schritten

Schritt 1: Sicherheitszertifikat installieren

Die Installation eines Sicherheitszertifikats ist denkbar einfach und funktioniert im allgemeinen problemlos. Die Vorgehensweise kann sich von Hoster zu Hoster jedoch stark unterscheiden. Ihr Webhoster wird Ihnen sicherlich eine Anleitung auf seiner Website zur Verfügung stellen. Mit den dort beschriebenen Schritten beginnt die Umstellung Ihrer Website auf SSL bzw. https.
Allerdings sollten Sie zuvor das tun, was Sie vor allen tiefgreifenden Änderungen oder Aktualisierungen auf Ihrer Website tun sollten: die sorgfältige Sicherung aller Daten und Einstellungen inklusive Datenbank!

Schritt 2: Anpassungen in der WordPress Datenbank

Ist das Sicherheitszertifikat aktiv und wird die Domain Ihrer Website noch immer mit http:// im Browser angezeigt, muss die Webadresse im Backend der Website oder in der Datenbank auf https:// umgestellt werden.

Im Backend finden Sie das benötigte Feld unter Einstellungen –> Allgemein (siehe folgende Abbildung). Hier einfach http:// in https:// abändern. Evt. müssen Sie sich anschließend erneut im Backend anmelden.


Sie können aber auch über den phpMyAdmin die Tabellen Ihrer Datenbank aufrufen und dort unter „wp_options“ die Änderungen durchführen. Auch dann kann es sein, dass Sie sich anschließend erneut im Backend Ihrer WordPress Website anmelden müssen.

Schritt 3: Umstellung aller Links und externen Angebote auf https

Beim Aufruf Ihrer Website erscheint nun ein https:// vor Ihrem Domainnamen, aber auch noch immer der Hinweis „Diese Seite ist nicht sicher“. Der Grund: Die Links zu Bildern und externen Angeboten wurden in Schritt 2 nicht auf https umgestellt. Man spricht in diesem Fall von „Mixed Content“. So lange dieser auf Ihrer Website exisitiert, wird sie von den Browsern nicht als sicher ausgewiesen.

Aber auch dieses Problem lässt sich mithilfe nutzwertiger Plugins wie Velvet Blues Update URLs schnell erledigen und dies denkbar einfach.
Nach Installation, Aktivierung und Aufruf des Plugins unter „Werkzeuge“ im Dashboard ersetzen Sie die http-Domain mit der https-Domain wie abgebildet und klicken alle Auswahlkästchen an mit Ausnahme von Update ALL GUIDs.
Jetzt nur noch auf den Button „Update URLs now“ klicken und das Plugin sorgt für eine Umstellung aller eingebundenen Elemente auf https.

 

 

 

 

 

 

Schritt 4: Fehlersuche mittels Entwicklertools von Google Chrome

Seien Sie nicht enttäuscht, wenn nach Schritt 3 noch immer die Warnung „Diese Website ist nicht sicher“, ein Warnschild oder ein durchgestrichenes Schloss in Browser auftaucht, wenn Sie Ihre Website aufrufen. Das ist eher der Normalfall als die Ausnahme!

Doch was ist nun zu tun? Zunächst würde ich raten, das Backend Ihrer Website nach externen Anwendungen zu durchsuchen und deren Webadresse zu überprüfen. Alle, die noch auf http:// lauten, sollten Sie auf https:// umstellen. Eine Fehlerquelle kann auch Ihr Logo oder Favicon sein. Diese werden von vielen Themes auf eine etwas andere Weise eingebunden als Bilder und Videos im Content. Kontrollieren Sie daher sicherheitshalber auch deren Webadresse und ändern Sie diese gegebenenfalls entsprechend ab.

Sollte anschließend noch immer „Mixed Content“ existieren, bietet der Browser Google Chrome im Menü unter „Weitere Tools“ –> „Entwicklertools“ unter dem Reiter „Security“ Hilfe an. Klicken Sie auf diesen Reiter und es öffnet sich ein Fenster, in dem Elemente Ihrer Website angezeigt werden, die noch nicht auf https umgestellt sind.

Schritt 5: Anmeldung Ihrer neuen „Property“ via Google Search Console

Haben Sie Ihren „Mixed Content“ identifiziert und komplett auf https umgestellt, sollten beim Aufruf Ihrer Website nun endlich keine Warnhinweise im Browser mehr erscheinen. Jetzt wird es Zeit, an SEO zu denken und den Suchmaschinenriesen von der SSL-Verschlüsselung zu informieren. Denn aus Google-Sicht sind http- und https-Varianten völlig unterschiedliche Websites.
Sie kommen somit nicht umhin, in der Google Search Console zwei neue Propertys anzulegen – eine für https://meine-website.de und eine für https://www.meine-website.de. Die beiden http:// Propertys lassen Sie bitte bestehen. Jetzt nur noch die neuen Propertys bestätigen wie gehabt und die neuen XML-Dateien übermitteln. Ach ja, Facebook & Co. informieren, nicht vergessen!

Fazit: Die Umstellung einer WordPress Website auf SSL-Verschlüsselung ist kein Hexenwerk. Sollten Sie aber befürchten, sich mit den oben beschriebenen Schritten schwerzutun, dann wenden Sie sich an Ihren Webmaster. Er oder sie braucht kaum länger als eine Stunde für die komplette Umstellung und kann Ihnen nebenbei noch schnell sämtliche Software Ihrer Website aktualisieren.

 

Das BSI veröffentlicht Studie zur Sicherheit gängiger Content Management Systeme

Sie nutzen für Ihren privaten oder geschäftlichen Internetauftritt WordPress, Typo3, Drupal oder Joomla? Dann wird dieser Artikel für Sie oder auch für Ihre Agentur interessant sein.

Sicherheit im Internet – BSI veröffentlicht Studie zur Sicherheit von CMS

Aber zunächst ein kleiner Exkurs zum Thema CMS: Ein Content Management System, kurz CMS, ist eine Software, die die Erstellung und Bearbeitung von Inhalten (Content) vereinfachen soll. Zielmedien können Webseiten, aber auch andere digitale Medienarten sein. Und unter Content versteht man allgemein Texte, Bilder oder auch Videos.

Entscheidend bei einem CMS ist, dass jeder, der als Autor oder Redakteur auf das System und damit auf das „Backend“ zugreifen kann, auf recht einfach Art und Weise, Content einpflegen, verändern oder löschen kann. Und dies, ohne über HTML- oder PHP-Kenntnisse zu verfügen. Besonders geeignet, und das mit gewissen Restriktionen in der Benutzung des Systems belegt, ist ein CMS für den Fall, dass mehrere Autoren oder Redakteure mit der Pflege eines Internetauftritts betraut sind. Hier dient ein Content Management System auch in hohem Maß der Organisation der Inhalte und Zugriffsrechte auf eine Website.
Open-Source-CMS: WordPress und Joomla werden am häufigsten verwendet.

In den vergangenen Jahre hat sich die Nutzung sogenannter Open-Souce-CMS durchgesetzt. Und dies sowohl im privaten wie auch im kommerziellen Bereich. Zu den frei zugänglichen und kostenlosen Content Management Systemen zählen Drupal, Joomla, Typo3 und WordPress. Dabei sind WordPress und Joomla sicherlich diejenigen Systeme, die bislang die größte Verbreitung erzielt haben. Ein wichtiger Grund, warum selbst Unternehmen heute kaum mehr auf selbst gestrickte CMS-Lösungen zurückgreifen, mag die Affinität von Suchmaschinen, allen voran Google, für Open-Source-CMS sein.
Sicherheitsniveau der Basissysteme gut. Erweiterungen bergen Risiken.

Der Vorteil einer solchen Open-Source-Lösung ist zumeist auch das Problem: Das Basissystem passt auf viele Bedürfnisse, birgt jedoch auch Schwachstellen und damit Angriffsmöglichkeiten für Externe.

Diese Sicherheitslücken ausfindig zu machen, war das Ziel der vom Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, in Auftrag gegebenen Studie.
Nach dieser ist das Sicherheitsniveau der Basissysteme generell gut. Große Risiken bergen vor allem die Erweiterungen oder Plug-Ins, die eine Website erst zu einem individuell gestalteten Internetauftritt machen. Hier finden sich die meisten Sicherheitslücken.

Das BSI empfiehlt daher, das installierte CMS nicht in der Standardkonfiguration zu betreiben, sondern es hinsichtlich sicherheitsrelevanter Optionen anzupassen oder anpassen zu lassen. Dem können wir uns nur anschließen!

Die vollständige Studie des BSI zur Sicherheit von Content Management Systemen finden hier als PDF zum Download.