So gelingt die SSL-Ver­schlüs­selung Ihrer WordPress Website

 

Erfahren Sie hier alles über SSL, https, Sicherheits­­zertifikate und wie Sie bei deren Einrichtung vorgehen!

Google und die neue DSGVO machen es nötig: Die Umstellung von Websites auf verschlüsselte Datenübertragung. Google, weil der Suchmaschinenriese Websites mit SSL Verschlüsselung bevorzugt. Und die neue Datenschutzgrundverordnung der EU, kurz DSGVO, weil jeder Betreiber einer Website dazu verpflichtet wird, mittels technischer Applikationen die Daten der Besucher seines Angebots zu schützen.
Fazit: An SSL bzw. https:// geht kein Weg mehr vorbei!

Was bedeuten SSL und https?

Die Begriffe SSL und https:// stehen beide für eine verschlüsselte Datenübertragung, aber für unterschiedliche Sachverhalte.
SSL ist die Abkürzung für „Secure Socket Layer“ und bedeutet die verschlüsselte Kommunikation zwischen einem Browser, mit dem eine Website aufgerufen wird, und dem Server, auf dem diese Website gehostet wird. Ziel ist dabei, eine Verfälschung oder den Diebstahl von Daten während der Verbindung zwischen Browser und Server zu verhindern.
Ist eine SSL-Verschlüsselung eingerichtet, erfolgt die Datenübertragung mittels des Kommunikationsprotokolls https, die Abkürzung für Hypertext Transfer Protocol Secure. Angezeigt wird dies in vielen Browsern durch ein grünes Schlüsselchen in der Adressleiste oder durch ein grünes https://.
Nicht verschlüsselte Datenübertragung ist dagegen an einem durchgestrichenen Schlüssel oder am Hypertext Transfer Protocol, kurz http://, zu erkennen. Vielfach liefern Browser auch Hinweise wie „Diese Seite ist sicher“ für SSL-Verschlüsselung oder „Diese Seite ist nicht sicher“, wenn die SSL-Verschlüsselung fehlt.

Was ist ein Sicherheitszertifikat und wo bekommt man es?

Ein Sicherheitszertifikat ermöglicht es, in einem Authentifizierungsverfahren die Identität des Kommunikationspartners beim Aufbau einer Internetverbindung zu überprüfen. Dabei tauschen Browser und Server Schlüssel aus und gleichen diese ab. Stimmen die Schlüssel überein, erfolgt die verschlüsselte Datenübertragung. Server und Browser geben sich quasi die Hand, der Vorgang wird daher auch als „Handshake“ bezeichnet und das Protokoll als „SSL-Handshake-Protokoll“.

Viele Hoster stellen bereits vorinstallierte Sicherheitszertifikate zur Verfügung, zumeist kostenfrei für ihre Kunden. Und die bekannten Browser erkennen im allgemeinen alle gängigen Zertifikate.
Seit 2015 wurde u.a. von Mozilla und der Electronic Frontier Foundation die Zertifizierungsstelle Let’s Encrypt ins Leben gerufen. Let’s Encrypt stellt kostenlose Zertifikate zur Verfügung und zwar für jedermann. Einige Hoster haben Let’s Encrypt in ihr Angebot integriert und unterstützen damit die gemeinnützige Internet Security Research Group, kurz ISRG.

Ein Let’s Encrypt Sicherheitszertifikat ist so leistungsfähig wie jedes andere Sicherheitszertifikat. Allerdings stellt Let’s Encrypt keine Zertifikate für eine Organisationsvalidierung oder eine erweiterte Validierung zur Verfügung. Diese sind jedoch für Webshops, Banken und sonstige Zahlungsanbieter unerlässlich.

Umstellung Ihrer WordPress Website auf SSL Verschlüsselung in fünf Schritten

Schritt 1: Sicherheitszertifikat installieren

Die Installation eines Sicherheitszertifikats ist denkbar einfach und funktioniert im allgemeinen problemlos. Die Vorgehensweise kann sich von Hoster zu Hoster jedoch stark unterscheiden. Ihr Webhoster wird Ihnen sicherlich eine Anleitung auf seiner Website zur Verfügung stellen. Mit den dort beschriebenen Schritten beginnt die Umstellung Ihrer Website auf SSL bzw. https.
Allerdings sollten Sie zuvor das tun, was Sie vor allen tiefgreifenden Änderungen oder Aktualisierungen auf Ihrer Website tun sollten: die sorgfältige Sicherung aller Daten und Einstellungen inklusive Datenbank!

Schritt 2: Anpassungen in der WordPress Datenbank

Ist das Sicherheitszertifikat aktiv und wird die Domain Ihrer Website noch immer mit http:// im Browser angezeigt, muss die Webadresse im Backend der Website oder in der Datenbank auf https:// umgestellt werden.

Im Backend finden Sie das benötigte Feld unter Einstellungen –> Allgemein (siehe folgende Abbildung). Hier einfach http:// in https:// abändern. Anschließend müssen Sie sich erneut im Backend anmelden.

Sie können aber auch über den phpMyAdmin die Tabellen Ihrer Datenbank aufrufen und dort unter „wp_options“ die Änderungen durchführen. Auch dann ist es höchstwahrscheinlich, dass Sie sich erneut im Backend Ihrer WordPress Website anmelden müssen.

Schritt 3: Umstellung aller Links und externen Angebote auf https

Beim Aufruf Ihrer Website erscheint nun ein https:// vor Ihrem Domainnamen, aber auch noch immer der Hinweis „Diese Seite ist nicht sicher“. Der Grund: Die Links zu Bildern und externen Angeboten wurden in Schritt 2 nicht auf https umgestellt. Man spricht in diesem Fall von „Mixed Content“. So lange dieser auf Ihrer Website exisitiert, wird sie von den Browsern nicht als sicher ausgewiesen.

Aber auch dieses Problem lässt sich mithilfe nutzwertiger Plugins wie Velvet Blues Update URLs (siehe [wp-svg-icons icon=“alarm-2″ wrap=“i“] Update am Ende des Beitrags) schnell erledigen und das denkbar einfach.
Nach Installation, Aktivierung und Aufruf des Plugins unter „Werkzeuge“ im Dashboard ersetzen Sie die http-Domain mit der https-Domain wie abgebildet und aktivieren alle Auswahlkästchen mit Ausnahme von Update ALL GUIDs.
Jetzt nur noch auf den Button „Update URLs now“ klicken und das Plugin sorgt für eine Umstellung aller eingebundenen Elemente auf https.

Schritt 4: Fehlersuche mittels Entwicklertool „Security“ von Google Chrome

Seien Sie nicht enttäuscht, wenn nach Schritt 3 noch immer die Warnung „Diese Website ist nicht sicher“, ein Warnschild oder ein durchgestrichenes Schloss im Browser auftaucht, wenn Sie Ihre Website aufrufen. Das ist eher der Normalfall als die Ausnahme!

Doch was ist nun zu tun? Zunächst würde ich raten, das Backend Ihrer Website nach externen Anwendungen zu durchsuchen und deren Webadresse zu überprüfen. Alle, die noch auf http:// lauten, sollten Sie auf https:// umstellen. Eine Fehlerquelle kann auch Ihr Logo oder Favicon sein. Diese werden von vielen Themes auf eine etwas andere Weise eingebunden als Bilder und Videos im Content. Kontrollieren Sie daher sicherheitshalber auch deren Webadresse und ändern Sie diese gegebenenfalls entsprechend ab.

Sollte anschließend noch immer „Mixed Content“ existieren, bietet der Browser Google Chrome im Menü unter „Weitere Tools“ –> „Entwicklertools“ unter dem Reiter „Security“ Hilfe an. Klicken Sie auf diesen Reiter, öffnet sich ein Fenster mit der Meldung „Diese Seite ist nicht sicher“ und „Mixed Content“.

Klicken Sie nun auf das gelbe Dreieick mit Ausrufungszeichen in der oberen rechten Ecke. Google Chrome zeigt Ihnen jetzt die Seiten oder Medien an, die noch nicht auf https:// umgestellt sind (s.u.).
Zurück im Backend Ihrer Website, sollten Sie nun diese Fehler korrigieren, um den „Mixed Content“ zu beseitigen.

Schritt 5: Anmeldung Ihrer neuen „Property“ via Google Search Console

Haben Sie Ihren „Mixed Content“ identifiziert und komplett auf https umgestellt, sollten beim Aufruf Ihrer Website nun endlich keine Warnhinweise im Browser mehr erscheinen. Jetzt wird es Zeit, an SEO zu denken und den Suchmaschinenriesen von der SSL-Verschlüsselung zu informieren. Denn aus Google-Sicht sind http- und https-Varianten völlig unterschiedliche Websites.
Sie kommen somit nicht umhin, in der Google Search Console zwei neue Propertys anzulegen – eine für https://meine-website.de und eine für https://www.meine-website.de. Die beiden http:// Propertys lassen Sie bitte bestehen. Jetzt nur noch die neuen Propertys bestätigen wie gehabt und die neuen XML-Dateien übermitteln. Ach ja, Facebook & Co. informieren, nicht vergessen!

Fazit: Die Umstellung einer WordPress Website auf SSL-Verschlüsselung ist kein Hexenwerk. Sollten Sie aber befürchten, sich mit den oben beschriebenen Schritten schwerzutun, wenden Sie sich bitte an Ihren Webmaster. Er oder sie braucht kaum länger als eine Stunde für die komplette Umstellung und kann Ihnen nebenbei noch schnell sämtliche Software Ihrer Website aktualisieren.