SSL-Verschlüsselung – Was Du dabei beachten solltest
Zuletzt aktualisiert am 17. August 2019 um 08:16 Uhr
Ist Deine Website bereits SSL-verschlüsselt?
Falls Du nicht genau weißt, was damit gemeint ist: Hat Deine Website bereits ein Schloss in der Browserleiste, so wie Du es auch hier auf der WP Bistro-Seite siehst?
Falls Nein: Dann ist es höchste Zeit, das in Angriff zu nehmen.
Für einen Online-Shop, bei dem sensible Kundendaten übermittelt werden (z.B. Kreditkartendaten) ist die SSL-Verschlüsselung schon lange verpflichtend. Auch dann, wenn Du ein Kontaktformular auf Deiner Website verwendest musst Du durch die Verschlüsselung sicher stellen, dass die Informationen des Formulares sicher übertragen werden.
Aber auch dann, wenn Du eigentlich nicht verpflichtet bist, die Seite zu verschlüsseln solltest Du ein SSL-Zertifikat einsetzen. Denn Google bevorzugt schon eine ganze Weile „sichere“, also verschlüsselte, Websites beim Ranking in den Suchergebnissen.
Und spätestens seit alle modernen Browser explizit darauf hinweisen, wenn eine Website nicht verschlüsselt ist, ist der Einsatz eines SSL-Zertifikates für Websites obligatorisch, wenn Du Dir nicht das Vertrauen Deiner Besucher verspielen möchtest:
Inhaltsverzeichnis
Wo gibt es SSL-Zertifikate?
Die meisten Webhoster bieten zwischenzeitlich SSL-Zertifikate an.
Je nach Anbieter sind diese kostenlos oder kosten bis zu EUR 4,99 / Monat.
Die entsprechenden Angebote findest Du in der Regel in der Benutzeroberfläche Deines Webhosters.
Wenn Du dort nichts findest sprichst Du am besten direkt den Support Deines Hosters an – dort hilft man Dir sicher sehr gern weiter.
Und wie kommt das Zertifikat in die Website?
Leider genügt es nicht, dass Du das Zertifikat bei Deinem Webhoster aktivierst.
Wichtig ist, dass auch alle Links und Bildpfade auf Deiner Website auf SSL umgestellt werden. Dafür gehst Du am besten folgendermaßen vor:
Datensicherung anlegen
Ein BackUp Deiner Website ist das A & O bevor Du mit der Umstellung beginnst. Du arbeitest hier in der Datenbank, und da schadet es nicht für den Fall, dass irgend etwas schief geht, eine Sicherungskopie der Website zu haben.
Plugin „Better Search and Replace“
Installiere das Plugin „Better Search and Replace„.
Du findest die Einstellungen des Plugins nach erfolgreicher Aktivierung unter
„Werkzeuge“ -> „Better Search Replace“.
Pfade anpassen
Jetzt kommen wir zur eigentlichen Umstellung:
Gib in der Eingabemaske bei „Better Search Replace“ unter „Suchen nach“ die URL Deiner Domain mit http:// ein und unter „Ersetzen durch“ die Domain mit https://
Beachte, dass kein abschließender / am Ende der URL steht. Das ist wichtig, weil sonst z.B. aus http://wp-bistro.de/blog ein https://wp-bistro.de//blog wird (also mit doppelt-/), und dadurch können Links kaputt gehen.
Wähle alle verfügbaren Tabellen aus und klicke auf den Button „Suchen/Ersetzen starten“. Wenn Du willst, kannst Du vorher einen Testlauf durchführen, zwingend erforderlich ist das aber nicht.
Das System durchsucht jetzt Deine Datenbank und ersetzt alle Pfade zu Bildern, Skripten etc. durch den Link mit vorangestelltem https://
Unsichere Inhalte identifizieren
Schau Dir jetzt Deine Website an. Ist das Schloss in der Browserleiste auf allen Deinen Seiten grün (Firefox) oder wird das Schloss als korrekt angezeigt (Chrome)?
Dann ist Deine Umstellung sauber gelaufen und Du kannst zum nächsten Schritt weitergehen.
Ist das Schloss aber gelb (Firefox) oder werden noch unsichere Inhalte angezeigt (Chrome), dann musst Du die Elemente auf Deiner Website identifizieren, die noch mit http:// eingebunden sind.
Das kann ein wenig tricky sein – wenn Du hier allein nicht weiterkommst dann zögere nicht jemanden zu suchen der Dir dabei hilft. Du darfst hierfür auch gern mich ansprechen.
Klicke irgendwo auf Deiner Seite mit der rechten Maustaste und in dem sich dann öffnenden Subkontext auf „Untersuchen“. Je nachdem, mit welchem Browser Du arbeitest kann dieser Text auch „Element untersuchen“ oder ähnlich heißen. Gemeint ist immer das selbe:
In dem sich öffnenden Fenster der Entwickler-Tools klicke auf „Network“ oder „Netzwerkanalyse“ ( je nach Browser ):
Jetzt musst Du die Seite noch einmal neu laden. Dabei aktualisiert sich auch die Ansicht im Entwicklertool.
Du siehst dann in der Übersicht die geblockten Inhalte, wie hier im Screenshot:
Du kannst jetzt prüfen, wo und wie diese Inhalte in die Seite eingefügt wurden und diese dann manuell auf den Link mit https ändern.
Wichtig: Verwendung von SSL erzwingen
Das ist ein sehr wichtiger Punkt. Denn nur wenn die Verwendung von SSL von Deiner Domain erzwungen wird ist sichergestellt, dass wirklich alle Besucher die verschlüsselte Version der Website erreichen.
Wenn die Website sowohl mit http:// als auch mit http:// erreichbar ist produzierst Du noch dazu sogenannten Duplicate Content – für Google sind das nämlich zwei verschieden Adressen.
Bei einigen Anbietern ( z.B. Strato ) ist die Weiterleitung auf SSL automatisch eingerichtet, sobald das SSL-Zertifikat aktiviert wurde. Bei manchen Anbietern ( z.B. All-Inkl.) kann man in den Domain-Einstellungen ein Häkchen setzen um den SSL-Aufruf zu erzwingen.
Frage auch hier Deinen Webhosting-Anbieter, wenn Du unsicher bist. Dafür ist der Support schließlich da 🙂
Überall, wo es keine Möglichkeit gib, das Erzwingen des SSL-Aufrufs über die Benutzeroberfläche Deines Webhosters einzurichten kannst Du das mit einem Eintrag in der htaccess Deiner WordPress-Installation erledigen.
Melde Dich dafür mit Deinen FTP-Zugangsaten auf Deinemm Webspace an ( wie das geht habe ich im Beitrag zum Upload von Audiodateien beschrieben ).
Die htaccess findest Du im Hauptordner Deiner WordPress-Installation.
Die Datei öffnest Du durch Rechtsklick und dann klick auf „Ansehen/Bearbeiten“.
Schreibe ganz an den Anfang der Datei folgendes:
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [L]
Speichere die Datei und lade sie neu auf Deinen Webspace hoch.
Das wars – Deine Website wird jetzt nur noch über die URL mit https erreichbar sein. Damit ist die Umstellung abgeschlossen.