So richten Sie WordPress SSL / HTTPS ein: 11 Wichtige Dinge, die Sie wissen sollten

WordPress SSL

Sie fragen sich vielleicht, warum wir WordPress SSL / TLS implementieren oder WordPress unter HTTPS aktivieren müssen? Bevor wir damit anfangen, müssen wir ein bisschen Geschichte erzählen.

Mit 3.9 Milliarden Nutzern, die das Internet nutzen (und täglich wachsen) und 1.7 Milliarden Websites im Internet können wir mit Sicherheit sagen, dass das Internet unser zweites Zuhause geworden ist - was früher als "online gehen" bekannt war, ist nicht mehr wirklich korrekt. Wir sind immer verbunden, immer an. Facebook ist auf mehr als 2.5 Milliarden aktive Nutzer pro Monat angewachsen. Früher haben wir über "virtuell" gesprochen, aber das Internet ist so real wie möglich geworden, ein Teil unseres Alltags. 

Diese Statistiken sind einfach überwältigend! Und es gibt absolut keine Anzeichen dafür, dass es langsamer wird. Da Schwellenländer Zugang zu billigem Internet erhalten, werden die Zahlen auf absehbare Zeit weiter zunehmen.

Inhalt[Anzahl Artikel]
 
Von diesen mehr als einer 1.7 Milliarde Websites basieren satte 455,000,000+ (und wachsende) auf WordPress.com oder WordPress.org
 

WordPress ist sicherlich von seinen bescheidenen Anfängen als Blog gewachsen. Und wenn so viele Leute eine Ihrer WordPress-Sites besuchen, wird es zur Pflicht, eine hochsichere Plattform bereitzustellen, die ihre Sicherheit nicht gefährdet.

Im heutigen Beitrag, der Teil unserer Reihe von informativen WordPress-Tutorials ist (die Sie in unserem Menü sehen können), werden wir Sie im Folgenden zu verschiedenen Möglichkeiten führen, wie Sie WordPress SSL / TLS oder WordPress HTTPS auf Ihrer Website implementieren können.

Randnotiz: Ein Teil der Lektüre und Arbeit in diesem Artikel ist hochtechnisch und erfordert Entwicklerkenntnisse. Wenn Sie möchten Stellen Sie einen WordPress-Entwickler ein Lesen Sie den verlinkten Artikel, um mehr über alle Dinge zu erfahren, die Sie berücksichtigen müssen, bevor Sie einen Entwickler einstellen.

Benötigen Sie Hilfe bei der Sicherung Ihrer Website? Probieren Sie diese erstklassigen, erschwinglichen Gigs auf Fiverr aus!

fiverr logo

 

mehr Experten zu finden Einrichten von sicheren WordPress-Zertifikaten.

1. Das Wichtigste zuerst. Ist es SSL oder TLS? Oder HTTPS?

Wirklich und wahrhaftig, heute sollte es TLS sein (was ein Akronym für Transport Layer Security ist).

Dies liegt daran, dass TLS die neueste Version sicherer Zertifikate ist, die verwendet werden sollten. Ursprünglich hieß der verwendete Sicherheitstransport jedoch SSL (Secure Sockets Layer).

Während in der Realität heute TLS verwendet wird, bezeichnen die meisten Menschen sichere Zertifikate als SSL-Zertifikate. Genau genommen sollten wir sie nur als sichere Zertifikate bezeichnen.

HTTPS bedeutet HTTP geliefert über Ssichere Kommunikation. HTTPS wird heute durch die Verwendung sicherer Zertifikate über TLS implementiert.

2. Die Rolle sicherer Zertifikate und wie sie zur WordPress-Sicherheit passen

SSL ist das Akronym für Secure Sockets Layer und eine Technologie, mit der sichere Kommunikation über ein Netzwerk durchgeführt wird.

Diese sichere Form des Transports wird erreicht, indem eine verschlüsselte Verbindung zwischen einem Client-Computer und einem Server hergestellt wird. In den meisten Fällen handelt es sich hierbei um einen Webserver und einen Client-Browser, auf denen eine Website angezeigt wird. Bei E-Mail-Clients wie MS Outlook wird eine Verbindung zum E-Mail-Server hergestellt.

Das sichere Zertifikat wird normalerweise von einer Zertifizierungsstelle ausgestellt. Dies bedeutet, dass eine zentrale, vertrauenswürdige Behörde für den Server "bürgt". Wenn der Webserver eine Nachricht verschlüsselt, "signiert" er sie im Wesentlichen, um ihre Authentizität mit einem Zertifikat der Behörde zu überprüfen.

Der Browser überprüft dann die Signatur und überprüft, ob die Signatur von einer "vertrauenswürdigen" Behörde stammt. Wenn das Zertifikat vertrauenswürdig ist, wird eine sichere Kommunikation zwischen dem Client und dem Server erreicht.

Das Zertifikat wird dann verwendet, um die Nachricht zu entschlüsseln und ihren Inhalt zu lesen.

wie SSL funktioniert

Dies ermöglicht die Möglichkeit einer sicheren Kommunikation, die von Dritten nicht gelesen werden kann. Dies gibt den Benutzern grünes Licht für das Vertrauen, dass die vertraulichen Daten, die sie über das Internet senden, wie Bankdaten, Anmeldeinformationen, Sozialversicherungsnummern, E-Commerce-Daten, Kreditkartendaten und andere vertrauliche Daten, sicher auf der Website ankommen, auf der sie sich befinden verarbeitet.

Denn in Wirklichkeit liegt das Problem des "Vertrauens" nicht auf der Website per, sondern auf der Kommunikation zwischen der Website und dem Kunden.

Vor dieser Technologie oder wenn eine Website HTTP nur für ihre nicht so fortgeschrittene Kommunikation verwendet, werden Daten als einfacher Text gesendet. Das hat es geschafft anfällig für böswillige Angriffe - die die Daten lesen und natürlich aus böswilligen Gründen verwenden konnten. Zum Beispiel könnten Anmeldeinformationen gestohlen werden, um eine Website zu übernehmen, oder Kreditkartendaten könnten gelesen und verwendet werden, um betrügerische Dinge zu kaufen.  

Das folgende Video erklärt gut, was SSL ist und warum Sie es auf Ihrer Website implementieren müssen.

SJJmoDZ3il8

3. Warum sollten Sie Ihre Website sicher bedienen?

Websitebesitzer, die HTTPS nicht implementiert haben, sind anfällig für "Schnüffeln".

Da der Webserver den an den Browser gesendeten Datenverkehr nicht verschlüsseln kann, können ALLE Datenkommunikationen einschließlich vertraulicher Daten von Hackern sehr leicht gelesen werden. Im Wesentlichen können alle Daten, die zwischen dem Client und dem Webserver übertragen werden, gelesen werden. Wenn Sie sich auf einer Website anmelden, können Ihre Anmeldeinformationen gelesen werden. Wenn Sie Kreditkartendaten weitergeben, können diese gestohlen werden.

Wenn Sie vertrauliche Daten senden, können diese gelesen werden, wenn Sie die Website-Sicherheit nicht über sichere Zertifikate implementieren.

Wenn Sie keine vollständige Verschlüsselung implementieren, ist Ihre Site anfällig für das, was als Man in the Middle Attack bezeichnet wird. Lesen Sie mehr darüber auf Wikipedia . Tools wie Wireshark (kostenloses Tool, das von jedermann heruntergeladen und verwendet werden kann) macht das Lesen des Datenverkehrs über das Internet sehr einfach, und Hacker richten vollständige Infrastrukturen zum Lesen unverschlüsselter Daten ein.

Das Folgende ist ein Screenshot von Wireshark beim Lesen eines über HTTP gesendeten Passworts:

Passwort schnüffeln Wireshark

Böswillige Benutzer verfügen über Tools wie die oben genannten, mit denen sie nach bestimmten Mustern suchen können, z. B. nach Kreditkartennummern, Sozialversicherungsdetails, Kennwörtern und anderen für sie wertvollen Daten.

Mann im mittleren Angriff 

Wenn Sie dagegen HTTPS in WordPress implementieren, haben Sie ein Verschlüsselungssystem eingerichtet, das verschiedene Sicherheitsvorteile wie Integrität, Identität und vor allem Vertraulichkeit bietet.

Der Server und der Browser können nur den Text entschlüsseln, der über den Kommunikationskanal gesendet wird. Es wird bestätigt, ob die Daten intakt sind und nicht geändert wurden, um die Integrität der Daten sicherzustellen (dh sie wurden nicht manipuliert).  

4. HTTPS und SEO

Websites, die HTTPs implementieren, erhalten in Suchmaschinen einen Ranking-Schub.

Google in einem Blog mit dem Titel "HTTPS als Ranking-Signal". kündigte an, dass es den Websites, die diese sichere Technologie nutzen, einen Vorteil verschaffen wird. 

Umso wichtiger ist die Implementierung auf Ihrer Website. Andernfalls ist Ihre Website im Vergleich zu Wettbewerbern, die HTTPS implementiert haben, im Nachteil.

Google möchte, dass der Sicherheit höchste Aufmerksamkeit und Priorität eingeräumt wird. Das Unternehmen hat es sich zur Aufgabe gemacht, sicherzustellen, dass die gesamte Sicherheit in der gesamten Branche genutzt wird. Dies stellt sicher, dass Internetnutzer, die die Google-Suchmaschine und ihre anderen Dienste verwenden, eine sichere Kommunikation über alle Dienste hinweg erhalten.

Sie haben auch das Konzept "HTTPS überall" entwickelt, um ein Gefühl erhöhter Internetsicherheit zu fördern.

Dies war ihnen jedoch nicht genug. Da sie so viel Einfluss haben, haben sie SSL als Ranking-Signal für SEO- und Suchmaschinen-Rankings hinzugefügt.

Wenn Ihre Website HTTPS implementiert, hat dies einen Vorteil gegenüber den Websites, die es nicht implementieren (wobei alle anderen Ranking-Signale gleich sind).

WEITERLESENWordPress Onpage SEO Checkliste: Eine 19-Schritt-für-Schritt-Anleitung zur Steigerung des Datenverkehrs.

Wird die Migration von HTTP zu HTTPS meine Rangliste beeinträchtigen? 

Viele Menschen fragen sich, ob der Wechsel von HTTP zu HTTPS ihre aktuellen organischen Rankings beeinträchtigen wird. Bedeutet dies, dass alle Backlinks zur http: // Version der Website verloren gehen, da die HTTP- und HTTPS-Versionen einer Website unterschiedlich sind?

Das ist ein sehr berechtigtes Anliegen.

Sie haben viel gearbeitet, um wertvolle Backlinks zu erhalten, und wenn Sie diese verlieren, erhalten Sie einen kleinen Ranking-Schub, verlieren aber das größere Ranking-Signal, das von Links ausgeht.

Wie Sie weiter unten sehen werden, führen wir jedoch eine 301-Umleitung durch. Dies bedeutet, dass der Server, der früher hier lebte, dauerhaft an einen neuen Standort umgezogen ist.

Google versteht, dass eine 301-Weiterleitung bedeutet: "Hallo Google - das bin immer noch ich, aber ich bin jetzt dauerhaft an eine neue Adresse umgezogen." Das bedeutet, dass Sie keinen Verkehr, keine Backlinks oder keinen Linksaft verlieren.

Vielleicht möchten Sie ein bisschen mehr darüber lesen 301 Umleitung auf der Moz-Website. Sie werden feststellen, dass sie unsere genauen Empfehlungen abgeben.

Das einzige, was unsere Website bei der Umleitung zur sicheren URL unserer Website verloren hat, war unsere Social Share zählt.

Dies liegt daran, dass Facebook und die meisten anderen Freigabezähler https://www.collectiveray.com und https://www.collectiveray.com als zwei völlig unterschiedliche URLs behandeln. Damit müssen Sie wahrscheinlich leben. In der Realität gilt: Je früher Sie dies tun, desto schneller können Sie neue Aktien für Ihre gesicherte Adresse erwerben.

Wir haben dies neben CollectiveRay auf mehreren Websites durchgeführt, und es gab nie negative Auswirkungen auf Rankings oder Traffic. Solange Sie eine korrekte Einrichtung durchführen, sollten Sie sich darüber keine Gedanken machen.

AKTUELL: Vor kurzem hat Google bestätigt, dass 301 Weiterleitungen von HTTP zu HTTPS absolut keinen Link-Saft verlieren. Dies liegt natürlich daran, dass es keinen Sinn macht, eine Strafe für den Wechsel zu etwas zu erhalten, das Google befürwortet.

5. Was muss ich noch tun, nachdem ich SSL aktiviert habe?

Wenn Sie sicherstellen möchten, dass Sie eine starke Nachricht an Google senden, dass Ihre Website tatsächlich verschoben wurde, können Sie dies idealerweise über die Google Search Console tun.

Fügen Sie Ihre Website einfach so hinzu, als wäre es eine neue Website in der Google Search Console.

Dies kann natürlich bedeuten, dass Sie einige Dinge wie strukturierte Daten verlieren und Ihre Sitemaps erneut einreichen müssen. Wir glauben jedoch, dass dies ein sehr starker Indikator für Google ist, dass dies eine gültige und vollständig befürwortete Migration ist.

6. Vertrauen mit Sicherheit gewinnen

Wie Sie wahrscheinlich bereits wissen, wird auf einigen Websites im Browser ein grüner Balken angezeigt. Dies bedeutet, dass die Website eine sichere Kommunikation implementiert hat.

Sie können ein sehr klares Beispiel dafür auf der Paypal-Website sehen.

Paypal mit Secure Sockets Layer Icon

 

Wie können Sie überprüfen, ob Ihre Website geschützt ist oder nicht?

Um zu überprüfen, ob eine Website SSL-geschützt ist oder nicht, können Sie überprüfen, ob das Präfix https: // vor der URL anstelle des regulären http: // angezeigt wird.

Abgesehen davon finden Sie auch ein Vorhängeschloss, das im Adressfeld vorhanden ist, bevor die Website beginnt.

DART Creations SSL

Das oben gezeigte Bild zeigt an, dass eine Website über ein autorisiertes SSL-Zertifikat verfügt. Das Erscheinungsbild des Vorhängeschlosses variiert jedoch von Browser zu Browser. Auf Websites, die ein erweitertes Validierungszertifikat erworben haben, wird eine vollständig grüne Adressleiste angezeigt, oder der Name des Unternehmens wird vor der URL angezeigt.

Erweiterte Validierungszertifikate sind recht teuer in der Anschaffung und Implementierung, da sie eine Reihe von physischen Überprüfungen erfordern, um zu bestätigen, dass der Webserver tatsächlich zu dem Unternehmen gehört, das ihn implementiert.

Erweitertes Validierungs-SSL-Zertifikat für elegante Themen

Für diejenigen, die Safari verwenden, wird angezeigt, dass eine grüne Schrift verwendet wird, um anzuzeigen, dass das Unternehmen ein EV-Zertifikat verwendet.

Das folgende Beispiel ist ein EV-Zertifikat, das für den Safari-Browser verwendet wird. Hier hat die Adressleiste keinen grünen Hintergrund wie andere Browser. Stattdessen haben sie sich für eine grüne Schrift entschieden.

SSL auf Safari

Erweiterte Validierungszertifikate bieten erweiterte Sicherheit, die sich aus dem Namen ergibt.

Ein EV-Zertifikat wird an ein Unternehmen ausgestellt, das alle Schritte des Validierungsprozesses abgeschlossen hat. Rechtliche Formalitäten wie der Nachweis ihrer physischen Adresse und der Zugriff auf bestimmte Dateien auf einem Server sind erforderlich, um die rechtliche Genehmigung abzuschließen. Es gibt auch einige andere Validierungen, die ein Unternehmen durchführen müsste, um ein gültiges Zertifikat für die erweiterte Validierung zu erhalten. Dies würde jedoch den Rahmen dieses Artikels sprengen.

Sie können mehr darüber lesen Erweiterte Validierungszertifikate hier.

Durch die Implementierung von WordPress HTTPS bestätigt und überprüft ein Drittanbieter im Wesentlichen, ob der Webserver der ist, für den er sich ausgibt. Diese Agentur wird als Aussteller des Zertifikats bezeichnet - auch als vertrauenswürdige Zertifizierungsstelle bezeichnet.

Was passiert, wenn sichere Zertifikate nicht mehr funktionieren?

Anhand der obigen Indikatoren kann man erkennen, ob ihre sicheren Zertifikate funktionieren oder nicht.

Ebenso können Benutzer schnell verstehen, dass der Datenverkehr einer Website nicht verschlüsselt ist oder dass ihr Sicherheitszertifikat abgelaufen ist. Wenn das Vorhängeschloss rot erscheint und eine rote Linie auffällt, ist dies ein Hinweis auf eines der folgenden Dinge:

  • Die Website verwendet ein selbstsigniertes Zertifikat, das vom selben Webserver ausgestellt wird. Dies bedeutet, dass das Zertifikat nicht vertrauenswürdig ist, da das Zertifikat nicht von einer vertrauenswürdigen Stelle ausgestellt wurde
  • Das Ablaufdatum ist abgelaufen und das Zertifikat ist nicht mehr gültig
  • Das Zertifikat wird aus einem anderen Grund nicht mehr vertrauenswürdig und als ungültig markiert

Sicherheit nicht korrekt implementiert

Im obigen Bild sehen Sie die Warnung vor dem Besuch einer Website, wenn der Browser erkennt, dass das sichere Zertifikat, das von einer Website verwendet wird, die Sie für den Besuch verwenden, abgelaufen ist.

Die meisten modernen Browser haben diese Fähigkeit, vor einem ungültigen Zertifikat (daher unsichere Datenübertragung) zu warnen, bevor ein Benutzer zu einer ungesicherten Website wechseln kann.

Nach Ablauf des Zertifikats müssen Sie das Zertifikat lediglich an dem Ort der Behörde erneuern (von dem das Zertifikat ursprünglich bezogen wurde). Darüber hinaus wird vorgeschlagen, dass Zertifikate überhaupt nicht ablaufen dürfen. Ein solcher Fehler erzeugt bei den Besuchern einen schlechten Eindruck einer Website.

Eine Website verfügt über ein selbstsigniertes Zertifikat, wenn das Zertifikat von demselben Webserver erstellt wird, anstatt von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt zu werden. Dieses Zertifikat ist NICHT VERTRAUEN.

Browser vertrauen nur SSL-Zertifikaten, die von vertrauenswürdigen Zertifizierungsstellen ausgegeben werden. In allen anderen Fällen wird eine Warnung für Websites angezeigt, auf denen ein selbstsigniertes Zertifikat ausgeführt wird. 

Checkliste für die Migration von HTTP zu HTTPS

Nachdem wir nun vollständig verstanden haben, warum WordPress HTTPS unserer Website zugute kommt, werden wir im Folgenden ausführlich erläutern, wie Sie es auf Ihrer Website implementieren können. Wir haben auch eine Checkliste für die Migration von HTTP zu HTTPS, die wir unten auflisten, um sicherzustellen, dass Sie alle Schritte im Zusammenhang mit der Migration zu HTTPS ausgeführt haben.

Vor dem sicheren Starten von WordPress

bestimmt. SSL-Zertifizierungseinstellung Holen Sie sich das TLS-Zertifikat mit SHA-2 für SSL, konfigurieren Sie es und testen Sie es Server
bestimmt. Registrierung der Google Search Console Registrieren Sie beide Domains http & https in der Google Search Console sowie Ihre WWW- und Nicht-WWW-Versionen. Wenn Sie auch einzelne Unterdomänen oder Unterverzeichnisse in der Google Search Console registriert haben, replizieren Sie diese Registrierung und Konfiguration mit ihrer https-Version. Google Search Console
bestimmt. Rankings-Überwachung Beginnen Sie mit der Überwachung der Site-Rankings parallel zur https-Domain Rangverfolgungssoftware
bestimmt. Aktuelle Top-Site-Seiten und Identifizierung von Abfragen Identifizieren Sie die Top-Seiten - und verwandte Abfragen -, die die Sichtbarkeit und den Traffic der organischen Suche fördern und bei der Validierung und Überwachung der Website-Leistung priorisiert werden sollen Google Search Console und Google Analytics
bestimmt. Aktuelles Crawlen der Site Durchsuchen Sie die http-Site, um interne fehlerhafte Links und die aktuelle Webstruktur zu identifizieren und zu beheben, bevor Sie sie verschieben. Staging-Umgebung
bestimmt. Neue HTTPS-Webeinstellung mit aktualisierten internen Links Stellen Sie die neue Webversion ein, um die Änderungen vorzunehmen, die Links in einer Staging-Umgebung zu testen und zu aktualisieren und auf die URLs (Seiten und Ressourcen wie Bilder, JS, PDFs usw.) mit HTTPS zu verweisen Staging-Umgebung
bestimmt. Neue HTTPS-Web-Kanonisierung Aktualisieren Sie die kanonischen Tags mithilfe von https in der Bühnenumgebung, um absolute URLs einzuschließen Staging-Umgebung
bestimmt. Neue HTTPS-Web-Kanonisierung Stellen Sie in der Staging-Umgebung sicher, dass alle bereits vorhandenen Umschreib- und Umleitungsverhalten (Nicht-WWW vs. WWW; Schrägstrich vs. Nicht-Schrägstrich usw.) auch in der sicheren Webversion implementiert sind, da sie für die Arbeit mit http verwendet wurden Staging-Umgebung
bestimmt. Leitet die Vorbereitung um Bereiten Sie die Rewrite-Regeln vor und testen Sie sie, die von allen identifizierten vorhandenen URLs (Seiten, Bilder, JS usw.) in der http-Domäne auf die https-URL umleiten Server
bestimmt. Neue XML-Sitemap-Generierung Generieren Sie eine neue XML-Sitemap mit den URLs, deren Sicherheit implementiert ist, um sie nach dem Verschieben der Website in das Google Search Console-Profil der HTTP hochzuladen XML Sitemap Generator
bestimmt. Robots.txt Vorbereitung Bereiten Sie die robots.txt vor, die beim Starten der Site in die https-Domänenversion hochgeladen werden soll, indem Sie die vorhandenen Anweisungen für http replizieren. Zeigen Sie jedoch bei Bedarf auf die https-URLs Robots.txt
bestimmt. Bereiten Sie Änderungen an Anzeigen, E-Mails oder Partnerkampagnen vor, um nach Abschluss der Migration auf die Versionen der https-URLs zu verweisen Kampagnenplattformen Verschiedene Plattformen
bestimmt. Konfiguration ablehnen Überprüfen Sie, ob in der Vergangenheit Ablehnungsanforderungen gesendet wurden, die für die sicheren URL-Versionen in ihrem eigenen Google Search Console-Profil erneut gesendet werden müssen Google Search Console
bestimmt. Geolocation-Konfiguration Wenn Sie eine gTLD, für die Sie ein Geotargeting durchführen, über die Google Search Console (sowie deren Unterdomänen oder Unterverzeichnisse, falls Sie sie einzeln geotargeting) migrieren, müssen Sie sie erneut mit der sicheren Domainversion geotargetieren Google Search Console
bestimmt. URLs Parameter Konfiguration Wenn URL-Parameter über die Google Search Console verarbeitet werden, sollte die vorhandene Konfiguration im Profil der sicheren Site repliziert werden Google Search Console
bestimmt. Vorbereitung der CDN-Konfiguration Wenn ein CDN verwendet wird, stellen Sie sicher, dass diese die sichere Domänenversion der Site ordnungsgemäß bereitstellen und SSL verarbeiten können, wenn die Migration abgeschlossen ist CDN-Anbieter
bestimmt. Anzeigen- und Erweiterungsvorbereitung von Drittanbietern Stellen Sie sicher, dass alle auf der Website verwendeten Anzeigencodes, 3D-Party-Erweiterungen oder sozialen Plugins ordnungsgemäß funktionieren, wenn diese auf https verschoben werden Anzeigen- und Erweiterungsplattformen
bestimmt. Vorbereitung der Web Analytics-Konfiguration Stellen Sie sicher, dass die vorhandene Web Analytics-Konfiguration auch den Datenverkehr der sicheren Domäne überwacht Web Analytics-Plattform

Während der eigentlichen Migration auf eine sichere Website

bestimmt. HTTPS-Site-Start Veröffentlichen Sie die validierte https-Site-Version live Produktionsumfeld
bestimmt. Neue HTTPS-Version Überprüfung der Webstruktur Stellen Sie sicher, dass die URL-Struktur in der Version der sicheren Site mit der im HTTP übereinstimmt Produktionsumfeld
bestimmt. Interne Verknüpfung der neuen sicheren Version Stellen Sie sicher, dass die Site-Links effektiv auf die HTTPS-URLs verweisen Produktionsumfeld
bestimmt. Kanonisierung der neuen HTTPS-Version Stellen Sie sicher, dass die kanonischen Tags auf den Seiten auf die HTTPS-URLs verweisen Produktionsumfeld
bestimmt. Kanonisierung der neuen HTTPS-Version Implementieren Sie die Umschreibungen und Weiterleitungen von www vs non-www, slash vs. without slash usw. in der neuen sicheren Webversion Produktionsumfeld
bestimmt. HTTP-zu-HTTPS-Umleitungsimplementierung Implementieren Sie die 301-Weiterleitungen von jeder URL der Site von ihrer HTTP- zu HTTPS-Version Produktionsumfeld
bestimmt. Web Analytics-Konfiguration Notieren Sie das Migrationsdatum in Ihrer Web Analytics-Plattform und stellen Sie sicher, dass die Konfiguration so eingestellt ist, dass die sichere Webversion verfolgt wird Web Analytics-Plattform
bestimmt. Überprüfung der SSL-Serverkonfiguration Überprüfen Sie die SSL-Konfiguration Ihres Webservers. Sie können Dienste wie nutzen https://www.ssllabs.com/ssltest/ Produktionsumgebung, SSL-Test
bestimmt. Robots.txt Update Aktualisieren Sie die Einstellung robots.txt in der https-Domäne mit den entsprechenden Änderungen Robots.txt

Nach dem Start von HTTPS

bestimmt. HTTPS-Crawling-Validierung Durchsuchen Sie die Site, um zu überprüfen, ob die sicheren URLs diejenigen sind, auf die ohne Fehler, fehlerhafte Nichtindexierungen, Kanonisierungen und Weiterleitungen zugegriffen, verknüpft und bereitgestellt werden kann Produktionsumfeld
bestimmt. Neue HTTPS-Site leitet die Validierung um Überprüfen Sie, ob die Weiterleitungsregeln von http vs. https, www vs. non-www und slash vs. non-slash korrekt implementiert sind Produktionsumfeld
bestimmt. XML Sitemap Release & Submission Laden Sie die generierte XML-Sitemap mit den sicheren URL-Versionen im https-Profil der Google Search Console hoch und überprüfen Sie sie Google Search Console
bestimmt. Offizielles Update der externen Links Aktualisieren Sie offizielle externe Links, die auf die Website verweisen, um zur sicheren Version zu gelangen (Social Media-Profile, Partner-Websites usw.). Offizielle Präsenz auf externen Plattformen
bestimmt. Anzeigen- und Erweiterungsvalidierung von Drittanbietern Stellen Sie sicher, dass alle Plugins wie soziale Schaltflächen, Anzeigen und Code von Drittanbietern in den Versionen für sichere URLs ordnungsgemäß funktionieren. Sie können Ihre Website scannen, um nach nicht sicheren Inhalten mit zu suchen https://www.jitbit.com/sslcheck/ Anzeigen- und Erweiterungsplattformen, SSL-Prüfung
bestimmt. Kampagnen aktualisieren die Ausführung Implementieren Sie die relevanten Änderungen an Anzeigen, E-Mails und Affiliate-Kampagnen, um korrekt auf die HTTPS-Webversion zu verweisen Kampagnenplattformen
bestimmt. Crawling- und Indexierungsüberwachung Überwachen Sie die Indexierung, Sichtbarkeit und Fehler der HTTP- und HTTPS-Site-Versionen Google Search Console
bestimmt. Rankings & Verkehrsüberwachung Überwachen Sie den Datenverkehr und die Ranglistenaktivität der HTTP- und HTTPS-Siteversionen Web Analytics & Rank Tracking-Plattformen
bestimmt. Überprüfung der Robots.txt-Konfiguration Überprüfen Sie die Einstellung robots.txt in der sicheren Domäne, um sicherzustellen, dass die Konfiguration ordnungsgemäß aktualisiert wurde Robots.txt

 

Diese Checkliste für die Migration von HTTP zu HTTPS wurde freundlicherweise erstellt und der Facebook-Gruppe von Advanced WP zur Verfügung gestellt. 

7. Wie können Sie Ihrer WordPress-Website Sicherheit hinzufügen?

Lassen Sie uns auf das Wesentliche eingehen und uns die Hände schmutzig machen. Es gibt zwei Möglichkeiten, WordPress SSL einzurichten:

  • Manuelles Einrichten von SSL auf Ihrer WordPress-Website
  • Verwenden des WordPress HTTPS Plugins

So erwerben Sie ein sicheres Zertifikat

Zunächst müssen Sie sich irgendwie ein SSL-Zertifikat aneignen.

Es gibt verschiedene Möglichkeiten, dies zu tun, aber die einfachste Möglichkeit, dies zu tun, ist über Ihren Hosting-Server.

Beim InMotion-Hosting können Sie das Zertifikat und alles, was Sie damit benötigen, direkt über die AMP-Konsole (Account Management Panel) kaufen. Das Gute ist, dass sie dich sehr gut unterstützen, wenn du dir nicht die Hände schmutzig machen willst.

SSL-Zertifikat erwerben

Im Preis von 99 USD / Jahr ist der Preis für die erforderliche dedizierte IP enthalten. Es gibt eine einmalige Gebühr von 25 USD, da das Zertifikat auf dem Server installiert werden muss, der Ihre Website mit Strom versorgt.

Auf diese Gebühr kann verzichtet werden, wenn Sie direkten Zugriff auf den Server haben und das Zertifikat selbst installieren können.

Wenn Sie einen Virtual Private Server haben, ist die manuelle Installation des Zertifikats sehr einfach. Wir haben die Schritte in unserem Dokument dokumentiert InMotion VPS Bewertung, also werden wir das nicht noch einmal durchgehen.

Details zum Kauf eines dedizierten SSL-Zertifikats

Wenn Sie nicht mit InMotion gehostet werden (warum nicht? Wissen Sie nicht, dass ihre Server schneller und ihre Unterstützung besser sind?), Wird das Verfahren ähnlich sein.

Probieren Sie InMotion Hosting jetzt aus

Nachdem das Zertifikat gekauft und installiert wurde, müssen Sie jetzt WordPress SSL / TLS aktivieren.

Verwenden von Let's Encrypt als Zertifizierungsstelle

In diesem Artikel haben wir erwähnt, dass sichere Zertifikate von einer sogenannten Zertifizierungsstelle ausgestellt werden. Dies ist eine Stelle, die "bescheinigen" kann, dass der Server, auf dem Sie Ihr Zertifikat installiert haben, wirklich der ist, für den er sich ausgibt. Dies beinhaltet natürlich einige Arbeiten, und normalerweise werden Ihnen diese Arbeiten in Rechnung gestellt.

Let's Encrypt ist neu Zertifizierungsstelle Dies soll es jedem erleichtern, ein sicheres Zertifikat zu erwerben, indem der Prozess des Erwerbs eines Zertifikats automatisiert und kostenlos gestaltet wird.

Dies ist im Wesentlichen eine Behörde, die von einer Reihe von Unternehmen namens Internet Security Research Group betrieben wird, darunter so große Namen wie Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook und viele andere, die den Erwerbsprozess durchführen möchten ein Sicherheitszertifikat: Kostenlos, automatisiert, sicher, transparent, offen und kooperativ.

Warum sollten diese Firmen Ihnen Sachen kostenlos zur Verfügung stellen wollen? Weil ein sicheres und sicheres Internet ein wünschenswertes Ziel für alle ist.

Obwohl es relativ einfach sein mag, ist es immer noch ein technisches Verfahren, das Zertifikat einzurichten. Heutzutage haben die meisten Webhosting-Unternehmen die Funktionalität jedoch so integriert, dass für die meisten Unternehmen der Erwerb eines Let's Encrypt-Zertifikats eine Frage des Klickens auf eine Schaltfläche ist und das Zertifikat erstellt und eingerichtet wird.

Manuelles Erstellen eines sicheren Zertifikats mit Let's Encrypt

(Sie können diesen Teil überspringen, wenn Sie nicht vorhaben, ein eigenes Let's Encrypt-Zertifikat zu erstellen, das Sie über Ihren Hosting-Server erwerben.)

Sie benötigen direkten oder Shell-Root-Zugriff auf Ihren Server, um das folgende Verfahren ausführen zu können.

1. Installieren Sie die Let's Encrypt-Bibliothek auf Ihrem Server

Führen Sie den folgenden Befehl aus, um die Let's Encrypt-Bibliothek zu installieren

$ sudo git Klon https://github.com/letsencrypt/letsencrypt / opt / letsencrypt

Dieser Befehl lädt das LetsEncrypt-Repository herunter und kopiert es in Ihr Verzeichnis / opt.

2. Generieren Sie ein sicheres Zertifikat

Der beste Weg, um ein Zertifikat zu generieren, ist die Verwendung der Standalone-Methode mit einer Schlüsselgröße von 4096 (was sehr verdammt stark ist).

$ ./letsencrypt-auto certonly --standalone --rsa-key-size 4096

Sobald Sie diesen Befehl ausführen, wird ein Fenster geöffnet, in dem Sie nach dem Domänennamen gefragt werden. Es wird empfohlen, dass Sie sowohl Ihre Stammdomäne als auch andere Subdomänen eingeben, mit denen Sie das Zertifikat verwenden möchten.

Lässt verschlüsseln Zertifikat generieren

Der nächste Schritt besteht darin, die Nutzungsbedingungen von zu lesen und diesen zuzustimmen Lass uns verschlüsseln. Sobald Sie einverstanden sind, können Sie den Pfad der PEM-Datei anzeigen. Es befindet sich in / etc / letsencrypt / live / your-domain-name /. Wenn beim Erstellen des Zertifikats Fehler auftreten, möchten Sie möglicherweise Ihre Firewall-Konfiguration überprüfen, da zum Erstellen der Zertifikate eine Reihe von Verbindungen erforderlich sind.

Das generierte Zertifikat läuft in 90 Tagen ab und muss alle 90 Tage erneuert werden. Dies ist ein negativer und positiver Punkt. Sie können finden die Gründe, warum hier 90-Tage-Zertifikate verwendet werden. Um das Zertifikat zu erneuern, müssen Sie nur das Erneuerungsskript Let's Encrypt ausführen.

Möglicherweise möchten Sie einen Cron-Job zur Automatisierung des Prozesses schreiben.

Dies ist besonders wichtig, wenn Sie dazu neigen, dies zu vergessen. Sobald Ihr Zertifikat abläuft, wird die oben gezeigte flüchtige rote Warnung angezeigt. Beachten Sie dies möglicherweise.

Schritt 3: Generieren Sie mithilfe einer Diffie Hellman-Gruppe eine starke Kryptografiesicherheit für öffentliche Schlüssel

Um die Sicherheit weiter zu erhöhen, sollten Sie auch eine starke Diffie-Hellman-Gruppe generieren. Verwenden Sie diesen Befehl, um eine 4096-Bit-Gruppe zu generieren:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096

Dies kann eine Weile dauern, aber wenn es fertig ist, haben Sie eine starke DH-Gruppe bei /etc/ssl/certs/dhparam.pem

Nachdem Sie über ein Zertifikat verfügen, müssen Sie dieses über die SSL / TLS-Funktion von CPanel oder was auch immer Ihr Hosting-Unternehmen verwendet, auf Ihrem Webserver installieren.

ssl tls cpanel

Wenn Ihnen dieses Verfahren Angst macht, denken Sie daran, dass heutzutage die meisten dieser Dinge auf den meisten Hosts vollständig automatisiert sind.

 

8. So richten Sie WordPress für die Verwendung von SSL (oder TLS) und HTTPS (manuell) ein

Sobald Sie ein sicheres Zertifikat haben und es auf dem Server installiert oder verfügbar gemacht haben, auf dem Sie Ihre Website hosten, müssen Sie die nächsten Schritte ausführen, um HTTPS unter WordPress zu aktivieren.

Der allererste Schritt, der durchgeführt werden muss, besteht darin, HTTPS in Ihre Website zu integrieren, um die URL Ihrer Website zu aktualisieren. Dazu müssen Sie zu Einstellungen → Allgemein gehen und dort Ihr WordPress- und Site-URL-Adressfeld aktualisieren.


Aktualisieren Sie die URL, um WordPress SSL zu verwenden

Wenn Sie über eine vorhandene Website verfügen und SSL aktivieren, müssen Sie auch eine 301-Umleitung festlegen, die die sichere Zustellung aller HTTP-Anforderungen erzwingt. Dadurch wird auch sichergestellt, dass keiner Ihrer vorhandenen Links von externen Websites verloren geht, während auch kein Linksaft verloren geht.

Dies kann durch Hinzufügen des folgenden Codeausschnitts in der .htaccess-Datei Ihrer Website erfolgen, auf die Sie über Ihren CPanel-Dateimanager zugreifen können.

RewriteEngine On RewriteCond% {SERVER_PORT} 80 RewriteRule ^ (. *) $ Https://www.yourwebsitehere.com/$1 [R = 301, L]

Sie können sehen, dass dies eine 301-Weiterleitung ist, die sicherstellt, dass Sie keinen Link-Saft verlieren. Stellen Sie sicher, dass Sie yourwebsitehere.com durch die URL Ihrer Website ersetzt haben.

Das oben Gesagte zwingt Ihren Server dazu, Inhalte sicher bereitzustellen. Nur zu beachten ist, dass alle URLs unter der Hauptdomäne mithilfe der oben genannten Informationen in HTTPS konvertiert werden. Jeder Ihrer alten Links auf http://www.collectiveray.com/wordpress/ wird automatisch zu https://www.collectiveray.com/wordpress/. 

Für diejenigen, die sich auf Nginx-Servern befinden, sollten Sie die folgende HTTP-Umleitung hinzufügen, um sie in HTTPS zu konvertieren:

Server {Listen 80; Servername websitename.com www.websitename.com; return 301 https: //websitename.com$request_uri; }}

Mit den folgenden Schritten können Sie sicherstellen, dass der gesamte Inhalt der Website sicher bereitgestellt wird.

Konfigurieren Sie einen sicheren Administrator

Sie können das Erzwingen eines sicheren WordPress-Administrators (dh des Verwaltungsteils Ihrer Website oder / wp-admin) über Ihre Datei wp-config.php konfigurieren. Wenn Sie die Sicherheit auf einer WordPress-Website mit Anmeldeseiten für mehrere Websites oder im Admin-Bereich erzwingen möchten, müssen Sie der Datei wp-config.php lediglich den folgenden Codeausschnitt hinzufügen. 

define ('FORCE_SSL_ADMIN', true);

Das ist es meistens, Sie sollten jetzt sicher auf Ihren WordPress-Administrator zugreifen können!

9. Implementieren Sie HTTPS mit WordPress SSL-Plugins

Eine andere einfache Möglichkeit, SSL auf Ihrer Website einzurichten, ist die Verwendung eines WordPress-SSL-Plugins.

Verwenden des Really Simple SSL-Plugins

wirklich einfaches SSL-Plugin

Das Plugin der Wahl zum Aktivieren von WordPress HTTPS auf Ihrer Website ist das Wirklich einfaches SSL Plugin. Es ist ein sehr schön geschriebenes Plugin von Rogier Lankhorst. Das Tolle an diesem Plugin ist, dass es die gesamte Komplexität beseitigt, die mit der Aktivierung sicherer Zertifikate auf Ihrer Site verbunden ist.

Wirklich und wahrhaftig, dies ist ein Ein-Klick-SSL-Aktivierungs-Plugin. 

Nachdem Sie das SSL-Zertifikat mit einer der oben beschriebenen Methoden erworben und auf Ihrem Server installiert haben, müssen Sie nur und installieren Aktivieren das Really Simple SSL Plugin und es wird den Rest der Arbeit für Sie erledigen.

Es macht tatsächlich eine Menge Arbeit unter der Haube, um die bekanntesten Probleme bei der Aktivierung von HTTPS auf Ihrer Website zu lösen. Es berücksichtigt die Einrichtung des Servers und führt alle erforderlichen Änderungen durch, damit Sie sich nicht mit irgendetwas herumschlagen müssen.

Das Folgende ist ein Screenshot des Plugins nach der Aktivierung - es hat einige Arbeit geleistet und festgestellt, dass bereits ein Zertifikat auf dem Server installiert ist.

Wie Sie sehen, können Sie jetzt einfach auf "SSL aktivieren" klicken und fertig! 

WordPress SSL-Erkennung des SSL-Zertifikats

Sobald Ihre Website in SSL konvertiert wurde, sehen Sie sich die Einstellungen an oder suchen nach Problemen und Problemen, wie im folgenden Screenshot dargestellt. 

Das Plugin versucht dann, alle gefundenen Probleme zu beheben.

Dieses Plugin ist Ihr One-Stop-Shop, um SSL zu aktivieren.

wirklich einfacher SSL-Scan für Probleme

 

Andere Plugins zum Aktivieren von SSL

Natürlich ist das oben genannte nicht das einzige Plugin, mit dem Sie sichere Zertifikate aktivieren können. Im Folgenden finden Sie eine Reihe weiterer Optionen, die Sie möglicherweise verwenden möchten. Beide erreichen letztendlich das gleiche Ziel, HTTPS auf Ihrer WordPress-Site zu aktivieren.

  • Einfache HTTPS-Umleitung
  • SSL Zen - Dies ist ein neues Plugin. Es hilft Ihnen tatsächlich dabei, das Let's Encrypt-Zertifikat über das Plugin selbst zu erstellen 

10. Testen Sie die korrekte Einrichtung des sicheren Zertifikats Ihrer Website 

Um sicherzustellen, dass Ihre Site vollständig eingerichtet wurde, empfehlen wir Ihnen, Ihre Site damit zu testen SSL SEO Checker Tool, das prüft, ob Sie das empfohlene WordPress SSL-Setup haben.

Sobald der Test ausgeführt wurde, erhalten Sie einen SSL-Bericht, der dem folgenden ähnelt:

ssl report collectiveray 

11. Vergessen Sie nicht, Ihr sicheres Zertifikat zu erneuern

Ein abgelaufenes Zertifikat ist ein totes Zertifikat.

Wenn ein Zertifikat abläuft, können Sie es nicht erneuern.

Sie müssen eine neue neu ausstellen und auf Ihrer Site neu installieren. Das sind natürlich mehr Kopfschmerzen, als Sie wirklich brauchen. Denken Sie also daran, sie zu erneuern, bevor sie ablaufen.

Dies geschah uns am Jahrestag der Einrichtung unseres ersten sicheren Zertifikats. Es ist keine angenehme Situation, plötzlich zu sehen, wie der gesamte Datenverkehr auf Null geht. Die Leute sind sehr vorsichtig, wenn es darum geht, über ein abgelaufenes Zertifikat hinauszukommen, so dass der Verkehr, den Sie erhalten, enorm sein wird.

Wir empfehlen, einige Wochen vor Ablauf eine Erinnerung einzurichten.

Du wurdest erwärmt. Abgelaufene Zertifikate sind eine Menge Arbeit, vergessen Sie also nicht, sie zu erneuern.

Willst du den einfachen Ausweg nehmen?

Natürlich, obwohl wir es einfach machen, gibt es Zeiten, in denen die Dinge nicht so laufen, wie Sie es erwarten. Stellen Sie daher sicher, dass Sie Ihre Support-Nummern zur Hand haben, nur für den Fall, dass beim Einrichten Ihrer WordPress-SSL-Funktionalität alles schief geht .

Wenn Sie den einfachen Ausweg nehmen möchten, lassen Sie InMotion einfach alles für Sie einrichten. Sie erhalten eine schnellere Website, die nicht nur mit SSL betrieben wird. Sie erhalten auch eine kostenlose Domain und diese überträgt die Site für Sie. CollectiveRay-Besucher erhalten außerdem EXKLUSIVE 47% Rabatt auf den normalen Preis, also schnappen Sie sich JETZT ein Schnäppchen.

Dies ist ein zeitlich begrenztes Angebot bis Mai 2021Holen Sie es sich also, bevor das Angebot abläuft.

Häufig gestellte Fragen

Hat WordPress SSL?

WordPress unterstützt SSL sowohl im Frontend als auch im Backend. Um es zu aktivieren, müssen Sie ein Zertifikat erwerben, indem Sie eines kaufen oder Let's Encrypt über Ihr Hosting-Unternehmen verwenden und es auf dem Server installieren. Sobald das Zertifikat installiert ist, können Sie HTTPS mit einer der oben genannten Methoden aktivieren, z. B. mit dem Really Simple SSL-Plugin.

Wie aktiviere ich SSL in WordPress?

Um SSL in WordPress zu aktivieren, verwenden Sie am einfachsten ein Plugin wie Really Simple SSL. Hierbei wird das derzeit für die Domäne eingerichtete Zertifikat verwendet. Stellen Sie daher sicher, dass das sichere Zertifikat bereits installiert wurde, bevor Sie es aktivieren.

Wie bekomme ich kostenloses SSL auf WordPress?

Um kostenloses SSL unter WordPress zu erhalten, müssen Sie die Let's Encrypt-Funktion verwenden, die auf Ihrem Hosting-Server verfügbar ist. Dadurch wird ein kostenloses sicheres Zertifikat ausgestellt und auf Ihrer Domain installiert. Die meisten Hosting-Unternehmen bieten diese Funktionalität heute an. Sie können dazu InMotion verwenden.

Was ist der Unterschied zwischen HTTP und HTTPS?

Der Unterschied zwischen HTTP und HTTPS besteht darin, dass letzteres über einen sicheren Kanal übertragen wird. Das auf dem Server installierte sichere Zertifikat verschlüsselt Nachrichten, bevor sie auf eine Weise gesendet werden, die nur von dem Browser entschlüsselt werden kann, der die Verbindung hergestellt hat. Dies bedeutet, dass vertrauliche Daten wie die Anmeldung auf einer Website mit einem Benutzernamen / Passwort, die Übermittlung vertraulicher Daten wie das Senden von Kreditkartendaten oder anderen Daten sicher und sicher gesendet werden können.

Fazit: HTTPS ist ein Muss

Wie Sie vielleicht gesehen haben, ist die Implementierung von HTTPS oder SSL zwar nicht immer einfach, aber unerlässlich. Google hat kürzlich angekündigt, Websites als NICHT SICHER zu kennzeichnen, wenn sie nicht SSL-fähig sind. Stellen Sie also sicher, dass Sie dies noch heute auf Ihrer Website einrichten.

 

Über den Autor
David Attard
Autor: David AttardWebsite: https://www.linkedin.com/in/dattard/
David arbeitet seit 18 Jahren in oder um die Online- / Digitalbranche. Er verfügt über umfangreiche Erfahrung in der Software- und Webdesignbranche mit WordPress, Joomla und den sie umgebenden Nischen. Als digitaler Berater konzentriert er sich darauf, Unternehmen durch die Kombination ihrer Website und der heute verfügbaren digitalen Plattformen einen Wettbewerbsvorteil zu verschaffen.

Eine Sache noch... Wussten Sie, dass Leute, die nützliche Dinge wie diesen Beitrag teilen, auch FANTASTISCH aussehen? ;-);
Sie können uns eine lass a nützlich Kommentieren Sie mit Ihren Gedanken und teilen Sie dies dann Ihren Facebook-Gruppen mit, die dies nützlich finden würden, und lassen Sie uns gemeinsam die Vorteile nutzen. Vielen Dank für das Teilen und nett zu sein!

Disclosure: Diese Seite enthält möglicherweise Links zu externen Websites für Produkte, die wir lieben und von ganzem Herzen empfehlen. Wenn Sie Produkte kaufen, die wir vorschlagen, können wir eine Empfehlungsgebühr verdienen. Solche Gebühren haben keinen Einfluss auf unsere Empfehlungen und wir akzeptieren keine Zahlungen für positive Bewertungen.

Autor (en) Empfohlen am:  Inc Magazin Logo   Sitepoint-Logo   CSS Tricks Logo    webdesignerdepot logo   WPMU DEV Logo   und viele mehr ...