WordPress SSL

Sie fragen sich vielleicht, warum wir WordPress SSL/TLS implementieren oder WordPress auf HTTPS aktivieren müssen? Bevor wir damit beginnen, müssen wir einen kurzen historischen Einblick geben.

Mit 3.9 Milliarden Internetnutzern (und täglich mehr) und 1.7 Milliarden Websites im Internet kann man wohl sagen, dass das Internet zu unserem zweiten Zuhause geworden ist – was man früher als „online gehen“ bezeichnete, trifft heute nicht mehr zu. Wir sind immer verbunden, immer online. Facebook hat mittlerweile über 2.5 Milliarden aktive Nutzer pro Monat. Früher sprachen wir von „virtuell“, doch das Internet ist so real geworden, wie es nur sein kann, Teil unseres Alltags. 

Diese Statistiken sind einfach überwältigend! Und es gibt keinerlei Anzeichen für eine Verlangsamung. Da Schwellenländer Zugang zu günstigem Internet erhalten, werden die Zahlen in absehbarer Zukunft weiter steigen.

{autotoc}
 
Von diesen mehr als 1.7 Milliarden Websites basieren sage und schreibe über 455,000,000 (und es werden immer mehr) auf WordPress.com oder WordPress.org
 

WordPress hat sich seit seinen bescheidenen Anfängen als Blog deutlich weiterentwickelt. Und wenn so viele Menschen Ihre WordPress-Seiten besuchen, ist es unerlässlich, eine hochsichere Plattform bereitzustellen, die ihre Sicherheit nicht gefährdet.

Im heutigen Beitrag, der Teil unserer Reihe informativer WordPress-Tutorials ist (die Sie in unserem Menü sehen können), zeigen wir Ihnen im Folgenden verschiedene Möglichkeiten, wie Sie WordPress SSL/TLS oder WordPress HTTPS auf Ihrer Website implementieren können.

Randnotiz: Einige der in diesem Artikel enthaltenen Lektüren und Arbeiten sind hochtechnisch und erfordern Entwicklerkenntnisse. Wenn Sie möchten Stellen Sie einen WordPress-Entwickler ein Lesen Sie den verlinkten Artikel, um alles zu erfahren, was Sie vor der Einstellung eines Entwicklers beachten müssen.

Brauchen Sie Hilfe bei der Sicherung Ihrer Website? Probieren Sie diese erstklassigen und günstigen Gigs auf Fiverr aus!

fiverr-Logo

 

Hier tippen Experten zu finden Einrichten sicherer WordPress-Zertifikate.

1. Das Wichtigste zuerst. Ist es SSL oder TLS? Oder HTTPS?

Eigentlich müsste es heute TLS heißen (ein Akronym für Transport Layer Security).

Dies liegt daran, dass TLS die neueste Version der zu verwendenden Sicherheitszertifikate ist. Ursprünglich lautete der Name des verwendeten Sicherheitstransports jedoch SSL (Secure Sockets Layer).

Obwohl TLS heute in der Praxis verwendet wird, bezeichnen die meisten Menschen sichere Zertifikate als SSL-Zertifikate. Streng genommen sollten wir sie nur als sichere Zertifikate bezeichnen.

HTTPS bedeutet HTTP geliefert über SSichere Kommunikation. HTTPS wird heute durch die Verwendung sicherer Zertifikate über TLS implementiert.

2. Die Rolle sicherer Zertifikate und wie sie zur WordPress-Sicherheit passen

SSL ist die Abkürzung für Secure Sockets Layer und eine Technologie zur sicheren Kommunikation über ein Netzwerk.

Diese sichere Transportform wird durch die Herstellung einer verschlüsselten Verbindung zwischen einem Client-Rechner und einem Server erreicht. In den meisten Fällen handelt es sich dabei um einen Webserver und einen Client-Browser, auf dem eine Website angezeigt wird. Bei Mail-Clients wie MS Outlook wird eine Verbindung zum E-Mail-Server hergestellt.

Das sichere Zertifikat wird normalerweise von einer Zertifizierungsstelle wie Comodo SSLDas bedeutet, dass eine zentrale, vertrauenswürdige Autorität für den Server bürgt. Wenn der Webserver eine Nachricht verschlüsselt, signiert er sie, um ihre Authentizität mit einem Zertifikat der Autorität zu bestätigen.

Der Browser prüft anschließend die Signatur und stellt sicher, dass sie von einer vertrauenswürdigen Stelle stammt. Ist das Zertifikat vertrauenswürdig, ist eine sichere Kommunikation zwischen Client und Server gewährleistet.

Das Zertifikat wird dann verwendet, um die Nachricht zu entschlüsseln und ihren Inhalt zu lesen.

So funktioniert SSL

Dies ermöglicht eine sichere Kommunikation, die von Dritten nicht gelesen werden kann. Nutzer können darauf vertrauen, dass die vertraulichen Daten, die sie über das Internet senden, wie Bankdaten, Anmeldeinformationen, Sozialversicherungsnummern, E-Commerce-Daten, Kreditkartendaten und andere vertrauliche Informationen, sicher auf der Website ankommen und dort verarbeitet werden.

Denn in Wirklichkeit liegt das Problem des „Vertrauens“ nicht beim Website-Nutzer selbst, sondern bei der Kommunikation zwischen Website und Kunde.

Vor dieser Technologie oder wenn eine Website nur HTTP für ihre Kommunikation verwendet, wurden die Daten als Klartext gesendet. Dies machte es anfällig für böswillige Angriffe - die die Daten lesen und natürlich für böswillige Zwecke verwenden konnten. Beispielsweise könnten Anmeldedaten gestohlen werden, um eine Website zu übernehmen, oder Kreditkartendaten könnten gelesen und für betrügerische Käufe verwendet werden.  

3. Warum sollten Sie Ihre Website sicher bereitstellen?

Websitebesitzer, die HTTPS nicht implementiert haben, sind anfällig für „Schnüffelei“.

Da der Webserver den an den Browser gesendeten Datenverkehr nicht verschlüsseln kann, können Hacker die gesamte Datenkommunikation, einschließlich vertraulicher Daten, problemlos lesen. Im Grunde sind alle Daten zwischen Client und Webserver lesbar. Wenn Sie sich bei einer Website anmelden, können Ihre Zugangsdaten gelesen werden. Wenn Sie Kreditkartendaten übermitteln, können diese gestohlen werden.

Wenn Sie vertrauliche Daten senden, können diese gelesen werden, wenn Sie die Website-Sicherheit nicht über sichere Zertifikate implementieren.

Wenn Sie keine vollständige Verschlüsselung implementieren, ist Ihre Website anfällig für sogenannte Man-in-the-Middle-Angriffe. Lesen Sie mehr dazu auf Wikipedia . Tools wie Wireshark (kostenloses Tool, das von jedem heruntergeladen und verwendet werden kann) macht es sehr, sehr einfach, den Datenverkehr im Internet zu lesen, und Hacker richten komplette Infrastrukturen ein, um unverschlüsselte Daten zu lesen.

Unten sehen Sie einen Screenshot von Wireshark, der ein über HTTP gesendetes Passwort liest:

Passwort-Sniffing Wireshark

Böswillige Benutzer verfügen über Tools wie die oben genannten, mit denen sie nach bestimmten Mustern suchen können, beispielsweise nach Kreditkartennummern, Sozialversicherungsdaten, Passwörtern und anderen für sie wertvollen Daten.

Mann im mittleren Angriff 

Wenn Sie hingegen HTTPS auf WordPress implementieren, haben Sie ein Verschlüsselungssystem eingerichtet, das mehrere Sicherheitsvorteile wie Integrität, Identität und vor allem Vertraulichkeit bietet.

Es ermöglicht dem Server und dem Browser lediglich, den über den Kommunikationskanal gesendeten Text zu entschlüsseln. Es stellt sicher, dass die Daten intakt sind und nicht verändert wurden, um die Integrität der Daten sicherzustellen (d. h., sie wurden nicht manipuliert).  

4. HTTPS und SEO

Websites, die HTTPs implementieren, erhalten ein besseres Ranking in Suchmaschinen.

Google gab in einem Blog mit dem Titel „HTTPS als Ranking-Signal“ bekannt, dass es den Websites, die diese sichere Technologie nutzen, einen Vorteil verschafft. 

Umso wichtiger ist es, HTTPS auf Ihrer Website zu implementieren. Andernfalls ist Ihre Website im Vergleich zu Wettbewerbern, die HTTPS implementiert haben, im Nachteil.

Google legt größten Wert auf Sicherheit und legt größten Wert darauf. Das Unternehmen hat es sich zur Aufgabe gemacht, branchenweit umfassende Sicherheit zu gewährleisten. Dies gewährleistet, dass Internetnutzer, die die Google-Suchmaschine und ihre anderen Dienste nutzen, über alle Dienste hinweg sicher kommunizieren können.

Sie haben außerdem das Konzept „HTTPS überall“ entwickelt, um ein Gefühl größerer Internetsicherheit zu fördern.

Dies war ihnen jedoch nicht genug. Da sie über so viel Einfluss verfügen, fügten sie SSL als Ranking-Signal für SEO und Suchmaschinen-Rankings hinzu.

Wenn Ihre Website HTTPS implementiert, hat sie einen Vorteil gegenüber Websites, die es nicht implementieren (bei gleichbleibenden Ranking-Signalen).

Mehr lesenWordPress Onpage SEO Checkliste: Eine 19-Schritt-für-Schritt-Anleitung zur Steigerung des Datenverkehrs.

Wird die Migration von HTTP zu HTTPS meinen Rankings schaden? 

Viele fragen sich, ob die Umstellung von HTTP auf HTTPS ihre aktuellen organischen Rankings beeinträchtigen wird. Bedeutet dies, dass alle Backlinks zur http://-Version einer Website verloren gehen, da die HTTP- und HTTPS-Versionen einer Website unterschiedlich sind?

Das ist eine sehr berechtigte Sorge.

Sie haben hart gearbeitet, um wertvolle Backlinks zu erhalten. Wenn Sie diese verlieren, wird Ihr Ranking zwar ein wenig verbessert, Sie verlieren jedoch das größere Rankingsignal, das von den Links ausgeht.

Wie Sie jedoch weiter unten sehen werden, führen wir eine 301-Weiterleitung durch. Dies bedeutet, dass der Server, der sich zuvor hier befand, dauerhaft an einen neuen Standort verlegt wurde.

Google versteht eine 301-Weiterleitung als „Hallo Google, ich bin es immer noch, aber ich bin jetzt dauerhaft zu einer neuen Adresse umgezogen“. Das bedeutet, dass Sie weder Traffic noch Backlinks oder Link Juice verlieren.

Vielleicht möchten Sie etwas mehr darüber lesen 301 Umleitung auf der Moz-Website. Dort finden Sie unsere genauen Empfehlungen.

Das Einzige, was unsere Website bei der Umleitung auf die sichere URL unserer Website verloren hat, war unser Social Share-Zählung.

Dies liegt daran, dass Facebook und die meisten anderen Share-Zähler https://www. behandeln.collectiveray.com und https://www.collectiveray.com als zwei völlig unterschiedliche URLs. Damit müssen Sie wahrscheinlich leben. Je früher Sie dies tun, desto schneller können Sie neue Shares für Ihre sichere Adresse erzielen.

Wir haben dies auf mehreren Websites getan, außerdem CollectiveRay, und es gab nie negative Auswirkungen auf Rankings oder Traffic. Solange Sie ein korrektes Setup durchführen, sollten Sie sich darüber keine Sorgen machen.

AKTUALISIERENGoogle hat kürzlich bestätigt, dass 301-Weiterleitungen von HTTP zu HTTPS keinerlei Link Juice verlieren. Denn natürlich ist es unsinnig, für die Umstellung auf etwas, das Google befürwortet, eine Strafe zu erhalten.

5. Was muss ich noch tun, nachdem ich SSL aktiviert habe?

Wenn Sie sicherstellen möchten, dass Sie Google deutlich machen, dass Ihre Site tatsächlich verschoben wurde, können Sie dies am besten über die Google Search Console tun.

Fügen Sie Ihre Site einfach hinzu, als wäre sie eine neue Site in der Google Search Console.

Dies kann natürlich dazu führen, dass Sie einige Elemente wie strukturierte Daten verlieren und Ihre Sitemaps erneut übermitteln müssen. Dennoch glauben wir, dass dies für Google ein sehr deutliches Zeichen dafür ist, dass es sich um eine gültige und uneingeschränkt unterstützte Migration handelt.

6. Vertrauen durch Sicherheit gewinnen

Wie Sie wahrscheinlich bereits wissen, wird auf manchen Websites ein grüner Balken im Browser angezeigt. Dies bedeutet, dass die Website eine sichere Kommunikation implementiert hat.

Ein sehr anschauliches Beispiel hierfür können Sie auf der Website von Paypal sehen.

Paypal mit Secure Sockets Layer-Symbol

 

Wie können Sie überprüfen, ob Ihre Website geschützt ist oder nicht?

Um zu überprüfen, ob eine Website SSL-geschützt ist oder nicht, können Sie prüfen, ob vor der URL das Präfix https:// anstelle des regulären http:// erscheint.

Abgesehen davon finden Sie auch ein Vorhängeschloss, das im Adressfeld vor dem Beginn der Website vorhanden ist.

DART Creations SSL

Das oben gezeigte Bild zeigt, dass eine Website über ein autorisiertes SSL-Zertifikat verfügt. Das Schlosssymbol variiert jedoch je nach Browser. Websites mit einem Extended Validation Certificate (EVC) zeigen eine vollständig grüne Adressleiste oder den Firmennamen vor der URL an.

Der Erwerb und die Implementierung von Extended Validation-Zertifikaten sind recht teuer, da sie eine Reihe physischer Prüfungen erfordern, um zu bestätigen, dass der Webserver tatsächlich dem Unternehmen gehört, das ihn implementiert.

Elegant Themes Extended Validation SSL-Zertifikat

Wer Safari verwendet, erkennt an der grünen Schrift, dass das Unternehmen ein EV-Zertifikat verwendet.

Das folgende Beispiel zeigt ein EV-Zertifikat für den Safari-Browser. Die Adressleiste hat hier keinen grünen Hintergrund wie bei anderen Browsern. Stattdessen wurde eine grüne Schriftart gewählt.

SSL auf Safari

Extended Validation Zertifikate bieten, wie der Name schon sagt, erweiterte Sicherheit.

Ein EV-Zertifikat wird einem Unternehmen ausgestellt, das alle Schritte des Validierungsprozesses durchlaufen hat. Für die rechtliche Autorisierung sind rechtliche Formalitäten wie der Nachweis der physischen Adresse und der Zugriff auf bestimmte Dateien auf einem Server erforderlich. Darüber hinaus muss ein Unternehmen zahlreiche weitere Validierungen durchlaufen, um ein gültiges Extended Validation-Zertifikat zu erhalten. Dies geht jedoch über den Rahmen dieses Artikels hinaus.

Sie können mehr darüber lesen Erweiterte Validierungszertifikate hier.

Durch die Implementierung von WordPress HTTPS bestätigt und verifiziert ein Drittanbieter im Wesentlichen, dass der Webserver derjenige ist, für den er sich ausgibt. Diese Stelle wird als Aussteller des Zertifikats bezeichnet – auch vertrauenswürdige Zertifizierungsstelle genannt.

Was passiert, wenn sichere Zertifikate nicht mehr funktionieren?

Anhand der oben genannten Indikatoren können Sie feststellen, ob Ihre Sicherheitszertifikate funktionieren oder nicht.

Ebenso können Nutzer schnell erkennen, dass der Datenverkehr einer Website nicht verschlüsselt ist oder ihr Sicherheitszertifikat abgelaufen ist. Ein rotes Vorhängeschloss und eine rote Linie deuten auf Folgendes hin:

  • Die Website verwendet ein selbstsigniertes Zertifikat, das vom selben Webserver ausgestellt wurde. Das bedeutet, dass das Zertifikat nicht vertrauenswürdig ist, da es nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.
  • das Ablaufdatum ist überschritten und das Zertifikat ist nicht mehr gültig
  • Das Zertifikat wird aus einem anderen Grund nicht mehr vertrauenswürdig und als ungültig gekennzeichnet.

Sicherheit nicht richtig implementiert

Im Bild oben sehen Sie die Warnung vor dem Besuch einer Website, wenn der Browser erkennt, dass das von der von Ihnen besuchten Website verwendete Sicherheitszertifikat abgelaufen ist.

Die meisten modernen Browser verfügen über die Möglichkeit, vor einem ungültigen Zertifikat (und damit einer unsicheren Datenübertragung) zu warnen, bevor ein Benutzer eine ungesicherte Website aufrufen kann.

Nach Ablauf des Zertifikats müssen Sie es lediglich bei der zuständigen Behörde (von der Sie das Zertifikat ursprünglich erhalten haben) erneuern. Es wird außerdem empfohlen, Zertifikate nicht ablaufen zu lassen. Ein solcher Ablauf hinterlässt bei den Besuchern einen schlechten Eindruck von der Website.

Eine Website verfügt über ein selbstsigniertes Zertifikat, wenn das Zertifikat vom selben Webserver erstellt wurde und nicht von einer vertrauenswürdigen Zertifizierungsstelle. Dieses Zertifikat ist NICHT VERTRAUENSWÜRDIG.

Browser vertrauen nur SSL-Zertifikaten, die von vertrauenswürdigen Zertifizierungsstellen ausgestellt wurden. In allen anderen Fällen zeigen sie eine Warnung für Websites an, die mit einem selbstsignierten Zertifikat laufen. 

Checkliste für die Migration von HTTP zu HTTPS

Nachdem wir nun die Vorteile von WordPress HTTPS für Ihre Website vollständig verstanden haben, erklären wir Ihnen im Folgenden ausführlich, wie Sie es auf Ihrer Website implementieren. Wir haben außerdem eine Checkliste für die Migration von HTTP zu HTTPS zusammengestellt, damit Sie alle Schritte der Migration zu HTTPS berücksichtigen.

Vor dem sicheren Starten von WordPress

1.1 SSL-Zertifizierungseinstellung Abrufen, Konfigurieren und Testen des TLS-Zertifikats mit SHA-2 für SSL Server
1.2 Google Search Console-Registrierung Registrieren Sie beide Domänen (http und https) in der Google Search Console, zusammen mit Ihren www- und Nicht-www-Versionen. Wenn Sie auch einzelne Subdomänen oder Unterverzeichnisse in der Google Search Console registriert haben, replizieren Sie diese Registrierung und Konfiguration mit deren https-Version. Google Search Console
1.3 Ranking-Überwachung Beginnen Sie mit der Überwachung der Site-Rankings parallel zur https-Domäne Software zur Rangverfolgung
1.4 Identifizierung der aktuell wichtigsten Site-Seiten und -Abfragen Identifizieren Sie die Top-Seiten – und die zugehörigen Abfragen –, die bei der Validierung und Überwachung der Site-Leistung Priorität haben und Sichtbarkeit und Verkehr in der organischen Suche anziehen. Google Search Console und Google Analytics
1.5 Aktuelles Site-Crawling Durchsuchen Sie die HTTP-Site, um vor dem Verschieben alle internen defekten Links und die aktuelle Webstruktur zu identifizieren und zu reparieren. Staging-Umgebung
1.6 Neue HTTPS-Webeinstellung mit aktualisierten internen Links Richten Sie die neue Webversion ein, um die Änderungen vorzunehmen, testen und aktualisieren Sie die Links in einer Staging-Umgebung, um mit HTTPS auf die URLs (Seiten und Ressourcen wie Bilder, js, pdfs usw.) zu verweisen Staging-Umgebung
1.7 Neue HTTPS-Web-Kanonisierung Aktualisieren Sie die kanonischen Tags, um absolute URLs mit https in der Bühnenumgebung einzuschließen Staging-Umgebung
1.8 Neue HTTPS-Web-Kanonisierung Überprüfen Sie in der Staging-Umgebung, ob alle bereits vorhandenen Umschreib- und Weiterleitungsverhalten (nicht-www vs. www; Schrägstrich vs. Nicht-Schrägstrich usw.) auch in der sicheren Webversion implementiert sind, da sie früher auf der http-Version funktioniert haben. Staging-Umgebung
1.9 Weiterleitungsvorbereitung Bereiten Sie die Rewrite-Regeln vor und testen Sie sie, um eine 301-Weiterleitung von allen identifizierten vorhandenen URLs (Seiten, Bilder, js usw.) in der http-Domäne auf die https-Domäne durchzuführen. Server
1.10 Neue XML-Sitemap-Generierung Erstellen Sie eine neue XML-Sitemap mit den URLs mit implementierter Sicherheit, die nach dem Verschieben der Site in das HTTPS-Profil der Google Search Console hochgeladen werden soll. XML Sitemap Generator
1.11 Robots.txt-Vorbereitung Bereiten Sie die robots.txt-Datei so vor, dass sie beim Start der Site in die HTTPS-Domänenversion hochgeladen wird. Replizieren Sie dabei die vorhandenen Anweisungen für HTTP, verweisen Sie aber bei Bedarf auf die HTTPS-URLs. Robots.txt
1.12 Bereiten Sie Änderungen an allen Anzeigen, E-Mails oder Affiliate-Kampagnen vor, um nach Abschluss der Migration auf die https-URL-Versionen zu verweisen. Kampagnenplattformen Verschiedene Plattformen
1.13 Disavow-Konfiguration Überprüfen Sie, ob in der Vergangenheit Disavow-Anfragen eingereicht wurden, die für die sicheren URL-Versionen im eigenen Google Search Console-Profil erneut eingereicht werden müssen. Google Search Console
1.14 Geolokalisierungskonfiguration Wenn Sie eine gTLD migrieren, die Sie über die Google Search Console geotargeten (sowie deren Subdomains oder Unterverzeichnisse, falls Sie diese einzeln geotargeten), achten Sie darauf, sie erneut mit der sicheren Domänenversion geotargeten. Google Search Console
1.15 Konfiguration der URL-Parameter Wenn URL-Parameter über die Google Search Console verwaltet werden, sollte die vorhandene Konfiguration im sicheren Site-Profil repliziert werden Google Search Console
1.16 Vorbereitung der CDN-Konfiguration Wenn ein CDN verwendet wird, überprüfen Sie, ob es die sichere Domänenversion der Site ordnungsgemäß bereitstellen und SSL verarbeiten kann, wenn die Migration abgeschlossen ist. CDN-Anbieter
1.17 Vorbereitung von Anzeigen und Drittanbietererweiterungen Überprüfen Sie, ob alle bereitgestellten Anzeigencodes, Erweiterungen von Drittanbietern oder Social Plugins, die auf der Website verwendet werden, ordnungsgemäß funktionieren, wenn diese auf https verschoben werden. Anzeigen- und Erweiterungsplattformen
1.18 Vorbereitung der Web Analytics-Konfiguration Stellen Sie sicher, dass die vorhandene Web Analytics-Konfiguration auch den Datenverkehr der sicheren Domäne überwacht Webanalyse-Plattform

Während der eigentlichen Migration zu einer sicheren Website

2.1 HTTPS-Site-Start Veröffentlichen Sie die validierte https-Site-Version live Produktionsumfeld
2.2 Neue HTTPS-Version Webstrukturvalidierung Überprüfen Sie, ob die URL-Struktur der sicheren Site-Version mit der in der HTTP-Version übereinstimmt. Produktionsumfeld
2.3 Neue sichere Version der internen Verlinkung Überprüfen Sie, ob die Site-Links effektiv auf die HTTPS-URLs verweisen. Produktionsumfeld
2.4 Kanonisierung neuer HTTPS-Versionen Überprüfen Sie, ob die kanonischen Tags auf den Seiten auf die HTTPS-URLs verweisen. Produktionsumfeld
2.5 Kanonisierung neuer HTTPS-Versionen Implementieren Sie die Umschreibungen und Weiterleitungen von www vs. nicht-www, Schrägstrich vs. ohne Schrägstrich usw. in der neuen sicheren Webversion Produktionsumfeld
2.6 Implementierung der HTTP-zu-HTTPS-Umleitung Implementieren Sie die 301-Weiterleitungen von jeder URL der Site von ihrer HTTP- zur HTTPS-Version Produktionsumfeld
2.7 Web Analytics-Konfiguration Notieren Sie das Migrationsdatum in Ihrer Webanalyseplattform und überprüfen Sie, ob die Konfiguration so eingestellt ist, dass die sichere Webversion verfolgt wird Webanalyse-Plattform
2.8 Validierung der SSL-Serverkonfiguration Überprüfen Sie die SSL-Konfiguration Ihres Webservers. Sie können Dienste wie https://www.ssllabs.com/ssltest/ Produktionsumgebung, SSL-Test
2.9 Robots.txt-Update Aktualisieren Sie die robots.txt-Einstellung in der https-Domäne mit den relevanten Änderungen Robots.txt

Nach dem Start von HTTPS

3.1 HTTPS-Crawling-Validierung Durchsuchen Sie die Site, um zu überprüfen, ob die sicheren URLs diejenigen sind, die ohne Fehler, fehlerhafte Nichtindexierungen, Kanonisierungen und Weiterleitungen zugänglich, verlinkt und bereitgestellt sind. Produktionsumfeld
3.2 Neue Validierung der HTTPS-Site-Weiterleitungen Überprüfen Sie, ob die Umleitungsregeln von http vs. https, www vs. nicht-www und Slash vs. nicht-Slash korrekt implementiert sind. Produktionsumfeld
3.3 XML-Sitemap-Veröffentlichung und -Einreichung Laden Sie die generierte XML-Sitemap hoch und überprüfen Sie sie mit den sicheren URL-Versionen im https-Profil der Google Search Console. Google Search Console
3.4 Offizielles Update externer Links Aktualisieren Sie offizielle externe Links, die auf die Site verweisen, um zur sicheren Version zu gelangen (Social-Media-Profile, Partnersites usw.). Offizielle Präsenz auf externen Plattformen
3.5 Anzeigen- und Drittanbieter-Erweiterungsvalidierung Überprüfen Sie, ob alle Plugins wie Social Buttons, Anzeigen und Drittanbieter-Code in den sicheren URL-Versionen korrekt funktionieren. Sie können Ihre Website nach unsicheren Inhalten scannen mit https://www.jitbit.com/sslcheck/ Anzeigen- und Erweiterungsplattformen, SSL-Prüfung
3.6 Kampagnen-Update Ausführung Implementieren Sie die relevanten Änderungen an Anzeigen, E-Mails und Affiliate-Kampagnen, um korrekt auf die HTTPS-Webversion zu verweisen Kampagnenplattformen
3.7 Crawling- und Indexierungsüberwachung Überwachen Sie die Indexierung, Sichtbarkeit und Fehler sowohl der HTTP- als auch der HTTPS-Site-Versionen Google Search Console
3.8 Rankings & Traffic-Monitoring Überwachen Sie den Datenverkehr und die Ranking-Aktivität der Site-Versionen HTTP und HTTPS Webanalyse- und Ranking-Tracking-Plattformen
3.9 Validierung der Robots.txt-Konfiguration Überprüfen Sie die robots.txt-Einstellung in der sicheren Domäne, um sicherzustellen, dass die Konfiguration ordnungsgemäß aktualisiert wurde Robots.txt

 

Diese Checkliste für die Migration von HTTP zu HTTPS wurde freundlicherweise erstellt und mit der Facebook-Gruppe „Advanced WP“ geteilt. 

7. Wie können Sie die Sicherheit Ihrer WordPress-Website erhöhen?

Kommen wir zur Sache und legen wir los. Es gibt zwei Möglichkeiten, WordPress SSL einzurichten:

  • Manuelles Einrichten von SSL auf Ihrer WordPress-Website
  • Verwenden des WordPress HTTPS-Plugins

So erhalten Sie ein sicheres Zertifikat

Zunächst müssen Sie irgendwie ein SSL-Zertifikat erwerben.

Hierfür gibt es verschiedene Möglichkeiten, am einfachsten geht es jedoch über Ihren Hosting-Server.

Bei InMotion Hosting können Sie das Zertifikat und alles, was Sie dazu benötigen, direkt über die AMP-Konsole (Account Management Panel) erwerben. Das Gute daran ist, dass Sie dort sehr gut unterstützt werden, wenn Sie nicht selbst Hand anlegen möchten.

SSL-Zertifikat kaufen

Im Preis von 99 $/Jahr ist der Preis für die erforderliche dedizierte IP-Adresse enthalten. Es fällt eine einmalige Gebühr von 25 $ an, da das Zertifikat auf dem Server installiert werden muss, auf dem Ihre Website läuft.

Diese Gebühr kann entfallen, wenn Sie direkten Zugriff auf den Server haben und das Zertifikat selbst installieren können.

Wenn Sie einen Virtual Private Server haben, ist die manuelle Installation des Zertifikats sehr einfach. Wir haben die Schritte in unserem InMotion VPS Rezension, also werden wir das nicht noch einmal durchgehen.

Details zum Kauf eines dedizierten SSL-Zertifikats

Wenn Ihr Hosting nicht bei InMotion liegt (warum nicht? Wissen Sie nicht, dass deren Server schneller und der Support besser sind?), ist das Verfahren ähnlich.

Probieren Sie InMotion Hosting jetzt aus

Nachdem das Zertifikat gekauft und installiert wurde, müssen Sie nun WordPress SSL/TLS aktivieren.

Let’s Encrypt als Zertifizierungsstelle verwenden

Wir haben bereits in diesem Artikel erwähnt, dass sichere Zertifikate von einer Zertifizierungsstelle ausgestellt werden. Diese Stelle kann bestätigen, dass der Server, auf dem Sie Ihr Zertifikat installiert haben, tatsächlich der ist, für den er sich ausgibt. Dies ist natürlich mit einem gewissen Aufwand verbunden und wird in der Regel in Rechnung gestellt.

Let's Encrypt ist ein neues Zertifizierungsstelle Das Ziel besteht darin, jedem den Erwerb eines sicheren Zertifikats zu erleichtern, indem der Prozess des Zertifikatserwerbs automatisiert und kostenlos gestaltet wird.

Dabei handelt es sich im Wesentlichen um eine von mehreren Unternehmen betriebene Behörde namens Internet Security Research Group, zu der auch so große Namen wie Akamai (CDN), Google Chrome, Cisco, SiteGround, Mozilla, Facebook und viele andere, die den Prozess zum Erwerb eines Sicherheitszertifikats kostenlos, automatisiert, sicher, transparent, offen und kooperativ gestalten möchten.

Warum sollten diese Unternehmen Ihnen Dinge kostenlos anbieten? Weil ein sicheres Internet für alle ein erstrebenswertes Ziel ist.

Obwohl es relativ einfach ist, ist die Einrichtung des Zertifikats immer noch ein ziemlich technischer Vorgang. Die meisten Webhosting-Anbieter haben die Funktionalität jedoch mittlerweile integriert, sodass für die meisten Unternehmen der Erwerb eines Let's Encrypt-Zertifikats nur noch ein Mausklick genügt, um das Zertifikat zu erstellen und einzurichten.

Manuelles Erstellen eines sicheren Zertifikats mit Let’s Encrypt

(Sie können diesen Teil überspringen, wenn Sie nicht vorhaben, Ihr eigenes Let’s Encrypt-Zertifikat zu erstellen und es über Ihren Hosting-Server beziehen.)

Sie benötigen direkten oder Shell-Root-Zugriff auf Ihren Server, um das folgende Verfahren ausführen zu können.

1. Installieren Sie die Let’s Encrypt-Bibliothek auf Ihrem Server

Führen Sie den folgenden Befehl aus, um die Let's Encrypt-Bibliothek zu installieren

$ sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Dieser Befehl lädt das LetsEncrypt-Repository herunter und kopiert es in Ihr /opt-Verzeichnis.

2. Generieren Sie ein sicheres Zertifikat

Die beste Möglichkeit zum Generieren eines Zertifikats ist die Verwendung der eigenständigen Methode mit einer Schlüsselgröße von 4096 (was verdammt stark ist).

$ ./letsencrypt-auto certonly --standalone --rsa-key-size 4096

Sobald Sie diesen Befehl ausführen, wird ein Fenster geöffnet, in dem Sie nach dem Domänennamen gefragt werden. Es wird empfohlen, sowohl Ihre Stammdomäne als auch weitere Subdomänen einzugeben, für die Sie das Zertifikat verwenden möchten.

Lets Encrypt generiert ein Zertifikat

Der nächste Schritt besteht darin, die Nutzungsbedingungen von zu lesen und zu akzeptieren. Lass uns verschlüsselnSobald Sie einverstanden sind, wird Ihnen der Pfad der PEM-Datei angezeigt. Sie befindet sich unter /etc/letsencrypt/live/Ihr Domainname/. Sollten beim Erstellen des Zertifikats Fehler auftreten, überprüfen Sie Ihre Firewall-Konfiguration, da für die Erstellung der Zertifikate mehrere Verbindungen erforderlich sind.

Das generierte Zertifikat läuft nach 90 Tagen ab und muss alle 90 Tage erneuert werden. Dies ist ein kleiner negativer und positiver Punkt. Sie finden die Gründe, warum hier 90-Tage-Zertifikate verwendet werden. Um das Zertifikat zu erneuern, müssen Sie nur das Erneuerungsskript von Let’s Encrypt ausführen.

Möglicherweise möchten Sie einen Cron-Job schreiben, um den Prozess zu automatisieren.

Dies ist besonders wichtig, wenn Sie dazu neigen, dies zu vergessen. Sobald Ihr Zertifikat abläuft, wird die oben gezeigte rote Warnung angezeigt. Denken Sie also daran.

Schritt 3: Generieren Sie eine starke Public-Key-Kryptografie-Sicherheit mithilfe einer Diffie-Hellman-Gruppe

Um die Sicherheit weiter zu erhöhen, sollten Sie zusätzlich eine starke Diffie-Hellman-Gruppe generieren. Um eine 4096-Bit-Gruppe zu generieren, verwenden Sie diesen Befehl:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096

Dies kann einige Minuten dauern, aber wenn es fertig ist, haben Sie eine starke DH-Gruppe bei /etc/ssl/certs/dhparam.pem

Nachdem Sie nun über ein Zertifikat verfügen, müssen Sie dieses über die SSL/TLS-Funktion von CPanel oder dem von Ihrem Hosting-Unternehmen verwendeten Zertifikat auf Ihrem Webserver installieren.

SSL TLS Cpanel

Wenn Ihnen dieses Verfahren Angst macht, bedenken Sie, dass die meisten dieser Dinge heutzutage auf den meisten Hosts vollständig automatisiert sind.

 

8. So richten Sie Ihr WordPress für die Verwendung von SSL (oder TLS) und HTTPS ein (manuell)

Sobald Sie über ein sicheres Zertifikat verfügen und es auf dem Server installiert oder verfügbar gemacht haben, auf dem Sie Ihre Website hosten, müssen Sie als Nächstes HTTPS in WordPress aktivieren.

Der allererste Schritt besteht darin, HTTPS in Ihre Website zu integrieren, um die URL Ihrer Website zu aktualisieren. Gehen Sie dazu zu Einstellungen → Allgemein und aktualisieren Sie dort Ihr WordPress- und Site-URL-Adressfeld.


Aktualisieren Sie die URL, um WordPress SSL zu verwenden

Wenn Sie eine bestehende Website haben und SSL aktivieren, müssen Sie zusätzlich eine 301-Weiterleitung einrichten, die die sichere Verarbeitung aller HTTP-Anfragen erzwingt. Dadurch wird sichergestellt, dass keine Ihrer bestehenden Links von externen Websites verloren gehen und auch kein Link Juice verloren geht.

Dies können Sie tun, indem Sie den folgenden Codeausschnitt in die .htaccess-Datei Ihrer Website einfügen, auf die Sie über Ihren CPanel-Dateimanager zugreifen können.

RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.ihrewebsitehier.com/$1 [R=301,L]

Sie sehen, dass es sich um eine 301-Weiterleitung handelt, die dafür sorgt, dass Sie keinen Link Juice verlieren. Stellen Sie sicher, dass Sie yourwebsitehere.com durch die URL Ihrer Website ersetzt haben.

Das oben genannte zwingt Ihren Server tatsächlich dazu, Inhalte sicher bereitzustellen. Hinweis: Alle URLs unter der Hauptdomäne werden mithilfe des oben genannten auf HTTPS umgestellt. Das bedeutet, dass alle Ihre alten Links, beispielsweise auf http://www., weiterhin bestehen bleiben.collectiveray.com/wordpress/ würde automatisch zu https://www.collectiveray.com/wordpress/ 

Wenn Sie Nginx-Server verwenden, sollten Sie die folgende HTTP-Weiterleitung hinzufügen, um sie in HTTPS umzuwandeln:

Server { listen 80; Servername websitename.com www.websitename.com; return 301 https://websitename.com$request_uri; }

Mithilfe der folgenden Schritte können Sie sicherstellen, dass der gesamte Inhalt der Site sicher bereitgestellt wird.

Konfigurieren eines sicheren Administrators

Sie können die Sicherheit eines WordPress-Adminbereichs (d. h. des Administrationsbereichs Ihrer Website oder /wp-admin) über Ihre wp-config.php-Datei konfigurieren. Um die Sicherheit auf einer WordPress-Website mit Multisite-Anmeldeseiten oder im Adminbereich zu erzwingen, fügen Sie einfach den folgenden Codeausschnitt in die wp-config.php-Datei ein. 

definieren('FORCE_SSL_ADMIN', true);

Das ist im Wesentlichen alles. Sie sollten jetzt sicher auf Ihren WordPress-Administrator zugreifen können!

9. Implementieren Sie HTTPS mit WordPress-SSL-Plugins

Eine weitere einfache Möglichkeit, SSL auf Ihrer Website einzurichten, ist die Verwendung eines WordPress-SSL-Plugins.

Verwendung der Really Simple SSL Plugin

really simple ssl Plugin

Das Plugin der Wahl zum Aktivieren von WordPress HTTPS auf Ihrer Site ist das Really Simple SSL Plugin. Es ist ein sehr gut geschriebenes Plugin von Rogier Lankhorst. Das Tolle an diesem Plugin ist, dass es die gesamte Komplexität beseitigt, die mit der Aktivierung sicherer Zertifikate auf Ihrer Website verbunden ist.

Dies ist wirklich und wahrhaftig ein SSL-Aktivierungs-Plugin mit einem Klick. 

Nachdem Sie das SSL-Zertifikat mit einer der oben beschriebenen Methoden erworben und auf Ihrem Server installiert haben, müssen Sie nur noch installieren und Mehr erfahren Really Simple SSL Plugin und es erledigt den Rest der Arbeit für Sie.

Es erledigt tatsächlich eine Menge Arbeit im Hintergrund, um die meisten bekannten Probleme bei der Aktivierung von HTTPS auf Ihrer Website zu lösen. Es berücksichtigt die Serverkonfiguration und führt alle notwendigen Änderungen durch, sodass Sie sich nicht selbst um irgendetwas kümmern müssen.

Unten sehen Sie einen Screenshot des Plugins nach der Aktivierung – es hat einige Arbeit geleistet und festgestellt, dass auf dem Server bereits ein Zertifikat installiert ist.

Wie Sie sehen, können Sie jetzt einfach auf „SSL aktivieren“ klicken und fertig! 

WordPress SSL-Erkennung des SSL-Zertifikats

Sobald Ihre Website auf SSL umgestellt wurde, sehen Sie sich die Einstellungen an oder suchen Sie nach Problemen und Schwierigkeiten, wie im Screenshot unten zu sehen ist. 

Das Plugin versucht dann, alle gefundenen Probleme zu beheben.

Dieses Plugin ist Ihre zentrale Anlaufstelle zum Aktivieren von SSL.

really simple ssl Nach Problemen suchen

 

Andere Plugins zum Aktivieren von SSL

Natürlich ist das oben genannte Plugin nicht das einzige, mit dem Sie sichere Zertifikate aktivieren können. Im Folgenden finden Sie eine Reihe weiterer Optionen, die Sie möglicherweise nutzen möchten. Beide erreichen letztendlich dasselbe Ziel: die Aktivierung von HTTPS auf Ihrer WordPress-Site.

10. Testen der korrekten Einrichtung des sicheren Zertifikats Ihrer Website 

Um sicherzustellen, dass Ihre Site vollständig eingerichtet ist, empfehlen wir Ihnen, Ihre Site mit diesem zu testen SSL SEO Checker Tool, das prüft, ob Sie über das empfohlene WordPress-SSL-Setup verfügen.

Sobald der Test ausgeführt wird, erhalten Sie einen SSL-Bericht ähnlich dem folgenden:

SSL-Bericht collectiveray 

11. Vergessen Sie nicht, Ihr Sicherheitszertifikat zu erneuern

Ein abgelaufenes Zertifikat ist ein totes Zertifikat.

Wenn ein Zertifikat abläuft, können Sie es nicht erneuern.

Sie müssen sich ein neues Konto ausstellen lassen und es auf Ihrer Website neu installieren. Das ist natürlich unnötig mühsam. Denken Sie also unbedingt daran, das Konto vor Ablauf zu erneuern.

Das passierte uns genau am Jahrestag der Einrichtung unseres ersten sicheren Zertifikats. Es ist keine angenehme Situation, wenn der gesamte Datenverkehr plötzlich auf Null sinkt. Viele sind sehr vorsichtig, wenn es darum geht, über ein abgelaufenes Zertifikat hinauszugehen, daher werden die damit verbundenen Datenverluste enorm sein.

Wir empfehlen, einige Wochen vor Ablauf eine Erinnerung einzurichten.

Du wurdest gewarnt. Abgelaufene Zertifikate bedeuten viel Aufwand, also vergiss nicht, sie zu erneuern.

Möchten Sie den einfachen Weg gehen?

Auch wenn wir es einfach aussehen lassen, kann es natürlich vorkommen, dass die Dinge nicht so laufen, wie Sie es erwarten. Halten Sie daher Ihre Supportnummern bereit, falls beim Einrichten Ihrer WordPress-SSL-Funktionalität etwas schiefgeht.

Wenn Sie es sich einfach machen möchten, lassen Sie InMotion alles für Sie einrichten. Sie erhalten eine schnellere Website, die zudem SSL-basiert ist. Sie erhalten außerdem eine kostenlose Domain und die Website-Übertragung wird von InMotion übernommen. CollectiveRay Besucher erhalten außerdem EXKLUSIV 47% Rabatt auf den Normalpreis, also schnappen Sie sich JETZT ein Schnäppchen.

Dies ist ein zeitlich begrenztes Angebot bis Juli 2025, also holen Sie es sich, bevor das Angebot abläuft.

Häufig gestellte Fragen

Verfügt WordPress über SSL?

WordPress unterstützt SSL sowohl im Frontend als auch im Backend. Um es zu aktivieren, benötigen Sie ein Zertifikat, entweder durch Kauf oder über Let's Encrypt Ihres Hosting-Anbieters, und installieren Sie es auf dem Server. Sobald das Zertifikat installiert ist, können Sie HTTPS mit einer der oben genannten Methoden aktivieren, z. B. mit dem Really Simple SSL plugin.

Wie aktiviere ich SSL in WordPress?

Um SSL in WordPress zu aktivieren, ist die einfachste Methode die Verwendung eines Plugins wie Really Simple SSLDabei wird das aktuell für die Domäne eingerichtete Zertifikat verwendet. Stellen Sie daher sicher, dass das sichere Zertifikat bereits installiert wurde, bevor Sie es aktivieren.

Wie erhalte ich kostenloses SSL für WordPress?

Um kostenloses SSL für WordPress zu erhalten, benötigen Sie die Let’s Encrypt-Funktion Ihres Hosting-Servers. Dadurch wird ein kostenloses Sicherheitszertifikat ausgestellt und auf Ihrer Domain installiert. Die meisten Hosting-Anbieter bieten diese Funktion heute an. Sie können hierfür InMotion verwenden.

Was ist der Unterschied zwischen HTTP und HTTPS?

Der Unterschied zwischen HTTP und HTTPS besteht darin, dass HTTPS über einen sicheren Kanal übertragen wird. Das auf dem Server installierte Sicherheitszertifikat verschlüsselt Nachrichten vor dem Senden so, dass sie nur vom Browser, der die Verbindung hergestellt hat, entschlüsselt werden können. Dadurch können sensible Daten wie die Anmeldung auf einer Website mit Benutzername und Passwort oder die Übermittlung sensibler Daten wie Kreditkartendaten oder anderer Daten sicher und geschützt übermittelt werden.

Fazit: HTTPS ist ein Muss

Wie Sie vielleicht bemerkt haben, ist die Implementierung von HTTPS oder SSL zwar nicht immer einfach, aber unerlässlich. Google hat kürzlich angekündigt, Websites ohne SSL-Unterstützung als NICHT SICHER zu kennzeichnen. Stellen Sie daher sicher, dass Sie dies noch heute auf Ihrer Website einrichten.