Am 28.05.2018 ist der Stichtag der neuen Datenschutz-Grundverordnung (DSGVO), was viele Admins veranlasst Ihre Datenschutzerklärungen und Kontaktformulare noch schnell entsprechend anzupassen. Dabei spielt neben der Erklärung bezüglich der Zweckgebundenheit der erhobenen Daten und dem „Accept Button“, die sichere Übermittlung der Daten via HTTPS eine Rolle.
HTTPS? Was, warum und wozu?
HTTPS steht für Hypertext Transfer Protocol Secure. Soweit so gut. Wie der Name schon sagt, handelt es sich um ein Protokoll zur verschlüsselten Übermittlung von Daten. Warum das sinnvoll ist? Vereinfacht ausgedrückt kann man die Übermittlung per HTTP mit einer Postkarte vergleichen, die per HTTPS mit einem Brief. Es wird sofort klarer, nicht jede Information möchte man derart offen versenden und die DSGVO verbietet es im Internet auch. Der wichtigste Aspekt ist, sowie der Inhalt eines Briefes durch den Umschlag vor Blicken Dritter geschützt ist, sind Daten welche über HTTPS versendet werden vor Man-in-the-middel (Mitm) Angriffen gesichert.
Es ergeben sich mehrere Vorteile und zwar:
Die Sicherheit und Integrität personenbezogener/sensibler Daten wird gewährt
Es schafft Vertrauen seitens der Besucher
Das SEO Ranking freut sich, da Suchmaschinen wie z.B Google dies (schon eine Weile) honorieren
Man hält sich an die neue DSGVO wenn sensible Daten übermittelt werden sollen
Wie stelle ich mein WordPress um?
Klingt erstmal komplex, aber wie bei der Planung einer Reise ist es dann doch garnicht so kompliziert wie man meinen mag.
1. Das SSL/TSL-Zertifikat
Ein Zertifikat ist beim eigenen Hostinganbieter erhältlich. Je nachdem, ob es für eine einzelne Domain sein soll oder für mehrere Subdomains (Wildcard-Zertifikat), entstehen unterschiedliche Kosten. Bei einigen Anbietern gibt es direkt ein Zertifikat zum gebuchten Paket dazu. Eine andere Variante wäre, bei der Initiative letsencrypt.org ein freies Zertifikat zu nutzen, soweit dies beim eigenen Anbieter möglich ist. Nach dem das Zertifikat auf der Domain bereit steht kommen geht es zum nächsten Schritt.
2. Erst das Backend!
Zuerst sollte der Adminbereich der Seite umgestellt werden. Hierzu öffnet man die wp-config.php aus dem Rootverzeichnis von WordPress und trägt dort über dem Text /* That's all, stop editing! Happy blogging. */ folgendes ein.
define('FORCE_SSL_ADMIN', true);
Diese Zeile „zwingt“, wie sich schon erahnen lässt, den Login & Adminbereich zu einer Kommunikation über eine verschlüsselte Verbindung.
3. Nun der Rest. Nachdem man sich nun erfolgreich verschlüsselt angemeldet hat, gilt es den Rest anzupassen. Im ersten Schritt muss man hierfür im Reiter Einstellungen -> Allgemein die Adresse mit einem https:// versehen ( siehe Abb. 1) und die Änderungen speichern.
Abb. 1
Im zweiten Schritt müssen noch alle Links auf der Seite bzw. in der Datenbank angepasst werden. Dies ist händisch über phpMyAdmin möglich oder man nutzt ein Plugin z.B. Better Search Replace. Es befindet sich, nach dem installieren und aktivieren, unter Werkzeuge. Nachdem das Einstellungsfenster geöffnet wurde, erspäht man relativ schnell die Eingabefelder (vgl. Abb 2.):
„Suchen nach:“, für die alte http Adresse
„Ersetzen durch“, für die sichere https Adresse
Nun hat man die Möglichkeit einen Testlauf (vgl Abb. 2) zu machen ohne das irgend etwas geändert wird oder man macht den Haken weg und versucht sein Glück. Tipp am Rande : ein Backup der Datenbank und ein Testlauf sind sehr sinnvoll, denn es gilt wie immer gilt: Kein Backup, kein Mitleid.
Abb. 2
4. Wirklich ganz Gallien? Ist nun die ganze Seite sicher oder gibt es z.B. noch „mixed content“, also Links die mit http statt https eingebunden sind. Dies lässt sich leicht über Why No Padlock oder die Entwickler Werkzeuge von Chrome (Abb. 4) oder Firefox prüfen. Ist alles korrekt eingebunden, winkt bekommen das begehrte grünes Schloss in der Browserzeile (Screenschot 3).
Abb. 3Abb. 4
Nun zur letzten Etappe der Reise
5. Den Anderen den Weg zeigen… „Zeigen“ ist nicht ganz der richtige Begriff. Nennen wir es mal, Sie auf den richtigen Weg schieben. Falls jemand die Webadresse noch mit http in die Browserzeile eingibt, sollte der Browser natürlich auf die https Seite weiterleiten. Um dies zu gewährleisten einfach einen Eintrag in der „.htaccess“ Datei der WP-Instanz hinzufügen, welche eine https Verbindung erzwingt.
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
6. Die Nacharbeit.
Am Ende jede Reise steht als Fleißaufgabe noch das Auspacken und hier ist es nicht anders; es gilt noch die Seite bei allen Diensten, bei denen sie angemeldet ist umzumelden, beispielsweise:
die Google Search Console (neues Property mit https:// anlegen)
Goolge Analytics auf https:// umstellen
Updaten der Social Media Platformen auf die „neue“ Adresse
Die CDN Adresse aktualisieren
Nachdem alle Schritte erledigt sind, willkommen auf der sicheren Seite 😉
Jonny
Moin, ich bin seit 2013 als Frontent/Web-Entwickler in meiner Wahlheimat Hamburg tätig und begeistere mich für verschiedene CMS Systeme, JS/CSS Frameworks sowie für Musik.
