Blog mit SSL verschlüsseln – nicht nur für DSGVO

Schon seit einer Weile stellen immer mehr Webseiten auf eine SSL / TLS Verschlüsselung um. Bereits seit einiger Zeit verkündet Google immer deutlicher, dass die Verschlüsselung von Webseiten auch ein Ranking Faktor in der Websuche darstellt. Nun kommt seit einiger Zeit auch noch die Verunsicherung durch die DSGVO hinzu. Glücklicherweise kann man – sofern vom Webhosting Provider unterstützt – kostenlose SSL Zertifikate von LetsEncrypt bekommen. Es gibt also keine Ausrede mehr, seinen Blog mit SSL verschlüsseln zu wollen.

WordPress Blog mit SSL verschlüsseln

Will man die eigene Website nun mit SSL über LetsEncrypt oder andere Dienste starten, so sind ein paar Vorarbeiten nötig. Erst einmal muss man sicherstellen, dass eine SSL Verschlüsselimg der Website möglich ist. Hierzu muss dies beim Webhoster beantrag werden oder im Control Panel eingestellt werden. Ist hier die Verschlüsselung aktiviert, so kann man sich der WordPress Installation zuwenden.

WordPress Blog – Admin Verschlüsselung aktivieren

Um erst einmal zu prüfen, ob die SSL Verschlüsselung überhaupt funktioniert kann man erst einmal mit dem Administrationsbereich starten. Aber bevor man loslegt: bitte ein Backup der WordPress Installation durchführen. Um nun zu prüfen, ob der Login in die Admin Console mit aktiviertem SSL funktioniert sucht man die Datei wp-config.php.

In dieser wp-config.php Datei fügt man am Ende der Datei die folgende Zeile ein:

define('FORCE_SSL_ADMIN', true);

Anschließend kopiert man die geänderete Datei mittels FTP Programm wieder zurück auf den Server. Nun man einen ersten Versuch starten sich in der Admin Console einzuloggen. Ist dies erfolgreich und geht ohne Fehlermeldungen vonstatten kann man weiter fortfahren.

Ändern der WordPress Adresse

Nun wechselt man innerhalb der WordPress Admin Console nach:

Einstellungen ⇒ Allgemein

und ändert die WordPress Adresse und die Website Adresse auf SSL:

Konsistenz in den Datenbanken

Damit die Datenbanken auch in sich konsistent bleiben ändert man auch hier alle Pfadangaben auf die Version mit SSL. Am besten macht man das wiederun mit einem Plugin. Empfehlen kann man hier das Plugin „Better Search Replace„.

Hier gibt man nun den alten Website Namen an (ohne HTTPS) und den neuen (mit HTTPS). Anschließend markiert man die Tabellen, die durchsucht werden sollen. Betreibt man mehrere Websites mit einer SQL Datenbank, dann wird es hier etwas schwieriger, sofern man sich den Prefix der Tabellen für die aktuelle Website nicht gemerkt hat. Dieser ist jedoch glücklicherweise wieder in der „wp-config.php“ zu finden.

Nun macht man einen Testlauf und prüft, ob das Ergebnis plausibel ist. erst dann sollte man den haken vom Testlauf entfernen und die tatsächliche Ersetzung in den Tabellen der SQL Datenbank durchführen. Nun muss man dafür sorgen, dass die Website bei jedem Aufruf eine Umleitung auf die verschlüsselte Seite durchführt. Hierzu muss nun abschließend noch ein Rewrite in der .htaccess durchgeführt werden. Zu Testzwecken kann man auch erst einmal ion den eckigen Klammern eine 302 wählen (temporäre Umleitung) und wenn das Ergebnis passt dann die permanente Umleitung (301) wählen.

<IfModule mod_headers.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Anschließend muss man die .htaccess Datei wieder auf den WordPress Server hochladen. Anschließend ist die Website nur noch unter der SSL Variante zu erreichen.