TLS-verschlüsselt

WordPress auf HTTPS umstellen

By: Michael Coghlan - CC BY-SA 2.0

Mit der rich­ti­gen Anlei­tung ist es recht ein­fach, Word­Press auf HTTPS umzu­stel­len – auch bei einer Mul­ti­si­tes-Instal­la­ti­on. Eine sehr schö­ne Anlei­tung gibt es bei webongo.de. Ich muss­te aller­dings für mei­ne Mul­ti­si­tes-Instal­la­ti­on bei all-inkl.com ein paar Umwe­ge nehmen.

Schritt 1 und 2 funk­tio­nie­ren natür­lich: Ich habe ein SSLTSL-Zer­ti­fi­kat in mei­nem Hos­ting-Paket. Das hat auch schon län­ger das Backend ver­schlüs­selt. Und natür­lich soll­te man vor jeder Akti­on ein Back­up machen und das Caching abschal­ten. Ich habe mein Cache-Plug­in ein­fach deinstalliert.

Bei Schritt 3 beginnt die Abwei­chung: Bei einer Mul­ti­si­tes-Instal­la­ti­on kann man die URL nicht in der Admi­nis­tra­ti­on ändern. Das macht aber nichts, denn in Schritt 4 wer­den ohne­hin alle Ein­trä­ge in der Daten­bank ersetzt. Das bei Webon­go vor­ge­schla­ge­ne SQL-State­ment funk­tio­niert bei mir aller­dings nicht, weil REPLACE bei mei­ner MyS­QL-Instal­la­ti­on nicht geht.

Es gibt aber mit Search Replace DB ein Tool, mit dem man sehr ein­fach http://example.com durch https://example.com erset­zen kann.

Ab da ging es dann nach Anlei­tung wei­ter. Und nach weni­gen Minu­ten lief die kom­plet­te Sei­te über HTTPS.

Aber Achtung!

Moder­ne Brow­ser zei­gen in ver­schlüs­sel­ten Sei­ten kei­ne unver­schlüs­sel­ten Inhal­te an! Das bedeu­tet: You­tube-Embeds funk­tio­nie­ren dann nicht mehr, wenn sie nicht ohne­hin schon per HTTPS-ein­ge­fügt wur­den. Das glei­che gilt für alle ande­ren Arten von Embeds.

Ich habe bis­her You­tube-Vide­os ohne­hin nicht so oft ein­ge­bun­den. Aber wenn ich das gemacht habe, dann über ein Plug­in, das lei­der noch nicht fähig war, die HTTPS-Ver­si­on des You­tube-Embed-Codes zu erzeu­gen. Im Code stand nur mehr­fach der Vor­satz, dass das irgend­wann mal pas­sie­ren soll­te. Ich hab mir das jetzt ohne die gan­zen mög­li­chen Optio­nen selbst zusammengehackt.

Fazit!

Die Umstel­lung an sich, hat­te ich schon mehr­fach ver­sucht. Aller­dings hat­te ich bis­her kei­ne ordent­li­che Anlei­tung dafür gefun­den. Ich hät­te eigent­lich gedacht, dass das per Con­fig-Ein­trag gin­gen – wie für das Backend. Am Ende war es aber doch sehr einfach. 

Schwie­ri­ger könn­te für eini­ge das Leben mit einem ver­schlüs­sel­ten Blog wer­den – vor allem dann, wenn man viel frem­de Inhal­te embeddet. Aber soweit ich das sehe, gibt es kei­ne gro­ßen Geschwin­dig­keits­nach­tei­le durch die Ver­schlüs­se­lung und ich habe mei­nen klei­nen Bei­trag zu einem ver­schlüs­sel­ten Inter­net geleistet.

Links

Abonnieren

Wenn Du mehr Artikel wie diesen lesen willst und Du einen Account im Fediverse hast, kannst Du mir dort folgen:

Steffen Voß

Schlagwörter

, , , , , , ,

Ähnliches Thema

Beliebte Artikel


Neueste Artikel

Folge mir

Kommentare

  1. Avatar von Dentaku
    Dentaku

    Gute Sache, habe ich letz­tes Jahr schon gemacht. Und ich emp­feh­le Dir noch das Plug­in SSL Inse­cu­re Con­tent Fixer, das behebt eine men­ge Mixed-Con­tent-War­nun­gen, die von Feh­lern in Plug­ins und The­mes her­vor­ge­ru­fen werden.
    (Das gan­ze aber nicht ohne dar­auf hin­zu­wei­sen: TLS! Das heißt TLS und nicht mehr SSL, und zwar seit 15 Jahren.)

  2. Avatar von Steffen Voß
    Steffen Voß

    Dan­ke für die Tipps!
    Das mit TLS habe ich geän­dert. „SSL“ ist ein­fach der gän­gi­ge Name. All-Inkl.com ver­kauft das ja auch so: https://all-inkl.com/webhosting/uebersicht/
    Hard Habit to Break 😉

  3. Avatar von Marek Walther
    Marek Walther

    Grum­mel, was bit­te ist an Kafferinge.de so schüt­zens­wert, dass es hin­ter SSL/​TLS ver­steckt wer­den muss?
    Ganz ehr­lich, x.509 im Web ist geschei­tert, die Kon­zep­te hin­ter SSL/​TLS sind ein rie­si­ger Mist­hau­fen, auf den man seit über einem Jahr­zehnt immer mehr Mist schmeißt, um die Unzu­läng­lich­kei­ten zu kaschie­ren. Und seit etwa einem Jahr flie­gen uns die­se regel­mä­ßig um die Ohren. So schnell kannst du gar nicht patchen wie die­ses pas­siert. Im Grund bleibt hier nur eines, weg­schmei­ßen und zurück ans Zeichenbrett.
    Der Grund, war­um mir die­ses schlech­te Lau­ne berei­tet, ist ganz ein­fach. Im Rah­men der Netz­werk­ad­mi­nis­tra­ti­on gehört die Opti­mie­rung des ein­ge­setz­ten Pro­xys mit zu mei­nen Aufgaben.
    Durch die Ver­än­de­run­gen der letz­ten Jah­re zu Web 2.0 ist das bereits schwie­ri­ger gewor­den, aber durch den über­flüs­si­gen Ein­satz von SSL/​TLS wird es fast unmög­lich, das Netz­werk zu schüt­zen und zu beschleu­ni­gen. Also wird immer mehr Inter­cep­ti­on in Fir­men­netz­wer­ken ein­ge­setzt, um die Ver­schlüs­se­lung auf­zu­bre­chen, zu cachen, zu fil­tern und Wer­bung und Male­wa­re zu ent­fer­nen. Im Unter­neh­mens­netz­werk ist das kaum ein Pro­blem. Die CA hier­für wird mit­tels GPO aus­ge­rollt und die pri­va­te Nut­zung von Rech­nern und Netz wird unter­sagt. Damit wird das gan­ze Kon­zept der Ver­schlüs­se­lung über den Hau­fen gewor­fen und das nur, weil heu­te jedes Blog und jede News-Sei­te meint, ihre geis­ti­gen Ergüs­se nur noch mit SSL/​TLS nach drau­ßen bla­sen zu müs­sen. War­um reicht es nicht Ver­schlüs­se­lung dort ein­zu­set­zen, wo sich die Benut­zer ein­log­gen und/​oder per­sön­li­che Daten über­tra­gen? Also was bit­te ist an Kaf­fe­rin­ge so wich­tig, dass es nur mit HTTPS abzu­ru­fen ist.

  4. Avatar von Steffen Voß
    Steffen Voß

    Ich weiß, dass es Admi­nis­tra­to­ren immer ärgert, wenn sie ihre gan­zen, hüb­schen Rech­ner ein­ge­rich­tet und auf­ge­stellt haben und sie dann jemand nutzt. Hin­ter­häl­tig ist es aber natür­lich, wenn die­se Nut­zer dann auch noch ihre Nut­zung über die Zeit ver­än­dern und nicht mehr nur sta­ti­sche HTML-Sei­ten abru­fen, die eine Grö­ße haben, dass Du sie auch lokal vor­hal­ten kannst. Das Best­eben des Admi­nis­tra­tors ist das Ver­wal­ten eines defi­nier­te Sta­tus Quo. Ansons­ten hie­ße er auch nicht Ver­wal­ter son­dern Ent­wick­ler – hab ich mal in einem Vor­trag von Hin­nerk (http://devops-blog.de/) gelernt 😉
    Seit spä­tes­tens Mit­te 2013 soll­te aber eigent­lich allen klar sein, dass „Ich habe nichts zu ver­ber­gen“ nicht gilt und noch nie gegol­ten hat. Du hast zu Hau­se auch Vor­hän­ge zum Bei­spiel im Schlaf­zim­mer, obwohl Du nichts zu ver­ber­gen hast.
    1. Gera­de weil man nichts zu ver­ber­gen hat, hat nie­mand das Recht, sich für das zu inter­es­sie­ren, was Du machst. Ver­schlüs­se­lung hilft dabei, unbe­rech­tig­te Beob­ach­ter dar­an zu erinnern.
    2. Ver­schlüs­se­lung hilft auch dabei sicher­zu­stel­len, dass die Inhal­te, die Du Dir ange­schaust, auch die sind, die Du Dir tat­säch­lich anschau­en willst.
    Es gibt kei­nen Grund dafür, dass irgend­et­was unver­schlüs­selt durch das Inter­net geht, auch wenn die dafür ver­wen­de­te Tech­no­lo­gie nicht per­fekt ist.

  5. Verschlüsselung: Mein erstes Let's Encrypt Zertifikat

    […] Das ist gut—aber auch nur die hal­be Mie­te. Die Um­stel­lung ei­ner be­ste­hen­den Word­Press-Sei­te auf SSL hat sich auch schon nicht als ganz so ein­fach her­aus­ge­stellt. Ins­ge­samt wird das aber […]

  6. All-inkl.com bietet kostenlose Let's-Encrypt-Zertifikate

    […] dann schon per https:// auf­ru­fen. Word­Press ist ein wenig wider­spens­tig – da muss man noch die Daten­bank bear­bei­ten. In der Regel aber schei­nen ein paar weni­ge Hand­grif­fe zu […]

  7. WordPress von HTTP auf HTTPS umstellen – Antary

    […] https://kaffeeringe.de/3848/wordpress-auf-https-umstellen/ […]

  8. Avatar von Martin
    Martin

    Ich habe bei der Sicher­heits­fir­ma Janot­ta und Part­ner die­sen Hin­weis gefunden.
    Bei der Inter­net Sicher­heits­fir­ma Janot­ta und Part­ner habe ich den Hin­weis gefun­den das ab dem 01. Janu­ar 2017 der Goog­le Chro­me Brow­ser alle Online­shops und Web­sei­ten mit einer War­nung anzei­gen, wenn die­se kein HTTPS besitzen.
    https://janotta-partner.de/ssl-installieren.html
    Falls das stimmt brau­che ich even­tu­ell Hil­fe bei der Umstel­lung. Macht Ihr das auch und was kos­tet mich das?

  9. Avatar von Hans
    Hans

    Hal­lo,

    dan­ke für die­sen hilf­rei­chen Bei­trag zur Umstel­lung auf HTTPS für Word­Press! Es ist groß­ar­tig zu sehen, wie du Schritt für Schritt durch den Pro­zess gegan­gen bist. Dei­ne Erfah­run­gen mit einer Mul­ti­si­te-Instal­la­ti­on bei all-inkl.com sind sicher für vie­le Word­Press-Nut­zer von unschätz­ba­rem Wert.

    Bes­te Grüße,
    All­tags­in­fo

    Wei­ter so!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert