Steffen Voß - Technologie & Gesellschaft

TLS-verschlüsselt : WordPress auf HTTPS umstellen

By: Michael Coghlan - CC BY-SA 2.0

Steffen Voß

Mit der richtigen Anleitung ist es recht einfach, WordPress auf HTTPS umzustellen – auch bei einer Multisites-Installation. Eine sehr schöne Anleitung gibt es bei webongo.de. Ich musste allerdings für meine Multisites-Installation bei all-inkl.com ein paar Umwege nehmen.

Schritt 1 und 2 funktionieren natürlich: Ich habe ein SSLTSL-Zertifikat in meinem Hosting-Paket. Das hat auch schon länger das Backend verschlüsselt. Und natürlich sollte man vor jeder Aktion ein Backup machen und das Caching abschalten. Ich habe mein Cache-Plugin einfach deinstalliert.

Bei Schritt 3 beginnt die Abweichung: Bei einer Multisites-Installation kann man die URL nicht in der Administration ändern. Das macht aber nichts, denn in Schritt 4 werden ohnehin alle Einträge in der Datenbank ersetzt. Das bei Webongo vorgeschlagene SQL-Statement funktioniert bei mir allerdings nicht, weil REPLACE bei meiner MySQL-Installation nicht geht.

Es gibt aber mit Search Replace DB ein Tool, mit dem man sehr einfach http://example.com durch https://example.com ersetzen kann.

Ab da ging es dann nach Anleitung weiter. Und nach wenigen Minuten lief die komplette Seite über HTTPS.

Aber Achtung!

Moderne Browser zeigen in verschlüsselten Seiten keine unverschlüsselten Inhalte an! Das bedeutet: Youtube-Embeds funktionieren dann nicht mehr, wenn sie nicht ohnehin schon per HTTPS-eingefügt wurden. Das gleiche gilt für alle anderen Arten von Embeds.

Ich habe bisher Youtube-Videos ohnehin nicht so oft eingebunden. Aber wenn ich das gemacht habe, dann über ein Plugin, das leider noch nicht fähig war, die HTTPS-Version des Youtube-Embed-Codes zu erzeugen. Im Code stand nur mehrfach der Vorsatz, dass das irgendwann mal passieren sollte. Ich hab mir das jetzt ohne die ganzen möglichen Optionen selbst zusammengehackt.

Fazit!

Die Umstellung an sich, hatte ich schon mehrfach versucht. Allerdings hatte ich bisher keine ordentliche Anleitung dafür gefunden. Ich hätte eigentlich gedacht, dass das per Config-Eintrag gingen – wie für das Backend. Am Ende war es aber doch sehr einfach.

Schwieriger könnte für einige das Leben mit einem verschlüsselten Blog werden – vor allem dann, wenn man viel fremde Inhalte embeddet. Aber soweit ich das sehe, gibt es keine großen Geschwindigkeitsnachteile durch die Verschlüsselung und ich habe meinen kleinen Beitrag zu einem verschlüsselten Internet geleistet.

Links

Pingbacks

  1. Verschlüsselung: Mein erstes Let's Encrypt Zertifikat
  2. All-inkl.com bietet kostenlose Let's-Encrypt-Zertifikate
  3. WordPress von HTTP auf HTTPS umstellen – Antary

Kommentare

Dentaku
Dentaku:

Gute Sache, habe ich letztes Jahr schon gemacht. Und ich empfehle Dir noch das Plugin SSL Insecure Content Fixer, das behebt eine menge Mixed-Content-Warnungen, die von Fehlern in Plugins und Themes hervorgerufen werden.

(Das ganze aber nicht ohne darauf hinzuweisen: TLS! Das heißt TLS und nicht mehr SSL, und zwar seit 15 Jahren.)

19.1.2015 um 00:07
Steffen Voß
Steffen Voß:

Danke für die Tipps!

Das mit TLS habe ich geändert. „SSL“ ist einfach der gängige Name. All-Inkl.com verkauft das ja auch so: https://all-inkl.com/webhosting/uebersicht/

Hard Habit to Break 😉

20.1.2015 um 10:06
Marek Walther
Marek Walther:

Grummel, was bitte ist an Kafferinge.de so schützenswert, dass es hinter SSL/TLS versteckt werden muss?

Ganz ehrlich, x.509 im Web ist gescheitert, die Konzepte hinter SSL/TLS sind ein riesiger Misthaufen, auf den man seit über einem Jahrzehnt immer mehr Mist schmeißt, um die Unzulänglichkeiten zu kaschieren. Und seit etwa einem Jahr fliegen uns diese regelmäßig um die Ohren. So schnell kannst du gar nicht patchen wie dieses passiert. Im Grund bleibt hier nur eines, wegschmeißen und zurück ans Zeichenbrett.

Der Grund, warum mir dieses schlechte Laune bereitet, ist ganz einfach. Im Rahmen der Netzwerkadministration gehört die Optimierung des eingesetzten Proxys mit zu meinen Aufgaben.
Durch die Veränderungen der letzten Jahre zu Web 2.0 ist das bereits schwieriger geworden, aber durch den überflüssigen Einsatz von SSL/TLS wird es fast unmöglich, das Netzwerk zu schützen und zu beschleunigen. Also wird immer mehr Interception in Firmennetzwerken eingesetzt, um die Verschlüsselung aufzubrechen, zu cachen, zu filtern und Werbung und Maleware zu entfernen. Im Unternehmensnetzwerk ist das kaum ein Problem. Die CA hierfür wird mittels GPO ausgerollt und die private Nutzung von Rechnern und Netz wird untersagt. Damit wird das ganze Konzept der Verschlüsselung über den Haufen geworfen und das nur, weil heute jedes Blog und jede News-Seite meint, ihre geistigen Ergüsse nur noch mit SSL/TLS nach draußen blasen zu müssen. Warum reicht es nicht Verschlüsselung dort einzusetzen, wo sich die Benutzer einloggen und/oder persönliche Daten übertragen? Also was bitte ist an Kafferinge so wichtig, dass es nur mit HTTPS abzurufen ist.

8.3.2015 um 01:44
Steffen Voß
Steffen Voß:

Ich weiß, dass es Administratoren immer ärgert, wenn sie ihre ganzen, hübschen Rechner eingerichtet und aufgestellt haben und sie dann jemand nutzt. Hinterhältig ist es aber natürlich, wenn diese Nutzer dann auch noch ihre Nutzung über die Zeit verändern und nicht mehr nur statische HTML-Seiten abrufen, die eine Größe haben, dass Du sie auch lokal vorhalten kannst. Das Besteben des Administrators ist das Verwalten eines definierte Status Quo. Ansonsten hieße er auch nicht Verwalter sondern Entwickler – hab ich mal in einem Vortrag von Hinnerk (http://devops-blog.de/) gelernt 😉

Seit spätestens Mitte 2013 sollte aber eigentlich allen klar sein, dass „Ich habe nichts zu verbergen“ nicht gilt und noch nie gegolten hat. Du hast zu Hause auch Vorhänge zum Beispiel im Schlafzimmer, obwohl Du nichts zu verbergen hast.

1. Gerade weil man nichts zu verbergen hat, hat niemand das Recht, sich für das zu interessieren, was Du machst. Verschlüsselung hilft dabei, unberechtigte Beobachter daran zu erinnern.
2. Verschlüsselung hilft auch dabei sicherzustellen, dass die Inhalte, die Du Dir angeschaust, auch die sind, die Du Dir tatsächlich anschauen willst.

Es gibt keinen Grund dafür, dass irgendetwas unverschlüsselt durch das Internet geht, auch wenn die dafür verwendete Technologie nicht perfekt ist.

8.3.2015 um 11:27
Martin
Martin:

Ich habe bei der Sicherheitsfirma Janotta und Partner diesen Hinweis gefunden.
Bei der Internet Sicherheitsfirma Janotta und Partner habe ich den Hinweis gefunden das ab dem 01. Januar 2017 der Google Chrome Browser alle Onlineshops und Webseiten mit einer Warnung anzeigen, wenn diese kein HTTPS besitzen.

https://janotta-partner.de/ssl-installieren.html

Falls das stimmt brauche ich eventuell Hilfe bei der Umstellung. Macht Ihr das auch und was kostet mich das?

12.12.2016 um 18:45

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Möchtest Du per E-Mail benachrichtigt werden, wenn Dir hier jemand antwortet?