kaffeeringe.de

TLS-verschlüsselt: WordPress auf HTTPS umstellen

By: Michael Coghlan - CC BY-SA 2.0

Mit der richtigen Anleitung ist es recht einfach, WordPress auf HTTPS umzustellen – auch bei einer Multisites-Installation. Eine sehr schöne Anleitung gibt es bei webongo.de. Ich musste allerdings für meine Multisites-Installation bei all-inkl.com ein paar Umwege nehmen.

Schritt 1 und 2 funktionieren natürlich: Ich habe ein SSLTSL-Zertifikat in meinem Hosting-Paket. Das hat auch schon länger das Backend verschlüsselt. Und natürlich sollte man vor jeder Aktion ein Backup machen und das Caching abschalten. Ich habe mein Cache-Plugin einfach deinstalliert.

Bei Schritt 3 beginnt die Abweichung: Bei einer Multisites-Installation kann man die URL nicht in der Administration ändern. Das macht aber nichts, denn in Schritt 4 werden ohnehin alle Einträge in der Datenbank ersetzt. Das bei Webongo vorgeschlagene SQL-Statement funktioniert bei mir allerdings nicht, weil REPLACE bei meiner MySQL-Installation nicht geht.

Es gibt aber mit Search Replace DB ein Tool, mit dem man sehr einfach http://example.com durch https://example.com ersetzen kann.

Ab da ging es dann nach Anleitung weiter. Und nach wenigen Minuten lief die komplette Seite über HTTPS.

Aber Achtung!

Moderne Browser zeigen in verschlüsselten Seiten keine unverschlüsselten Inhalte an! Das bedeutet: Youtube-Embeds funktionieren dann nicht mehr, wenn sie nicht ohnehin schon per HTTPS-eingefügt wurden. Das gleiche gilt für alle anderen Arten von Embeds.

Ich habe bisher Youtube-Videos ohnehin nicht so oft eingebunden. Aber wenn ich das gemacht habe, dann über ein Plugin, das leider noch nicht fähig war, die HTTPS-Version des Youtube-Embed-Codes zu erzeugen. Im Code stand nur mehrfach der Vorsatz, dass das irgendwann mal passieren sollte. Ich hab mir das jetzt ohne die ganzen möglichen Optionen selbst zusammengehackt.

Fazit!

Die Umstellung an sich, hatte ich schon mehrfach versucht. Allerdings hatte ich bisher keine ordentliche Anleitung dafür gefunden. Ich hätte eigentlich gedacht, dass das per Config-Eintrag gingen – wie für das Backend. Am Ende war es aber doch sehr einfach.

Schwieriger könnte für einige das Leben mit einem verschlüsselten Blog werden – vor allem dann, wenn man viel fremde Inhalte embeddet. Aber soweit ich das sehe, gibt es keine großen Geschwindigkeitsnachteile durch die Verschlüsselung und ich habe meinen kleinen Beitrag zu einem verschlüsselten Internet geleistet.

Links

Pingbacks

  1. Verschlüsselung: Mein erstes Let's Encrypt Zertifikat
  2. All-inkl.com bietet kostenlose Let's-Encrypt-Zertifikate
  3. WordPress von HTTP auf HTTPS umstellen – Antary

Kommentare

Dentaku

Gute Sache, ha­be ich letz­tes Jahr schon ge­macht. Und ich emp­feh­le Dir no­ch das Plugin SSL Insecure Content Fixer, das be­hebt ei­ne men­ge Mixed-Content-Warnungen, die von Fehlern in Plugins und Themes her­vor­ge­ru­fen wer­den.

(Das gan­ze aber nicht oh­ne dar­auf hin­zu­wei­sen: TLS! Das heißt TLS und nicht mehr SSL, und zwar seit 15 Jahren.)

Steffen Voß

Danke für die Tipps!

Das mit TLS ha­be ich ge­än­dert. „SSL“ ist ein­fach der gän­gi­ge Name. All-Inkl.com ver­kauft das ja auch so: https://all-inkl.com/webhosting/uebersicht/

Hard Habit to Break 😉

Marek Walther

Grummel, was bit­te ist an Kafferinge.de so schüt­zens­wert, dass es hin­ter SSL/TLS ver­steckt wer­den muss?

Ganz ehr­li­ch, x.509 im Web ist ge­schei­tert, die Konzepte hin­ter SSL/TLS sind ein rie­si­ger Misthaufen, auf den man seit über ei­nem Jahrzehnt im­mer mehr Mist schmeißt, um die Unzulänglichkeiten zu ka­schie­ren. Und seit et­wa ei­nem Jahr flie­gen uns die­se re­gel­mä­ßig um die Ohren. So schnell kann­st du gar nicht patchen wie die­ses pas­siert. Im Grund bleibt hier nur ei­nes, weg­schmei­ßen und zu­rück ans Zeichenbrett.

Der Grund, war­um mir die­ses schlech­te Laune be­rei­tet, ist ganz ein­fach. Im Rahmen der Netzwerkadministration ge­hört die Optimierung des ein­ge­setz­ten Proxys mit zu mei­nen Aufgaben.
Durch die Veränderungen der letz­ten Jahre zu Web 2.0 ist das be­reits schwie­ri­ger ge­wor­den, aber durch den über­flüs­si­gen Einsatz von SSL/TLS wird es fast un­mög­li­ch, das Netzwerk zu schüt­zen und zu be­schleu­ni­gen. Also wird im­mer mehr Interception in Firmennetzwerken ein­ge­setzt, um die Verschlüsselung auf­zu­bre­chen, zu cachen, zu fil­tern und Werbung und Maleware zu ent­fer­nen. Im Unternehmensnetzwerk ist das kaum ein Problem. Die CA hier­für wird mit­tels GPO aus­ge­rollt und die pri­va­te Nutzung von Rechnern und Netz wird un­ter­sagt. Damit wird das gan­ze Konzept der Verschlüsselung über den Haufen ge­wor­fen und das nur, weil heu­te je­des Blog und je­de News-Seite meint, ih­re geis­ti­gen Ergüsse nur no­ch mit SSL/TLS nach drau­ßen bla­sen zu müs­sen. Warum reicht es nicht Verschlüsselung dort ein­zu­set­zen, wo si­ch die Benutzer ein­log­gen und/oder per­sön­li­che Daten über­tra­gen? Also was bit­te ist an Kafferinge so wich­tig, dass es nur mit HTTPS ab­zu­ru­fen ist.

Steffen Voß

Ich weiß, dass es Administratoren im­mer är­gert, wenn sie ih­re gan­zen, hüb­schen Rechner ein­ge­rich­tet und auf­ge­stellt ha­ben und sie dann je­mand nutzt. Hinterhältig ist es aber na­tür­li­ch, wenn die­se Nutzer dann auch no­ch ih­re Nutzung über die Zeit ver­än­dern und nicht mehr nur sta­ti­sche HTML-Seiten ab­ru­fen, die ei­ne Größe ha­ben, dass Du sie auch lo­kal vor­hal­ten kann­st. Das Besteben des Administrators ist das Verwalten ei­nes de­fi­nier­te Status Quo. Ansonsten hie­ße er auch nicht Verwalter son­dern Entwickler – hab ich mal in ei­nem Vortrag von Hinnerk (http://devops-blog.de/) ge­lernt 😉

Seit spä­tes­tens Mitte 2013 soll­te aber ei­gent­li­ch al­len klar sein, dass „Ich ha­be nichts zu ver­ber­gen“ nicht gilt und no­ch nie ge­gol­ten hat. Du hast zu Hause auch Vorhänge zum Beispiel im Schlafzimmer, ob­wohl Du nichts zu ver­ber­gen hast.

1. Gerade weil man nichts zu ver­ber­gen hat, hat nie­mand das Recht, si­ch für das zu in­ter­es­sie­ren, was Du machst. Verschlüsselung hilft da­bei, un­be­rech­tig­te Beobachter dar­an zu er­in­nern.
2. Verschlüsselung hilft auch da­bei si­cher­zu­stel­len, dass die Inhalte, die Du Dir an­ge­schaust, auch die sind, die Du Dir tat­säch­li­ch an­schau­en will­st.

Es gibt kei­nen Grund da­für, dass ir­gend­et­was un­ver­schlüs­selt durch das Internet geht, auch wenn die da­für ver­wen­de­te Technologie nicht per­fekt ist.

Martin

Ich ha­be bei der Sicherheitsfirma Janotta und Partner die­sen Hinweis ge­fun­den.
Bei der Internet Sicherheitsfirma Janotta und Partner ha­be ich den Hinweis ge­fun­den das ab dem 01. Januar 2017 der Google Chrome Browser al­le Onlineshops und Webseiten mit ei­ner Warnung an­zei­gen, wenn die­se kein HTTPS be­sit­zen.

https://janotta-partner.de/ssl-installieren.html

Falls das stimmt brau­che ich even­tu­ell Hilfe bei der Umstellung. Macht Ihr das auch und was kos­tet mi­ch das?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Möchtest Du benachrichtigt werden, wenn Dir hier jemand antwortet?