WordPress auf SSL umstellen – am Beispiel Strato

By | 4. April 2018

Die Aktivierung zu SSL ist so sorgfältig zu planen wie ein Umzug auf eine andere Adresse, weil sich die Adresse (z.B. für Google & Co.) verändert – von http://… zu https://… 

D.h. eine Adresse, die vorher http://website.de hieß, ist unter dieser Adresse nicht mehr zu erreichen! Bei WordPress ändern sich die Datenbankzuweisungen (zu Bildern z.B.), sowie das Login zum Backend.

Workflow am Beispiel Strato, um eine Website auf SSL umzustellen

  1. Aufbau der Website auf einer Spielwiese – entweder lokal oder auf einer Subdomain
  2. Umziehen z.B. mit “All-in-one-Migration
  3. auf Strato installiere ich WordPress über FTP – warum keine 1-Klick-Installation?
    Um das von WordPress voreingestellt Tabellen-Präfix wp_ anzupassen (siehe auch WordPress-Sicherheit durch Verschleierung – weiter unten auf dieser Seite erklärt)
    Übrigens: bei All-Inkl.com wird das Tabellenpräfix bei der 1-Klick-Installation verändert!
  4. auf der “nackigen” WordPress-Seite installiere ich ebenfalls All-in-one-Migration
  5. Import der neuen Website zu Strato
  6. dann installiere ich auf der WordPress-Strato-neuen-Seite Really Simple SSL, aber ich aktiviere es noch nicht.
  7. im Backend bei Strato aktiviere ich SSL im Menü: Sicherheit – Strato SSL (ich weise es ggf. einer Domain zu, falls mehrere Domains vorhanden sind)
  8. ich wähle die suchmaschinenfreundliche 301 Weiterleitung, eine permanenteWeiterleitung auf die Adresse https//….
  9. 1 Stunde bis zu 2 Tagen später ist dann im Backend zu sehen, dass die Website mit SSL gesichert ist.
    Hier die Bedienungsanweisung von Strato zum Anschalten der SSL Verschlüsselung

    Wir müssen warten, die Verschlüsselung bzw. das Zertifikat wurde beantragt, ist noch in Arbeit.

  10. wenn die Seite mit SSL geschützt ist, logge ich mich in das Backend meiner WordPress-Website ein und aktive dann SSL mit dem Plugin Really Simple SSL
  11. wenn die Seite aktualisiere, den Cache leere, muss ich mich zumeist noch mal anmelden, aber alles sollte jetzt passen und meine Seite ist jetzt über https:// erreichbar.
  12. ist eine Seite z.B. nicht vollständig mit dem Schloss gesichert, kann es daran liegen, dass einzelne Bilder noch mal neu hochgeladen und neu verknüpft werden müssen.

    Das ist das Ziel – ein grünes SSL-Schloss

Sicherheit durch Verschleierung („Security through obscurity“)

Sicherheit durch Verschleierung ist generell eine schlechte Strategie. Allerdings gibt es Bereiche, bei denen dies auch in WordPress nützlich sein kann: 1. Administrator umbenennen: Wenn du ein Administratoren-Account anlegst, solltest du leicht zu erratende Usernamen wie admin oder webmaster vermeiden, weil sie typischerweise zuerst bei einem Angriff verwendet werden. (..) 2. Ändere das Tabellen-Präfix: Viele bekanntgewordene WordPress-spezifische SQL-Injections gehen davon aus, dass das Tabellen-Präfix dem Standardwert wp_ entspricht. Eine Änderung kann zumindest einige SQL-Injection-Angriffe vereiteln.

Quelle https://codex.wordpress.org/de:Hardening_WordPress

Um Doppelten Content zu vermeiden:
Automatische Umleitung von http auf https

Strato erzwingt diese 301-Weiterleitung schon, bei All-inkl. ist es ratsam, die Domain mit dieser suchmaschinenfreundlichen Weiterleitung auf das neue ZIEL zu leiten, d.h. ohne Rankingverlust bei Google und Co.

Wenn alle Inhalte und Links fehlerfrei über SSL funktionieren, sollte eine 301er Weiterleitung z.B. per htaccess Datei erfolgen. Dies ist unkompliziert mit folgendem Schnippsel möglich:

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

 

Umstellung auf SSL bei All-inkl. –

ein Leitfaden von Christian Wenzel:

Let’s Encrypt bei All-Inkl / SSL kostenlos einrichten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.