Sie möchten Daten sichern und authentifizieren? Dann ist es an der Zeit, sich Schritt für Schritt mit dem SSL-Zertifikat für WordPress-Seiten zu beschäftigen. Bei dem Secure-Sockets-Layer (SSL) handelt es sich um ein elementares Protokoll zur Datensicherung. Ohne SSL-Verschlüsselung können Externe die Informationen abgreifen. Potenzielle Besucher einer Website ohne Zertifikat nehmen außerdem häufig Abstand davon, Ihre Seite aufzusuchen. Der Grund: Diese wird als unsicher gemeldet.
Dabei gilt insbesondere im Internet: Sicherheit geht vor und außer Vertrauten wie Freunden oder Familienangehörigen sollten User Ihre Daten niemandem offenbaren. Soll Ihre WordPress-Webseite hohe Besucher-Zahlen generieren und als vertrauenswürdig gelten, sollte diese deswegen in wenigen Schritten mit einem SSL-Zertifikat ausgestattet werden.
Doch was versteht man unter einem SSL-Zertifikat und woran erkennen Sie, ob eine WordPress-Webseite sicher ist? Und wie binden Sie das SSL-Zertifikat in WordPress ein? Dieser Artikel liefert eine ausführliche Anleitung!
Was ist ein SSL-Zertifikat?
Eines vorweg: Sichere Logins, Datentransfers und Kreditkartentransaktionen haben Priorität. Dennoch schätzen viele Webdesigner die Dringlichkeit einer sicheren Website bis heute falsch ein und verzichten aus Unwissen auf das SSL-Zertifikat. So wird dieses in den meisten Fällen ausschließlich bei Seiten eingesetzt, die sensible Daten enthalten.
Allerdings profitiert jede Website von dem Secure-Sockets-Layer und die HTTPS-Version gehört längst zum Standard. Denn das SSL-Zertifikat stellt nicht nur sicher, dass persönliche Daten geschützt werden. Vielmehr schließen Website-Benutzer aufgrund des Zertifikats und des Zertifikatsniveaus auf die Vertrauenswürdigkeit einer Website. Eine Seite ohne SSL-Zertifikat und mit einer Website-Adresse mit HTTP kann deswegen weniger Traffic generieren und ein schlechteres Google-Ranking sowie eine schlechtere Performance erzielen als eine Seite mit SSL-Zertifikat.
Doch was ist ein SSL-Zertifikat? Bei dem Zertifikat handelt es sich um eine Datei, die auf einem Webserver installiert wird und das Sicherheitsschloss sowie das https-Protokoll aktiviert. Auf diese Weise stellt das SSL-Zertifikat eine sichere Verbindung zwischen dem Webserver und einem beliebigen Browser her. Es handelt sich somit um einen digitalen Schlüssel, der sich an die Details einer Organisation bindet.
Unterschieden werden SSL-Zertifikatstypen für einzelne Domains, Wildcards (für einzelne Domains oder Subdomains) und Multi-Domains (für mehrere Domains, die keine Verbindung aufweisen). Zudem unterscheiden sich die SSL-Zertifikate je nach Validierungsstufe.
Folgende Stufen werden klassifiziert:
- Die Validierung auf Domain-Ebene (dem Domainnamen),
- die Validierung der Organisation sowie
- die erweiterte Validierung mit Hintergrund-Check.
Durch das SSL-Zertifikat schützen Sie sowohl die Inhalte der Website als auch die Daten, die zwischen dem Server und dem Client übertragen werden. So wird zum Beispiel ein Passwort beim Client verschlüsselt, chiffriert übertragen und anschließend vom Server entschlüsselt. Fängt ein Cyberkrimineller die Daten ab, greift dieser auf unvollständige Daten zurück, die er weder weiterverwenden noch lesen kann.
Sichere Sitzungen mit Browsern (den Clients) sind nur dann gegeben, wenn Sie das hochwertige SSL-Zertifikat eigenständig installieren oder einen Experten mit der Installation betrauen.
Wird der Prozess erfolgreich abgeschlossen, wandelt sich das Anwendungsprotokoll vom “Hypertext-Transfer-Protocol” (http) in das “Hypertext-Transfer-Protocol-Secure” um. Zudem erscheint ein Schloss-Symbol in der Domain, das als Sicherheitsindikator dient, eine abhörsichere Verbindung signalisiert und den Authentifizierungsstandards entspricht.
Im Idealfall weist eine Website die EV-Zertifikate (Extended-Validation) auf. Dabei handelt es sich um spezielle SSL-Zertifikate, deren Voraussetzung eine Validierung (Authentifizierung) des Zertifikat-Inhabers ist.
So funktioniert SSL
Ein SSL-Zertifikat einer WordPress-Webseite fußt auf der Kryptografie mit einem öffentlichen und einem privaten Schlüssel und gewährleistet eine hohe Sicherheit für Sie und die Website-Besucher. Die Schlüssel sind Zahlenkombinationen, die zufällig ausgewählt sind und die lang ausfallen. Der Server kennt den öffentlichen Schlüssel, da dieser in der öffentlichen Domain zur Verfügung steht. Er dient der Nachrichtenverschlüsselung.
Ein Beispiel: Eine Nachricht, die von einer Website versendet wird, wird zuvor mit dem öffentlichen Schlüssel verschlüsselt. Der Empfänger (der Client) kann die Nachricht öffnen, nachdem er die verschlüsselte Datei mit dem privaten Schlüssel entschlüsselt hat. Nur der Empfänger hat dabei Zugriff auf den privaten Schlüssel. Fängt ein Hacker die Nachricht ab, bevor diese bei dem Empfänger eintrifft, ist diese unlesbar.
Ein SSL-/TLS-Zertifikat ermöglicht somit im Vergleich zur HTTP-Verschlüsselung eine verschlüsselte Netzwerkverbindung zu einem externen System. Dafür wird ein Secure-Sockets-Layer-Protokoll beziehungsweise ein Transport-Layer-Security-Protokoll, die hybride TLS-Verschlüsselung, benötigt.
Wichtig ist: Jedes SSL-Zertifikat verfügt über ein Ablaufdatum. Deswegen ist es von Bedeutung, die Aktualität zu überprüfen. Es genügt demnach nicht, das Zertifikat einmalig im Rahmen der Website-Erstellung zu berücksichtigen. Stattdessen sollte eine regelmäßige Überprüfung stattfinden.
Wie erkenne ich, ob eine Website SSL-verschlüsselt ist?
Sie besuchen eine Webseite und plötzlich beschleicht Sie ein ungutes Gefühl? Keine Sorge! Sie können auf einen Blick erkennen, ob die Seite über eine SSL-Verschlüsselung verfügt oder als unsicher einzustufen ist. Die Voraussetzung: ein moderner Browser.
Im ersten Schritt überprüfen Sie die URL der Website. Weitere Informationen erhalten Sie, wenn Sie auf das Vorhängeschloss-Symbol nahe der Adressleiste klicken. Hier gilt: Durch den DNS-Server wird Ihnen keine lange IP-Adresse, sondern eine Domain angezeigt. Denn der Server fungiert als Datenbank und übersetzt die IP-Adresse. Die Domain sollte mit „HTTPS“ beginnen.
Unter dem Schloss-Symbol finden Sie alle Details zum SSL-Zertifikat. Kontrollieren Sie die Gültigkeit, indem Sie das Ablaufdatum berücksichtigen. Obendrein erhalten Sie Auskunft über die Identifikationsdaten der Organisation. Unter “Mehr Informationen” verschaffen Sie sich Zugriff auf weitere wichtige Angaben.
Möchten Sie das SSL-Zertifikat Ihrer eigenen Webseite oder Ihrer Websites überprüfen, suchen Sie dieses über das Dashboard. Nutzen Sie dafür zum Beispiel einen SSL-Checker oder das Windows-Zertifikatsmanager-Tool. Alternativ öffnen Sie die Zertifikate der Websites manuell über den Zertifikatsspeicher.
Deshalb sind SSL-Zertifikate wichtig
Die digitalen Datensätze schützen Ihre sensiblen Daten und verhindern, dass sich Unbefugte Zugriff zu persönlichen Informationen verschaffen. Außerdem verbessern diese das Google-Ranking einer Website und stärken das Kundenvertrauen in Ihr Unternehmen. Finanziellen Einbußen durch Datenklau oder einen Verlust von Kunden beugen Sie so effektiv vor.
Ist das Zertifikat vorhanden, aber ungültig, erscheint die Fehlermeldung “Ihre Verbindung ist nicht privat”.
Die Einbindung eines SSL-Zertifikats in WordPress
Sie können es kaum noch erwarten, das SSL-Zertifikat zu installieren, um Daten wie eine E-Mail-Adresse oder Kreditkarten-Daten zu schützen? In der folgenden Anleitung erklären wir Ihnen die einzelnen Schritte, um die HTTPS-Weiterleitung mit einem Plugin in WordPress einzubinden und eine sichere Datenübertragung zu gewährleisten!
SSL-Zertifikat installieren
Damit Sie die Webseite auf „HTTPS” umstellen können, muss ein SSL-Zertifikat für die URL vorliegen. Ist dies nicht bereits im Hosting-Paket vorhanden, müssen Sie dieses selbst bei Ihrem Webhoster bestellen. Die Konditionen variieren hier je nach Anbieter.
Wurde das Zertifikat für die Webseite bereitgestellt, entscheiden Sie sich für eine URL, der das SSL-Zertifikat zugeordnet werden soll. Die notwendige Einstellung treffen Sie über das Menü. Die Zuweisung des Zertifikats nimmt einige Minuten bis Stunden in Anspruch. Wurde der Prozess erfolgreich durchlaufen, erscheint das “HTTPS” in der URL der Webseite.
Heutzutage werden Zertifikate eigentlich nur noch kostenlos mit LetsEncrypt erstellt. Diese werden regelmäßig erneuert und können vollautomatisch verwaltet werden. Es besteht auch kein technischer Unterschied zu kostenpflichtigen Zertifikaten.
Hier ein Beispiel der Zertifikatsinstallation unter Plesk bei uns im Administrationsbereich.
WordPress im Adminbereich auf HTTPS einstellen
Generell brauchen Sie sich bei uns um so etwas nicht zu kümmern. Ein Zertifikat wird immer automatisch bei der Domainanlegung installiert und Wordpress direkt mit https:// installiert. Bei älteren Wordpress Installationen, oder Providern mit antiker Software müsste man manuell tätig werden.
Nun stellen Sie den Adminbereich unter WordPress auf HTTPS um. Zu diesem Zweck fügen Sie ‘define(‘FORCE_SSL_ADMIN’, true);’ in die wp-config.php-Datei in WordPress ein. Letztgenannte finden Sie über das WordPress-Verzeichnis. Der URL ist nun das HTTPS vorangestellt und das Sicherheitsschloss-Symbol erscheint. Ihre Webseite ist sicher.
Umstellung aller URLs von HTTP auf HTTPS
Nach der Umstellung im Adminbereich muss die gesamte Webseite angepasst werden. Das bedeutet, dass Sie jede URL auf HTTPS umstellen. Die Einstellung erfolgt über den Adminbereich – und zwar einzeln für jede Site. Hier ändern Sie alle Links auf HTTPS. Möchten Sie dies nicht manuell realisieren, können Sie auf ein Plugin wie “Better Search Replace” zurückgreifen.
Doch Vorsicht! Führen Sie vor der Umstellung in jedem Fall Backups Ihrer Webseite oder Ihrer Webseiten durch, um Ihre Daten zu sichern und Datenbankfehler zu vermeiden. Nach der Verwendung des Tools und der erfolgreichen Verschlüsselung können Sie das Plugin löschen.
FAQ
Das SSL-Zertifikat für Webseiten ist keine Pflicht. Allerdings gilt dies inzwischen als Standardlösung für Seiten im Internet. Im geschäftlichen Verkehr sind nur verschlüsselte Verbindungen erlaubt aus datenschutzrechtlichen Gründen. Ein Zertifikat zertifiziert diese Verbindungen. Die Verschlüsselung selbst kann auch ohne das Zertifikat erfolgen – erzeugt aber Warnmeldungen.
Führt „HTTPS“ die URL an, handelt es sich um eine verschlüsselte, sichere Website.
SSL ist älter als die aktualisierte Version TLS und kann Sicherheitslücken aufweisen.
Das Fazit – die WordPress-Website schützen
Ein erfolgreiches Unternehmen gewinnt das Vertrauen seiner Kundschaft und potenzieller Neukunden, steigert den Unternehmensumsatz und legt Wert auf hohe Sicherheitsstandards. Mit einem SSL-Zertifikat stellen Sie die Weichen für die Kundentreue, mehr Umsatz durch ein erfolgreiches Google-Ranking und den effektiven Schutz Ihrer sensiblen Unternehmensdaten. Das Zertifikat verschlüsselt nämlich die Daten, die zwischen einem Server und einem Browser versendet werden.
Zur Einbindung in WordPress bestellen Sie das Zertifikat bei Ihrem Hosting-Anbieter und implementieren dieses anschließend in WordPress. Dafür besuchen Sie den Adminbereich und stellen alle URLs auf HTTPS um. Ihre WordPress-Seite verfügt anschließend über das Schloss-Symbol und das Verschlüsselungsprotokoll.