Sicherlich ist auch dir der Begriff SSL -Verschlüsselung in letzter Zeit das ein oder andere Mal über den Browser gelaufen. Aber wusstest du, dass du sogar abgemahnt werden kannst, wenn du auf deiner Homepage ein Kontaktformular verwendest und die Datenübertragung nicht per SSL verschlüsselt ist?
Die SSL-Verschlüsselung sorgt nämlich dafür, dass Daten, die in Formulare eingetragen werden ausschließlich verschlüsselt übertragen werden und somit von unbefugten Dritten nicht ausgelesen werden können. Für Online-Shops ist das heutzutage eine Grundvoraussetzung; aber auch die meisten Internetauftritte sind wegen den Kontaktformularen verpflichtet, eine SSL-Verschlüsselung einzurichten.
Eine Abmahngefahr ist zwar derzeit nur gegeben, wenn die Webseite über Möglichkeiten der Dateneingabe verfügt, aber auch ohne diese Möglichkeit, führt in meinen Augen langfristig für keine Webseite der Weg an der SSL-Verschlüsselung vorbei. Denn bereits jetzt warnen die gängigsten Internetbrowser Chrome und Firefox den Besucher vor dem Besuch eurer Homepage, wenn diese Daten ohne Verschlüsselungstechnik überträgt.
Eine fehlende SSL-Verschlüsselung wirkt sich außerdem negativ auf euer Google-Ranking aus. Und da die meisten Hoster mittlerweile die Einbindung eines kostenlosen Let’sEncrypt-Zertifikat zur Verschlüsselung anbieten, sollte auch der Kostengrund keine Ausrede mehr sein.
Daher möchte ich euch in diesem Artikel ein Anleitung an die Hand geben, wie ihr die SSL-Verschlüsselung in wenigen Schritten auf eurer WordPress-Seite einbindet.
Ist die SSL-Verschlüsselung Pflicht?
Kurz und knapp: JA!
Die Pflicht zur SSL-Verschlüsselung ist im Telemediengesetz (kurz TMG) §13 Abs. 7 festgeschrieben.
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
- 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
- 2. diese
- a) gegen Verletzungen des Schutzes personenbezogener Daten und
- b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Damit ist jeder – der auf seiner Homepage dem Besucher die Möglichkeit anbietet, Daten einzugeben – verpflichtet, für eine sichere Datenübertragung zu sorgen. Was im Einzelfall als „technisch möglich und wirtschaftlich zumutbar“ angesehen wird, ist pauschal nicht zu beantworten, jedoch stufe ich gerade im Blick auf das kostenlose Let’sEncrypt-Zertifikat die wirtschaftliche Zumutbarkeit als Begründung als irrelevant ein.
Das Zertifikat ist komplett kostenlos und lässt sich bei vielen Hostern mittlerweile mit wenigen Klicks installieren. Wie diese Installation bei deinem Hoster genau funktioniert, findest du meist in den FAQs oder im Supportbereich deines Hosters beschrieben.
Wenn du das Zertifikat beim Hoster eingerichtet hast, musst du die folgenden Schritte in dieser Reihenfolge durchlaufen.
Permanente Weiterleitung auf HTTPS einrichten
In den meisten Fällen wirst du nun nämlich immer noch einen Warnhinweis auf deinen Webseiten erhalten. Das liegt daran, dass es nun quasi 2 Versionen deiner Seite gibt, eine mit HTTPS-Verschlüsselung, eine ohne.
Je nach genutzten Browser und dem, was der Besucher in die Adresszeile tippt, wird er oftmals noch auf der ungesicherten Homepage landen und damit wieder vor denselben Warnmeldungen stehen. Auch du selbst erhältst eine Warnmeldung, wenn du dich in deine Seite einloggen möchtest. Wie diese Meldung bei den einzelnen Browsern aussieht, ist unterschiedlich, bei Firefox sieht es zum Beispiel so aus:
Als erstes richten wir also nun eine dauerhafte Weiterleitung der HTTP-Seite auf die HTTPS-Seite ein. Dadurch werden Besucher automatisch auf die verschlüsselte Version deiner Seite weitergeleitet. Hierfür suchst du die .htaccess-Datei im Verzeichnis, in dem deine Webseite liegt, auf. Um die Datei zu finden, musst du entweder mit einem FTP-Programm wie FileZilla oder über den Web-FTP deines Hostinganbieters auf die Ordnerstruktur deiner Seite zugreifen. In jedem Fall benötigst du deine FTP-Login-Daten.
Wenn du die .htaccess-Datei gefunden hast, kannst du diese mit einem Editor, wie z.B. Notepad++ öffnen und bearbeiten, wenn du dich über den WebFTP-Zugang deines Hosters eingeloggt hast, kannst du die Datei vielleicht sogar direkt im Browser bearbeiten.
In der .htaccess-Datei findest du die Zeile „RewriteEngine On“. Unter diese Zeile fügst du nun folgende Code-Zeilen ein:
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Mit dem Speichern hast du jetzt eine dauerhafte Weiterleitung auf die https-Version deiner Homepage eingerichtet. Testen kannst du das, indem du in der Adresszeile deines Browsers versuchst, deine Seite über die HTTP-Domain aufzurufen, also http://deinedomain.de. .
Du solltest jetzt automatisch auf https://deinedomain.de umgeleitet werden. Fertig also? Nein, leider immer noch nicht ganz, aber viel fehlt nicht mehr.
Das Mixed-Content-Problem beseitigen
Ruf deine Internetseite im Browser auf. Mit ziemlich hoher Wahrscheinlichkeit hast du nun dieses oder ein ähnliches Bild in der Browserzeile:
Wie man sieht, ist die Weiterleitung auf https zwar da, aber vor dem gewünschten grünen Schloss gibt es noch einen gelben Warnhinweis. Das rührt aus dem sogenannten „mixed content“ und bedeutet lediglich, dass noch einzelne Seitenelemente über HTTP abgerufen werden, weil sie z.B. bereits vor der HTTPS-Umstellung eingebunden waren.
Betroffen hiervon können z.B. Videos, Bilder, Audiodateien aber auch Plugins sein. Du kannst nun händisch nach den falsch eingebundenen Elementen suchen. Dafür kannst du den Quelltext jeder einzelnen Seite und jedes einzelnen Beitrages auf deiner Seite durchsuchen und die Elemente darin auf HTTPS umstellen.
Eine elegantere und vor allem schnellere und gründlichere Methode ist der Einsatz des „Better Search Replace„-Plugins.
Damit automatisierst du den letzten Schritt der Umstellung. Du kannst das Plugin ganz normal über dein WordPress-Backend installieren und aktivieren, anschließend findest du die Funktion unter Werkzeuge -> Better Search Replace.
Bevor du das Plugin arbeiten lässt, solltest du sicherheitshalber ein Backup deiner Datenbanken machen und dann kann es losgehen.
Unter Suchen gibst du http://deinedomain.de/ ein, bei Ersetzen durch https://deinedomain.de/ . Anschließend markierst du alle Tabellen mit gedrückter Shift-Taste und startest den Testlauf.
Bekommst du danach keine Warnung kannst du den Haken bei „Testlauf“ entfernen und startest den eigentlichen Vorgang. Den Rest macht das Plugin für dich. Nicht erschrecken, du wirst meistens automatisch ausgeloggt und musst dich neu einloggen, das hängt mit dem Überschreiben der Datenbanken zusammen.
Wenn du jetzt deine Homepage noch einmal im Browser aufrufst, heisst es TADAAAA, das grüne Schloss ist da!
SSL-Verschlüsselung: abgehakt
Es ist also tatsächlich gar nicht so schwer, sich hier vor Abmahnungen zu schützen und sich im rechtssicheren Raum zu bewegen.
Sofern du diesen Punkt noch nicht erledigt hast, solltest du hier also schnell nachbessern. Übrigens habe ich bei einer Recherche vor wenigen Tagen gesehen, dass nun auch Google selbst mehr und mehr in den Suchergebnissen auf eine unsichere Verbindung hinweist. Zwar kann es immer ein wenig dauern, da Google nicht jede Seite täglich überprüft, ich denke aber, dass sich hier in den nächsten Tagen und Wochen einiges tun wird und mehr und mehr Suchergebnisse dann mit einem roten Icon gekennzeichnet werden:
Solltest du trotz der Anleitung nicht weiter kommen, oder dir die Arbeit einfach nicht machen wollen, übernehme ich die Umstellung gern für dich.
Wie sieht es bei dir in der Browserzeile aus? Hast du schon eine SSL-Verschlüsselung für deine Homepage eingerichtet und das grüne Schloss als Belohnung erhalten? Und hattest du Probleme bei der Umstellung? Oder hast du vielleicht gute Gründe, die in deinen Augen GEGEN eine SSL-Verschlüsselung sprechen? Sag es mir in den Kommentaren.
Update:
Seit Inkrafttreten der EU-DSGVO ist eine Homepage in jedem Fall mit einer SSL-Verschlüsselung abzusichern, da auch die IP-Adressen der Seitenbesucher zu den personenbezogenen Daten gezählt werden.
0 Kommentare
Trackbacks/Pingbacks