Warum SSL/TLS-Verschlüsselung?

Warum sollte man aufwendig die Verschlüsselung aktivieren, wenn es auch ohne geht? Aus meiner Sicht gibt es viele Gründe seine Inhalte verschlüsselt anzubieten:

  1. Schutz der Login-Daten bei der Übertragung.
  2. Schutz der Privatsphäre der Blog Besucher; insbesondere wenn aus öffentlichen Netzwerken auf die Seite zugegriffen wird.
  3. Im Zuge des um sich greifenden Überwachungswahn, gilt es so viele Daten wie möglich zu verschlüsseln, damit die massenhafte Überwachung möglichst teuer und damit hoffentlich eingeschränkt wird.
  4. Zu guter letzt: Das Google-Ranking wird angeblich besser, wenn die Seite über SSL/TLS angeboten wird.

Nachdem “echtes” SSL/TLS erstmal grundsätzlich aktiviert  ist, muss nur noch das WordPress-Blog umgestellt werden, damit es auch korrekt über SSL/TLS erreichbar ist:

  1. Sofern bisher ein SSL-Proxy für den Zugriff auf das Backend verwendet wurde, sollten die dazu vorgenommen Änderungen zunächst zurück genommen werden. Dies betrifft  z.B. auch folgende Beiträge hier im Blog “WordPress SSL Admin” und “Basic Auth per SSL-Proxy erzwingen” und insbesondere die in den Beiträgen genannten Änderungen an den Dateien  .htaccess und wp-config.php. Außerdem sollte auch das Plugin SSL-Proxy URL Fixer deaktiviert werden.
  2. In WordPress unter Einstellungen -> Allgemein die Werte für die Felder “Wordpress-Adresse (URL)” und “Seiten-Adresse URL” die URLs anpassen und die neuen HTTPS-Adressen eintragen (z.B. https://klein-gedruckt.de). Danach sollte das Blog eigentlich schon wieder erreichbar sein. Falls nicht, so hilft ggf. folgender Eintrag in der wp-config.php:
  3. Achtung: Bevor Änderungen an der Datenbank vorgenommen werden sollte für den Notfall unbedingt ein Backup mit dem DB-Client der Wahl (z.B. per phpMyAdmin) durchgeführt werden.

    Anschließend müssen noch einige Einträge in der Datenbank angepasst werden. Dabei sollte mit Bedacht vorgegangen werden. Mit einem falschen Kommando ist die Datenbank schnell zerstört und die Inhalte für immer verloren.

    Daher sollten die folgenden Schritte nur durchgeführt werden, wenn ein aktuelles Datenbank-Backup vorliegt:

    Da ich bisher auch den SSL-Proxy von All-Inkl für die Administration genutzt habe, muss bei der Ersetzung ggf. auch noch die SSL-Proxy-URL (bei mir https://ssl-account.com/klein-gedruckt.de) des Blogs berücksichtigt werden:

    Außerdem empfiehlt es sich ggf. auch noch weitere Tabellen zu berücksichtigen, wie z.B. die Tabellen von spezielle Plugins. Grundsätzlich können die oben genannten Update-Statements dabei als Vorlage genutzt werden.

    Nur zur Sicherheit weise ich nochmal darauf hin, dass die URLs und ggf. auch die Tabellen-Prefixe in den SQL-Statements angepasst werden müssen.

  4. Funktioniert danach noch alles, so kann eine permanente Weiterleitung auf SSL/TLS eingerichtet werden:
  5. Zu guter letzt sollte noch überprüft werden ob auch wirklich alle Bilder und Elemente nun per SSL/TLS-Eingebunden werden. Sollten noch irgendwo Inhalte per http eingebunden werden, so wird dies als “unsichere Inhalte” in der Browser-Leiste angezeigt. Dies kommt beispielsweise vor, wenn ein Element in der Datenbank nicht korrekt angepasst wurde, oder Elemente (z.B. Logos oder Javascript-Bibliotheken) direkt im Template mit einer absoluten URL eingebunden wurden. Erst wenn wirklich alle Elemente der Web-Seite per HTTPS geladen werden verschwindet auch diese Warnmeldung vom Browser.