SSL Zertifikat für WordPress Website ganz einfach einrichten

SSL Zertifikat für WordPress Website ganz einfach einrichten

Vermutlich hast du es beim Surfen auch schonmal gesehen, dass oben in der Adressleiste Not Secure oder Nicht Gesichert steht. Das liegt daran, dass auf der entsprechenden Website keine SSL Verschlüsselung aktiviert ist: 

SSL Zertifikat fehlt - not secure

Die ist allerdings wichtig und laut der DSGVO auch Pflicht, damit die Daten gesichert übertragen werden, falls du z.b. ein Kontaktformular ausfüllst, eine Bestellung tätigst oder sonstige Daten von dir übertragen werden.

Eine nicht mit SSL verschlüsselte Seite ist über eine Adresse mit http:// vorne aufrufbar, also z.B. http://stefaniemotiwal.de.
Wenn die Seite mit SSL verschlüsselt ist, steht nicht mehr http:// da sondern https:// – https://stefaniemotiwal.de 

Wenn du WordPress nutzt und deine Seite mit SSL verschlüsseln möchtest, gehst du wie folgt vor:

 

  • Du loggst dich bei deinem Webhoster ein und prüfst, ob du schon ein SSL Zertifikat für deine Domain (Webadresse hast) –  bei All-inkl kannst du im KAS System prüfen, ob sich neben deiner Domain ein Schloßsymbol befindet:
SSL Zertifikat
  • Ist dies nicht der Fall, müsstest du eine SSL Verschlüsselung aktivieren oder beantragen. Je nach Webhoster kostet dies evtl. auch eine monatliche Gebühr. Bei All-Inkl sind ab dem Privat Plus Tarif alle SSL Zertifikate für beliebig viele Adressen kostenlos mit dabei (sonst 1€ pro Monat), bei Strato und Ionos sind es pro Domain ca. 4 Euro monatlich, die extra anfallen. Prüfe also hier einmal, wie die Konditionen bei dir sind.
  • Wenn du auf den Bearbeiten Button neben deiner Domain klickst, kannst du hier ein SSL Zertifikat beantragen:
SSL Schutz bearbeiten

Klicke auf „deaktiviert, bearbeiten“ um ein SSL Zertifikat zu erzeugen.

Lets Encrypt Zertifikat beziehen

Wähle Haftungsausschluss akzeptieren und klicke auf den Button.

SSL erzwingen

Es gibt noch die Option „SSL erzwingen“, damit alle alten Aufrufe der http:// Adresse automatisch an https:// weitergeleitet werden. Dies solltest du aktivieren. 

Wenn alles geklappt hat, loggst du dich als Administrator in WordPress ein und öffnest das Dashboard. 

Nun rufe die Einstellungen -> Allgemein auf und ersetze die WordPress-Adresse (URL) und die Website-Adresse (URL) mit der https Adresse: 

Neue Adresse eingeben 1

Vorher – die Adressen stehen noch mit http eingetragen

Neue Adresse eingeben 2

Nachher – die Adressen stehen jetzt mit https eingetragen

Danach musst du dich nochmal neu einloggen. 

Wenn du Glück hast, ist jetzt schon alles korrekt verschlüsselt, was du im Browser am Schloßsymbol erkennst: 

Korrekte Verschlüsselung

Im folgenden Video zeige ich dir die Schritte noch einmal: 

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Better Search Replace

Falls du im Browser neben der Adresse dann trotzdem auf einer Unterseite noch Info or Not Secure angezeigt bekommst:

Info or not secure
sind noch einige Ressourcen – vermutlich Bilder – über http statt https eingebunden. Entweder kannst du deine Bilder nochmal neu hochladen und auf der jeweiligen Seite mit der Fehlermeldung neu einbinden, oder du nutzt das kostenlose WordPress Plugin Better Search Replace dafür.

Wie du hier vorgehst, zeige ich dir im folgenden Video:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Ich hoffe, dass deine Website nun korrekt verschlüsselt ist und alles gut geklappt hat. Falls nicht, schreib mir gern und wir schauen uns das Ganze einmal zusammen an! 

Wie du deine WordPress Website sicherer machst

Wie du deine WordPress Website sicherer machst

WordPress ist das meistgenutzte Content-Management-System der Welt. Das zeigt, wie großartig es ist, macht es aber auch zum beliebten Ziel für Angriffe aller Art. Nach der Installation und Einrichtung solltest du dich noch nicht entspannt zurücklehnen, sondern mit den nachfolgenden Schritten schauen, ob du bei deinem WordPress noch etwas optimieren kannst:

Sicheres Passwort wählen

Vergib unbedingt ein sicheres (=langes, komplexes) Administrator Passwort! Lass dies am beste von deinem Browser generieren und notfalls speichern. Und wie immer gilt: Nutze nicht überall das gleiche Passwort 🙂 Sonst ist vielleicht neben WordPress auch noch gleich dein E-Mail-Postfach und dein Facebook Account gehackt.

Suche dir zugleich am besten schon bei der WordPress Installation einen persönlichen Benutzernamen aus (statt dem Standard admin) und lösche nachträglich den admin Nutzer, falls er doch schon angelegt wurde.

Plugins, Themes und WordPress selbst aktuell halten:

Die meisten Angriffe werden durch veraltete Plugins und Themes (oder zu einfache Passworte) möglich gemacht. Um hier immer auf dem neuesten Stand zu sein, solltest du nicht nur WordPress, sondern auch alle installierten Erweiterungen sehr regelmäßig, am besten alle 2-4 Wochen, aktualisieren. Falls du hier eine bequeme Lösung möchtest, kann ich dir das kostenlose Plugin „Easy Updates Manager“ sehr empfehlen. Hier kannst du genau einstellen, was alles automatisch aktualisiert werden soll (sobald es eine neue Version gibt) und was du lieber selbst händisch aktualisieren möchtest. Bei einigen Aktualisierungen empfiehlt es sich nämlich trotz der Sicherheit, noch ein wenig abzuwarten – z.B. falls für eine neue WordPress Version noch nicht alle Plugins kompatibel sind und somit noch gar nicht mit der neuen Version funktionieren würden.

Anzahl an installierten Plugins minimieren:

Installiere nur die Plugins, die du auch wirklich benötigst. Deinstalliere Plugins unbedingt, wenn sie dir nicht mehr länger dienen (nur deaktivieren reicht hier übrigens nicht, denn dann bleiben die Dateien trotzdem auf deinem Server). Und achte auch darauf, dass du dir keine WordPress Plugins einfach irgendwo herunterlädst, sondern installiere sie wenn möglich über den Plugins -> Installieren Menüpunkt deines Dashboards. Hier kannst du zudem schauen, wie häufig das Plugin im Einsatz ist und wann es zuletzt aktualisiert wurde:

Plugin Nutzung

Bei uralten, wenig genutzten Plugins ist ggf. Vorsicht geboten, gerade da sie vermutlich nicht mehr den neuesten Sicherheitsstandards entsprechen.

 

Ein Backup einrichten:

Damit du für den Fall der Fälle – falls die Seite doch gehackt wurde oder etwas bei einem Update schief gelaufen ist – abgesichert bist, empfehle ich dir, mind. 1x pro Woche ein automatisches Update machen zu lassen. Hierfür kannst du z.B. Updraft Plus oder BackWPup (ruhig in der kostenlosen Version) nutzen. Du musst einmal einstellen, wie häufig und wohin welche Daten gesichert werden sollen und wie viele Versionen beibehalten werde sollen und schon bis du fertig! Es ist nicht unbedingt notwendig, mehr als eine handvoll Versionen auf dem Server zu speichern, da diese meist auch mehrere hundert MB umfassen und du vermutlich nicht unendlich viel Speicherplatz zur Verfügung hast.

 

Sicherheits Plugins installieren:

Auch wenn du alles andere berücksichtigst, machen die folgenden Sicherheitsplugins Sinn:

  • Ninja Firewall, iThemes Security oder Wordfence Security um generelle Attacken auf deine Website zu verhindern (hier reicht jeweils die kostenlose Version für den normalen Schutz erstmal aus). Wenn ein schädliches Script z.B. mehrmals hintereinander versucht, sich als Administrator auf deiner Seite einzuloggen, wird der Account vorsichtshalber eine zeitlang blockiert. Die IP-Adresse der Nutzer wird durch diese Plugins evtl. mitgeloggt, sodass ein entsprechender Hinweis in deiner Datenschutzerklärung erfolgen sollte.
  • WPS Hide Login oder Loginizer – falls man den Adminbereich nicht über die Standard Adresse /wp-login und /wp-admin erreichbar machen möchte. Hilft gegen automatisierte Hackerattacken.

 

PHP Version aktuell halten:

Bei deinem Hoster kannst du in der Regel einstellen, welche PHP Version für deine Website genutzt werden soll. WordPress selbst zeigt mittlerweile bei veralteten Vesionen einen Warnhinweis im Backend an – spätestens dann ist es höchste Zeit, deine Seite auf die neueste PHP Version umzustellen. Solltest du hierbei Schwierigkeiten haben, kontaktiere am besten deinen Hoster. Bei all-inkl.com kannst du es nach dem Login in die Verwaltung über all-inkl.com/kas beim Menüpunkt Domain einstellen:

PHP Version aktualisieren

Mit diesen wenigen Schritten hast du die Sicherheit deines WordPress schon sehr erhöht. Lass gern einen Kommentar hier, wenn du noch weitere Tipps oder Fragen hast 🙂