Die SSL-Verschlüsselung bringt Sicherheit für Internetnutzer und ist mittlerweile ein wichtiger Faktor beim Ranking der Suchergebnisse. Zeit, einen WordPress-Blog auf Vordermann zu bringen.
Abgesehen davon erfordern auch neue Datenschutzrichtlinien den sicheren Umgang mit Formulardaten. Auch wer nur ein Kontaktformular auf seiner Seite bereit hält, sollte auf die sichere Übertragung von Benutzerdaten setzen, um Abmahnanwälten zuvor zu kommen.
1. Das Zertifikat
Viele Hoster bieten SSL-Zertifikate kostenlos im Paket mit an. Allerdings ist dies normalerweise nicht automatisch aktiv. Bei STRATO kann dies beispielsweise über „Sicherheit“ > „Strato SSL“ zugewiesen oder ggf. bestellt werden. Praktischerweise lässt sich nach Aktivierung eine 301-Weiterleitung auf die https-Adresse automatisch einrichten (hierzu „SSL erzwingen“ aktivieren).
2. WordPress updaten
Eine WordPress-Seite ist nun meist noch immer nicht gesichert. Grund dafür ist, dass Bilder, Videos und andere Elemente eine http://-Referenz enthalten. Damit wurde durch die Umstellung auf SSL die Seite sogar verschlimmbessert, denn nun liegt „mixed content“ vor, also verschlüsselter und unverschlüsselter Inhalt samt Warnmeldung im Browser.
Die Lösung ist simpel wie aufwändig: Die http://-Referenzen müssen umgeschrieben werden. In der Datenbank. Im Dateisystem. Suchen und Ersetzen. Wahnsinnig werden. Viel Spaß.
Stop! Es geht nämlich tatsächlich sehr einfach und die Lösung ist nur ein paar Klicks entfernt. Zuerst erfolgt natürlich eine Sicherung der Datenbank. Das geht über phpmyadmin sehr einfach. Danach sucht und installiert man das kostenlose Plugin „Velvet Blues Update URLs„. Zu finden ist das Tool unter „Werkzeuge“. Unter „Step 1“ wird die alte http-Adresse eingegeben und der neue https-Aufruf. Unter „Step 2“ werden alle Checkboxen außer der letzen („Update all GUIDs“) angehakt. Zum Abschluss „Update URLs NOW“ klicken und schon ist die Umschreibung erfolgt.
Was fehlt, ist unter „Einstellungen“ > „Allgemein“ die WordPress- und Website-Adresse auf https anzupassen und eine abschließende Prüfung der „Permalinks“, ob hier das verschlüsselte Protokoll erscheint.
Damit sollte die Umstellung fertig sein. Erscheint im Browser weiterhin ein „mixed content“-Fehler, bleibt jedoch nichts anderes übrig, als via Quellcode herauszufinden, woher die störende http://-Referenz stammt und dies manuell zu beheben.