WordPress Sicherheit durch Let’s Encrypt SSL Zertifikat erhöhen

rayeWordPress

WordPress Sicherheit ist ein wichtiges Thema. Dazu gehört seine Webseite mit SSL zu verschlüsseln. Man erkennt mit SSL verschlüsselte Webseiten daran, dass die URL mit https:// beginnt. Unverschlüsselte URLs beginnen mit http:// (ohne s).

Was SSL genau ist, erklärt dieser Wikipedia Artikel.

Aktuelle Browser weisen inzwischen optisch auf SSL hin. Meist mit einem grünen Schloß-Symbol. Oder es wird sogar eine Warnung ausgegeben, dass die Webseite möglicherweise unsicher ist.

Diese Webseite ist mit SSL verschlüsselt.

Spätestens wenn Sie auf Ihrer Webseite Formulare verwenden, ist eine SSL Verschlüsselung Pflicht! Übrigens nicht erst seit der DSGVO. Das ist bereits seit Sommer 2015 Bestandteil des Telemediengesetzes, § 13 Abs. 7 TMG.

Auch für die Suchmaschinenoptimierung sollten Sie SSL einsetzen. Denn wenn Sie die WordPress Sicherheit durch die Verwendung von SSL erhöhen, straft Google Ihre Webseite nicht ab.

Kostenlose SSL Zertifikate

vor einiger Zeit waren SSL Zertifikate noch relativ teuer. Doch seit der Let’s Encrypt Kampagne, die von mehreren großen Internet-Riesen ins Leben gerufen wurde, hat sich dies geändert. Zumindest aus Kostensicht, gibt es keinen Grund mehr auf SSL Zertifikate zu verzichten.

Allerdings ist die Situation unter den größten Hostern in Deutschland recht unterschiedlich. Strato und 1&1 bieten eigene kostenlose SSL Zertifikate von DigiCert an. Hier kann man keine eigenen Zertifikate von Let’s Encrypt installieren. Es sei denn, Sie haben einen dedizierten Server, für dessen Konfiguration Sie allein verantwortlich sind. In dem Fall haben Sie die freie Wahl, wie Sie die WordPress Sicherheit erhöhen wollen.

Bei HostEurope gibt es gar keine kostenlosen Zertifikate. Dafür hat man hier die Möglichkeit, eigene Zertifikate zu installieren. Zum Beispiel die von Let’s Encrypt. Allerdings werden diese nicht automatisch erneuert. Man muss daher alle drei Monate ein Zertifikat Update machen. Ein bisschen Gängelung muss wohl sein.

In diesem Artikel zeigen wir Ihnen, wie Sie ein kostenloses Let’s Encrypt Zertifikat erstellen. Los gehts …

Kostenloses Let’s Encrypt SSL Zertifikat erstellen

Die Seite zerossl.com bietet Tools an, um die kostenlosen Let’s Encrypt Zertifikate zu erstellen. Sie haben auch ein Online-Tool dafür entwickelt. Dieses verwenden wir, um das SSL Zertifikat zu erstellen:

Besuchen Sie https://zerossl.com/free-ssl/#crt

Wie auf dem Screenshot zu sehen, müssen Sie zunächst die Domain angeben, für die ein SSL Zertifikat erstellt werden soll. Je nachdem ob Sie www für Ihre Webseite verwenden, müssen Sie www.ihre-domain.de oder nur ihre-domain.de (ohne www) dort angeben.

Bei der Pyropixel Webseite haben wir uns generell für die Variante ohne www entschieden. Denn wir leiten alle Anfragen an www.pyropixel.de weiter an pyropixel.de (ohne www).

Wenn Sie also www verwenden, dann tragen Sie www.ihre-domain.de ein.

Duplicate Content durch www vermeiden

Die Entscheidung, ob Sie generell www oder kein www verwenden ist nicht unwichtig. Wenn Ihre Webseite mit und ohne www benutzbar ist, dann ist das für Google sog. Duplicate Content. Google denkt dann, Sie versuchen die gleichen Inhalte über mehrere Adressen im Internet anzubieten. Das wertet Google dann quasi als „zu aufdringlich“ und straft Ihre Seite beim Suchmaschinen-Ranking ab. Das gilt es zu vermeiden, wenn das Ranking bei Google für Sie wichtig ist.

Unten müssen Sie noch die beiden Häkchen für die Geschäftsbedingungen setzen. Dann klicken Sie auf Weiter …

Weitere Subdomains anlegen

Falls Sie, wie in meinem Beispiel, nur eine URL ohne www angegeben haben, wird das Tool Sie fragen, ob sie die Variante mit www zusätzlich zum Zertifikat hinzufügen wollen. Für uns haben wir das mit nein beantwortet, aus den oben genannten Gründen.

Prinzipiell ist es aber möglich weitere Subdomains zu dem Zertifikat hinzuzufügen.

Beispiel: zusätzlich zu https://ihre-domain.de wollen Sie auch noch https://login.ihre-domain.de anbieten, wo der Kunde sich einloggen kann. Oder Sie bieten unterschiedliche Sprachversionen mit Länderkürzeln als Subdomain an, wie https://de.ihre-domain.de, https://en.ihre-domain.de usw.

In dem Fall können Sie diese Subdomains hinzufügen. Das SSL Zertifikat ist dann für alle diese Subdomains gültig.

Vor einiger Zeit noch hat Let’s Encrypt keine Subdomains unterstützt. Man musste für jede Subdomain eine eigenes Zertifikat erstellen.

Sie würden für mehrere Subdomains also z.B. folgendes eintragen: ihre-domain.de login.ihre-domain.de de.ihre-domain.de en.ihre-domain.de

Übrigens: das oben angesprochene www ist auch nur eine Subdomain. Daher würde man das genauso eintragen, wie diese Beispiel-Subdomains login, de und en.

Verifizieren der Domain

Das Tool muss nun prüfen, ob Sie auch wirklich der Besitzer der angegebenen Domain sind.

Dazu müssen Sie für jede angegebene Domain bzw. Subdomain eine Datei auf Ihrem Webserver an einem bestimmten Ort platzieren. Anschließend überprüft das Tool, ob die Datei dort zu finden ist. Wenn ja, geht das Tool davon aus, dass Sie tatsächlich der Besitzer sind.

Laden Sie also die Datei(en) herunter, die das Tool Ihnen anbietet. Der Pfeil im Screenshot zeigt Ihnen wo. Bei uns ist es nur eine Datei, da wir nur unsere Hauptdomain und keine weitere Subdomain angegeben haben.

Diese Datei ist nur eine kleine Textdatei mit einer Zeile Buchstabensalat.

Nun verbinden Sie sich mit Ihrem Webserver. Zum Beispiel mit Ihrem FTP-Programm.

Gehen Sie zum Stammverzeichnis Ihrer Webseiten-Installation.

Erzeugen Sie hier nun ein neues Verzeichnis mit dem Namen: .well-known
Achten Sie darauf, dass Ihr FTP Programm unsichtbare Verzeichnisse und Dateien (die, die mit einem Punkt beginnen) anzeigen kann. Ihr FTP-Programm hat dafür eine Einstellung.

Gehen Sie nun in dieses neue Verzeichnis und erzeugen ein weiteres Verzeichnis namens: acme-challenge

In dieses Verzeichnis acme-challenge laden Sie nun die Datei hoch, die Sie gerade aus dem Tool heruntergeladen haben.

Anschließend kehren Sie zurück zu dem Tool und klicken auf Weiter.

Nun prüft das Tool, ob die Datei an dem vereinbarten Ort (stammverzeichnis-webseite/.well-known/acme-challenge/) auf Ihrem Webserver zu finden ist.

Wir gehen jetzt davon aus, dass das geklappt hat. Andernfalls müssten Sie die Schritte bis hierher nochmals genau kontrollieren.

Zertifikat herunterladen

Nun können Sie das eigentliche Zertifikat und den zugehörigen Schlüssel herunterladen. Klicken Sie dazu auf die beiden Schalter wie im Screenshot zu sehen.

Sie haben nun zwei Textdateien. domain-crt.txt ist das sog. Domain-Zertifikat. Und domain-key.txt ist der sog. Domain-Schlüssel. Sie können ruhig die Dateien öffnen, um hineinzuschauen (aber nichts ändern!). Es sind nichts anderes als Textdateien.

Diese beiden Dateien benötigen Sie nun, um Sie auf Ihrem Webserver zu installieren.

SSL Zertifikat und Key Installieren

Bei HostEurope gibt es hier eine Anleitung, wie man das Zertifikat und den Schlüssel installiert.

Nach der Anleitung komme Sie am Ende zu einem kleinen Formular, wie im folgenden Screenshot zu sehen.

Dort müssen nur noch, wie im Bild gezeigt, die beiden Dateien hochgeladen werden. Dann sollte innerhalb weniger Minuten das SSL Zertifikat aktiv sein und Ihre Webseite ist über https:// erreichbar.

Wie man die Zertifikate bei Ihrem Host installiert, wird sicherlich in den Hilfe-Seiten des Hosters beschrieben. Wie oben bereits geschildert: bei 1und1 und Strato geht das bei den managed Produkten nicht. Bei einem dedizierten Server geht es wahrscheinlich schon.

Die Unterschiede zwischen Managed und Dedicated Hosting erklären wir in diesem Artikel.

WordPress auf SSL umstellen

Falls Sie nun erfolgreich SSL für Ihre Domain aktiviert haben, wird WordPress wahrscheinlich noch nicht darüber funktionieren. WordPress ist in diesem Moment noch auf http:// (ohne s) eingestellt.

Um WordPress nun auf SSL umzustellen, sind einige weitere Schritte nötig. Wie das genau funktioniert, erklären wir in diesem Artikel.