Share
Mit dem immer stärker werdenden Fokus auf Web-Sicherheit haben sich SSL-Zertifikate bei der Einrichtung von Websites etabliert.
In diesem Artikel erfahren Sie, wie Sie SSL in Ihre WordPress-Website implementieren, aber Sie erfahren nicht, wie Sie Zertifikate für Ihren Webhost kaufen und einrichten, da sich dies von Anbieter zu Anbieter ändert.
Die meisten Webhosts verkaufen und installieren jedoch SSL-Zertifikate für ihre Kunden gegen eine relativ geringe Gebühr. Um eine der in diesem Artikel beschriebenen Änderungen vornehmen zu können, muss auf Ihrem Webserver bereits ein SSL-Zertifikat konfiguriert sein.
SSL.com beschreibt SSL als:
SSL (Secure Sockets Layer) ist die Standardsicherheitstechnologie zum Herstellen einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Dieser Link stellt sicher, dass alle Daten, die zwischen dem Webserver und den Browsern übertragen werden, privat und integriert bleiben.
Es gibt kein "zu sicher". SSL ist jetzt einfacher und günstiger als je zuvor zu implementieren. Wenn Sie eine E-Commerce-Website haben oder Benutzerdaten verarbeiten, ist dies unerlässlich. SSL ist nicht nur für E-Commerce-Websites - absolut jede Website kann es verwenden.
Ein gültiges SSL-Zertifikat ist ein gutes Vertrauenssignal, das Sie an Besucher Ihrer Website senden können. Viele Benutzer werden jetzt darauf achten https in der Adressleiste ihres Browsers.
Dies geht Hand in Hand mit Vertrauen - Google hat jetzt gesagt, dass sie SSL als Ranking-Signal verwenden.
Bei jeder Änderung einer Website sollten Sie wie üblich zuerst eine vollständige Sicherung durchführen und an einer Staging-Website arbeiten, bevor Sie Änderungen an einer Live-Website vornehmen.
In der Lage zu sein, das Back-End von WordPress zu sichern, ist eigentlich eine im WordPress-Kern integrierte Funktion. Um die Option zu aktivieren, müssen Sie Ihre bearbeiten wp-config.php Datei, die sich im Stammverzeichnis Ihrer WordPress-Installation befindet. Es ist wichtig, dass Sie vor der Bearbeitung immer eine Sicherungskopie dieser Datei erstellen, da sie wichtige Daten enthält, die Ihre WordPress-Installation unterstützen.
Nach dem Bearbeiten dieser Datei wird die FORCE_SSL_ADMIN konstant muss auf gesetzt sein wahr. Der vollständige Code sieht folgendermaßen aus:
Accentsconagua
define ('FORCE_SSL_ADMIN', true);Sobald diese Zeile hinzugefügt wurde (kann am unteren Rand des Fensters hinzugefügt werden) wp-config.php speichern Sie die Datei. Eine Aktualisierung sollte zeigen, dass dies jetzt über HTTPS geladen wird.
WordPress HTTPS ist eine beliebte Wahl unter Benutzern, die SSL auf ihrer WordPress-Site verwenden möchten. Das Plugin bietet eine einfache Möglichkeit, SSL innerhalb von WordPress Admin zu erzwingen. Dies ist am nützlichsten, wenn Sie nur bestimmte Teile Ihrer Website (Posts oder Seiten) sichern möchten. Sie können jedoch auch dazu verwendet werden, Ihre gesamte Website zu sichern und unsichere Elemente automatisch zu entfernen.
Um das Plugin zu installieren, gehen Sie im WordPress-Dashboard auf Plugins> Add New. Suchen Sie dann nach "WordPress HTTPS" und klicken Sie auf "Installieren"..
Nach der Installation hat jeder Beitrag / jede Seite eine benutzerdefinierte Metabox, in der Sie die Möglichkeit haben, den Beitrag und (optional) alle untergeordneten Beiträge zu sichern. Prüfen Sie, welche Option für Sie zutrifft, und speichern Sie Ihren Beitrag. Dieser Beitrag (und untergeordnete Beiträge, falls Sie dies überprüft haben) werden jetzt über HTTPS bereitgestellt.
Die Sicherung Ihrer gesamten Site kann über die Seite mit den WordPress HTTPS-Einstellungen vorgenommen werden. Durch Klicken auf das WordPress HTTPS-Menüsymbol im WordPress-Dashboard wird die Einstellungsseite geöffnet. Ich werde die am häufigsten verwendeten Einstellungen durchgehen:
Am Ende dieser Seite befindet sich schließlich ein Textfeld namens "URL-Filter". In diesem Teil können Sie Abschnitte Ihrer Website anhand der URL schützen (es werden auch reguläre Ausdrücke akzeptiert). Das Beispiel, das das Plugin hier gibt, ist, wenn Sie alle URLs sichern möchten, die mit beginnen /Geschäft/.
Dazu geben Sie ein /Geschäft/ Klicken Sie in das Textfeld und klicken Sie auf "Änderungen speichern". Für jeden neuen Filter, den Sie erstellen, müssen Sie eine neue Zeile beginnen. Die Einstellung "Sichere Filter" kann auch verwendet werden, um das Plugin für die Sicherung Ihrer gesamten Website zu sorgen. Fügen Sie einfach einen Filter hinzu, der ein Schrägstrich (/) ist. Jeder, der versucht, über HTTP zuzugreifen, wird zu HTTPS umgeleitet. Es empfiehlt sich, auch die Standardeinstellungen für die WordPress-URL zu ändern, wenn Sie Ihre gesamte Website über HTTPS bereitstellen. Dies wird im nächsten Abschnitt des Artikels erläutert.
Aktualisieren: Benutzer haben Probleme mit diesem Plugin und mit WordPress 4.0 gemeldet. Es wird empfohlen, diese Lösung nicht zu verwenden, bis diese Probleme behoben sind. Unten finden Sie eine alternative Plugin-Lösung.
iThemes Security ist eines der beliebtesten WordPress-Sicherheits-Plugins. Es bietet viele Funktionen zur Absicherung Ihrer WordPress-Site, einschließlich der Option zur Verwendung von HTTPS.
Warnung: Dieses Plugin ist sehr leistungsfähig und einige der Einstellungen können dazu führen, dass Sie von Ihrer Website ausgeschlossen werden. Für die Grundeinstellung des Plugins empfehle ich Ihnen das offizielle iThemes-Video.
Wenn Sie das Plugin installiert und konfiguriert haben (siehe obiges Video) - gehen Sie in Ihr WordPress-Dashboard, klicken Sie auf die Registerkarte "Sicherheit" und dann auf den Link "Einstellungen".
Klicken Sie in der Dropdown-Liste "Gehe zu" auf "Secure Socket Layers (SSL)", um zum richtigen Abschnitt der Einstellungen zu gelangen.
In diesem Abschnitt gibt es drei Einstellungen:
Der nützlichste Teil des Plugins ist die Möglichkeit, bestimmte Inhalte im Frontend zu sichern. Wenn Sie die gesamte Website sichern möchten, ist die .htaccess-Lösung wahrscheinlich die sicherere Wette.
Wenn Sie hier Ihre Optionen festgelegt haben, klicken Sie auf die Schaltfläche "Alle Änderungen speichern".
Wenn Sie die Option "pro Inhalt" gewählt haben, wird jetzt ein Kontrollkästchen in der Veröffentlichungs-Metabox für Posts angezeigt. Überprüfen Sie dies einfach und klicken Sie auf "Aktualisieren", um diese Seite zu schützen.
Die Einschränkungen bei der Verwendung der iThemes-Sicherheit für SSL bestehen darin, dass keine Platzhalterzeichen zulässig sind, sodass Sie keine Regelregeln erstellen können.
Diese Methode eignet sich für alle, die ihre gesamte Site über HTTPS bedienen möchten. Im Wesentlichen müssen wir hier den gesamten Verkehr von HTTP zu HTTPS umleiten, wobei der 301-Code verwendet wird (dauerhaft verschoben). Dies kann mit PHP gemacht werden, aber meine bevorzugte Methode ist die Verwendung .htaccess. Damit diese Lösung funktioniert, benötigen Sie einen Apache-Host mit mod_rewrite Aktiviert - die meisten Linux-Hosts sind vorhanden, fragen Sie jedoch Ihren Host, bevor Sie Änderungen vornehmen.
Bevor Sie irgendwelche tun .htaccess Änderungen gibt es ein paar WordPress-Einstellungen, die wir ändern müssen. Gehen Sie im WordPress-Dashboard zu Einstellungen> Allgemein. Unter "WordPress-Adresse (URL)" und "Site-Adresse (URL)" müssen Sie die Webadresse so ändern, dass anstelle von http://www.IhreDomain.com die Adresse https://www.IhreDomain.com angegeben wird https). Scrollen Sie nach unten und klicken Sie auf die Schaltfläche "Änderungen speichern". Dies weist WordPress an, HTTPS in allen URLs zu verwenden, hindert jedoch noch nicht den Zugriff auf Ihre Website über HTTP. Dies ist, wo die .htaccess Datei kommt herein.
Wenn Sie Permalinks aktiviert haben, haben Sie bereits eine .htaccess Datei im Stammverzeichnis der WordPress-Installation. Wenn Sie dies nicht tun, müssen Sie eine erstellen. Erstellen Sie dazu eine neue Datei mit dem Namen .htaccess - Diese Datei sollte keinen anderen Namen oder eine Erweiterung haben. .htaccess Dateien sind Punktdateien oder versteckte Dateien, daher müssen Sie möglicherweise die Anzeige versteckter Dateien in Ihrem Betriebssystem aktivieren, um sie anzeigen zu können.
Als nächstes öffnen Sie Ihre .htaccess Datei mit Ihrem Texteditor Ihrer Wahl. Wenn Sie keine Permalinks haben, dann Ihre .htaccess Datei darf leer sein. Wenn Sie Permalinks aktiviert haben, haben Sie möglicherweise bereits Code, der wie folgt aussieht:
# BEGINN WordPressRewriteEngine On RewriteBase / secure / RewriteRule ^ index \ .php $ - [L] RewriteCond% REQUEST_FILENAME! -F RewriteCond% REQUEST_FILENAME! -D RewriteRule. /secure/index.php [L] # END WordPress
Wir werden hier mehr Code hinzufügen. Direkt über dem Standard-WordPress-Code fügen Sie Folgendes ein:
# Beginnen Sie mit HTTPSRewriteEngine On RewriteCond% SERVER_PORT 80 RewriteRule ^ (. *) $ Https://www.yourdomain.com/$1 [R, L] # ENDE HTTPS
Vergessen Sie nicht, https://www.ihredomain.com/ durch Ihren tatsächlichen Domainnamen zu ersetzen. Wenn Sie ein Leerzeichen haben .htaccess Datei dann einfach den Code direkt in die Datei.
Die erste und letzte Zeile dieses Codes mit dem Hash-Symbol (#) sind Kommentare und dienen dazu, den Code für den Menschen lesbarer zu machen. Das mod_rewrite Das Modul ist aktiviert, da dieser Code zur Umleitung auf mod_rewrite basiert. Wir stellen dann sicher, dass die RewriteEngine auf On gesetzt ist, da wir die Neuschreibungs-Engine zum Erstellen unserer Weiterleitungen benötigen. Als Nächstes legen wir eine Bedingung für das Umschreiben fest, dh die Regel, die wir erstellen, wird nur ausgeführt, wenn auf Port 80 zugegriffen wird (Port 80 ist der Standard-HTTP-Port). Schließlich leitet die RewriteRule Benutzer zur HTTPS-Version der Domäne um.
Um zu testen, ob dies ordnungsgemäß funktioniert, besuchen Sie Ihre Website mit einer HTTP-URL. Wenn diese automatisch in HTTPS geändert wird, funktioniert dies ordnungsgemäß.
Hier gibt es keine richtige oder falsche Antwort. Es kann argumentiert werden, dass die Verwendung eines Plugins für einen solchen integralen Bestandteil Ihrer Website möglicherweise nicht die beste Idee ist. Wenn das Plugin deaktiviert, gelöscht oder fehlerhaft aktualisiert wird, kann dies schwerwiegende Folgen für Ihre Website haben.
Das WordPress HTTPS-Plugin hat jedoch mit vielen Downloads einen guten Ruf und ist natürlich Open Source. Die Verwendung des WordPress HTTPS-Plugins ist der einfachste Weg, wenn Sie nur bestimmte Bereiche Ihrer Website als HTTPS festlegen möchten.
Auf der anderen Seite ist die Codemethode nett und einfach, wenn Sie einige einfache Änderungen an Dateien vornehmen möchten und eine zuverlässige Methode ist, um Ihre gesamte Website über HTTPS laufen zu lassen.
Damit Ihre Website-SSL gültig ist, müssen alle Inhalte auch über SSL gesendet werden. Dies umfasst unter anderem Skripts, Schriftarten, Stylesheets, Einbettungen und Bilder. Einige Werbeagenturen senden noch keine Inhalte über HTTPS. Wenn dies der Fall ist, haben Sie keine große Auswahl. Es ist jedoch auch möglich, einige Seiten HTTPS und anderes HTTP zu verwenden, wie zuvor in diesem Artikel beschrieben.
Um diese Kopfschmerzen zu vermeiden, können Sie eine protokollrelevante URL verwenden. Nehmen wir beispielsweise an, wir fordern die beliebte Google-Webschriftart "Open Sans" an:
Beachten Sie das Fehlen von HTTP oder HTTPS vor dieser URL? Das bedeutet, dass Sie das Asset unter Verwendung desselben Protokolls wie die Seite anfordern. Wenn Sie also HTTPS verwenden, wird automatisch die HTTPS-Version der Webschriftart angefordert. Wenn die HTTPS-Version nicht vorhanden ist, wird HTTP verwendet. Es gibt ein paar kleine Vorbehalte bei dieser Technik, wie in einem Artikel von Paul Irish beschrieben. Für das Beste ist, dass dies gut funktioniert und einige Kopfschmerzen lösen wird - es funktioniert auch in CSS.
HTTPS-Fehler werden oft dadurch verursacht, dass die Seite auch Nicht-HTTPS-Inhalte bereitstellt. Um den fehlerhaften Inhalt herauszufinden, kann Google Chrome zum Debuggen verwendet werden.
Um eine fehlerhafte Seite zu identifizieren, wird in Google Chrome ein gelbes Dreieck über dem Vorhängeschloss in der Adressleiste angezeigt. Wenn Sie darauf klicken, wird der genaue Fehler wie unten gezeigt angezeigt:
Wählen Sie Ansicht >> Entwickler >> JavaScript-Konsole aus, um den fehlerhaften Inhalt auf dieser Seite herauszufinden, damit er behoben werden kann. Sie sollten jetzt einige Fehler wie die unten gezeigten sehen:
Dieser Fehler zeigt Ihnen die genaue Datei, die das Problem verursacht (in diesem Fall http://en.support.files.wordpress.com/2008/12/def-avatar.png) und die Zeilennummer, in der der Inhalt angezeigt wird ( 316). Dieser Inhalt muss lediglich in HTTPS geändert werden (vorausgesetzt, der Server, auf dem der Inhalt HTTPS unterstützt) oder die Verwendung einer relativen Protokoll-URL, wie zuvor in diesem Artikel beschrieben.
Sie können jetzt entscheiden, welche Methode die beste Methode ist, um HTTPS auf Ihrer WordPress-Website zu verwenden und Ihre bevorzugte Lösung zu implementieren.
