WordPress ist installiert, der Erste Administator ist angelegt, jetzt soll es an die Gestaltung und die ersten Inhalte gehen. Doch bevor wir die nächsten Schritte gehen, sollten wir dafür sorgen, dass die Website ausschließlich über eine SSL-Verschlüsselung erreichbar ist. Wenn Seitenbesucher die Möglichkeit haben, personenbezogene Daten einzugeben – zum Beispiel in einem Kontaktformular, bei einer Newsletteranmeldung, oder im Rahmen einer Kommentarfunktion –, dann ist SSL ein absolutes Muss. Aber auch, wenn die Website nur Informationen liefert, ist verschlüsselte Übertragung von Inhalten sinnvoll. Denn allein damit erreicht man schon eine bessere Einstufung bei den Suchmaschinen.
Von fast allen seriösen Anbietern von Webspace erhältst Du beim Anmieten eines Webservers ein kostenfreies SSL-Zertifikat dazu. Im Kundenbereich Deines Internetproviders (Webhosters) musst Du noch dieses Verschlüsselungszertifikat einem Deiner Domainnamen zuordnen. Am besten tust Du dies vor der Installation von WordPress.
Nach der Installation von WordPress sollte zunächst in den Einstellungen > Allgemein in den beiden Feldern bei WordPress-Adresse (URL) und bei Website-Adresse (URL) jeweil https://www.meinewebsite.de
eingetragen werden, wenn es so noch nicht dort steht. Mit einem s zwischen dem p und dem Doppelpunkt!
Damit ist schon einmal dafür gesorgt, dass alle internen Links zwischen den Seiten und Beiträgen immer über verschlüsselte Verbindungen aufgerufen werden.
Aufrufe von außen
Doch was passiert mit Aufrufen von außen? Also über Links oder wenn ein(e) Besucher¦in der Website die Adresse (URL) per Hand in den Browser eintippt? Was ist, wenn sie oder er dabei das s weglässt und nur http://…
tippt? Landet er oder sie dann über eine unverschlüsselte Verbindung auf der Webseite?
Den Aufruf einer unverschlüsselten Seite kann man durch eine erzwungene Umleitung auf die SSL-Version erzwingen. Dazu kopiert man sich mit Hilfe eines FTP-Programms die Datei .htaccess aus dem Hauptverzeichnis der WordPress-Installation auf dem Webserver lokal auf den Rechner und fügt mit einem Texteditor folgende Sequenz am Anfang der Datei ein:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Falls auf dem Webserver im Intallationsverzeichnis keine .htaccess vorhanden sein sollte¹, legt man die Datei eben neu an. Die drei Zeilen da oben sind dann der einzige Inhalt. Diese Datei .htaccess muss natürlich wieder mit dem FTP-Programm zurück auf den Server geladen werden.
Achtung: Es gibt Plugins, die nicht sauber programmiert sind und die .htaccess womöglich überschreiben. Dann ist die Umleitung auf SSL verschwunden. Man sollte also die .htaccess nach Plugin-Installationen vorsichtshalber dann und wann nochmals überprüfen, wenn man sicher gehen möchte.
Fußnote:
¹ — Jede WordPress-Installation legt beim Aufsetzen automatisch eine Datei .htaccess mit Steuerbefehlen zum Seitenaufruf an. Aber da diese Anleitung zum Erzwingen der Anzeige verschlüsselter Seiteninhalte nicht nur für WordPress-Seiten, sondern für alle Webpräsenzen gilt, erwähne ich diese Möglichkeit.
Schritt für Schritt: Der oben stehende Text ist ein Ratschlag, der an 4.Stelle der logischen Reihenfolge bei der Einrichtung einer WordPress-Installation steht. Die komplette Reihenfolge zweckmäßiger Aktionen findest Du in meinem Inhaltsverzeichnis. Wenn Du wissen möchtest, welche Schritte direkt vor oder nach diesem Ratschlag sinnvoll sind, findest Du hier Vorgänger- und Nachfolgebeitrag: