WordPress & HTTPS: Wie wichtig ist die Verschlüsselung?

• Home
• Blog
• WordPress & HTTPS: Wie wichtig ist die Verschlüsselung?

Noch vor wenigen Jahren beschränkten sich die Vorteile von HTTPS für Ihre WordPress-Webseite auf den Sicherheitsaspekt. Das hat sich inzwischen geändert. Spätestens seit Google im August 2014 verkündete, dass die sichere Verbindung ein Rankingfaktor ist, finden sich immer mehr Webseiten, die mit dem grünen Schloss in der URL-Leiste des Browsers versehen sind. Seit wenigen Monaten geht Google sogar einen Schritt weiter: Der Google Chrome Browser warnt künftig vor Webseiten ohne sichere HTTPS Verbindung.

Was ist HTTPS?

An jeder Ecke ist HTTPS ein Thema. Doch was ist das überhaupt? Genau genommen ist HTTPS keine Neuheit. Bereits im Jahre 1994 war zusammen mit SSL 1.0 eine erste Version des Kommunikationsprotokolls erschienen. Ziel von HTTPS ist es, eine sichere Verbindung zur Kommunikation zwischen Browser und Webserver zu gewährleisten. Ohne diese Verschlüsselung sind alle übermittelte Daten wie beispielsweise Passwörter für jedermann einfach ersichtlich, der Zugang zum entsprechenden Netz hat. In Zeiten von offenen WLANs an jeder Ecke ist HTTPS somit umso wichtiger. Gerade wenn Sie beispielsweise auch von unterwegs (z.B. im Hotel-WLAN) auf das Backend Ihrer WordPress-Webseite zugreifen. Bei dieser Art von Datenklau spricht man übrigens von einem „Man-in-the-Middle“-Angriff, der völlig unbemerkt stattfindet.

Um die korrekte Identität Ihrer Webseite zu gewährleisten, kommt zudem ein sogenanntes SSL-Zertifikat zum Einsatz. Mit diesem digitalen Zertifikat kann festgestellt werden, ob es sich bei der aufgerufenen Webseite auch tatsächlich um selbige handelt und nicht etwa um eine manipulierte Kopie. Für die Ausstellung solcher Zertifikate sind Zertifizierungsstellen (CA) verantwortlich, die den Webseitenbetreiber verifizieren. Voraussetzung sollte natürlich sein, dass man sich für eine vertrauenswürdige Zertifizierungsstelle entscheidet.

Warum ist HTTPS so wichtig?

Für eine moderne Webseite sollte HTTPS inzwischen gleichgestellt mit einer sauberen Programmierung oder Responsive Webdesign sein. Alleine schon wegen der sicherheitstechnischen Vorteile. Doch das sind nicht die einzigen Gründe, die für die sichere Verbindung sprechen. Wie eingangs bereits erwähnt, hatte Google bereits im Jahre 2014 verlauten lassen, dass man Webseiten mit HTTPS stärker im Ranking gewichten möchte. Zwar hatten viele Webseitenbetreiber zunächst trotz der Umstellung auf HTTPS keine oder nur eine minimale Verbesserung im Ranking feststellen können, das sollte sich jedoch bald ändern. Künftig dürfte dieser Rankingfaktor deutlich stärker gewichtet werden. Das macht der nächste Schritt des Suchmaschinenriesen deutlich.

Wie man Ende letzten Jahres im offiziellen Security-Blog verkündete, möchte man die Sicherheit im Internet weiter vorantreiben. Mit dem Google Chrome Browser ab Version 56 werden Webseiten ohne HTTPS, die dazu in der Lage sind Passwörter oder sonstige vertrauliche Informationen zu speichern, mit einer Warnung versehen. Für die Zukunft wäre es zudem denkbar, dass Google diese Warnung ausnahmslos auf allen Webseiten ohne HTTPS darstellt — unabhängig davon, ob sensible Daten übermittelt werden oder nicht.

In anderen Browsern gibt es diese Meldungen zumindest teilweise ebenfalls. Im Mozilla Firefox beispielsweise wird ein durchgestrichenes Schloss-Symbol dargestellt. Das ist zwar nicht so penetrant wie die Warnung des Chrome Browsers, eine abschreckende Wirkung auf Webseitenbesucher und potenzielle Kunden könnte das dennoch haben. Der Safari aus dem Hause Apple verzichtet noch gänzlich auf etwaige Warnungen. Es dürfte jedoch nur noch eine Frage der Zeit sein, bis auch hier eine rote Warnung in der Browserleiste prangt. Der Warnhinweis soll Webseitenbesucher darauf aufmerksam machen, dass mit der Verwendung der geöffneten Webseite gewisse Risiken einhergehen. Gerade bei Onlineshops, die für die Bestellungen zwingend vertrauliche Daten speichern müssen, kann eine rote Warnung, dass die Webseite nicht sicher wäre, durchaus negative Auswirkungen haben. Vertrauenswürdig sieht eine solche Meldung zumindest nicht aus.

Webseiten mit HTTPS hingegen werden je nach Browser mit einem grünen Schloss oder sogar der Meldung „Sicher“ (Google Chrome) gekennzeichnet. Das signalisiert dem Besucher auf den ersten Blick, dass es nichts zu befürchten gibt — ein großer Vertrauensbonus.

Die Großen machen es vor. Laut dem aktuellen Transparenzbericht von Google verwenden die meisten „Top-Webseiten“ bereits HTTPS. Damit sind eine Reihe großer Webseiten gemeint, die zusammen rund 25 Prozent des gesamten Internettraffics ausmachen. Darunter finden sich Bekanntheiten wie Amazon, LinkedIn, Instagram, PayPal, Twitter, WhatsApp oder Wikipedia.

Die Voraussetzungen für HTTPS

Um eine Webseite korrekt mit der sicheren HTTPS Verbindung betreiben zu können, sind einige Arbeitsschritte erforderlich und technische Voraussetzungen zu erfüllen. Auf der Serverseite ist die Software OpenSSL erforderlich. Darüber sollte jedoch jeder moderne Webserver verfügen. Zudem benötigt man ein digitales Zertifikat, das auf dem Server installiert werden muss. Bei der Wahl des Zertifikats sollte man sich im Vorfeld konkret informieren, welches Zertifikat man benötigt. Hier gibt es nicht nur in puncto Zertifizierung und Browser-Unterstützung diverse Unterschiede, sondern auch in Hinblick auf den Preis. In der Regel werden für ein Zertifikat zwischen 30 und 100 Euro pro Jahr fällig, nach oben gibt es jedoch keine Grenzen. Als kostenlose Alternative kann man ein Zertifikat auch bei Let’s Encrypt beziehen. Dabei handelt es sich um eine Zertifizierungsstelle, die es sich zur Aufgabe gemacht hat, das Internet sicherer zu machen und deshalb kostenlose Zertifikate bereitstellt.

Sobald das Zertifikat ausgestellt und auf dem Webserver installiert wurde, muss man die WordPress-Installation auf die HTTPS-Verbindung umstellen. Dazu sind einige Anpassungen in der Datenbank sowie unter Umständen im verwendeten Theme erforderlich. Nur wenn alle Bilder, Dateien und Scripte ausnahmslos per HTTPS geladen werden, erhält die Webseite das grüne Schloss-Symbol. Darüber hinaus sollte man korrekte Redirects nicht vergessen, da Ihre Webseite andernfalls weiterhin über http erreichbar ist. Dann läuft man Gefahr, sogenannten Duplicate Content zu produzieren. Das könnte sich negativ auf das Google-Ranking auswirken.

Fazit zum Thema HTTPS

Das Vorhaben von Google und Let’s Encrypt, das Internet sicherer zu machen, ist durchaus begrüßenswert und vorbildlich. Dass man Webseitenbetreiber allmählich mehr und mehr zu HTTPS „zwingt“, war spätestens seit der Ankündigung im August 2014 abzusehen. Einziger Nachteil von HTTPS dürfte sein, dass bei vielen Nutzern und/oder Webseitenbetreibern unter Umständen ein falsches Sicherheitsgefühl entsteht. Webseiten mit HTTPS und gültigem Zertifikat weisen ohne Zweifel eine erhöhte Sicherheit durch die Verschlüsselung auf — jedoch nur in Bezug auf die Übermittlung von Daten. Ein Schutz vor böswilligen Hacker-Angriffen oder beispielsweise DDoS-Attacken ist HTTPS jedoch in keinster Weise.

Sie benötigen eine WordPress Agentur? Wir stehen als Ihre Experten zur Verfügung. Treten Sie mit uns in Kontakt und vereinbaren Sie ein unverbindliches Beratungsgespräch.