1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

https Mehrwert oder nicht

Dieses Thema im Forum "Plauderboard" wurde erstellt von matrix-22, 20. Mai 2016.

  1. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.176
    Zustimmungen:
    4
    Hallo WP-Freunde,

    mich würde Eure Meinung interessieren zu einer https-Seite.
    Also lohnt sich der Umstieg von http auf https sofern man keinen Shop hat, meine derzeit gibt es ja das Kostenlose Zertifikat von Lets Encrypt.

    Hatte gelesen auf dem Blog von r23 wie man so ein Zertifikat installiert, muss sagen Klasse Artikel.

    Danke Euch für Eure Meinung.

    LG
    Matrix
     
  2. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Sicherheit lohnt immer [emoji6]. Allerdings ist https nicht gleich https, Stichwort TLS-Chipher, PFS, HSTS usw. Das Ganze ist recht komplex, wenn man es wirklich richtig machen möchte und daher auch nicht in 3 Sätzen erklärbar.

    Der Artikel von r23 ist nur recht oberflächlich erklärt, da geht es mehr um die allgemeine Installation, weniger um Details .
     
    #2 Hille, 20. Mai 2016
    Zuletzt bearbeitet: 20. Mai 2016
  3. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.176
    Zustimmungen:
    4
    Hallo Hille,

    meinte mit dem Artikel ja nur das es eine gute Anleitung ist, wie man so ein Zertifikat erstellt.

    Denke Du meinst auch eher ein gekauftes SSL Zertifikat, also das so ein Lets Entrypt nicht so gut ist.
     
  4. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    1
    ich weiß Sicherheitsexperten stellst nun die Schuhe auf;)
    doch ich bin pragmatischst: wofür brauchst du es?
    wofür magst es haben?

    wäre dir dies ein superüberdruper SSL Zertifikat wichtigst und wäre es dir dann den Preis Wert
    => der nicht bei 70.-€ pro Jahr anfängt... sondern höher, wenns ganz toll sein soll..

    Und dazu kommt, dass ich dies in dem Zusammenhang der Überwachung //Vorratsdatenspeicherung meines Landes mitbetrachte und mir dann die Kosten anseh und mich dann "leicht übervorteilt" sehe,
    daher tuts für mich lets encrypt auch ...

    Ich habe aber keinen Shop online...
     
  5. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.426
    Zustimmungen:
    47
    Danke, dass dir mein Artikel gefällt.

    Wichtig war für mich, dass meine LeserInnen den Unterschied zwischen grünen Sperrschloss und keinem Sperrschloss oder graues Sperrschloss mit Warndreieck erkennen und nur bei einem grünen Sperrschloss Daten senden.


    Hintergrund warum ich dies bei mir verwende.
    1. Der Firefox-Sicherheitschef Richard Barnes hat vor wenigen Monaten anregt, in Zukunft auf das unverschlüsselte HTTP zu verzichten. Diesen Plan nach Abstimmung mit der Community wurde nun offiziell verkündet. Demnach soll der vollständige Wechsel hin zu HTTPS in zwei Schritten umgesetzt werden.

    https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/

    2. Google markiert bald alle Websites ohne SSL-Verschlüsselung
    Google will das Internet sicherer machen und HTTPS standardisieren.

    http://t3n.de/news/https-google-markiert-bald-alle-675146/

    3. Eine Motivation ist sicherlich auch eine Studie vom BSI
    https://www.bsi.bund.de/DE/Publikationen/Studien/OpenSSL-Bibliothek/opensslbibliothek.html

    .
    .
    .
    .
    es soll auch ein Ranking-Faktor sein
    https://www.sistrix.de/frag-sistrix/google-algorithmus-aenderungen/https-ranking-faktor-update/

    Ich kann es dir nur empfehlen. Wenn du die technischen Möglichkeiten hast - und du Kontaktformulare verwendest - sollte es eine Selbstverständlichkeit sein.
     
  6. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.176
    Zustimmungen:
    4
    Hallo Hille und Monika und r23,

    vielen Dank für Eure Antworten.

    Ach ja Monika, glaube warum man braucht/haben möchte hatte dazu einmal gelesen wie r23 es schrieb es soll besser für das Ranking sein, und das Backend wäre auch gesichert.

    Das Einbinden des Zertifikates ist halt nicht so schwer, einfach bestellen und gut ist es.
    Was mir eher Kopfweh macht muss ich gestehen, wäre wie kann ich testen das die Seite nur unter https läuft, damit kein Doppelter Content entsteht.

    Hat vielleicht jemand dafür eine Anleitung oder besser Links wo man nachlesen kann wie man von Anfang einer WP installation alles richtig macht, sprich Blog Adresse etc.

    Danke Euch für Tipps.
     
  7. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    nein, das ist nicht der Fall. Die Lets Entrypt Zertifikate sollten den Domain validierten Zertifikate in nichts nachstehen. Aktuell muss allerdings ein Lets Entrypt Zertifikate alle 3 Monate erneuert werden.

    Wer sein https Seite mal testen möchte, kann dies hier tun. Bei einem korrekt konfigurierten Server ist ein A+ problemlos möglich.

    https://www.ssllabs.com/ssltest/
     
  8. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    1
    es dauerte 25 Minuten..

    das Plugin Search & Replace geholt,installiert, aktiviert

    Datenbankbackup gemacht => UpdraftPlus //oder was verwendet wird

    etwaig:Cache Plugin ausleeren, deaktivieren


    via FTP die htaccess und die wp-config.php der Domain auf den Rechner geholt
    mit einem echten Texteditor bereits geöffnet

    Search Console //Google Webmastertools in einem Browsertab geöffnet

    Google Analytivs Account geöffnet // oder Piwik was du eben hast

    dann erst:

    all-inkl.com Let's encrypt aktiviert// oder wie auch immer du zu deinem SSL Zertifkat kommst => Achtung, je nach Hoster dauert das, meist schreiben die dazu ,
    zb "Änderungen dauern xyz Minuten"



    nun in der wp-config.php die neuen URls angegeben


    nach dem letzten define in dieser Datei

    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    jetzt die htaccess Einträge, vor dem Eintrag von WP

    HTML:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!


    htaccess und wp-config.php hochladen


    tief durchatmen, die Domain mit https aufrufen


    +++
    Sie ist da! :)
    du kannst dich einloggen!
    Super, nun weiter...


    Google Webmastertools => neues Property angeben!
    alte http Seite dort löschen!

    Google Analytics => bevorzugte Domain ändern // oder bei Piwik neu einstellen


    Zurück zum Dashboard deiner Domain

    Datenbankbackup ist gemacht!

    Mit Search und Replace nach

    HTML:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    suchen und mit

    HTML:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    ersetzen


    achte auf Slash am Ende, kontrollier das sehr genau bitte



    Alles testen,
    jedes Bild,
    Kontaktformular eine Email senden
    Kommentieren
    Veröffentlichen
    Bild hochladen

    etc


    done!
    alles funktioniert!
    Durchatmen, Datenbankbackup machen mit den neuen URLs


    Cache Plugin wieder aktivieren
    fertig!



    #################

    ich teste das grad bei all-inkl.com mit meiner basteln.co.at, ob sich wie versprochen das Let's encrypt alle drei Monate automatisch aktualisiert


    @hille

    danke für den Link zum Testen! :)
     
    #8 Monika, 21. Mai 2016
    Zuletzt bearbeitet: 21. Mai 2016
  9. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.176
    Zustimmungen:
    4
    Hallo Monika und Hille,

    vielen Dank für die Antworten, besonders mit dem Hinweis alle 3 Monate, vielleicht passiert das Automatisch bei HE :).

    Glaube das mit dem Ersetzen der Einträge kommt nicht in frage, da ich alles neu mache, trotzdem werde ich

    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Nur wohl dann mit www in die WP-Config eintragen.

    Auch werde ich den Code in die htaccess eintragen:

    HTML:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Darf ich das letzte fragen?
    Muss ich beim Hoster noch etwas beachten im Backend auf SSL umstellen?

    Ach ja und könnte man das ganze auch per Duplicator machen anstatt mit dem Plugin Search & Replace
    Wenn man WP neu installiert trage ich hinten dann einfach unter
    WordPress-Adresse (URL) hier dann nach der Installation https eingeben genau wie Website-Adresse (URL) auch https eingeben richtig.

    Danke Euch
     
  10. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    1
    bei all-inkl.com musste ich sonst nichts machen,

    die meisten meiner Kunden sind entweder dort oder haben ihren eigenen Managed Server entweder Apache oder NGINX (und da muss diese Änderung serverseitig eingetragen werden, da gibts keine htaccess)




    noch was meinte die Edit: hast du bereits Bilder hochgeladen, dann brauchts die "Ersetzerei", entweder mit dem Plugin Search und Replace oder mit Migrations/Duplicator Plugins, das ist dann egal.
     
  11. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Du hast doch kein Hosting Paket, sondern einen V-Server, richtig? Da geschieht nichts automatisch, nicht mal die Security Updates ;)
     
  12. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.176
    Zustimmungen:
    4
    Hallo Hille,
    derzeit noch ein V-Server, aber Lets Encrypt ist installiert, alle Sicherheitsupdates sind eingespielt ;).
    Und im Plesk kann man sagen das die Seite via SSL aufgerufen werden sollte. Plesk ssl.jpg

    Danke Euch für die Tipps.
     
  13. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Hoffe kein Ubuntu 10.04 mehr [emoji6].
    Wie das in Plesk mit let's encrypt, zwecks Verlängerung, kann ich dir nicht sagen. Im z.B. Froxlor läuft in der aktuellen Version ein Cronjob, der automatisch verlängern soll.
     
  14. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.176
    Zustimmungen:
    4
    Hallo Hille,

    ne ne ist alles aktuell ;) keine 10.04 mehr, ist fast neuste Generation der V-Server mit SSD und so ;).
    Das mit einem Cronjob werde ich mal Googeln ob ich da was finde :) Danke für den Tipp.

    Aber kann Dir sagen HE ist was den Support angeht eine Klasse Wahl.

    Sofern ich einen Hoster finde der das macht was ich möchte und das ganze auch Managed dann wechsle ich auch gerne.
    Vielleicht gehe ich mal zu Mittwald oder wie Monika bei All inkl. die sind ja wohl auch gut.

    Wichtig derzeit ist das ich kein Doppelten Content Produziere und die Seite nur über https erreichbar ist, dazu hat Monika eine gute Anleitung gegeben "Danke" trage einfach alles in die Dateien ein und dann sollte es passen, und alle 3 Monate per Hand einmal auf Zertifikat anfordern klicken sofern ich keinen Cronjob finde ist erstmal ok.
    Dafür gibt es ein grünes Schloss, und so wie r23 schrieb in seinen Links kommt man irgendwann nicht darum dieses zu machen.
     
  15. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.397
    Zustimmungen:
    87
    Hat man ein Login, dann sollte man auf jeden Fall ein SSL Zertifikat haben. Aus dem einfachen Grund, weil man keine Passwörter im Klartext durch das Internet jagt!

    Früher habe ich jedem Empfohlen, wenigstens die Login Seite mit einem Selbstsignierten SSL Zertifikat zu versehen. Mittlerweile, dank Lets Encrypt und StartSSL, kann man auch die komplette Webseite verschlüsseln.

    Eine Firma wird - vermutlich - nicht auf Lets Encrypt setzen, sondern auf ein gekauftes.

    Fazit: SSL -> Ja, auf jeden Fall!
     
  16. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.176
    Zustimmungen:
    4
    Hallo Wp-Freunde,

    erstmal vielen Dank für die ganzen Tipps.
    Nun habe ich noch eine letzte frage, wenn ich eine "neue" Seite nehme und ein Zertifikat bestelle via Plesk, kann man beim Installieren von WP gleich angeben unter Webseiten URL und Webseite Adress https://www. oder ohne www. domain.xy

    Danke für Eure Tipps.
     
  17. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.176
    Zustimmungen:
    4
    Sorry muss noch einmal dazu etwas fragen, oder muss/kann ich nach der "neu" Installation einfach nur https eintragen, oder muss ich das Search & Replace benutzen?
     
  18. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Bestelle das Zertifikat für www, dann gilt es für www.domain.de und domain.de

    Das Search & Replace benötigst du nur bei einer bestehenden Seite
     
  19. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.176
    Zustimmungen:
    4
    Hallo Hille,

    vielen Dank für Deine Nachricht.
    Muss Dich noch etwas fragen, sofern Du mir oder jemand anderes noch einen Tipp geben könntest.

    1. Neue Domain
    2. Worpdress 4.5.2 Installiert
    3. Zertifikat für www gemacht (Wie Du es geschrieben hast)
    4. Domain via https://www.domain.... aufrufen die Installation durchführen mit Datenbankname etc
    5. Ins Backend einloggen und durch ist
    6. Nur Domain ist unter http und https aufrufbar, das gibt Doppelten Content :(
    7. Es sollte doch egal was der Besucher eingibt immer die https://www.domain.... erscheinen nicht wahr?

    Also was läuft da falsch.

    Danke Danke für Tipps.
     
  20. matrix-22

    matrix-22 Well-Known Member

    Registriert seit:
    30. September 2010
    Beiträge:
    1.176
    Zustimmungen:
    4
    Oder liegt es daran das ich im Plesk immer keine Bevozugte Domain angebe?

    Bevorzugte Domain *
    www.xxxdoamine.tld
    xxxdoamine.tld
    Keine
    Wählen Sie die URL aus (entweder mit oder ohne Präfix "www."), an die Website-Besucher via SEO-sicherer HTTP-301-Weiterleitung weitergeleitet werden sollen.

    Muss ich bei einer "Neu" installation überhaupt die Dinge von Monika eingeben, im Wordpress Backend steht WordPress-Adresse (URL) und Website-Adresse (URL) die Domain mit https://www drinnen.

    Hier dann mit www oder ohne wie Monika es geschrieben hatte.

    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!



    jetzt die htaccess Einträge, vor dem Eintrag von WP

    HTML:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Wäre Klasse ein letzten Tipp zu meinen beiden fragen zu bekommen.

    Danke Euch ganz dolle.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden