Archiv März 2018

SSL-Installation auf WordPress in Vorbereitung auf die DSGVO

In letzter Zeit wird die unmittelbar bevorstehende Geltendmachung der EU-Datenschutz-Grundverordnung (DSGVO) im Internet heiß diskutiert. Die DSGVO trat bereits vor zwei Jahren in Kraft, ab dem 25. Mai 2018 ist sie jedoch zwingend zu befolgen. Das bedeutet, dass alle Unternehmen, die Daten von EU-Bürgern verarbeiten (im weitesten Sinne des Wortes), ab diesem Zeitpunkt die DSGVO einhalten müssen, egal ob die Unternehmen einen Sitz in der EU haben oder nicht. Das bedeutet auch, dass jede(r) von der DSGVO betroffen ist, die bzw. der eine Website betreibt, die von EU-Bürgern besucht wird und Cookies speichert und/oder über ein Kontaktformular verfügt und/oder Mittel verfügt, über die Besucher Kommentare oder „Likes“ abgeben kann (d.h. im Grunde jedes Blog). Laut DSGVO müssen „… geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden …“ getroffen werden.

In der Praxis bedeutet das meiner Ansicht nach (ich bin keine Rechtsanwältin!) unter anderem für die meisten Websites:

  • Die Website sollte über ein SSL-Zertifikat verfügen, um sicherzustellen, dass der Internetverkehr verschlüsselt erfolgt.
  • Die Website sollte eine Cookie- und Datenschutzerklärung beinhalten.

Idealerweise würde man nun das SSL-Zertifikat zuerst installieren und dann die Website aufsetzen, aber ich habe diese Reihenfolge leider beim Aufsetzen meiner Website auf WordPress-Basis nicht befolgt. Deshalb musste ich einige zusätzliche Schritte durchführen, um das SSL-Zertifikat erfolgreich zu installieren.

1. Schritt: Installation des SSL-Zertifikats

Dieser Schritt war kinderleicht, da ich nur das SSL-Zertifikat von meinem Hosting-Anbieter kaufen musste, die Installation des eigentlichen Zertifikats erfolgte durch den Anbieter. Danach musste ich jedoch noch einige weitere Schritte durchführen, damit das SSL-Zertifikat auf meiner Website auch richtig eingesetzt wurde.

2. Schritt: Änderung der Einstellungen der WordPress-Installation

Dieser Schritt ist notwendig, damit alle Permalinks auf https:// anstatt auf http:// zeigen. Die Einstellungen können auf der Seite Einstellungen > Allgemeine Einstellungen geändert werden, sodass die WordPress- und Site-Adressen wie im Screenshot unten auf https zeigen.

https-Einstellungen in WordPress

https-Einstellunge in WordPress

Leider war dies jedoch nicht das Ende der Geschichte, da meine Website nicht wenige Seiten und Blogbeiträge enthält, die wiederum viele Dateien und Bilder enthalten, die intern alle noch auf http:// anstatt auf https:// verwiesen. Das wiederum führte dazu, dass diverse Browser bei einem Besuch der gesicherten Site (https://www.cfbtranslations.com anstatt https://www.cfbtranslations.com) Fehlermeldungen bzw. Warnmeldungen über teilweise ungesicherte Elemente auf der Webseite abgaben.

Sperrschloss zeigt sichere Seite an

Sperrschloss zeigt sichere Seite an

Ein aufgebrochenes Sperrschloss in der Adresszeile des Browsers wie unten im Screenshot bedeutet, dass Teile der Seite (Bilder usw.) nicht sicher geladene Elemente enthalten, d.h., Bilder sind beispielsweise über http:// anstatt https:// geladen.

Aufgebrochenes Sperrschloss weist auf unsichere Elemente in der Seite hin

Aufgebrochenes Sperrschloss weist auf unsichere Elemente in der Seite hin

3. Schritt: Änderung aller internen Links auf https

In meinem Fall war es einigermaßen umständlich, die Website so umzustellen, dass alle Elemente nur über SSL geladen werden. Es gibt zwar eine Vielzahl an guten WordPress-Plug-ins, die dies mit nur einem Mausklick bewerkstelligen, aber leider stellte sich heraus, dass mein WordPress-Theme oder eines der vielen Plug-ins mit diesen SSL-Plug-ins inkompatibel ist. Ich würde empfehlen, eines dieser Plug-ins zu verwenden, indem Sie einfach nach „SSL“ suchen und das Plug-in Ihrer Wahl installieren. Auf jeden Fall sollten Sie vorher eine Sicherungskopie Ihrer WordPress-Site machen, falls etwas schief läuft.

In meinem Fall war jedoch eine Inkompatibilität zwischen den SSL-Plug-ins und meiner bestehenden WordPress-Installation gegeben, was bedeutete, dass ich diesen Schritt auf andere Weise durchführen musste. Zu diesem Zweck installierte ich das Plug-in „Better Search Replace“ und suchte nach „https://www.cfbtranslations.com“ (ersetzen Sie die URL durch Ihre eigene) und ersetzte alle Vorkommnisse in allen SQL-Datenbanken durch „https://www.cfbtranslations.com“. Danach zeigte ein Besuch der Website via https:// ein schönes (grünes) Sperrschloss ohne Sicherheitswarnmeldungen.

4. Schritt: Umleitung von http:// auf https:// in der .htaccess-Datei

Dieser letzte Schritt ist notwendig, damit alle Besucher, die www.website.com oder website.com ohne Präfixe eingeben, automatisch auf die sichere Version der Site unter https://www.website.com umgeleitet werden. Hierbei muss die .htaccess-Datei im Startverzeichnis bearbeitet werden, wobei die Details der Bearbeitung vom jeweiligen Hosting-Anbieter abhängen. Ich empfehle, sich für die empfohlenen Syntax der neuen Einträge zur https-Umleitung an Ihren Hosting-Anbieter zu wenden.

In meinem Fall musste ich die folgenden Zeile ganz oben in die .htaccess-Datei einfügen:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Somit werden nun die Besucher meiner Website automatisch auf die sichere Site umgeleitet. Nun fehlt noch eine umfassende Prüfung meiner Website auf Cookies (direkt oder von Dritten) und eine Anpassung der entsprechenden existierenden Seite mit der Cookie- und Datenschutzerklärung, um diese Website DSGVO-konform zu machen. Das ist jedoch das Thema eines zukünftigen Blogbeitrags.