HTTPS/SSL/Verschlüss­elung – Wie, Warum, Weshalb

Bern, 28. July 2016

Ohne verschlüsselung werden Passwörter als lesbaren Text von den Browser zu den Server/Host gesendet. Die Passwörter kann jeder auf den gleichen WiFi Netzwerk empfangen und lesen.

Auch wenn man vorher eingeloggt ist, ist es möglich Cookies, die bei jeder Anfrage mit gesendet werden, zu nutzen um sich einloggen.

SSL wird benutzt um die Daten zu verschlusseln und so vor anderen Personen zu schützen.

Es gibt drei verschiedene Validierungsarten für SSL Zertifikate:

  1. Domain-Validierung Beispiel: https://wpbern.ch
  2. Organisations-Validierung Beispiel: htpps://amazon.de
  3. Erweiterte-Validierung Beispiel: https://valiant.ch

Der Unterschied zwischen den verschiedenen Arten ist, wie intensiv die Identität des Domainbesitzer überprüft wird. Je intensiver kontrolliert wird desto mehr Vertrauen haben die Kunden auf Ihre Seite.

Gleichzeitig gibt es drei verschiedene Zertifikatsarten:

  1. Single-Domain Beispiel: example.com
  2. Wildcard-Domain Beispiel: *.example.com, subdomain.example.com, www.example.com
  3. Multidomain Beispiel: example.org, example.com

Die Kosten für ein Zertifikat hängen vom Umfang der Überprüfung und vom Anbieter ab.

Seit Anfang 2016 bietet Let’s Encrypt gratis Einzel-Domain-Validated SSL Zertifikate an. Normalerweise muss es in der Befehlszeile von Virtuellen Server installiert werden, aber es ist bei einigen Shared Hosting Provider auch möglich in der Benutzer Oberfläche die SSL Zertifikate zu installieren.

Für ein Geschäftsseite oder Blog ist das SSL Zertifikat von Let’s Encrypt genügend.

Zusätzliche Informationsquellen auf Englisch und Deutsch:

Moving your website to https / SSL: tips & tricks

Moving to HTTPS on WordPress

HTTPS for WordPress

http://t3n.de/news/wordpress-website-https-679876/

WordPress HTTPS mit SSL-Zertifikat einrichten

Eine WordPress-Installation auf HTTPS umstellen

 

Danke an unsere Sponsoren!

 

Backup und Restore mit WordPress

Überlegungen:

Beim Webhosting werden durch den Hoster regelmässig Backups durchgeführt. Jedoch hat man darauf wenig Einfluss wann und wie gesichert wird und die Wiedereinspielung ist meist teuer.

Backups sind wichtig, falls es Updates gibt oder neue Plugins ist die Installation beschädigt haben, d.h. Backup. Sicherheitsgefühl ist für jeden anders, Änderungen sollten erhalten bleiben.

Auch im Falle eines Angriffs sind Backups wichtig, um die letzte saubere Installation zurück zusichern.

Strategie:

Die Backup Strategie, d.h. wie oft gesichert wird und wo die Backups gelagert werden, hängt von den Anforderungen ab (Änderungen, Sicherheitsgefühl). Es ist zu überlegen, die Sicherung nicht auf auf den gleichen Server abzulegen. Backups auch löschen, zwei gute Backups genügen.

WordPress besteht aus zwei Teilen, die SQL Datenbank mit allen Inhalten und Dateien.

Plugins:

Es kann direkt auf den Server ein Backup mit Cronjobs organisiert werden, einfacher sind Plugins. Man sollte darauf achten, ob automatische zeitplangesteuerte Backups möglich sind und das Zurücksichern ebenfalls einfach möglich ist.

Gratisversionen:

BackWPup  (sehr verbreitet, viele Funktionen, Zeitpläne möglich, Restore nicht optimal (FTP Upload, PHP Admin)
BackupWordpress (Zeitpläne möglich, Restore nicht optimal (FTP Upload, PHP Admin)
Duplicator (eignet sich nur für manuelle Backups und sehr gut zum Umziehen einer WP Installationen auf eine andere Test-Domain)

Bezahlversionen

Hiermit sind automatisch zeitgesteuerte Backups in der Regel auf verschiedenen Medien und cloudbasierten Speicherorten möglich. Die Firmen bieten meistens auch Speicherplatz an.

Vaultpress $99/Jahr für eine Domain
BackupBuddy $80/Jahr für eine Domain, $100 für 10 Domains
(bietet zusätzliche laufende Sicherung mit Stash)
Duplicator Pro $39/Jahr für 3 Domains

Plugins zur Verwaltung von mehreren Seiten

Die Lösungen haben in der Regel auch Backupmöglichkeiten integriert

CMSCommander
InfiniteWP
MainWP

 

Artikel geschrieben von Stephan Zurfluh, Überarbeitung Gerd Zimmermann