WordPress will 2017 HTTPS Ausbau vorantreiben

In naher Zukunft sollen bestimmte WordPress-Bestandteile nur noch funktionieren, wenn die TransportverschlĂŒsselung via SSL/TLS (HTTPS) gewĂ€hrleistet ist.

Anfang 2017 will WordPress die Anzahl von Webseiten mit einem SSL-/TLS-Zertifikat nach oben treiben. DafĂŒr wollen sie in erster Instanz nur noch Web-Hosting-Anbieter fördern, die fĂŒr ihre Kunden standardmĂ€ĂŸig HTTPS anbieten. Im nĂ€chsten Schritt sollen einige WordPress-Funktionen die TransportverschlĂŒsselung zwingend voraussetzen.

Das teilt der WordPress-Entwickler Matt Mullenweg im offiziellen Blog mit. Im gleichen Atemzug weist er auf die Wichtigkeit von JavaScript und PHP hin, um eine optimale Nutzer-Erfahrung im Internet zu garantieren.

Im weiteren Jahresverlauf will WordPress auswerten, welche Funktionen des Content Management Systems (CMS) am meisten von HTTPS profitieren. Als Beispiel nennen sie die Authentifikations-API – diese soll nur noch funktionieren, wenn SSL/TLS gegeben ist.

Ob WordPress dann ĂŒberhaupt noch bei Hosting-Anbietern oder auf einem eigenen Server mit HTTP lĂ€uft, geht aus der Formulierung nicht eindeutig hervor.

Zuhause bereits alles HTTPS verschlĂŒsselt

Im April gab WordPress bekannt, dass sie alle bei wordpress.com gehosteten Webseiten nur noch verschlĂŒsselt ausliefern. Die dafĂŒr nötigen Zertifikate haben sie von Let’s Encrypt ausstellen lassen. Dort kann jeder Server-Betreiber kostenlos Zertifikate beantragen.

Quelle: Heise

HTTPS / SSL auf einer Website erzwingen

Den Besucherverkehr vom HTTP-Protokoll auf die HTTPS-Version einer Website zur Nutzung von SSL umzuleiten ist ganz einfach.

Die folgende Methode funktioniert nicht nur mit Microsoft Azure Web Services App, sondern auch mit jeder anderen Website, die auf einem Microsoft IIS (Internet Information Server) Webserver lĂ€uft. Bei vielen Kunden setzen wir diese Variante ein, um den Datenverkehr im Internet sicherer zu machen und HTTPS-SSL-Zertifikate sinnvoll zu nutzen. Denn in vielen unserer Hosting-Pakete sind einfachere SSL-Zertifikate fĂŒr den www-Webserver bereits inklusive enthalten.

HTTPS bzw. SSL aktivieren

Nachdem es innerhalb des Azure Portals keinen Schalter oder keine Option gibt, um den verschlĂŒsselten Datenverkehr zu erzwingen, wird eine web.config Datei im Stammverzeichnis der Web-App angelegt. Das geht am einfachsten ĂŒber die in Azure integrierte App Kudu, die in jeder WebApp ĂŒber erreichbar ist. Dort findet man unter Debug Console -> CMD einen Zugriff auf die Verzeichnisstruktur.

Kudu

Unter dem Ordner site\wwwroot\ wird nun eine neue Datei web.config angelegt und mittels dem in Kudu integrierten Editor bearbeitet.

Der Inhalt von web.config:

<configuration>
<system.webServer>
<rewrite>
    <rules>
	<rule name="HTTP to HTTPS redirect" stopProcessing="true"> 
	<match url="(.*)" /> 
	<conditions> 
		<add input="{HTTPS}" pattern="off" ignoreCase="true" />
	</conditions> 
	<action type="Redirect" redirectType="Permanent" url="https://{HTTP_HOST}/{R:1}" />
      </rule>   
    </rules>
</rewrite>
</system.webServer>
</configuration>

Damit wird, unabhÀngig von der im hostheader eingegebenen Domain, der Datenverkehr auf die HTTPS-Variante umgeleitet.

Wir nutzen dieses Verfahren selbst bei einigen Kunden, die ausschließlich auf SSL-verschlĂŒsselten Webzugriff setzen.