Wie sichere ich meinen Login-Bereich mit einem Shared-SSL-Zertifikat ab?

1. CMS installieren - z.B. Wordpress, Contao oder Joomla (bekannteste CMS-Systeme bei uns):
https://www.webhostone.de/faq-webpakete/wie-installiere-ich-eine-1click-install-applikation.html

2. Shared SSL anlegen:
https://www.webhostone.de/faq-domain/wie-lege-ich-ein-shared-ssl-zertifikat-an.html

In der Domainverwaltung Ihres Adminpanels haben Sie die für die Domain dann die Option "http automatisch zu https umleiten". Diese muss auf "Nein" stehen, da nicht alles sondern nur der Loginbereich umgeleitet werden soll.


3. Wie sichere ich meinen Login-Bereich mit einem Shared-SSL-Zertifikat ab?

Nachdem Sie das eigene Zertifikat eingerichtet haben, können Sie durch die manuelle Angabe von "https" den Aufruf bereits gesichert einleiten. Besser ist allerdings den Aufruf von https zu erzwingen, sodass keine andere Möglichkeit als die sichere Variante möglich ist. Eine solche automatische Umleitung erreichen Sie mit einer .htaccess Datei:

Allgemeine Hinweise zur .htaccess Datei:

Die .htaccess-Datei erzwingt sozusagen den durch Ihr SSL-Zertifikat gesicherten Aufruf über https sobald die Login-Seite aufgerufen wird. Wichtig beim Erstellen dieser Datei ist, dass Sie den Punkt am Anfang des Dateinamens nicht vergessen und dass keine andere Dateiendung wie z.B. .txt o.ä. am Ende steht. Am einfachsten erstellen Sie eine Textdatei und fügen die jeweils unten aufgeführten Bedingungen ein. Diese Datei speichern Sie dann unter dem Namen .htaccess ab.

 

Beispiel Wordpress
Den Login-Bereich für Wordpress erreichen Sie unter (www.)domainname.de/wp-login.php. Daher muss der Inhalt folgendermaßen (oder ähnlich) aussehen.

RewriteEngine on
# Erzwinge HTTPS
RewriteCond %{HTTPS} !=on [OR]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^wp-admin/|wp-login\.php https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Anschließend müssen Sie die Datei via SFTP auf Ihren Webspace in das Verzeichnis /home/www/wordpress legen, da von dort aus der Wordpress-Aufruf erfolgt. Eine Anleitung, wie Sie am besten per FTP (SFTP, FTPES) auf Ihren Account zugreifen, finden Sie innerhalb unserer FAQs unter folgendem Link:
https://www.webhostone.de/faq-webpakete/wie-kann-ich-per-ftp-sftp-ftpes-auf-meinen-account-zugreifen.html
Wenn Sie nun Ihre Domain mit dem Zusatz /wp-login.php aufrufen, werden Sie automatisch auf den durch SSL gesicherten Login-Bereich weitergeleitet.

Beispiel Contao
Den Login-Bereich für Contao erreichen Sie unter (www.)domainname.de/contao. Daher muss der Inhalt folgendermaßen (oder ähnlich) aussehen.

RewriteEngine on
# Erzwinge HTTPS
RewriteCond %{HTTPS} !=on [OR]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^contao/|index\.php https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Anschließend müssen Sie die Datei via SFTP auf Ihren Webspace in das Verzeichnis /home/www/contao legen, da von dort aus der Contao-Aufruf erfolgt. Eine Anleitung, wie Sie am besten per FTP (SFTP, FTPES) auf Ihren Account zugreifen, finden Sie innerhalb unserer FAQs unter folgendem Link:
https://www.webhostone.de/faq-webpakete/wie-kann-ich-per-ftp-sftp-ftpes-auf-meinen-account-zugreifen.html
Wenn Sie nun Ihre Domain mit dem Zusatz /contao aufrufen, werden Sie automatisch auf den durch SSL gesicherten Login-Bereich weitergeleitet.


Beispiel Joomla
Den Login-Bereich für Joomla erreichen Sie unter (www.)domainname.de/administrator. Daher muss der Inhalt folgendermaßen (oder ähnlich) aussehen.

RewriteEngine on
# Erzwinge HTTPS
RewriteCond %{HTTPS} !=on [OR]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^administrator/|index\.php https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Anschließend müssen Sie die Datei via SFTP auf Ihren Webspace in das Verzeichnis /home/www/joomla legen, da von dort aus der Joomla-Aufruf erfolgt. Eine Anleitung, wie Sie am besten per FTP (SFTP, FTPES) auf Ihren Account zugreifen, finden Sie innerhalb unserer FAQs unter folgendem Link:
https://www.webhostone.de/faq-webpakete/wie-kann-ich-per-ftp-sftp-ftpes-auf-meinen-account-zugreifen.html
Wenn Sie nun Ihre Domain mit dem Zusatz /administrator aufrufen, werden Sie automatisch auf den durch SSL gesicherten Login-Bereich weitergeleitet.

Bei allen drei Varianten gibt es zusätzlich oder auch als Alternative noch die Möglichkeit, diesen Loginbereich durch einen Passwortschutz abzusichern.


4. „Echtes“ SSL

Die Absicherung Ihres Loginbereiches verhindert das Übertragen des Passwortes im Klartext. Auf einer Webseite gibt es meist aber auch viele andere Kommunikationsschnittstellen mit oft sehr vertraulichen Daten (Kontaktformular, Login eines internen Bereiches, Shopzugang, etc.). Da all diese Schnittstellen durch Ihre Besucher/Kunden aufgerufen werden, sollte hierfür ein validiertes Zertifikat verwendet werden, da eine Sicherheitswarnung für nicht eingeweihte Besucher abschreckend wirkt. Ein validiertes Zertifikat können Sie über uns beziehen:  http://www.webhostone.de/ssl.html

Der Unterschied zwischen einem selbst signierten SSL (Shared SSL) und einem korrekt validierten Zertifikat besteht darin, dass das „echte“ SSL durch eine Zertifizierungsstelle zertifiziert wurde und somit keine Browserwarnmeldungen angezeigt werden.

Im Preis der Zertifikate ist die Einrichtung, Verlängerung und der Support bei Fragen bereits enthalten.

Zurück