HTTPS, also verschlüsselte Webzugriffe, sind eigentlich für alle Seiten sinnvoll. Leider sind offizielle Zertifikate je nach Umfang nicht gerade billig und selbstsignierte erzeugen bei den Besuchern Warnmeldungen. Zwar ist es generell möglich HTTP und HTTPS parallel laufen zu lassen, allerdings haben einige Systeme, wie z.B. das hier verwendete WordPress, damit so ihre Probleme. Zwar ist es seit WordPress 2.6 generell möglich den Adminbereich über HTTPS zu betreiben (vorher haben einige AJAX-Elemente nicht korrekt funktioniert), ist jedoch eine nicht-HTTPS-Adresse in der Konfiguration eingetragen verweisen alle Admininstations- und Editierlinks auf die ungesicherte Seite. Hier lässt sich mit einer .htaccess-Datei, welche ich auf Joseph Scott’s Blog gefunden habe, im Verzeichnis wp-admin Abhilfe schaffen:
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
dieser Code leitet alle Aufrufe auf die Admin-Bereiche auf die gesicherte HTTPS-Verbindung um, normale Seitenaufrufe sind nicht betroffen. Die htaccess-Methode lässt sich natürlich auch für andere Scripte und Bereiche verwenden.
Wozu ist so was notwendig?
Damit man auch von unterwegs über unsichere WLANs „sicher“ sein WordPress administrieren kann? o.O
Nicht nur WLAN – prinzipiell kann jeder, der zwischen dir und deinem Server sitzt mitlesen. Ohne HTTPS sind alle Daten unverschlüsselt, also kann an diesen Stellen ohne HTTPS auch z.B. dein Passwort oder ähnliches abgefangen werden.