Klicken Sie hier: Wirklich einfaches SSL mit Rogier Lankhorst

Willkommen bei Press This, dem WordPress-Community-Podcast von WMR. In jeder Folge sind Gäste aus der gesamten Community zu Gast und es werden Diskussionen über die größten Probleme geführt, mit denen WordPress-Entwickler konfrontiert sind. Das Folgende ist eine Transkription der Originalaufnahme.

Unterstützt von RedCircle

Doc Pop : Sie hören Press This, einen WordPress-Community-Podcast auf WMR. Jede Woche stellen wir Mitglieder der WordPress-Community vor. Ich bin Ihr Gastgeber, Doc Pop. Ich unterstütze die WordPress-Community durch meine Rolle bei WP Engine und meine Beiträge auf TorqueMag.Io, wo ich Podcasts erstellen und Cartoons und Tutorial-Videos zeichnen kann. Schau dir das an.

Sie können Press This auf Red Circle, iTunes, Spotify und Ihrer bevorzugten Podcasting-App abonnieren oder Episoden direkt bei wmr.fm herunterladen.

Heute tauchen wir in die kritische Welt der Website-Sicherheit ein und konzentrieren uns dabei auf SSL-Zertifikate. Das SSL-Zertifikat ist wie ein virtueller Schutzschild, der Daten verschlüsselt und die Daten Ihrer Benutzer schützt. Wenn das noch nicht ausreicht, um Ihnen zuzuhören, stellen Sie sich vor, Sie würden Ihr ganzes Herzblut in die Erstellung einer schönen Website stecken, nur um dann von Google ein großes „Nicht sicher“-Label auf Ihre Website kleben zu lassen, wenn Besucher versuchen, über Chrome darauf zuzugreifen, einfach weil Sie nicht sicher sind. t Verwendung von HTTPS oder SSL.

Hier ist heute Rogier Lankhorst, der leitende Entwickler von Really Simple Plugins und Hersteller des äußerst beliebten WordPress-Plugins Really Simple SSL, um mit mir zu sprechen. Rogier, vielen Dank, dass Sie heute bei uns sind.

Ich würde gerne etwas über Ihre Entstehungsgeschichte und Ihren Einstieg in WordPress erfahren.

Rogier Lankhorst: Nun, danke, dass Sie mich in der Show haben. Ursprünglich, ich glaube im Jahr 2016, bat mich ein Kunde, seine Website so schnell wie möglich auf SSL umzustellen. Also habe ich ein damals beliebtes Plugin installiert und die ganze Seite ist ausgefallen. In diesem Moment dachte ich, ich könnte dies einfacher und einfacher mit nur einem Klick installieren.

Und ich habe es auf WordPress veröffentlicht und es war danach wirklich eine Achterbahnfahrt.

Doc Pop: Auf jeden Fall. Und das war nicht Ihr erstes WordPress-Plugin, oder? Dies war das erste, das wirklich einen so großen Erfolg hatte, aber davor gab es noch einige andere Really Simple-Plugins.

Rogier Lankhorst: Einige wirklich kleine Experimente, Dinge, die ich mir damals ausgedacht und veröffentlicht habe, und die, wie Sie sagten, nicht wirklich Erfolg hatten. Really Simple SSL war also der erste große Erfolg, den man sagen konnte.

Doc Pop: Ich mag immer diesen Vergleich mit dem Kauf vieler Lotterielose. Als hätten Sie eine Menge Experimente durchgeführt, und eines davon hat sich durchgesetzt, und Sie konnten daraus ein Geschäft aufbauen. Und da wir gerade über SSL sprechen: Können Sie den Zuhörern erklären, was ein SSL-Zertifikat ist? Und warum ist es wichtig, dass eine WordPress-Site eine solche hat?

Rogier Lankhorst: Mit SSL-Zertifikaten verschlüsselt die Website alle Daten, bevor sie an den Website-Besucher gesendet werden, und umgekehrt. Es hilft also, das Web zu schützen, und zwar nicht nur für Webshops, sondern auch für jede Website, die andernfalls von Angreifern nachgeahmt werden könnte. Und es eignet sich auch hervorragend für das Ranking bei Google.

Und es sieht in Ihrem Browser einfach viel besser aus, wenn Ihre Website gesperrt ist. SSL ist kostenlos. Warum also nicht es installieren?

Doc Pop: Ich habe zu Beginn dieser Sendung erwähnt, dass ich zum ersten Mal über SSL nachgedacht habe, als ich Chrome verwendet habe und auf eine Website gestoßen bin, die nicht sicher war, und diese Website gehörte mir. Deshalb hatte ich Angst vor meiner eigenen Website. Und musste lernen, wie man SSL-Zertifikate installiert, um hoffentlich ein besseres Erlebnis zu haben, wenn Benutzer meine Website besuchen und sie sehen. Sobald Sie SSL installiert haben und über eine HTTPS-Adresse verfügen, zeigt Google diese Warnung bei Chrome-Besuchen nicht mehr an. Hat sie aber auch Auswirkungen auf die Suchmaschinenoptimierung?

Rogier Lankhorst: Ja, sicher. Google verfügt über viele leistungsstarke Tools, mit denen Nutzer tun können, was sie wollen. Und das mächtigste Tool, das sie haben, ist das Ranking. Wenn sie also möchten, dass Websitebesitzer etwas tun, fügen sie es einfach in den Ranking-Mechanismus ein und die Website wird folgen.

Doc Pop: Und Sie haben erwähnt, dass SSL-Zertifikate heutzutage kostenlos sind. Ich glaube, als ich mich zum ersten Mal bei ihnen anmeldete, begann das gerade erst zu passieren. Es kam mir so vor, als wäre es ein schmerzhafter Prozess und kostete vielleicht etwas Geld, und dann kamen Dienste wie Let's Encrypt auf den Markt und machten es wirklich einfacher. Darüber hinaus haben viele Webhoster, darunter auch meiner, damit begonnen, Let's Encrypt kostenlos anzubieten. Sie haben damit begonnen, es in den Prozess zu integrieren, um es so einfach wie möglich zu machen, was wirklich hilfreich ist.

Gibt es also einen Grund dafür, dass jemand immer noch Really Simple SSL verwenden würde, wenn sein Host es anbietet, wenn es mittlerweile Alternativen für die Installation gibt, vielleicht von meinem Host aus?

Rogier Lankhorst: Nun, Really Simple SSL wurde ursprünglich nicht für die Generierung von SSL-Zertifikaten entwickelt. Das ist nur etwas, was wir vor zwei Jahren hinzugefügt haben, weil ich dachte, wenn wir Really Simple SSL nutzen, sollten wir auch in der Lage sein, ein Zertifikat zu generieren, aber das ist nicht der Hauptgrund, warum Leute Really Simple SSL installieren.

Wenn Benutzer über SSL verfügen, wissen sie oft nicht, was sie damit machen sollen. Und in WordPress müssen Sie ein paar Dinge tun; Fügen Sie Weiterleitungen hinzu, korrigieren Sie gemischte Inhalte und ähnliches, fügen Sie Sicherheitsheader hinzu, um wirklich alles aus dem sicheren SSL herauszuholen, was Sie daraus machen können. Ich denke, das ist immer noch der Hauptgrund dafür, dass die Leute Really Simple SSL installieren, weil es die schnellste Methode ist, SSL auf Ihrer Website zu konfigurieren.

Doc Pop: Ja, und es gibt einige zusätzliche Sicherheitsfunktionen, die das nicht sind. Ich glaube nicht, dass sie unbedingt mit SSL zusammenhängen und Teil von Really Simple SSL sind. Können Sie uns etwas über einige der anderen erweiterten Funktionen erzählen, die ein Really Simple SSL beinhaltet?

Rogier Lankhorst: Uns ist aufgefallen, dass viele Leute uns bereits als Sicherheits-Plugin betrachteten. Da dachte ich, wir müssen diese Erwartungen erfüllen. Wir haben damit begonnen, einige Härtefunktionen hinzuzufügen, wie zum Beispiel das Blockieren der Benutzerregistrierung. Viele Websitebesitzer wissen nicht, dass die Benutzerregistrierung geöffnet ist und Dinge wie der Speicherort des Debug-Protokolls, der wichtige Informationen wie Benutzer-E-Mail-Adressen oder Lizenzschlüssel oder ähnliches enthalten kann, nicht wissen. Dateibearbeitung, Feedback zum Anmeldebildschirm.

Wenn Sie sich anmelden und WordPress sagt, der Benutzername sei nicht korrekt, weiß der Angreifer, dass ich es erneut versuchen kann. All diese Dinge sind also wirklich der Anfang für uns, uns schließlich zu einem vollständigen Sicherheits-Plugin zu entwickeln. Und die letzte Funktion, die wir hinzugefügt haben, war die Schwachstellenerkennung, die wirklich ein großartiges Tool ist, um Ihre Website wirklich zu sichern, da die meisten Sicherheitsprobleme bei WordPress-Websites durch Plugins mit einer Schwachstelle verursacht werden, die nicht aktualisiert werden. Wenn sich die Benutzer dessen also bewusster werden, wird WordPress meiner Meinung nach viel sicherer.

Doc Pop: Alles, was Sie erwähnt haben, sind meiner Meinung nach kleine Ärgernisse, die die Leute über die Sicherheit von WordPress haben. Und es ist wirklich interessant, dass sich Really Simple SSL zu dieser einfachen Möglichkeit zur Installation eines SSL-Zertifikats entwickelt hat, aber auch diese Dinge sollten gepatcht werden. Hier ist eine wirklich einfache Möglichkeit, das zu beheben.

Ich bin neugierig, ob Blähungen ein Problem für Sie sind, wenn Sie ein Plugin namens Really Simple SSL haben. Befürchten Sie manchmal, dass Sie es durch das Hinzufügen dieser zusätzlichen Funktionen etwas schwieriger machen könnten? Und denken Sie darüber hinaus wohl auch darüber nach, den Namen des Plugins zu ändern, wenn Sie weitere Funktionen hinzufügen?

Rogier Lankhorst: Ja, nun ja, letztendlich ist das das Ziel, dass daraus Really Simple Security wird. Ich denke, das wird Anfang nächsten Jahres sein. Aber wenn wir über Blähungen sprechen, ist das eine schwierige Sache. Sie möchten die Dinge so einfach wie möglich halten. Deshalb haben wir hart daran gearbeitet, dass es weiterhin möglich ist, nur die SSL-Aktivierung durchzuführen.

Und alle anderen Dinge sind modular und werden nicht geladen, wenn man sie nicht nutzt, aber gleichzeitig denke ich, dass wir wirklich gut darin sind, komplexe Dinge wirklich einfach zu machen.

Ich denke, hier liegt unsere Stärke darin, was wir wirklich tun können, damit es den Menschen, die nicht technisch versiert sind, wirklich einfach wird. Und fortgeschrittenere Benutzer können etwas tiefer in die Einstellungen eintauchen.

Doc Pop: Das ist wunderbar. Ich denke, das ist ein guter Ort für uns, um eine kurze Pause einzulegen. Und wenn wir zurückkommen, werden wir weiterhin mit Rogier über Googles Vorstoß für SSL sprechen. Und ich denke, wir werden noch ein wenig darüber reden, wie es ist, eines der beliebtesten Plugins im WordPress-Repository zu haben.

Bleiben Sie also dran.

Doc Pop: Willkommen zurück bei Press This, einem WordPress-Community-Podcast. Ich bin Ihr Gastgeber, Doc Pop. Heute spreche ich mit Rogier Lankhorst, dem leitenden Entwickler bei Really Simple Plugins. Und wir sprechen über SSL, weil Really Simple Plugins ein äußerst beliebtes Plugin namens Really Simple SSL herstellt. Rogier, vor dieser Pause habe ich erwähnt, dass ein wichtiger Grund dafür, dass wir heutzutage über SSL-Zertifikate sprechen, vor allem darin liegt, dass Google im Internet dafür gesorgt hat, dass dies geschieht.

Ich sehe auch, dass Google darauf drängt, die Laufzeit vielleicht zu verkürzen. Einige SSL-Zertifikate haben eine Laufzeit von etwa zwei Jahren, und Google spricht davon, SSL-Zertifikate mit einer Laufzeit von 90 Tagen voranzutreiben. Haben Sie darüber nachgedacht, wie Google Menschen dazu ermutigt hat, sich SSL zu besorgen?

Glaubst du, das hat für alle gut geklappt?

Rogier Lankhorst: Nun, ich denke, das ist eine gute Sache. Als Google damit anfing, dachten viele Nutzer noch, SSL sei für mich nicht wichtig, weil ich nur einen kleinen Blog habe. Ich habe keine Benutzerdaten auf meiner Website, aber es gibt viele andere Möglichkeiten, wie Angreifer diese Art von Verbindung zwischen Websites ausnutzen und Benutzern möglicherweise falsche Informationen anzeigen können, indem sie vorgeben, auf einer anderen Website zu sein.

Deshalb halte ich es für sehr wichtig, dass alle Websites irgendwann über eine SSL-Verbindung verfügen. Ich denke also, obwohl Google immer seine eigenen Gründe hat, solche Dinge zu tun. In diesem Fall. Es ist eine gute Sache.

Doc Pop: Und die 90-Tage-Grenze, haben Sie darüber nachgedacht?

Rogier Lankhorst: Nun, ich muss zugeben, dass ich mit den Gründen dafür nicht sehr vertraut bin, aber ich weiß ein wenig darüber und weiß, dass es sicherer ist, Zertifikate mit kürzerer Lebensdauer zu haben. Und ich denke, es wird keinen großen Unterschied machen, da die am häufigsten verwendeten SSL-Zertifikate von Let's Encrypt bereits für 90 Tage gültig sind, sodass es ohnehin keine großen Auswirkungen hätte.

Doc Pop: Kommen wir also zurück zu Really Simple SSL. Es gibt eine Version im WordPress-Repository, das Plugin-Repository, die kostenlose Version mit 5 Millionen. Ich weiß, dass ich das immer wieder sage, aber es ist eine so schockierende Zahl, 5 Millionen aktive Benutzer oder mehr.

Was ist der Unterschied zwischen der kostenlosen Version von Really Simple SSL und der Pro-Version, die Sie, wie ich weiß, anbieten?

Rogier Lankhorst: Die Pro-Version enthält hauptsächlich viele Sicherheitsheader und ich denke, dass die meisten Benutzer mit Sicherheitsheadern nicht wirklich vertraut sind. Dies sind jedoch einige sehr wichtige Header, die Benutzer auf ihren Websites festlegen können, was auch die Sicherheit erhöht. Und das nicht nur für die eigene Website, sondern auch für die Website-Besucher, was meiner Meinung nach bei der Sicherheit oft vergessen wird.

Wir machen es wirklich einfach, Sicherheitsheader zu konfigurieren und arbeiten derzeit beispielsweise an der Erkennung von Schwachstellen. Wir verfügen über eine Funktion, die Updates oder die aktuelle Uhrzeit automatisch verarbeitet, wenn eine Schwachstelle erkannt wird. Wir haben auch einige coole neue Funktionen geplant, die die Erstellung von Admin-Benutzern mit anderen Methoden als der Aktualisierung oder Erstellung des WordPress-Benutzerprofils verhindern werden.

Wenn Sie sich also die jüngsten Schwachstellen ansehen, werden Sie feststellen, dass ein großes Problem bei der Erstellung von Admin-Benutzern besteht. Wenn Sie das also sperren, verhindern Sie viele Schwachstellen.

Doc Pop: Wir hatten über das Ranking dieses Plugins und des WordPress-Repositorys gesprochen. Ich bin gerade auf der beliebten Seite von wordpress.org/plugins und weiß nicht, ob diese in der Reihenfolge sortiert sind, aber das sind alles Plugins mit 5 Millionen aktiven Installationen oder mehr. Ich sehe, dass Really Simple SSL gerade auf dieser Liste an neunter Stelle steht. Ich denke, das könnte tatsächlich bedeuten, dass es derzeit das neuntbeliebteste Plugin ist, gemessen an den aktiven Installationen.

Rogier Lankhorst: Auf jeden Fall. Ja.

Doc Pop: Wow. Das ist unglaublich. Es ist keine große Überraschung, Yoast, WooCommerce und Akismet hier zu sehen. Ich komme nicht dazu, mit Leuten zu sprechen, die solch beliebte Plugins erstellt haben.

Ich habe nicht allzu oft Gelegenheit, mit ihnen zu reden. Ich bin nur ein bisschen neugierig, während du hier bist. Wie ist das? Ich denke, hier ist meine erste Frage: Wenn man so ein verrücktes, beliebtes kostenloses Plugin hat, kann ich mir vorstellen, dass es das wirklich schwierig macht, dann bekommt man wahrscheinlich viele Anfragen, viele Kommentare, viele Fragen und Hilfeanfragen.

Wie gehen Sie damit für ein kostenloses Plugin um?

Rogier Lankhorst: Ich denke, es sind nicht so viele Supportanfragen, wie die Leute oft denken. Während der Entwicklung des Plugins und in den vergangenen sieben, acht Jahren habe ich immer versucht, entweder einen Artikel auf der Website zu erstellen, wenn es eine Frage gab, oder eine Lösung im Plugin selbst zu erstellen oder es im Plugin klarer zu machen .

Dieser Ansatz hat also die Unterstützung wirklich niedrig gehalten. Und jetzt sind wir ein Unternehmen mit 10 Mitarbeitern und nur zwei Supportmitarbeitern. Wir haben auch zwei weitere Plugins, die meiner Meinung nach insgesamt über sechseinhalb Millionen Installationen haben. Daher denke ich, dass die Supportlast nicht so groß ist, wie viele Leute denken, wenn man sich die Anzahl der Installationen ansieht.

Doc Pop: Können Sie etwas über das Geschäftsmodell eines solchen kostenlosen Plugins sagen? Wie kann ein Unternehmen wie Ihres 5 Millionen aktive Installationen auf Really Simple SSL ermöglichen und trotzdem ein Unternehmen sein?

Rogier Lankhorst: Nun ja, auf 100 kostenlose Nutzer kommt natürlich jemand, der das Premium-Plugin kauft. Dort können wir aus den Upgrades ein Unternehmen aufbauen. Manchmal beschweren sich kostenlose Benutzer über die Upgrades. Und wir möchten den Nutzern mitteilen, was wir anbieten.

Und sie sagen immer: „Nun, ich denke, das ist ein tolles Angebot, weil wir mit dem Premium-Plugin für 5 Millionen Benutzer kostenlos entwickeln können.“

Doc Pop: Und im Hinblick auf die Balance zwischen den kostenlosen und den Pro-Versionen: Haben Sie darüber nachgedacht, wie Sie manchmal festlegen, wie Dinge kostenpflichtig sind oder wie Dinge kostenlos bleiben, um das größere Produkt zu bewerben? Ist es schwierig zu entscheiden, wann neue Funktionen hinzugefügt werden, ob sie nur für Profis verfügbar sind oder ob sie kostenlos sind?

Rogier Lankhorst: Ja. Es ist immer eine schwierige Diskussion, darüber nachzudenken, was kostenlos und was Premium sein sollte. Und wir verschenken normalerweise viel, denke ich. Unser Hauptansatz ist wie bei den Schwachstellen: Die Erkennung ist kostenlos und jeder kann sehen, ob er ein anfälliges Plugin hat, aber die automatischen Lösungen dafür sind erstklassig.

So ist es also aufgeteilt. Und ich denke, dass wir mit dem letzten der kommenden Updates noch mehr zum Premium-Plugin hinzufügen werden, wie Anmeldeschutz, Zwei-Faktor-Authentifizierung, Begrenzung der Anmeldeversuche und ähnliches. Das liegt auch daran, dass wir der Meinung sind, dass das kostenlose Plugin bereits so viel enthält, dass wir die richtige Balance wahren wollen. Wir wollen jetzt damit beginnen, mehr in eine Prämie zu investieren.

Doc Pop: Und ich denke, das ist ein guter Ort für uns, um unsere kostenlose Episode des Podcasts in die Werbepause zu bringen, was dazu beiträgt, dass sie kostenlos bleibt. Das ist ein schöner Übergang.

Seien Sie gespannt, denn nach dieser kurzen Pause werden wir zurückkommen und unser Gespräch mit Rogier von Really Simple Plugins über einige der anderen Plugins abschließen, die Really Simple derzeit anbietet.

Bleiben Sie also dran für mehr.

Doc Pop: Willkommen zurück bei Press This, einem WordPress-Community-Podcast. Ich bin Ihr Gastgeber, Doc Pop. Heute spreche ich mit Rogier Lankhorst, dem Hauptentwickler der Really Simple-Plugins. Wir haben über SSL-Zertifikate und Really Simple SSL gesprochen. Wir haben auch darüber gesprochen, dass Rogier, Sie haben noch mehrere andere Plugins da draußen.

Auf welche anderen Plugins konzentrieren Sie sich derzeit bei Really Simple Plugins?

Rogier Lankhorst: Wir haben Complianz, eine Datenschutzlösung. Und neben Really Simple SSL ist es das am schnellsten wachsende Plugin. Außerdem bietet es ein Cookie-Banner und blockiert auch Dienste, die gemäß lokalen Datenschutzgesetzen wie der DSGVO in Europa eine Einwilligung erfordern. Auch Kanada schafft ein Opt-in-Privacy-Gesetz. Es ändert sich also viel in der Datenschutzgesetzgebung. Das Plugin bietet also eine Möglichkeit, dies automatisch zu erledigen.

Und wir haben auch ein Statistik-Plugin, das ziemlich neu ist. Kürzlich wurden 100.000 Installationen verzeichnet, und das Ziel besteht darin, eine datenschutzfreundliche Statistiklösung bereitzustellen, sodass Sie Google Analytics nicht verwenden müssen, das in den meisten Ländern eine Einwilligung erfordert, sodass Sie dort Daten verlieren.

Doc Pop: Es ist wirklich interessant, dass Sie darüber sprechen, denn ich habe in letzter Zeit viel über Google und die Beziehung des Webs zu Google nachgedacht. Und ich denke, ich brauche Google Analytics nicht mehr wirklich auf meiner Website. Ich brauche keine Leute, die sich von Cookies abmelden, wenn das Einzige, was es wirklich gibt, Google Analytics ist.

Ich denke also, Sie sprechen von Burst-Statistiken und Sie sprechen davon, dass es sich dabei um eine Alternative dazu handelt. Ich bin ganz Ohr. Das interessiert mich auf jeden Fall.

Rogier Lankhorst: Ja. Das ist ziemlich cool, weil ich denke, dass die meisten Nutzer nur Google Analytics kennen und nicht wissen, dass es weitere Lösungen gibt. Und die meisten Nutzer sind sich auch nicht der Datenschutzprobleme bewusst, die Google Analytics aufwirft, insbesondere bei strengeren Datenschutzgesetzen.

Doc Pop: Nun, vielen Dank, dass Sie heute zur Show gekommen sind und über die Arbeit gesprochen haben, die Sie alle leisten, und über SSL im Allgemeinen. Es war sehr interessant, mit Ihnen zu plaudern. Wenn die Leute mehr darüber erfahren möchten, woran Sie arbeiten, wie können Sie am besten den Überblick über die Really Simple-Plugins behalten und vielleicht auch darüber, woran Sie gerade arbeiten?

Rogier Lankhorst: Folgen Sie mir auf Twitter. Oder melden Sie sich für unseren Newsletter auf ReallySimpleSSL.com an. Wir versenden alle paar Wochen Newsletter mit unseren neuesten Nachrichten.

Doc Pop: Nun, das ist großartig. Ich schätze es wirklich, Sie in der Show zu haben. Äh, vielen Dank an alle, die sich Press This angehört haben, einen WordPress-Community-Podcast von WMR. Wir hatten in letzter Zeit viele tolle Episoden und bald gehen wir zum WordCamp US, wo wir hoffentlich mit vielen weiteren interessanten Geschichten und Interviews mit Leuten zurückkommen.

Doc Pop: Vielen Dank, dass Sie sich Press This angehört haben, einen WordPress-Community-Podcast auf WMR. Ich heiße noch einmal Doc und Sie können meine Abenteuer mit dem Torque-Magazin auf Twitter @thetorquemag verfolgen oder auf Torquemag.io gehen, wo wir jeden Tag Tutorials, Videos und Interviews wie dieses beisteuern. Schauen Sie sich also Torquemag.io an oder folgen Sie uns auf Twitter. Sie können Press This auf Red Circle, iTunes, Spotify abonnieren oder es jede Woche direkt bei wmr.fm herunterladen. Ich bin Ihr Gastgeber Doctor Popular. Ich unterstütze die WordPress-Community durch meine Rolle bei WP Engine. Und ich liebe es, jede Woche auf Press This Mitglieder der Community ins Rampenlicht zu rücken.