Ich muss zugeben, dass ich mich einige Male aus Schusseligkeit ohne SSL in die WordPress-Administration eingeloggt habe und es mich im Nachhinein geärgert hat. Es ist zwar nicht so dramatisch, da ich mich durch einen Tunnel zu meinem Server bewege, aber es sollte am besten gar nicht passieren.
Daher bietet WordPress seit Version 2.6 eine tolle Konfiguration an, die man unbedingt nutzen sollte. In der wp-config.php werden folgende beiden Werte gesetzt (an irgendeiner Stelle einfügen).
define(‚FORCE_SSL_LOGIN‘, true);
define(‚FORCE_SSL_ADMIN‘, true);
FORCE_SSL_LOGIN erzwingt nur den verschlüsselten Login, die Session kann allerdings danach wieder unverschlüsselt passieren. Das schützt vielleicht vor dem Abfangen des Passworts, aber alle administrativen Handlungen im Backend würden weiter unverschlüsselt ablaufen. Daher gibt es zusätzlich
FORCE_SSL_ADMIN, womit man die gesamten Bewegungen in der wp-admin Welt über eine verschlüsselte Verbindung zwingt.