WordPress auf HTTPS umstellen

Veröffentlicht von in Sicherheit

Das Thema SSL-Verschlüsselung wird immer bedeutsamer: Warum sollten sie WordPress auf HTTPS umstellen? Und wie machen Sie das? Eine Anleitung.

Das S nach dem http steht für secure (Sicherheit). Im Gegensatz zu http:// werden für einen Aufruf über HTTPS hier die Daten ihrer Website vom Server zum Browser komplett verschlüsselt übertragen.
Um WordPress auf HTTPS umstellen zu können müssen Sie ein SSL-Zertifikat beantragen. Damit wird u. a. auch sichergestellt, dass Sie der Inhaber ihrer eigenen Website sind und der Zugriff nicht von Hackern umgeleitet wurde. 

Ein weiterer wichtiger Grund:
Google wertet eine SSL-Verschlüsselung als positiven Rankingfaktor.

Schritt für Schritt Anleitung: 
Wie Sie WordPress auf HTTPS umstellen

1. Datenbank sichern

Sichern Sie als erstes ihre Datenbank. Dieses können Sie entweder im phpMyAdmin-Bereich über „Exportieren“ (diesen erreichen Sie über den Kundenbreich ihres Providers) oder über ein »  WordPress-Plugin für Backups erledigen.

Vor größeren Umstellungen sollte man prinzipiell immer (komplette) Backups erstellen, damit im Notfall wieder rückgesichert werden kann. 

2. SSL-Zertifikat beantragen

Um WordPress auf HTTPS umzustellen, benötigen Sie zunächst ein SSL-Zertifikat. Am einfachsten ist es, dieses direkt beim eigenen Provider zu beantragen. Die meisten Hoster bieten SSL-Zertifikate mittlerweile in ihrem Kundenbereich inklusive Installation an.

Eine Auswahl für Provider-SSL-Zertifikate:

3. Einstellungen in WordPress ändern

Nach erfolgreicher Einrichtung eines SSL-Zertifikats können Sie im WordPress-Dashboard unter Einstellungen » Allgemein bei der WordPress-Adresse (URL) und der Website-Adresse (URL) http:// durch https:// ersetzen.

Einstellungen bei einer WordPress-Multisite

Als Betreiber einer WP-Multisite müssen Sie diese Einstellung direkt in der Datenbank (über phpMyAdmin) vornehmen.  Folgende Datensätze müssen in der Tabelle wp-options geändert werden: siteurl und home.

Bei einer Multisite wird für jede Website ein eigenes Vorzeichen angelegt (z. B. wp1_options), daher müssen alle Datensätze mit der Endung  _options bearbeitet werden.

4. Interne Verlinkungen und Pfade ändern

Viele Pfade und Verlinkungen innerhalb der Website funktionieren nun leider nicht mehr, das gilt vor allem für in Beiträge oder Seiten eingefügte Bilder und Links (Beitragsbilder, Menüs und Galerien werden hingegen automatisch auf HTTPS umgestellt).

Sie erkennen das schnell daran, dass ein gelbes Achtung-Schild vor ihrer URL in der Adresszeile des Browsers zu sehen ist und vor „gemischten Inhalten“ gewarnt wird. Unser Ziel ist es, dort ein grünes Schloss angezeigt zu bekommen.

https-Status in der Adresszeile des Browsers
Das »  WordPress-Plugin Better Search Replace leistet uns hier gute Dienste.

Nach der Installation und Aktivierung des Plugins finden sie es im WP-Dashboard »Werkzeuge.
Dort können sie nach bestimmten Wortfolgen suchen und diese automatisch ersetzen lassen, so z.B. http:// durch https://. Dabei sollten sie alle angebotenen Tabellen auswählen und „GIUDs ersetzen“ deaktiviert lassen.

In den Optionen ist Testlauf? voreingestellt. So können Sie Suchen/Ersetzen starten, ohne dass gleich alle Einträge in der Datenbank geändert werden. Bedauerlicherweise können Sie nicht erkennen, was konkret geändert werden soll, lediglich die Anzahl der vom Plugin vorgeschlagenen Änderungen.

ACHTUNG: Verlinkungen auf andere Websites

Es kann vorkommen, dass alle manuell gesetzten externen Links in den Beiträgen und Seiten ebenfalls geändert werden, wenn man http:// durch https:// ersetzen lässt. Dabei hat die eine oder andere externe Website eventuell noch gar kein SSL-Zertifikat. Ist dies der Fall, hat es zur Folge dass der Browser böse Warnungen auswirft.

Steht im Link übrigens umgekehrt noch http und verweist auf eine https-Website, so stellt das kein Problem dar. 

Leider ändert dieses Plugin nicht alles. Im nächsten Schritt muss also gewissenhaft manuell geprüft und nachgearbeitet werden.

5. Prüfung der Website auf gemischte Inhalte

Testen über die Adressleiste des Browsers

Ist auf einer Seite ihrer Website alles korrekt – sicher -, steht vor der Adresszeile des Browsers ein grünes Schloss. Ist doch noch etwas kritisch – nicht sicher -, sehen Sie dort ein gelbes Warnschild (Bild siehe weiter oben).

Viele Browser bieten eine Konsole an, die Ihnen dabei hilft, herauszufinden, wo der Fehler steckt.
Schauen Sie unter Extras oder verwenden Sie die rechte Maustaste, wenn Sie auf einem Element auf ihrer Website sind.

Tipp

Das »  Add-on Firebug für Firefox hat einen sehr guten Bereich Sicherheit.

Testlauf über die Website JitBit

» JitBit bietet einen kostenlosen Service an, mit dem sie ihre Website überprüfen lassen können. Die Ergebnisse werden dort 10 Minuten im Cache behalten, so dass man diese abwarten muss, bevor man seine Website einer neuen Prüfung unterzieht. 

Nun kann man händisch die angezeigten Fehler korrigieren.

6. Manuelle Korrekturen

  1. Bevor Sie mit den Änderungen beginnen, sollten Sie alle Caches leeren und Caching-Plugins abgeschalten.
  2. Nun durchsuchen Sie die CSS-Datei und ändern dort alle Pfade, die noch ein http:// beinhalten. 
  3. Überprüfen Sie, ob in anderen Dateien im Child-Theme manuelle http-Pfade eingetragen wurden. 
  4. Durchsuchen Sie die Widgets nach html-Code.
  5. Gibt es auch in den Themes und Plugins hochgeladene Bilder und HTML-Codes, deren Pfade nicht aktualisiert wurden?
  6. Nun geht es an die Seiten und Beiträge.
    Hier müssen sie vor allem die externen Links überprüfen: Verfügt die verlinkte Seite bereits über eine SSL-Sicherung? Falls nicht, erscheint eine böse Warnung im Browser und man kann die verlinkte Website nicht aufrufen, ohne eine Ausnahme hinzuzufügen.

Tipp

Für die Überprüfung ist es praktisch, in die Textansicht des WordPress-Editors zu wechseln und die Suchfunktion des Browsers zu benutzen (Apfel+F, Strg+F).

7. htacess-Datei ändern (301 Redirect)

Mit Hilfe eines 301 Redirects (move permanently) wird jeder Aufruf von der (alten) ungesicherten http-Seite automatisch auf die gesicherte Version, also auf die https-Seite umgeleitet. Ganz am Anfang der .htacces soll folgendes stehen:

 # Redirect von http auf https
 RewriteEngine On
 RewriteCond %{HTTPS} !=on
 RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

8. Google-Einstellungen aktualisieren

  • Generieren Sie die Sitemap neu.
  • Google Analytics
    Unter Verwalten » Property-Einstellungen können Sie die Standard-URL in https:// ändern.
  • Webmaster Tools
    Dort kann die Domain leider nicht geändert werden: Sie müssen eine neue Property hinzufügen.

Tipp

Nach Abschluss dieser Arbeiten sollten sie zur  Sicherheit nochmal Google auf Ihre Website unter »  https://www.google.com/webmasters/tools/submit-url?pli=1 aufmerksam machen.

Hinweise

  • SSL-Zertifikate haben begrenzte Laufzeiten und müssen erneuert werden.
  • Es kann sein, dass veraltete Plugins oder Themes, Probleme verursachen und
    Änderungen in den PHP-Dateien benötigen, bisher ist uns dies aber noch begegnet.
  • Ist alles korrekt, kann das Search & Replace-Plugin wieder deaktiviert und gelöscht werden.
  • Die Umstellung erfolgt auf eigene Gefahr. Wir übernehmen keinerlei Haftung für eine eventuelle fehlerhafte Umstellung.

Fazit

Haben Sie keine Sorge, ihre Website auf HTTPS umzustellen. Mit Hilfe dieser Anleitung, ist dies nicht schwierig. Die kleine Mühe lohnt sich durchaus: SSL schafft Vertrauen beim Nutzer ihrer Website und Suchmaschinen belohnen sie als Betreiber mit einem besseren Ranking.

Weitere Artikel

  • Die htaccess Datei – So sichern Sie Ihre WebsiteDie htaccess Datei – So sichern Sie Ihre Website Immer häufiger werden Websites attackiert. Sichern Sie Ihren WordPress Internetauftritt mit Hilfe einer htaccess Datei gegen Angriffe ab.
  • So sichern Sie Ihren WordPress Author LinkSo sichern Sie Ihren WordPress Author Link Eine simple Abfrage macht es Hackern einfach den Benutzernamen einer WordPress Installation auszulesen. So sichern Sie Ihren WordPress Author Link
  • WordPress Backdoor findenWordPress Backdoor finden WordPress Backdoor in einer WordPress-Site entdecken und beheben. Wie Sie sich vor der Gefahr eines WordPress-Hacker Angriffes schützen können.
  • Sicherheitsschlüssel in WordPressSicherheitsschlüssel in WordPress Schnell, einfach & sicher:  WordPress Sicherheitsschlüssel in der Datei wp-config.php anlegen Wozu dienen die Sicherheitsschlüssel in WordPress? Beim Loggin-Prozess werden […]