Das Thema SSL-Verschlüsselung wird immer bedeutsamer: Warum sollten sie WordPress auf HTTPS umstellen? Und wie machen Sie das? Eine Anleitung.
Das S nach dem http steht für secure (Sicherheit). Im Gegensatz zu http:// werden für einen Aufruf über HTTPS hier die Daten ihrer Website vom Server zum Browser komplett verschlüsselt übertragen.
Um WordPress auf HTTPS umstellen zu können müssen Sie ein SSL-Zertifikat beantragen. Damit wird u. a. auch sichergestellt, dass Sie der Inhaber ihrer eigenen Website sind und der Zugriff nicht von Hackern umgeleitet wurde.
Ein weiterer wichtiger Grund:
Google wertet eine SSL-Verschlüsselung als positiven Rankingfaktor.
Schritt für Schritt Anleitung:
Wie Sie WordPress auf HTTPS umstellen
1. Datenbank sichern
Sichern Sie als erstes ihre Datenbank. Dieses können Sie entweder im phpMyAdmin-Bereich über „Exportieren“ (diesen erreichen Sie über den Kundenbreich ihres Providers) oder über ein » WordPress-Plugin für Backups erledigen.
Vor größeren Umstellungen sollte man prinzipiell immer (komplette) Backups erstellen, damit im Notfall wieder rückgesichert werden kann.
2. SSL-Zertifikat beantragen
Um WordPress auf HTTPS umzustellen, benötigen Sie zunächst ein SSL-Zertifikat. Am einfachsten ist es, dieses direkt beim eigenen Provider zu beantragen. Die meisten Hoster bieten SSL-Zertifikate mittlerweile in ihrem Kundenbereich inklusive Installation an.
Eine Auswahl für Provider-SSL-Zertifikate:
- Bei Hetzner können sie unter Einstellungen » Extras » SSL-Manager ein kostenloses Basic-Zertifikat durch einen Klick auf das Schloss-Symbol beantragen, dieses dauert meist nur wenige Minuten.
» Informationen über SSL-Zertifikate bei Hetzer - Bei Domainfactory finden sie unter Domain » SSL-Zertifikate kostenpflichtige SSL-Zertifikate. Das günstigste liegt bei 1,99 €/Monat (Stand 03/2017). Hier kann es länger dauern als angezeigt, bis das Zertifikat erkannt wird.
» Mehr zum Thema SSL-Zertifikate bei Domainfactory - Strato bietet unter Sicherheit » STRATO SSL ein „Inklusives STRATO SSL-Zertifikat“ an.
» Mehr über STRATO SSL-Zertifikate - Versierte WordPress-Nutzer – Anwender, die wissen was sie tun – können kostenlos über » Let’s Encrypt ein SSL-Zertifikat beantragen und dieses dann bei seinem Hoster einbinden (sofern dieser es zulässt).
3. Einstellungen in WordPress ändern
Nach erfolgreicher Einrichtung eines SSL-Zertifikats können Sie im WordPress-Dashboard unter Einstellungen » Allgemein bei der WordPress-Adresse (URL) und der Website-Adresse (URL) http:// durch https:// ersetzen.
Einstellungen bei einer WordPress-Multisite
Als Betreiber einer WP-Multisite müssen Sie diese Einstellung direkt in der Datenbank (über phpMyAdmin) vornehmen. Folgende Datensätze müssen in der Tabelle wp-options geändert werden: siteurl und home.
Bei einer Multisite wird für jede Website ein eigenes Vorzeichen angelegt (z. B. wp1_options), daher müssen alle Datensätze mit der Endung _options bearbeitet werden.
4. WordPress auf HTTPS umstellen – Interne Verlinkungen und Pfade ändern
Viele Pfade und Verlinkungen innerhalb der Website funktionieren nun leider nicht mehr, das gilt vor allem für in Beiträge oder Seiten eingefügte Bilder und Links (Beitragsbilder, Menüs und Galerien werden hingegen automatisch auf HTTPS umgestellt).
Sie erkennen das schnell daran, dass ein gelbes Achtung-Schild vor ihrer URL in der Adresszeile des Browsers zu sehen ist und vor „gemischten Inhalten“ gewarnt wird. Unser Ziel ist es, dort ein grünes Schloss angezeigt zu bekommen.
Das » WordPress-Plugin Better Search Replace leistet uns hier gute Dienste.
Nach der Installation und Aktivierung des Plugins finden sie es im WP-Dashboard »Werkzeuge.
Dort können sie nach bestimmten Wortfolgen suchen und diese automatisch ersetzen lassen, so z.B. http:// durch https://. Dabei sollten sie alle angebotenen Tabellen auswählen und „GIUDs ersetzen“ deaktiviert lassen.
In den Optionen ist Testlauf? voreingestellt. So können Sie Suchen/Ersetzen starten, ohne dass gleich alle Einträge in der Datenbank geändert werden. Bedauerlicherweise können Sie nicht erkennen, was konkret geändert werden soll, lediglich die Anzahl der vom Plugin vorgeschlagenen Änderungen.
ACHTUNG: Verlinkungen auf andere Websites
Es kann vorkommen, dass alle manuell gesetzten externen Links in den Beiträgen und Seiten ebenfalls geändert werden, wenn man http:// durch https:// ersetzen lässt. Dabei hat die eine oder andere externe Website eventuell noch gar kein SSL-Zertifikat. Ist dies der Fall, hat es zur Folge dass der Browser böse Warnungen auswirft.
Steht im Link übrigens umgekehrt noch http und verweist auf eine https-Website, so stellt das kein Problem dar.
Leider ändert dieses Plugin nicht alles. Im nächsten Schritt muss also gewissenhaft manuell geprüft und nachgearbeitet werden.
5. WordPress auf HTTPS umstellen:
Prüfung der Website auf gemischte Inhalte
Testen über die Adressleiste des Browsers
Ist auf einer Seite ihrer Website alles korrekt – sicher -, steht vor der Adresszeile des Browsers ein grünes Schloss. Ist doch noch etwas kritisch – nicht sicher -, sehen Sie dort ein gelbes Warnschild (Bild siehe weiter oben).
Viele Browser bieten eine Konsole an, die Ihnen dabei hilft, herauszufinden, wo der Fehler steckt.
Schauen Sie unter Extras oder verwenden Sie die rechte Maustaste, wenn Sie auf einem Element auf ihrer Website sind.
Tipp
Das » Add-on Firebug für Firefox hat einen sehr guten Bereich Sicherheit.
Testlauf über die Website JitBit
» JitBit bietet einen kostenlosen Service an, mit dem sie ihre Website überprüfen lassen können. Die Ergebnisse werden dort 10 Minuten im Cache behalten, so dass man diese abwarten muss, bevor man seine Website einer neuen Prüfung unterzieht.
Nun kann man händisch die angezeigten Fehler korrigieren.
6. WordPress auf HTTPS umstellen – Manuelle Korrekturen
- Bevor Sie mit den Änderungen beginnen, sollten Sie alle Caches leeren und Caching-Plugins abgeschalten.
- Nun durchsuchen Sie die CSS-Datei und ändern dort alle Pfade, die noch ein http:// beinhalten.
- Überprüfen Sie, ob in anderen Dateien im Child-Theme manuelle http-Pfade eingetragen wurden.
- Durchsuchen Sie die Widgets nach html-Code.
- Gibt es auch in den Themes und Plugins hochgeladene Bilder und HTML-Codes, deren Pfade nicht aktualisiert wurden?
- Nun geht es an die Seiten und Beiträge.
Hier müssen sie vor allem die externen Links überprüfen: Verfügt die verlinkte Seite bereits über eine SSL-Sicherung? Falls nicht, erscheint eine böse Warnung im Browser und man kann die verlinkte Website nicht aufrufen, ohne eine Ausnahme hinzuzufügen.
Tipp
Für die Überprüfung ist es praktisch, in die Textansicht des WordPress-Editors zu wechseln und die Suchfunktion des Browsers zu benutzen (Apfel+F, Strg+F).
7. htacess-Datei ändern (301 Redirect)
Mit Hilfe eines 301 Redirects (move permanently) wird jeder Aufruf von der (alten) ungesicherten http-Seite automatisch auf die gesicherte Version, also auf die https-Seite umgeleitet. Ganz am Anfang der .htacces soll folgendes stehen:
# Redirect von http auf https RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
8. Google-Einstellungen aktualisieren
- Generieren Sie die Sitemap neu.
- Google Analytics
Unter Verwalten » Property-Einstellungen können Sie die Standard-URL in https:// ändern. - Webmaster Tools
Dort kann die Domain leider nicht geändert werden: Sie müssen eine neue Property hinzufügen.
Tipp
Nach Abschluss dieser Arbeiten sollten sie zur Sicherheit nochmal Google auf Ihre Website unter » https://www.google.com/webmasters/tools/submit-url?pli=1 aufmerksam machen.
Hinweise
- SSL-Zertifikate haben begrenzte Laufzeiten und müssen erneuert werden.
- Es kann sein, dass veraltete Plugins oder Themes, Probleme verursachen und
Änderungen in den PHP-Dateien benötigen, bisher ist uns dies aber noch begegnet. - Ist alles korrekt, kann das Search & Replace-Plugin wieder deaktiviert und gelöscht werden.
- Die Umstellung erfolgt auf eigene Gefahr. Wir übernehmen keinerlei Haftung für eine eventuelle fehlerhafte Umstellung.
Fazit
Haben Sie keine Sorge, ihre Website auf HTTPS umzustellen. Mit Hilfe dieser Anleitung, ist dies nicht schwierig. Die kleine Mühe lohnt sich durchaus: SSL schafft Vertrauen beim Nutzer ihrer Website und Suchmaschinen belohnen sie als Betreiber mit einem besseren Ranking.
Hallo Marion,
ich habe erst nach meinem Kommentar gesehen das du jetzt auch hier an Bord bist,
desto mehr freut es mich das dieser Beitrag von dir war 😉
Sehr gut erklärt…
Ja, wir sind gerade an der Umstellung auf https und werden nach einigen Tests der Webseite genaueres berichten können.
Erstmal vielen Dank für den genialen Beitrag in sachen https Umstellung und wir freuen uns auf weitere tolle Beiträge von dir.
Thorsten soll sich allerdings nicht zurücklehnen und auch wieder was tun 😉
Viele Grüße Bolle
Hallo Thorsten,
wie von all deinen bisherigen Beiträgen gewohnt, ist auch dieses Thema wieder eine echte Weiterbildung mit gut erklärten Inhalten. Wir sind schon einige Zeit dran auf HTTPS umzustellen.
Die größte Sorge dabei war immer, ob das Auswirkungen auf das Ranking bei Google haben würde?!
Am besten ist es, einmal den eingerichteten Testserver auf HTTPS umzustellen. Dann kann ich vielleicht noch einmal ein Feedback auf das SEO geben. Hoffe es läuft anschließend alles wie gehabt.
Dann mal ran an die Umstellung und vielen Dank für die wertvollen Informationen die du wie immer mit deinen treuen lesern teilst.
Ich habe es bisher nicht bereut, deinen Newsletter abboniert zu haben 😉
Bolle
Hallo Bolle,
schön, dass Dir dieser Artikel gefallen hat.
Ich freue mich, dass Du offensichtlich keinen Unterschied zu Thorstens Beiträgen bemerkt hast (ist ja mein erster Beitrag hier).
Und wir freuen uns sehr, wenn Du nach der Umstellung auf https über deine Erfahrungen mit SEO berichtest.
Bei diesem Blog haben wir in dem Monat nach der Umstellung einen Einbruch von ca. 10% registriert. Allerdings ist nicht klar, ob dieser Einbruch dem Google-Update des vergangenen Monats oder der Umstellung auf https geschuldet ist. Mittlerweile sind die Besucherzahlen zur alten Stärke zurückgekehrt.
Viele Grüße,
Marion