WordPress HTTPS – WordPress auf HTTPS umstellen in 6 Schritten

WordPresss in 6 Schritten auf https umstellen
WordPresss in 6 Schritten auf https umstellen

Gründe warum du deine Seite auf HTTPS umstellen solltest:

  • Google wertet seit seit August 2014 die SSL-Verschlüsselung als Ranking-Faktor. Die Gewichtung auf SSL ist seitdem eher gestiegen.
  • Nicht erst seit der neuen EU-Verordnung zum Datenschutz (DSGVO) sollten Eingaben über Kontaktformulare oder Einkäufe bei einem Online-Shop verschlüsselt sein. Ist deine Seite über SSL verschlüsselt, bist du rechtlich auf der sichereren Seite.
  • Deine Ladezeit verringert sich. Durch den schnelleren http/2-Standard lädt deine Seite über HTTPS schneller, sofern dein Hoster http/2 anbietet.
  • Neuere Browserversionen, wie die aktuelle von Google Chrome und FireFox, zeigen dem Nutzer Websites ohne Verschlüsselung als „nicht sicher“ an (rotes Schloss Icon in der Adresszeile). Ist deine Seite richtig verschlüsselt bekommst du ein „grünes Schloss“ von den Browsern spendiert.

Natürlich ist nicht alles toll an der Umstellung auf HTTPS, ein paar kleine Wermutstropfen sind folgende Punkte:

  • Einmaliger Aufwand: die Umstellung einer Website geht recht zügig, trotzdem muss man einige Punkte abarbeiten. Der Aufwand steigt natürlich mit der Anzahl deiner Websites.
  • Kosten: Falls ein Hosting-Anbieter keine kostenlose Zertifikate anbietet oder einbindet entstehen dir Kosten. Wie hoch diese sind ist abhängig von der Art des Zertifikats sowie deines Hosters. Hier findest du eine Übersichtsliste mit Hostern und deren Zertifikatspreisen sowie http/2 Unterstützung.
  • Social Shares: Leider gehen durch die Umstellung die Social Shares bei Facebook und Google+ verloren.
  • Ladezeit: Falls du kein http/2 nutzen kannst, wird deine Seite etwas langsamer als ohne Verschlüsselung.

Falls du dir nicht sicher bist wie du deinen WordPress Blog auf https umstellen kannst, zeigen wir dir in der folgenden Anleitung die wichtigsten Schritte.
Danach ist auch dein WordPress Blog SSL verschlüsselt.

Schritte – WordPress auf https umstellen

1. SSL Zertifikat einrichten

Für die Umstellung deiner Website auf HTTPS brauchst du natürliche erstmal ein SSL-Zertifikat. Viele Hoster bieten bereits Unterstützung für kostenlose Let’s Encrypt SSL Zertifikate an. So zahlst du im besten Fall keinen Cent für deine Verschlüsselung.

Ich selber hoste bei netcup und habe das Glück kostenlose Let’s Encrypt Zertifikate nutzen zu können.

Hast du nicht das Glück und dein Hosting-Anbieter unterstützt nicht automatisch Let’s Encrypt gibt es meist zwei Wege um an ein Zertifikat zu gelangen.

  1. Du kannst über das Kundenmenü ein kostenpflichtiges Zertifikat auswählen und deiner Domain zuweisen.
  2. Hast du keine Option über ein Menü, musst du den Support deines Hosters kontaktieren, damit dieser ein SSL-Zertifikat für dich einrichtet. Hier kann es sein das du zwar Let’s Encrypt nutzen kannst, aber alle 90 Tage für das erneuern des Zertifikats an den Hoster zahlen musst.

TIPP: Falls du gerade einen neuen Blog erstellst, achte darauf das du ihn von Anfang an auf HTTPS einstellst. Bei WordPress musst du dafür deine Website beim Einrichten mit der Blog-URL aufrufen die mit HTTPS beginnt, also anstatt http://www.deinblog.de dann https://www.neuerblog.de aufrufen. Dadurch wird die WordPress- und Website-Adresse automatisch als HTTPS Version gespeichert.

2. WordPress Adminbereich auf HTTPS umstellen

Bevor die komplette Seite umgestellt wird, sollte der Adminbereich über SSL aufrufbar sein.
Dazu musst du ledeglich folgende Codezeile in die wp-config.php Datei einfügen

Füge die Zeile oberhalb von dieser Zeile ein:

Mit dieser Zeile wird der Aufruf des Adminbereichs über SSL erzwungen.

Anschließend sollte der Login-Bereich verschlüsselt sein und in der Browser-Leiste so aussehen:

WordPress HTTPS – Wordpress auf HTTPS umstellen in 6 Schritten
Adresszeile mit grünem Schloss

3. HTTPS für WordPress- und Website-Adresse anpassen

Wenn du dich nach der Umstellung des Adminbereichs weiterhin problemlos einloggen kannst, geht’s weiter mit dem Rest der Seite.
Dazu musst du unter dem Menüpunkt „Einstellungen > Allgemein“ die URLs deiner WordPress-Adresse und deiner Website-Adresse anpassen. In den URLs ist das http durch https zu ersetzen.

WordPress HTTPS – Wordpress auf HTTPS umstellen in 6 Schritten
WordPress Adresse mit https
Jetzt sind deine Website-Aufrufe auf HTTPS umgestellt.

4. Permalinks aktualisieren

Nachdem du die WordPress- und Website-Adresse solltest du einmal die Permalinks neu speichern (unter Allgemein > Permalinks). Dadurch aktualisieren sich die Permainks mit der neuen URLs und man vermeidet 404-Fehler beim Aufruf von Beiträgen oder Seiten.

5. URLs in der WordPess-Datenbank aktualisieren

Durch das Aktualisieren der Permalinks hast du alle dynamischen Aufrufe deiner Seite schon mal aufrufbar gemacht. Leider speichert WordPress eine Vielzahl von Links direkt als Text in der Datenbank. Du musst also die alten URLs mit http aus allen Beiträgen und Seiten auf https ändern (z. B. bei Links zu eigenen Beiträgen oder zu eingebundenen Medien). Auch in gespeicherten Einstellungen der installierten Plugins und Themes ist die alte URL zu ersetzen.

Keine Sorge, du musst nicht alle Beiträge manuell in der Datenbank anpassen.
Denn dafür gibt es das sehr hilfreiche Plugin Better Search Replace.

Wichtig: Bevor du weiter machst, lege unbedingt ein Backup deiner WordPress-Datenbank an!

Nach der Installation und Aktivierung findest du das Plugin im Admin-Menü unter „Werkzeuge > Better Search Replace“.

In der Eingabemaske gibst du im Feld Suchen nach (Punkt 1) deine alte URL mit http an und beim nächsten Feld Ersetzen durch (Punkt 2) deine neue URL mit HTTPS.

ACHTUNG: Nicht nur „http“ durch „https“ ersetzen. Damit würdest du alle Links anpassen, auch Links zu externen Seiten die eventuell gar nicht über https erreichbar sind. Also immer die komplette URL angeben.

Denke auch daran einmal die URL mit und einmal ohne „WWW“ abzufragen.

Danach sind beim Punkt 3 Tabellen auswählen die Tabellen auszuwählen in denen du die URL ersetzen möchtest. Hier sollten natürlich alle Tabellen angehakt sein (STRG + A markiert alle).
Falls du erstmal einen Testlauf starten willst kannst du den Haken bei Testlauf? (Punkt 4) gesetzt lassen. Nach dem Testlauf zeigt dir Better Search Replace an wo überall die URL ersetzt würde.

Wenn du dir sicher bist nimmst du den Haken bei Testlauf raus und lässt die URLs ersetzen.

WordPress HTTPS – Wordpress auf HTTPS umstellen in 6 Schritten
better search replace http to https

Solltest du irgendwas übersehen haben und lädt deine Website Teile noch über http, kann es dazu kommen das, einige Browser eine „Mixed Content Warnung“ ausgeben. Dann gibt es heute kein kleines grünes Schloss für dich. Mixed Content ist auf jeden Fall zu vermeiden, da es deine Besucher durch das rote Schloss und die Meldungverunsichert und auch nicht gut für dein Google-Ranking ist.

6. Umleitung von http au HTTPS per htaccess Datei erstellen

Da ab jetzt dein Blog nur noch verschlüsselt über https erreichbar sein soll müssen zukünftig alle http Anfragen auf die https Version umgeleitet werden.
Dafür muss du die .htaccess Datei anpassen und einen 301-Redircet erstellen.

Zur Bearbeitung der Datei greifst du über ein FTP-Programm oder Kundenclient auf die htaccess zu und editierst diese mit einem Texteditor deiner Wahl.
Auch hier ist es empfehlenswert eine Sicherungskopie der Datei anzulegen, bevor du Änderungen machst.

Für die Umleitung fügst du am Anfang der Datei folgenden Code ein:

Falls dein WordPress-Blog auf einem nginx-Server liegt (meistens nicht), musst du folgenden Code in deine nginx.conf einfügen:

Bei einigen Anbietern, wie netcup, kannst du auch in den Hosting-Einstellungen einen permanent Redirect von HTTP auf HTTPS einstellen.

7. Kein grünes Schloss? – Mixed Content und Fehlerquellen

Falls nach den vorher durchgeführten Schritten, dein Browser dir immer noch kein heiliges grünes Sicherheitsschloss anzeigt wird es Zeit für Ursachenforschung.

WordPress HTTPS – Wordpress auf HTTPS umstellen in 6 Schritten
verbindung nicht sicher

Der Browser zeigt dir dann meistens einen Mixed Content Fehler an und behauptet „Teile deiner Seite sind nicht sicher“. Grund dafür ist, dasdie Seite zwar mit SSL verschlüsselt ist, sie aber noch unsichere URLs mit http enthält. Oft verbergen sich hinter diesen URLs externe Ressourcen wie Fonts, Skripte oder Grafiken von anderen Seiten (Blogverzeichnisse).
Hier die häufigsten Fehlerquellen als Liste:

  • Bilder in der style.css (z. B. Hintergrundbilder)
  • Über Plugins eingebundene Bilder, URLs, Werbeanzeigen (z.B. inWidgets)
  • Vor der Umstellung manuell eingebundene Skripte
  • Lokal eingebundene Schriften
  • Favicons (absoluter Klassiker für Mixed Content)
  • Externe Skripte, Fonts, Grafiken, Videos

Um alle Seiten deiner Website mit Sicherheitsproblemen ausfindig zu machen, nutzt du am besten das Tool SSL-Check von JitBit. Das Tool crawlt deine komplette Website und sucht nach unsicheren Inhalten wie Bilder, Skripte und Stylesheets.

WordPress HTTPS – Wordpress auf HTTPS umstellen in 6 Schritten
ssl check bitbucket

Zur Analyse der Fehler kannst du als deinen Quellcode untersuchen. Die meisten Browser haben diese Funktion. Einfach rechten Mausklick auf deine Seite und die Funktion „Seitenquelltext anzeigen“ drücken.

Im Quelltext suchst du dann nach dem Begriff „http://“. Wirst du fündig heißt es den Code anzupassen (wenn es möglich ist).

Die Entwicklertools der Browser bieten eine weitere Möglichkeit zur Analyse. Dazu wechselst du auf die Seite die dir Probleme machst und startest mit STRG + SHIFT + I oder „F12“ den Inspektor (Firefox und Chrome).
Unter dem Reiter „Console“ werden die nun alle Fehler auf der Seite angezeigt.

Alternativ kannst du auch über das Online Tool WhyNoPadlock? deine Seite checken lassen.


Du bist der Meinung da fehlt noch was in diesem Beitrag? Oder hast Fragen? Dann schreib ein Kommentar.
WordPress HTTPS – Wordpress auf HTTPS umstellen in 6 Schritten


Pin It

WordPress HTTPS – Wordpress auf HTTPS umstellen in 6 Schritten
wordpress https

Ersten Kommentar schreiben

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.