Blog

You are currently viewing HTTPS-Umstellung bei WordPress

HTTPS-Umstellung bei WordPress

Seit einigen Monaten zeigt Google Chrome nicht verschlüsselte Websites als „Nicht sicher“ an. Unverschlüsselte Websites sind Websites, die nicht unter dem Protokoll HTTPS (https://), sondern unter http (http://) laufen und Websites, die zwar unter HTTPS laufen, aber nicht über ein aktuelles Zertifikat (unter SHA-2) verfügen. Auch die seit 25. Mai 2018 geltende DSGVO und die zukünftige ePrivacy-Verordnung erfordern bei einer Datenübertragung (z. B. Kontaktformulare, Shop-Bestellungen) eine sichere Verbindung per SSL-Zertifkat. Zudem gilt HTTPS mittlerweile als Rankingfaktor bei Google. Damit die HTTPS-Umstellung bei WordPress gelingt, habe ich einen Leitfaden verfasst, damit ihr auch als Laien eure Seite sicher machen könnt.

Eine HTTPS-Umstellung bei WordPress ist kein Hexenwerk und ist relativ einfach durchführbar. Ich habe die einfachste Methode mit Hilfe von WordPress-Plugins gewählt und selbst schon häufiger durchgeführt. Es funktioniert also 😉

Einführung TLS, SSL und HTTPS

Um eine HTTPS-Umstellung bei WordPress vornehmen zu können und die Seite unter dem Protokoll HTTPS laufen lassen zu können, benötigt ihr ein SSL-Zertifikat. SSL steht für Secure Sockets Layer, wobei es sich hierbei um eine veraltete, allerdings immer noch offiziell kommunizierte Bezeichnung handelt. Der aktuelle Begriff ist Transport Layer Security (TLS). TLS bzw. SSL findet neben HTTPS beispielsweise auch beim E-Mail-Empfang und -Versand eine Rolle (POP3S, SMTPS & IMAPs).

Das TLS-Zertifikat bewirkt, dass die Verbindung zwischen Webbrowser (Nutzer) und Webserver (Website) vertraulich und integer ist. Dies wird unter anderem über eine verschlüsselte Verbindung und die Authentifizierung des Websiteinhabers erreicht. Durch die Liberalisierung der WLAN-Netzwerke und -Haftung nimmt die Bedeutung an einer verschlüsselten Verbindung, um sich vor Angriffen von Dritten zu schützen, deutlich zu. Ohne HTTPS geht es daher eigentlich nicht mehr. Weder rechtlich, noch von der Wirkung nach außen.

Schritt 1: TLS- bzw. SSL-Zertifikat

Für die HTTPS-Umstellung bei WordPress benötigt ihr erst mal ein TLS- bzw. SSL-Zertifikat. Im weiteren Verlauf dieses Beitrages werde ich nur noch vom SSL-Zertifikat sprechen, da dies bei den meisten Hostern heute noch der gängige Begriff ist. Es gibt kostenlosen SSL-Zertifikate wie Let’s Encrypt, die sich allerdings für den kommerziellen Bereich eher weniger eignen. Ich empfehle selbst privaten Seiten vor der HTTPS-Umstellung bei WordPress ein kostenpflichtiges SSL-Zertifikat zu wählen. Das günstigste, dass es bei meinem Hostinganbieter gibt, kostet 1,69 € pro Monat bei einer Laufzeit von zwei Jahren.

Die Bestellung des SSL-Zertifikates läuft im Backend eures Hosters ab. Häufig zu finden bei den Domains. Nach der Bestellung und Bezahlung kann es bis zu mehreren Stunden dauern, bis ihr eine E-Mail mit dem weiteren Vorgehen bekommt. Wichtig: Viele Hoster verlangen eine Adminadresse eurer Domain zur Bestätigung. Ich musste also die admin@jnon.de erstellen, um die Bestätigungsmail zu erhalten.

SSL-Zertifikat Hoster

Bei mir ging es nur wenige Minuten und ich bekam Post von der Zertifizierungsstelle. Mir wurde ein Link und ein langer, kryptischer Code gesendet. Den Code habe ich auf der Zielseite des Links eingegeben. Fertig. Das SSL-Zertifikat stand zur Verfügung. Jetzt konnte ich mit HTTPS-Umstellung bei WordPress beginnen.

Schritt 2: Einstellungen bei WordPress und Confixx

Ich rate euch, dass ihr bevor ihr irgendwas ändert, ein vollständiges Backup eurer WordPress-Seite anlegt, sollte doch irgendwas schief gehen. Sicher ist sicher. Bei mir ging bei über zehn derartiger HTTPS-Umstellungen bei WordPress noch nie was schief. Dennoch mache ich das Backup.

Anpassung der WordPress-Einstellungen

  • Navigiert zu den allgemeinen Einstellungen eurer WordPress-Seite: „Einstellungen“ > „Allgemein“ (wp-admin/options-general.php)
  • Ändert dort die „WordPress-Adresse (URL)“ von „http://…“ in „https://…“
  • Ändert dort die „Website-Adresse (URL“ von „http://…“ in „https://…“
  • Klickt auf „Änderungen speichern“

Danach kann es sein, dass die Website nicht mehr erreichbar ist oder dass ihr euch auf der Loginseite zum Backend wiederfindet. Ich habe beides schon erlebt.

HTTPS-Umstellung WordPress allgemeine Einstellungen

Weiterleitung auf HTTPS

Damit es weitergeht, müsst ihr die Weiterleitung von http auf HTTPS erzwingen. Es gibt zwei Möglichkeiten dies zu tun:

  • Automatisch über den Hoster
  • Manuell per HTACCESS

Automatische Weiterleitung über den Hoster

  • Meldet euch im Confixx-Bereich eures Hosters an
  • Geht zu den Domaineinstellungen: „Tools“ > „Domains“
  • In der Spalte „SSL“ seht ihr nun, dass für eure Domain SSL „Ein“ oder „Aus“ ist. Natürlich sollte es auf „Ein“ stehen
  • In der Spalte „http:// -> https://“ könnt ihr nun die Weiterleitung einrichten
  • Klickt hinter der Domain auf „Ändern“ und setzt die Haken bei „SSL“ (falls noch nicht automatisch) und „http:// -> https://“
  • Speichert die Einstellungen
  • Ggf. muss der Vorgang für die www.-Domain und die Domain ohne www. einzeln durchgeführt werden

Sollte dies Möglichkeit der HTTPS-Umstellung bei WordPress von eurem Hoster nicht angeboten werden, muss die Weiterleitung über die HTACCESS-Datei manuell vorgenommen werden.

HTTPS-Umstellung WordPress erzwingen

Manuelle Weiterleitung per HTACCESS

Fügt einfach folgende Code-Zeile in eure HTACCESS-Datei ein. Die HTACCESS-Datei liegt im Root-Verzeichnis eurer WordPress-Installation auf dem FTP-Server. Sie heißt „.htaccess“. Ihr könnt die Datei mit jedem gewöhnlichen Editor, Notepad oder Programmierprogramm öffnen.

RewriteEngine On
RewriteCond %{SERVER_PORT} !=443
RewriteRule ^(.*)$ https://www.deinedomain.de/$1 [R=301,L]

Nachdem das erledigt wurde, wechselt ihr nun wieder zurück in euer WordPress-Backend.

Schritt 3: HTTPS-Umstellung bei WordPress

Loggt euch wieder in euer WordPress-Backend ein. Durch die Weiterleitungen funktioniert das nun wieder. Falls nicht, kann es sein, dass die Domainanpassung in Confixx eine weile dauert, als wartet ein paar Minuten.

Damit ihr auch tatsächlich eine verschlüsselte Website habt, müsst ihr nun den sogenannten Mixed Content entfernen. Mixed Content habt ihr, wenn ihr in der Adresszeile des Browsers zwar „https://…“ seht, daneben aber weiterhin „Nicht sicher“ (Google Chrome) seht. Das liegt daran, dass sich noch nicht verschlüsselte Dateien wie z. B. Bilder auf der Seite befinden. Solang dies der Fall ist, kann die Seite nicht als „Sicher“ eingestuft werden.

Da eine manuelle Anpassung zu aufwändig ist, gibt es ein WordPress-Plugin namens Better Search Replace, dass einem die Arbeit größtenteils abnimmt:

  • Geht auf „Plugins“ > „Installieren“ (wp-admin/plugin-install.php)
  • Sucht nach „Better Search Replace“
  • Installiert und aktiviert das Plugin Better Search Replace
  • Geht zu „Werkzeuge“ > „Better Search Replace“ (wp-admin/tools.php?page=better-search-replace)

Ich empfehle spätestens jetzt ein weiteres Backup der Datenbankdateien eurer Website.

  • Gebt bei „Suchen nach“ einfach „http://“ ein (unbedingt mindestens den Doppelpunkt mitnehmen!)
  • Gebt bei „Ersetzen durch“ nun „https://“ ein
  • Wählt die Tabelle „wp_posts“ aus
  • Entfernt den Haken bei „Testlauf?“
  • Klickt auf „Suchen/Ersetzen starten“
  • Wiederholt den gerade beschriebenen Vorgang, wählt aber anstatt „wp_posts“ nun „wp_options“ aus

HTTPS-Umstellung bei WordPress mit Better Search Replace

Nach dem erfolgreichen Abschluss sind nun alle internen Links, Bilder, Dateien etc., die auf eurem Server liegen (!) in HTTPS geändert. Die HTTPS-Umstellung bei WordPress ist somit im Kern abgeschlossen.

Schritt 4: Prüfung

Prüft nun eure Seite durch. Normalerweise dürftet ihr keine Seiten mehr finden, die als „Nicht sicher“ eingestuft werden. Ändert vor allem auch interne Verlinkungen, die ihr vielleicht nicht über ein dynamisches Feld gepflegt habt. Das wären z. B. Footerlinks, die ihr manuell gecodet habt.

Bei mir haben danach im WordPress-Theme Impreza die Icons nicht mehr funktioniert. Warum das so war und wie ich es im Rahmen meiner HTTPS-Umstellung bei WordPress gelöst habe, habe ich in einem extra Blogbeitrag beschrieben. Solche kleineren Unstimmigkeiten können durchaus vorkommen. Daher ist es wichtig, die Seite gründlich zu prüfen.

URL-Änderung in allen Tools

Damit ihr nun korrekt arbeiten könnt, ändert in allen Tools, die ihr für eure Website verwendet, die URL von http in HTTPS. Für die Google Search Console müsst ihr eine neue Property anlegen, der Tausch der URL ist hier leider nicht möglich. Denkt auch an Google My Business, Einträge in Branchenbüchern etc. Alle Backlinks, auf die ihr noch Einfluss nehmen könnt, sollten geändert werden. Alle anderen werden weitergeleitet.

HTTPS-Umstellung WordPress GSC-Property

HTTPS-Umstellung bei WordPress erfolgreich

Das war’s schon. Herzlichen Glückwunsch zur HTTPS-Umstellung bei WordPress. So schwer war es ja gar nicht 😉

Titelbild: Jose Fontano

Jörg Niethammer

Seit 2003 aktiv am Websites bauen und pflegen, Abi, Bundeswehr, Studium und dann vollends ins Online Marketing. Vor allem SEO, Technical SEO und WordPress haben es mir angetan. Neben der Arbeit bin ich privat sehr gerne mit dem Fahrrad unterwegs, gehe gerne wandern und engagiere mich an der Fasnet.

Schreibe einen Kommentar