So stellst du WordPress auf HTTPS (SSL) um
Heutzutage sollte jede Website über eine SSL verschlüsselte Verbindung erreichbar sein. Das bringt nicht nur einen Sicherheitsgewinn, sondern auch Vorteile im Google Ranking. Auch WordPress Sites lassen sich in wenigen Schritten auf HTTPS umstellen. In diesem Artikel erfährst du die genaue Vorgehensweise.
Was bedeutet HTTPS und SSL?
Vielleicht bist du an einer anderen Stelle im Netz auf die Begriffe HTTPS und SSL gestoßen. Auch gibt viele Ratschläge, dass du deine WordPress Seite darauf umstellen solltest. Dir ist aber noch nicht klar, was HTTPS und SSL überhaupt bedeuten? Bevor du irgendwas an deiner Seite umstellst, solltest du die Hintergründe wenigstens grob verstehen.
Die Abkürzung HTTPS steht für Hypertext Transfer Protocol Secure. Dies ist ein abhörsicheres Übertragungsprotokoll für den Datenaustausch zwischen dem Webserver und deinem Webbrowser.
Die Abkürzung SSL steht für Secure Sockets Layer. Dies ist eine allgemeine Bezeichnung für das verwendete Verschlüsselungsprotokoll der abhörsicheren HTTPS Verbindung.
Vorteile der Verschlüsselung
Die Umstellung deiner WordPress Website auf eine SSL Verschlüsselung bringt einige Vorteile mit sich:
- Sicherer Datenverkehr
- Höheres Nutzervertrauen
- Bessere Performance
- Kleiner Rankingbonus
Durch die SSL verschlüsselte Verbindung kann der Datenverkehr zwischen dem Webserver bei deinem Provider und dem Webbrowser deiner Website Nutzer nicht abgehört oder verändert werden. Bei einem kleinen privaten Blog klingt das zunächst nur nach einem geringen Vorteil. Dieser Punkt wird aber sehr wichtig, wenn personenbezogene Daten von oder zur Website übertragen werden, etwa über ein Kontaktformular oder bei einem Shopsystem.
Grundsätzlich sorgt die HTTPS Verbindung für ein höheres Nutzervertrauen. Wenn du einmal einen Blick in die Adressleiste deines Browsers wirfst, so wird vor der URL ein Schloss-Symbol angezeigt. Das ist zumindest bei allen weit verbreiteten Webbrowsern der Fall und sorgt bei vielen Website Nutzern für Vertrauen. Wenn dein WordPress noch nicht per HTTPS erreichbar ist, wird dort kein Schloss zu sehen sein.
Eine HTTPS Verbindung alleine sorgt noch nicht für eine schnellere Datenverbindung. Seit Mitte 2015 gibt es aber einen Nachfolger des altbekannten HTTP Protokolls. Dieses nennt sich HTTP/2 und kann den Datenaustausch zwischen Webserver und Browser beschleunigen. Um das neue Protokoll zu nutzen, muss der Webhoster dieses einerseits unterstützen. Weiterhin wird für die Nutzung eine aktivierte SSL Verschlüsslung vorausgesetzt.
Auch Google möchte den sicheren Datenaustausch im Netz forcieren. Deshalb stellt die HTTPS Nutzung einer Website ebenfalls ein Ranking Signal dar. Wie groß der tatsächliche Rankingbonus tatsächlich ausfällt, ist jedoch umstritten. Wahrscheinlich ist der Einfluss bei einem Onlineshop deutlich größer als bei einem privaten Blog.
Ist die Umstellung notwendig?
Die Umstellung deiner WordPress Seite auf HTTPS solltest du unbedingt durchführen. Immer mehr Websites sind per HTTPS erreichbar, so dass dies bald der Standard sein dürfte. Eine sichere Datenübertragung wird auch von rechtlicher Seite an immer mehr Stellen erforderlich. So dürfen personenbezogene Daten etwa in einem Kontaktformular nicht unverschlüsselt übertragen werden.
Auch die Browserhersteller forcieren die Verbreitung von HTTPS. Viele Internetnutzer sind es inzwischen gewohnt, dass beim Aufruf einer Webseite ein Schloss-Symbol in der Adressleiste angezeigt wird. Einige Browser zeigen bei einer unverschlüsselten Verbindung inzwischen sogar eine Warnung an. Das dürfte vor allem weniger tecknikaffine Menschen beunruhigen, welche die unsichere Webseite möglicherweise sofort wieder verlassen.
WordPress auf HTTPS umstellen
In den folgenden Schritten erfährst du, wie du die SSL Verschlüsselung für deine WordPress Seite aktivierst und welche Einstellungen du für die HTTPS Verwendung vornehmen musst.
Vor allen gravierenden Änderungen an deiner WordPress Website solltest du unbedingt ein Backup erstellen. Sollte etwas schiefgehen, kannst du deine Seite aus dem Backup wiederherstellen.
SSL Zertifikat einrichten
Das SSL Zertifikat sorgt für die Verschlüsselung der Verbindung und muss bei deinem Webhoster eingerichtet werden. Ein Zertifikat wird immer explizit für eine bestimmte Domain ausgestellt. Solltest du also mehrere Domains besitzen, musst du jetzt das Zertifikat für die Domain der umzustellenden WordPress Seite einrichten.
Die Funktion zur Einrichtung sollte im Administrations-Backend (Kunden-Login) deines Webhosters zu finden sein. Der Menüpunkt dürfte die Bezeichnung SSL oder HTTPS enthalten. SSL Zertifikate waren vor einigen Jahren noch recht kostspielig und mussten jedes Jahr gegen Gebühr verlängert werden. Mit der Einführung der kostenlosen Let’s Encrypt Zertifikate gibt es inzwischen eine gute Alternative, welche für viele WordPress Seiten ausreicht.
Alle namenhaften Webhoster bieten inzwischen die kostenfreien Let’s Encrypt Zertifikate an. Solltest du im Kundenmenü nicht fündig werden, frage am besten einmal beim Support nach.
Nach Aktivierung des SSL Zertifikats solltest du testen, ob deine Domain per HTTPS aufgerufen werden kann. Gebe dazu die Adresse https://www.deine-domain.de im Browser ein. Bei erfolgreicher Aktivierung wird WordPress dich mit seiner jetzigen Konfiguration wieder auf die Domain ohne HTTPS umleiten. Dieser Test zeigt dir jedoch, dass die Einrichtung des SSL Zertifikats schon mal geklappt hat. Dies ist nämlich Voraussetzung für alle weiteren Schritte.
WordPress URL anpassen
Im vorigen Schritt hast du das SSL Zertifikat für deine Domain aktiviert. Jetzt musst du in WordPress deine URL auf die neue Variante mit https ändern. Logge dich dazu in dein WordPress Backend ein und gehe links in den Menüpunkt Einstellungen > Allgemein. Dort gibt es im oberen Bereich die beiden folgenden Eingabefelder:
- WordPress-Adresse (URL)
- Website-Adresse (URL)
In beiden Feldern sollte deine bisherige Adresse in der Form http://www.deine-domain.de stehen. Ersetze nun das http durch https und klicke unten auf Änderungen speichern.
Nach dem Speichern wirst du automatisch aus dem Backend ausgeloggt. Logge dich für die weiteren Einstellungen über die HTTPS URL (https://www.deine-domain.de/wp-login.php) erneut ins Backend ein.
Damit WordPress systemseitig deine neue URL kennt, musst du einmal die Permalinks aktualisieren. Rufe dazu im Backend den Menüpunkt Einstellungen > Permalinks auf. Klicke hier, ohne etwas zu ändern, auf Änderungen speichern.
Interne Links ersetzen
Inzwischen ist dein WordPress per HTTPS erreichbar. Die bisherigen Einstellungen wirken sich aber nur in WordPress selber aus. Alle URLs in deinen erstellten Beiträgen sind nach wie vor unverändert und enthalten die alte http Adresse. Zu diesen URLs zählen etwa interne Links oder die von dir eingebunden Bilder. Um nicht jede URL in jedem Beitrag händisch bearbeiten zu müssen, kannst du alle URLs auf einmal in der Datenbank aktualisieren.
Dafür empfehle ich die Verwendung des Plugins Better Search Replace. Nachdem du das Plugin installiert und aktiviert hast, findest du die Search Replace Funktion im Backend unter Werkzeuge > Better Search Replace.
Auf der Hauptseite des Plugins musst du folgende Eingaben machen:
- Suchen nach: http://www.deine-domain.de
- Ersetzen durch: https://www.deine-domain.de
- Tabellen auswählen: Wähle alle Tabellen aus
- Testlauf?: Entferne das Häkchen
Klicke dann auf Suchen/Ersetzen starten. Anschließend sollten wirklich alle URLs auf HTTPS umgestellt sein. Das Plugin kannst du jetzt wieder löschen, sofern du es nicht für andere Dinge brauchst.
HTTPS Redirect einrichten
Alle bestehenden Links von anderen Webseiten zeigen natürlich nach wie vor auf deine alte http Adresse. Um diese sauber auf HTTPS umzuleiten, solltest du einen HTTPS Redirect über die .htaccess Datei von WordPress einrichten. Diese Datei liegt direkt im Hauptverzeichnis deiner WordPress Installation.
Zum editieren der Datei verbinde dich am besten per FTP mit deinem Webserver. Füge anschließend die folgenden Zeilen ganz oben in die .htaccess Datei ein und speichere die Änderung.
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Code-Sprache: Apache (apache)
Jetzt werden alle URLs sauber auf die neue HTTPS URL umgeleitet. Das kannst du ausprobieren, indem du einen Beitrag über die alte Adresse aufrufst. In der Adresseleiste des Browsers sollte jetzt die neue Adresse stehen.
http://www.deine-domain.de/mein-beitrag/ > https://www.deine-domain.de/mein-beitrag/
URL bei externen Services ändern
Nachdem du alle Einstellungen in WordPress vorgenommen hast, solltest du überlegen, ob und bei welchen externen Services du deine Webseite eingetragen hast. Auch diese solltest du auf die neue https Adresse umstellen. Beispiele für gängige Services sind:
- Google Search Console
- Google Analytics
- Social Media Accounts
In der Search Console lässt sich die URL einer vorhandenen Property nicht ändern. Hier musst du einfach eine neue Property mit der https Adresse anlegen und deine Sitemap neu einreichen. In Analytics hingegen kannst du bei den Property-Einstellungen deine URL von http auf https umstellen.
Fazit
Nach der HTTPS Umstellung ist deine WordPress Webseite jetzt über eine SSL verschlüsselte Verbindung erreichbar. Der Datenverkehr zwischen den Besuchern deiner Website und dem Webserver ist jetzt verschlüsselt. Wenn die Webbrowser in Zukunft Warnungen bei allen unverschlüsselten Seiten ausgeben, bleibt deine Seite davon unberührt.