WordPress auf SSL/https umstellen

Artikel aktualisiert am 4. Juni 2018

Die Sicherheit nimmt einen immer größeren Stellenwert bei der Erstellung von Webseiten ein. Und auch Google, hat bereits im August 2014 mitgeteilt, dass Sie die Nutzung von HTTPS als Ranking Signal einsetzen. Nun im Jahr 2017 beginnt Google damit, nicht sichere Webseiten zu kennzeichnen und im Suchmaschinenranking dafür abzustrafen. Somit ist es spätestens jetzt an der Zeit, sich über die Integration eines SSL Zertifikats ernsthaft Gedanken zu machen. Nicht nur wegen Google, sondern auch, weil der Besucher Ihrer Website somit gleich sieht, hier wird auf Sicherheit Wert gelegt. Dieser Beitrag befasst sich nun damit, wie Sie ein SSL Zertifikat in Ihre WordPress Website integrieren können.

Selbstverständlich erfolgt die Umstellung auf eigene Gefahr. Zur Umstellung ist fundiertes technisches Wissen notwendig. Eine Haftung, für Probleme und Fehler bei der Umstellung,  nach dieser Anleitung, übernehmen wir natürlich nicht. Wenn Sie Hilfe benötigen nehmen Sie einfach Kontakt mit uns auf.

Es kann etwas dauern, bis jede Website ein grünes Schloss mit https anzeigt. Hier ist Geduld und Know-how gefragt um alle Seiten an die entsprechenden Standards anzupassen. Allerdings ist nicht jedes WordPress Theme in der Lage, die benötigten Standards zu erfüllen. Vor allem ältere Templates machen hier manchmal Ärger. Dann ist es nötig, das Theme zu wechseln, oder es entsprechend anzupassen.

Voraussetzungen

Als erstes benötigen Sie ein SSL Zertifikat. Dieses erhalten Sie im Normalfall von Ihrem Provider. Hierbei prüft eine Zertifizierungsstelle Ihre Daten und erteilt Ihnen dann das Zertifikat.

Datensicherung

Im Laufe der Umstellung werden umfassende Änderungen an der Datenbank vorgenommen. Da ein Fehler hier die ganze Website lahmlegen kann, ist eine vorherige Sicherung - am besten von Datenbank und Website - unumgänglich. Dies kann wahlweise mit entsprechenden Tools oder Plugins erfolgen. Aber oft bieten auch Hoster die Möglichkeit dies mit nur wenigen Klicks durchzuführen.

Allgemeine Einstellungen

Nun geht es an die eigentliche Umstellung Ihrer Website. Hierbei wird Ihre Website für kurze Zeit nicht erreichbar sein. Daher ist es zu empfehlen, die Umstellung zu einem Zeitpunkt vorzunehmen, an dem Ihre Website wenig frequentiert ist. Zuerst ändern Sie die die URL der WordPress-Adresse und der Seiten-Adresse unter dem Punkt Einstellungen > Allgemein im Backend Ihrer Website. Hier passen Sie die Einträge von http auf https an.

Änderung sämtliche URLs

Eigentlich sollte Ihre Website jetzt schon unter https zu erreichen sein, da WordPress die meisten URLs automatisch anpasst. Manchmal jedoch, muss man noch etwas nachhelfen. Das kommt ganz darauf an, wie Ihr Server oder auch das Theme konfiguriert sind. Hierzu kann man in der wp-config.php noch folgende Anpassung vornehmen. Öffnen Sie die Datei und prüfen Sie ob folgender Eintrag bereits vorhanden ist. Falls ja passen Sie diesen an, ansonsten erstellen Sie Ihn neu.

define ( 'WP_CONTENT_URL', 'https://Ihre-Website/wp-content' );

Änderungen an der Datenbank

Nun kommen wir zu den Änderungen an der Datenbank. Hier sollten Sie genau wissen was Sie machen. Fehler die hier gemacht werden, können dafür sorgen, das Ihre gesamte Website nicht mehr zu erreichen ist. Hiefür gibt es auch verschiedene WordPress Plugins, allerdings rate ich Ihnen hiervon ab, da diese nicht immer ordentlich arbeiten.

Wir empfehlen Ihnen hier folgendes Programm: Database Search and Replace Script in PHP. Wichtig hierbei ist, das Sie nach den Änderungen an der Datebank, das Tool umgehend wieder von Ihrem Server entfernen, da es sonst ein Sicherheitsrisiko darstellen würde.

WordPress speichert oft absolute URLs in der Datenbank. Zum Beispiel in Beiträgen, oder beim Einfügen von Medien. Diese Links werden im nächsten Schritt umgeschrieben. Es reicht im Normalfall aus, die reine Haupt-URL einmal mit http und einmal mit https einzutragen. Dann nur noch die Zugangsdaten für die DB eingeben und das war es schon, was an Daten benötigt wird.

Wichtig ist, erst einmal die Funktion "dry run" laufen zu lassen, bevor man einen "live run" durchführt. Beim "dry run" wird erst einmal nichts geändert, sondern es wird nur aufgelistet was geändert wird. Hierbei fallen mögliche Probleme normalerweise schon auf. Erst wenn hier nichts auffällig ist, sollte ein "live run" durchgeführt werden.

Wie oben schon erwähnt wurde, sollte unbedingt zuvor ein Backup der Datenbank angelegt werden!

Eine 301-Weiterleitung per .htaccess erstellen

Es ist ganz wichtig nun noch zu verhindern, dass weiterhin Inhalte unverschlüsselt abrufbar sind. Hierzu werden wir in der .htaccess Datei eine Umleitung anlegen, die sämtliche http Anfrage auf https umleitet. Hierzu muss folgendes Snippet zu Ihre .htaccess Datei hinzugefügt werden. Dies sollte ganz oben erfolgen. Die erste Zeile sollte eigentlich schon vorhanden sein. Entsprechend fügen Sie folgendes ein.

RewriteEngine On
# BEGIN Redirect HTTP to HTTPS
RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
# END Redirect HTTP to HTTPS

Abschließende Informationen

  • Es sollte immer die komplette Website auf https umgestellt werden. Nicht nur einzelne Seiten, wie zum Beispiel Backend, Formulare, oder Login. Das verschlüsseln einer ganze Seite ist auch einfacher, da zur Verschlüsselung einzelner Seiten zusätzliche Plugins benötigt werden.
  • Die Performance wird durch https etwas schlechter als bei http. Aber dies wiegt sich durch die höhere Sicherheit in meinen Augen auf. Im Zweifelsfall sprechen Sie einfach einmal direkt mit Ihrem Hoster.
  • Sollten Sie ein Plugin zum cachen Ihrer Webseite benutzen, vergessen Sie nicht den Cache des Plugins zu leeren.
  • Aus SEO-Sicht ist es wichtig eine Weiterleitung per .htaccess einzurichten und um ein Ranking Verlust zu vermeiden die neue https Domain bei den Google Webmaster Tools zu melden.
  • Nicht vergessen sollte man auch die Kosten für ein SSL-Zertifikat, sowie ein passendes Hostingpaket. Es gibt zwar mittlerweile auch kostenlose SSL-Zertifikate, allerdings sind diese schwerer einzurichten, da bei einem SSL-Zertifikat Ihres Hoster, dieser die Erstellung für Sie übernimmt.

Sollten Sie Ihre Website auf https umstellen wollen, dann stehe ich Ihnen hierbei gerne zur Verfügung, bzw. übernehme dies gerne für Sie. Nehmen Sie hierzu einfach Kontakt mit mir auf.