Wenn deine Website von einem Seitenbesucher aufgerufen wird oder der Besucher ein Kontaktformular ausfรผllt, werden eine Menge Daten รผbertragen.
Diese Daten sollten selbstverstรคndlich verschlรผsselt รผbertragen werden.
Das ist nicht nur rechtlich Pflicht, sondern auch ein Faktor fรผr das Ranking bei Google und ein Sicherheitsbeweis fรผr deine Seitenbesucher!
In dieser Anleitung zeige ich dir in sieben einfachen Schritten, wie du deine WordPress Website auf HTTPS umstellen kannst und du eine Umleitung auf HTTPS einrichtest!
Was sind HTTPS und SSL und warum brauche ich das?
Durch das HTTPS Protokoll zwischen dem Client (Nutzer) und dem Server (Website) wird die รbertragung der Daten verschlรผsselt und zudem die Identitรคt des Servers bestรคtigt.
Das bedeutet, dass bei dem Aufruf einer Website zunรคchst ein Zertifikat vom Server an den Client geschickt wird, um die Echtheit des Servers zu bestรคtigen.
Hat der Client dieses Zertifikat รผberprรผft, wird von ihm ein einzigartiger Sicherheitsschlรผssel (bestehend aus Buchstaben, Zahlen und Zeichen) an den Server geschickt. Erst dadurch kann die Verschlรผsselung statt finden.
Fรผr diese Verschlรผsselung wird das Internetprotokoll SSL genutzt, wodurch die Daten nicht durch Dritte eingesehen werden kรถnnen.
Wenn du WordPress installierst, um deine Website zu erstellen, solltest du schon vor der Installation auf ein eingerichtetes Zertifikat achten, dann musst du die SSL Umstellung nicht mehr vornehmen.
Vorteile der SSL Verschlรผsselung
Die Vorteile einer verschlรผsselten Verbindung liegen klar auf der Hand:
- Mehr Sicherheit
- Die Datenรผbertragung (Websiteaufruf, Kontaktformulare, Opt-Ins etc.) ist abgesichert
- Du bist rechtlich gesehen auf der sicheren Seite
- HTTPS sorgt fรผr Vertrauen bei deinen Seitenbesuchern
- Du bekommst ein โgrรผnes Schlossโ in der Adresszeile von Chrome, Firefox und anderen Browsern
- Das Phishing-Risiko wird minimiert (gefรคlschte Seiten, die Daten abgreifen)
- Bessere Rankings in den Google Suchergebnissen
- Schnellere Ladezeiten Dank http/2 Protokoll (wenn dein Webhoster das unterstรผtzt)
Es gibt keinen Grund, wieso eine Website nicht รผber HTTPS laufen sollte!
1. Vorbereitung
Backup anlegen
Wir starten direkt mit einer kleinen Warnung:
Bevor wir nun mit der Umstellung beginnen, musst du dir unbedingt ein Backup deiner Website anlegen. Wir werden spรคter รnderungen an der Datenbank vornehmen, bei denen so manches schiefgehen kรถnnte (auch wenn es das mit dieser Anleitung nicht wird).
Caching deaktivieren
Wenn du ein Cache-Plugin aktiv hast, deaktiviere es. Ebenso, wenn du bei deinem Anbieter eine Funktion hierfรผr hast (RAIDBOXES hat diese beispielsweise). In manchen Fรคllen kann das sonst Schwierigkeiten verursachen.
๐ค Lege zur Vorbereitung ein Backup deiner Website an und deaktiviere dein Caching-Plugin oder die Cache-Funktion bei deinem Hoster.
2. SSL Zertifikat einrichten
Zunรคchst einmal musst du dir ein SSL Zertifikat besorgen. Normalerweise kosten diese Zertifikate eine jรคhrliche Gebรผhr ab etwa 10โฌ. Die Firma Letโs Encrypt bietet aber glรผcklicherweise kostenlose SSL Zertifikate an.
Als Kunde bei All-Inkl und vielen anderen guten Anbietern, sind diese kostenlosen Zertifikate inklusive. Achte darauf, dass hierfรผr keine Extrakosten berechnet werden, denn das muss heutzutage nicht mehr sein!
Letโs Encrypt SSL Zertifikat mit all-inkl
Logge dich in das all-inkl KAS ein und klicke im Menรผ auf โDomainโ. Anschlieรend musst du auf das bearbeiten Icon auf der rechten Seite der zu verschlรผsselnden Domain klicken.
Danach findest du dich auf der Einstellungsseite fรผr diese Domain wieder. Hier gibt es den Punkt โSSL Schutzโ, รผber den du die weiteren SSL Konfigutationen vornimmst. Ich habe dir diesen Punkt in dem Screenshot markiert.
Im Anschluss musst du nur noch auf den Reiter โLetโs Encryptโ klicken, und dem vorgegebenen Dialog folgen.
SSL Zertifikat bei anderen Hostern einrichten
Jeder Webhoster hat seinen eigenen Vorgang, um ein SSL Zertifikat einzurichten. Das Vorgehen ist jedoch meistens sehr รคhnlich zu dem oben beschriebenen Vorgehen bei all-inkl.
Zudem stellen die Hoster in den meisten Fรคllen eine ausfรผhrliche Anleitung zur Verfรผgung, wie die Einrichtung funktioniert. Wenn das nicht der Fall ist oder dir die Anleitung nicht klar genug ist, kannst du dich auch immer an den Support wenden.
- SSL-Zertifikat bei 1und1 einrichten
- SSL-Zertifikat bei Alfahosting einrichten
- SSL-Zertifikat bei Domainfactory einrichten
- SSL-Zertifikat bei Hosteurope einrichten
- SSL-Zertifikat bei Strato einrichten
๐ค Aktiviere ein SSL-Zertifikat fรผr deine Domain. Am besten nutzt du das kostenlose Letโs Encrypt Zertifikat, damit keine Extrakosten anfallen.
3. WordPress URL umstellen
Als nรคchstes musst du deiner WordPress Website mitteilen, dass sie nun nicht mehr รผber HTTP sondern รผber HTTPS aufgerufen wird. Das geht ganz einfach im Adminbereich, indem du unter โEinstellungenโ auf โAllgemeinโ klickst.
Dort findest du die โWordPress-Adresseโ und โWebsite-Adresseโ. Diese sind jetzt normalerweise noch mit http:// eingetragen. Genau das musst du jetzt auf https:// รคndern.
Diese รnderung sorgt dafรผr, dass WordPress die URLs in der Datenbank auf die neue Adresse anpasst und sie mit HTTPS hinterlegt. Allerdings trifft das nur auf WordPress interne Links und die einiger Plugins zu.
In jedem Fall musst du hรคndisch รผberprรผfen, ob wirklich alle Links korrekt angepasst wurden!
๐ค รndere die WordPress- und Website-Adresse unter โEinstellungenโ -> โAllgemeinโ. Beide Adressen mรผssen nun mit https:// beginnen.
4. Permalinks neu speichern
Wir sollten nun nach der Anpassung der WordPress- und Website-Adresse sichergehen, dass alle Permalinks (URLs) korrekt generiert werden.
Das bedeutet, dass nach wie vor einige Seiten von dir รผber http in WordPress hinterlegt sein kรถnnen. Das korrigieren wir aber nun, in dem wir die Permalinks einmal neu speichern.
Navigiere unter โEinstellungenโ zu -> โPermalinksโ und klicke auf โรnderungen speichernโ ganz unten. Du musst keine neuen Hรคkchen setzen, lediglich speichern.
Dadurch werden alle URLs deiner Seiten, Beitrรคge und anderer Seitentypen neu und korrekt generiert.
๐ค Navigiere zu โEinstellungenโ -> โPermalinks und klicke auf โรnderungen speichernโ. Dadurch werden alle URLs neu mit HTTPS generiert.
5. Pfade in der Datenbank auf HTTPS รคndern
Das ist der einzige wirklich riskante Schritt bei der Umstellung von WordPress auf die SSL Verschlรผsselung. Da du aber in der Vorbereitung ein Backup angelegt hast, kannst du ohne Sorge weitermachen!
Jetzt werden alle alten HTTP-Links durch die neuen Adressen mit HTTPS ersetzt. Hierfรผr gibt es mehrere Mรถglichkeiten.
Am einfachsten und mit dem kleinsten Fehlerrisiko funktioniert das mit einem Plugin, deshalb stelle ich dir diese Variante vor.
Datenbankpfade mit Better Search and Replace anpassen
Das kostenlose WordPress Plugin Better Search and Replace macht dir das Verรคndern der alten Datenbankpfade denkbar einfach. Nachdem du es installiert hast, findest du es unter dem Menรผpunkt โWerkzeugeโ -> โBetter Search Replaceโ.
Die Bedienung ist schnell erklรคrt:
- in das Feld โSuchen nachโ gibst du die alte URL ein (beispielsweise https://wp-ninjas.de)
- bei โErsetzen durchโ trรคgst du die neue URL ein (beispielsweise https://wp-ninjas.de)
- wรคhle in der Tabellenauswahl alle Tabellen aus
- aktiviere den Haken bei โTestlauf?โ
Jetzt wird das Plugin deine Datenbank zunรคchst einmal nach dem alten Pfad suchen, ohne diesen zu verรคndern. Daraufhin wird dir ein Ergebnis angezeigt, in wie viele Tabellenzeilen er gefunden wurde.
Durch diesen Schritt kannst du รผberprรผfen, ob es รผberhaupt noch alte Links mit HTTP gibt.
Wenn ja, deaktivierst du den Haken bei โTestlauf?โ und startest das Suchen und Ersetzen erneut. Anschlieรend sind alle Pfade auf HTTPS umgestellt.
๐ค Nutze das kostenlose Plugin โBetter Search and Replaceโ um die Pfade in deiner Datenbank von HTTP auf HTTPS zu รคndern.
6. HTTP Aufrufe auf HTTPS weiterleiten
Als nรคchstes mรผssen wir uns darum kรผmmern, dass Backlinks auf deine Seite und auch andere Aufrufe รผber HTTP auf die neue per SSL verschlรผsselte Variante deiner Website umgeleitet werden. Das machen wir mit einer Weiterleitung.
Dafรผr gibt es drei Wege:
- redirect รผber das Backend des Hosters
- bei Apache Servern mit der .htaccess Datei
- bei nginx Servern mit der nginx.conf
Die meisten Webhoster nutzen Apache Server und bieten die Einstellung im Backend, HTTPS zu erzwingen. Wenn nicht, gehst du รผber die .htaccess Datei.
HTTPS รผber den Hoster erzwingen
Bei den meisten Hostern gibt es bei der Einrichtung und Bearbeitung des SSL-Zertifikats die Mรถglichkeit, einen Haken bei โSSL erzwingenโ oder โForce SSLโ zu setzen. Dadurch werden automatisch alle Aufrufe auf HTTPS weitergeleitet.
Hast du bei deinem Hoster diese Einstellungsmรถglichkeit, musst du keine Datei mehr bearbeiten.
HTTPS mit der .htaccess erzwingen
Wenn dein Hoster einen Apache Server nutzt (das ist bei den meisten Hostern so), findest du in dem Hauptverzeichnis (logge dich per FTP mit Filezilla oder Cyberduck ein) deiner WordPress Installation die .htaccess Datei. Mit ihr kannst du einen redirect, also eine Weiterleitung anlegen.
Durch den โ.โ vor dem Namen wird sie in deinem FTP Programm ausgeblendet sein, du musst erst das Anzeigen versteckter Dateien zulassen.
รffne also die Datei und fรผge die folgenden Zeilen ein:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Dadurch werden automatisch alle Aufrufe deiner Seite รผber http://โฆ auf https://โฆ umgeleitet.
HTTPS mit der nginx.conf erzwingen
In diesem Fall gibt es bei deinem Hoster die nginx.conf, in welcher du diesen Code nutzen kannst:
if ($scheme = http) {
return 301 https://$server_name$request_uri;
}
๐ค Leite mit Weiterleitungen alle Aufrufe der alten HTTP Seite auf HTTPS um. Nutze dafรผr die Einstellung bei deinem Hoster, die .htaccess Datei (bei Apache Servern) oder die nginx.conf Datei (bei nginx Servern).
7. รberprรผfe deine Website
Die Umstellung von WordPress auf HTTPS hast du nun erledigt!
Lass uns nun zur Sicherheit รผberprรผfen, ob auch tatsรคchlich alles korrekt funktioniert und angezeigt wird.
Prรผfe nun folgendes:
- erscheint das (grรผne) Schloss in der Adresszeile deines Browsers?
- werden alle Bilder auf deinen Seiten korrekt angezeigt?
- funktionieren die internen Links?
- gibt es Darstellungsprobleme?
- kannst du dich in den Adminbereich einloggen?
Normalerweise sollte alles rund laufen. Es kann aber trotzdem zu Warnungen kommen.
Vor allem das Problem des nicht vorhandenen (grรผnen) Schlosses tritt hรคufiger mal auf. Darum erklรคre ich dir nun, wie du die hรคufigsten Probleme bei der SSL Umstellung lรถst.
๐ค รberprรผfe deine Website auf Darstellungsprobleme, nicht funktionierende Links und vor allem, ob in deinem Browser das (grรผne) Schloss angezeigt wird.
Typische Probleme, Fehler und ihre Lรถsungen
Bilder werden nicht angezeigt
Dieses Vorgehen ist nur notwendig, wenn du Probleme mit der Darstellung der Bilder hast. Beispielsweise wenn Bilder gar nicht mehr angezeigt werden.
Solltest dies der Fall sein, logge dich via FTP (mit Filezilla oder Cyberduck) auf deinem Webserver ein und รถffne die wp-config.php (du findest sie im WordPress Wurzelverzeichnis).
Dort trรคgst du nun die folgende Zeile ein und passt sie an deine Domain an:
define( 'WP_CONTENT_URL', 'https://deine-webseite/wp-content' );
In manchen Fรคllen ist dieser Code bereits vorhanden. Wenn das bei dir der Fall ist รผberprรผfe, ob in der URL wirklich https:// statt http:// hinterlegt ist.
Die Seite wird als โnicht sicherโ angezeigt
Deine Website kann auf verschiedene Arten die Warnung โnicht sicherโ angezeigt bekommen.
Zum Beispiel wird dir dieser Fehler mit einem gelben Dreieck oder einer roten Warnung neben der Website-Adresse oder sogar mit einer ganzseitigen โnicht sicherโ Meldung.
So oder so, in diesem Fall werden einzelne Ressourcen noch รผber die unverschlรผsselte HTTP Verbindung abgerufen. Das musst du beheben!
Hierfรผr nutzen wir eine in Firefox und Chrome integrierte Funktion, die sich โDeveloper Consoleโ nennt.
Um diese zu aktivieren, musst du irgendwo auf deinem Blog einen Rechtsklick machen, und daraufhin auf โElement untersuchenโ (Firefox) bzw. โUntersuchenโ (Chrome) klicken. Es รถffnet sich nun ein Fenster, bei dem du in der oberen Leiste auf โKonsoleโ (Firefox) bzw. โConsoleโ (Chrome) klickst.
In dieser Console werden dir nun Ressourcen mit Fehlern angezeigt, die nicht รผber HTTPS abgerufen werden und somit unverschlรผsselt sind. Du erkennst diese Meldungen an dem Beginn mit โMixed Contentโ.
Jetzt musst du dir nur noch anschauen, welche Ressource das ist, und wo du sie eingefรผgt hast. Hast du sie gefunden, musst du den Pfad manuell von http://โฆ auf https://โฆ รคndern.
Meistens kommen die โmixed contentโ Meldungen von diesen Ressourcen:
- VG Wort Verbindung
- in Page Buildern oder im Customizer eingefรผgte Bilder
- extern abgerufene Fonts, beispielsweise Google Fonts
- Banner von Blogplattformen oder andere extern abgerufenen Bilder
- extern abgerufene Skripte, beispielsweise von Social Media
- Werbeeinblendungen
Arbeite dich Ressource fรผr Ressource vor, bis du alle unsicheren Inhalte umgestellt hast. Erst, wenn das grรผne Schloss in der Adressleiste erscheint, ist deine Seite komplett verschlรผsselt.
Wo du deine URL sonst noch รคndern solltest
Google Analytics
Wenn du meiner Artikelserie der WordPress Grundlagen gefolgt bist, hast du deine Website mit Google Analytics verbunden. Da sie jetzt allerdings nicht mehr รผber HTTP lรคuft, sondern รผber HTTPS, solltest du das in Analytics auch so hinterlegen.
Dafรผr loggst du dich einfach in deinen Google Analytics Account ein, navigierst im Menรผ zu โVerwaltenโ und klickst anschlieรend in der mittleren Spalte auf โProperty-Einstellungenโ.
Hier kannst du gleich als erstes die โStandard-URLโ festlegen. Klicke einfach auf โhttp://โ und wechsle auf โhttps://โ. Mit einem Klick auf den Speichern-Button am unteren Ende der Seite ist das ganze schon umgestellt.
Google Search Console
Bei der Google Search Console kannst du die URL deiner hinzugefรผgten Seite nicht รคndern. Hier fรผgst du nun die SSL verschlรผsselte Variante deiner Website als weitere Property hinzu.
Wie das geht erfรคhrst du in meiner Anleitung Wie du die Google Search Console mit WordPress verbindest.
Vergiss nicht, in sรคmtlichen Social Media Kanรคlen deine neue URL zu hinterlegen. Zwar ist eine Weiterleitung eingerichtet, welche die Aufrufe umleiten soll, aber sie kostet Ladezeit und zudem sieht eine URL ohne HTTPS ziemlich unprofessionell aus.
Prรผfe also sรคmtliche Social-Media Kanรคle:
- Facebook Seiten & Facebook Gruppen
- Google MyBusiness
- YouTube
Weitere Orte
- Newsletter Impressum
- E-Mail Signatur
- Werbemittel (Print & online)
- Affiliate-Netzwerke
- Merchandise
FAQ โ Hรคufig gestellte Fragen
Wie รคndere ich HTTP in HTTPS?
Um HTTP in HTTPS zu รคndern, benรถtigst du zunรคchst ein SSL-Zertifikat. Anschlieรend kannst du in allgemeinen Einstellungen von WordPress die WordPress- und Website-Adressen auf HTTPS รคndern und anschlieรend in der Datenbank alle Pfade anpassen.
Ist WordPress SSL verschlรผsselt?
Installierst du WordPress auf einer Domain mit SSL-Verschlรผsselung, wird WordPress SSL verschlรผsselt. Ist kein SSL Zertifikat hinterlegt, wird WordPress nach der Installation รผber HTTP laufen und du musst es mit SSL verschlรผsseln.
Warum ist meine WordPress Seite nicht sicher?
Wenn deine WordPress Seite als โnicht sicherโ angezeigt wird, hast du entweder kein SSL Zertifikat hinterlegt und WordPress auf HTTPS umstellt oder du hast โmixed contentโ auf der Website, den du korrigieren musst.
Wann ist ein SSL Zertifikat notwendig?
Sobald deine Website รผber HTTPS laden soll, ist ein SSL Zertifikat notwendig. Es sorgt fรผr die SSL-Verschlรผsselung und somit fรผr die gesicherte รbertragung aller Daten.
Hat bei dir alles reibungslos funktioniert, oder gab es bei der Umstellung Probleme? Kommentiere unter diesem Artikel.