Betriebssysteme, Programme & Web

WordPress SSL-Zertifikat: So wechselst du von HTTP auf HTTPS

Bild von Simon Lüthje Simon Lüthje11. Februar 2020

Spätestens seit der Datenschutzverordnung (DSGVO) vom 25. Mai 2018 sind SSL-Zertifikate in aller Munde. Sie dienen der sicheren und verschlüsselten Datenübertragung zwischen Clients und Servern, sodass Passwörter oder E-Mail-Adressen von Kunden oder Seitenbesuchern nicht in falsche Hände geraten. Neben dem Sicherheitsaspekt gibt es allerdings noch viele weitere Gründe, warum ein SSL-Zertifikat bzw. die Umstellung von HTTP auf HTTPS sinnvoll und wichtig ist. Bringen wir also etwas Licht ins Dunkel, indem wir folgende Fragen klären:

  • Was bedeuten SSL und HTTPS?
  • Welche Gründe sprechen für ein SSL-Zertifikat?
  • Wie wechsle ich mit meiner WordPress Seite auf HTTPS?
  • Welche Probleme können nach der Umstellung auftreten?

Was bedeuten SSL und HTTPS?

Das Wichtigste zuerst: Was ist überhaupt ein SSL-Zertifikat und was hat das alles mit HTTPS zu tun? SSL steht für Secure Sockets Layer und bezeichnet ein Verschlüsselungsprotokoll, das zum sicheren Datentransfer im Internet verwendet wird. Im Zusammenhang mit SSL hast du sicher auch schon einmal von TLS (Transport Layer Security) gehört, was nichts anderes als eine neuere Version davon ist. Deshalb liest man auch recht häufig von einer sogenannten SSL/TLS-Verschlüsselung.

Zum allgemeinen Verständnis: Protokolle legen die Regeln zur Interaktion zwischen kommunizierenden Geräten fest, damit das Empfangen und Versenden von Daten reibungslos funktionieren kann (beispielsweise eine E-Mail). Es gibt Protokolle für die Datendarstellung, die Kommunikation, den Transport, die Sicherung – also für alles, was beim Datenaustausch im Internet eine Rolle spielt. Ein sehr bekanntes Kommunikationsprotokoll ist HTTPS. Einfach ausgedrückt sorgt es dafür, dass Webseiten ordnungsgemäß in den jeweiligen Browsern geladen werden. Die Abkürzung HTTPS steht für hyper text transfer protocol secure, mit Betonung auf secure am Ende. Denn nur mit diesem Protokoll können Daten SSL/TLS-verschlüsselt übertragen werden. Der kleine Bruder namens HTTP kann das nicht, deshalb also die SSL-HTTPS-Kombination.

Welche Gründe sprechen für ein SSL-Zertifikat?

Das Thema Sicherheit wurde bereits angesprochen und ist zweifellos der Hauptgrund für ein SSL-Zertifikat. Darüber hinaus bringt es noch einige weitere Vorteile mit sich:

  1. Rankingfaktor bei Google: Verschlüsselte Webseiten kommen bei den Google Crawlern weitaus besser an als unsichere Seiten ohne HTTPS und ohne SSL. Im Vergleich zu anderen Faktoren fällt eine SSL-Verschlüsselung zwar (noch) nicht so stark ins Gewicht, aber immerhin.
  2. Höhere Performance/Ladegeschwindigkeit: Der seit 2005 aktive Webstandard HTTP/2 als Nachfolger von HTTP wird nur von Browsern unterstützt, wenn eine valide SSL-Verschlüsselung gegeben ist. HTTP/2 ist deutlich schneller, was den Seitenaufbau und die grundsätzliche Performance der Webseiten angehen. Deine Seitenbesucher werden sich freuen.
  3. Datenschutz: Wie eingangs erwähnt, wurde das SSL-Zertifikat zum Stichtag 25. Mai 2018 im Rahmen der DSGVO zur Pflicht, und zwar für alle Webseiten, die personenbezogene Daten erheben. Darunter fallen E-Mail-Adressen, Telefonnummern, Passwörter oder auch Bankverbindungen. Sollte deine Webseite derartige Daten einholen (z. B. über Kontaktformulare, Newsletteranmeldungen), bist du dazu verpflichtet, deine Seite mit einem SSL-Zertifikat auszurüsten.
  4. Kundenvertrauen: Ein wesentlicher Grund – fast noch wichtiger als jede Performance oder Google-Wertung – ist das Sicherheitsvertrauen, das deine Kunden oder Besucher von der Webseite gewinnen, wenn sie verschlüsselt ist. Warum? Manche HTTP-Seiten werden von Google Chrome als so unsicher eingestuft, dass bei ihrem Aufruf folgende Warnmeldung erscheint:
Fehlermeldung bei unsicheren Webseiten

Selbst falls nicht, sehen Besucher immer noch anhand der URL-Leiste, dass die Seite als unsicher gilt:

Unsichere Verbindung im Webbrowser

Rhetorische Frage: Würdest du bei diesen Meldungen begeistert weiterklicken oder nicht vielleicht doch lieber schleunigst den Tab schließen?

Du siehst, dass es reichlich Gründe und Vorteile gibt, um sich mit den Themen SSL-Verschlüsselung und Umstellung auf HTTPS zu befassen. Darum kommen wir nun zum interessanten Teil: dem Wechsel deiner WordPress Webseite auf HTTPS.

Wie wechsle ich mit meiner WordPress Seite auf HTTPS?

Die Umstellung auf HTTPS braucht zwar ein paar Schritte, ist aber grundsätzlich schnell gemacht, wenn man das SSL-Zertifikat erst einmal erworben hat. Wir zeigen dir Schritt für Schritt, wie der Wechsel funktioniert und worauf du achten musst.

Schritt 1: Backup erstellen

Bevor du damit beginnst an deiner Webseite und diversen Codes herumzuschrauben, raten wir dir dringend zu einem Backup, auf das du im schlimmsten Fall zurückgreifen kannst.

Zwei sehr beliebte und empfehlenswerte WordPress Plugins zur Erstellung von Backups sind UpdraftPlus und BackWPup. Wir empfehlen jedoch das manuelle Backup.

Schritt 2: SSL-Zertifikat kaufen und einrichten

Nun geht es also richtig los: Zunächst benötigst du ein SSL-Zertifikat für deine Domain. Normalerweise kannst du dieses direkt bei deinem Provider beziehen. Einige bieten SSL-Zertifikate nur als kostenpflichtigen Zusatz an (oft in günstigen Basic-Tarifen), aber es gibt inzwischen auch viele Webhoster, die auf die Zertifizierungsstelle Let’s Encrypt und ihre Gratis-SSLs zurückzugreifen. Unter diesem Link findest du eine ausführliche Liste von bekannten Webhostern und ihrem SSL-Angebot.

Wie genau du das Zertifikat für deine Domain aktivieren musst, lässt sich pauschal nicht im Detail sagen und hängt komplett von deinem Provider ab. Normalerweise läuft es aber so ab, dass du das Zertifikat über dein Kundenpanel erwerben und auch dort unter deiner registrierten Domain auswählen und aktivieren kannst. Solltest du hier Schwierigkeiten haben, kann dir dein Provider auf jeden Fall weiterhelfen.

Schritt 3: Login-Bereich von WordPress auf SSL umstellen

Im nächsten Schritt sorgen wir nun dafür, dass der Login-/Admin-Bereich deiner WordPress Seite nur noch über HTTPS zugänglich ist. Denn gerade hier sollten sensible Daten wie Benutzername und Passwort nicht über unverschlüsselte Verbindungen übertragen werden. Dazu gehst du folgendermaßen vor:

  1. Logge dich in deinen FTP-Server ein (z.B. mit Filezilla) und lade die Datei wp-config.php herunter.
  2. Öffne die Datei in einem Texteditor und füge oberhalb der Schlusskommentare folgendes Code-Snippet ein:
define(‚FORCE_SSL_ADMIN‘,true);

Das könnte dann in etwa so aussehen:

SSL-Umstellung in wp-config.php

Vergiss nicht, die neue Datei auf deinem Server wieder hochzuladen.

Schritt 4: URL im WordPress Backend ändern

Melde dich in deinem Login-Bereich an, damit du zum Dashboard deiner WordPress Seite gelangst. Im linken Navigationsmenü gehst du nun auf Einstellungen > Allgemein.

Gleich oben im neuen Fenster findest du zwei Felder mit URLS: der WordPress-URL und der Website-URL. Beide müssen auf HTTPS geändert werden (siehe Screenshot).

Webseiten-URL in den Einstellungen ändern

Schritt 5: URL in der Datenbank ändern

Fast geschafft! Im vorletzten Schritt müssen noch bestehende Links in deiner Datenbank aktualisiert werden, damit hinterher keine Fehler auftreten. Um es dir einfach zu machen, kannst du dafür das Plugin Better Search Replace verwenden. Nach der Installation findest du es im WordPress Dashboard unter Werkzeuge.

Der folgende Screenshot zeigt dir das Fenster, das du ausfüllen musst. Zunächst trägst du deine alte Webseitenadresse ein (1) und die neue mit HTTPS gleich darunter (2). Unter (3) wählst du dann alle Tabellen aus, in denen die URL deiner Seite ersetzt werden soll (du kannst auch alle auswählen, falls du dich hier nicht auskennst). Setze bei (4) ein Häkchen neben Testlauf? und starte den Vorgang.

URLs ersetzen mit Better Search Replace

Schritt 6: Umleitung von HTTP auf HTTPS einrichten

Zum Schluss wird noch eine Umleitung (das berühmte Redirect 301) von der alten auf die neue Adresse erstellt, damit deine Besucher automatisch auf die verschlüsselte Seite geführt werden. Hierzu benötigen wir die Datei .htaccess im Wurzelverzeichnis deiner WordPress-Installation. Gleiches Spiel wie oben: Du lädst sie auf deinem FTP-Server herunter, bearbeitest sie in einem Texteditor und lädst die geänderte Datei wieder hoch.

Füge den folgenden Code-Abschnitt in die .htaccess-Datei ein:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Fertig! Jetzt sollten deine Webseite und alle Unterseiten über eine SSL-verschlüsselte Verbindung erreichbar sein.

Welche Probleme können nach der Umstellung auftreten?

Leider funktionieren solche Wechsel nicht immer reibungslos. Wenn deine Webseite immer noch kein grünes Schloss in der Browser-Leiste anzeigt oder sogar ganz und gar unerreichbar ist, könnten zwei Ursachen zugrunde liegen:

Fehlerhafter Code

Das Einfügen diverser Code-Schnipsel ist teuflisch und äußerst fehleranfällig, denn es reicht bereits eine unbemerkte Änderung oder ein falsches Kopieren, um das Kartenhaus zum Einstürzen zu bringen. Kontrolliere zunächst noch einmal die wp-config.php-Datei und die .htaccess-Datei auf eingeschlichene Fehler. Solltest du hier nicht weiterkommen, hilft dir der Support deines Providers weiter.

Weitere unsichere Inhalte

Du hast alle Schritte mit bestem Gewissen befolgt und trotzdem zeigt es dir eine unsichere Verbindung im Browser an? Mit einem Klick auf das Schlosssymbol in der URL-Leiste offenbaren sich die Ursachen meistens sehr schnell. Wenn dir ein Schloss mit Ausrufezeichen und Warndreieck angezeigt wird, weist der Browser auf gemischte Inhalte auf deiner Seite hin: Es sind also sichere und unsichere Bestandteile vorhanden.

Das können Bilder, Skripte, eingebundene Schriftarten oder auch Favicons sein, die noch nicht auf die SSL-Verschlüsselung umgestellt wurden. Ein sehr praktisches Plugin für dieses Problem ist der SSL Insecure Content Fixer, der alle wesentlichen Fehlerquellen beseitigen sollte. Es gibt aber auch Online Tools wie Why No Padlock, mit denen du deine Seite scannen und auf unsichere Inhalten prüfen kannst.

Weiterführende Arbeiten nach der Umstellung auf SSL und HTTPS

Je nach Größe und Art der betroffenen Webseite kann ein Wechsel auf HTTPS einen etwas längeren Rattenschwanz mit sich ziehen, der einige weitere Arbeiten erforderlich macht. Dazu zählen unter anderem:

  • die Aktualisierung der Seiten-URL auf deinen Social Media Konten
  • die Aktualisierung von Backlinks
  • das Einreichen deiner Seite in der Google Search Console (neue Property anlegen)
  • das Umstellen deiner Seiten-URL in Google Analytics
  • das Wiederherstellen deiner Facebook Shares (schönes Plugin: Social Warfare)

Wir hoffen, dass dir dieser Guide ein etwas tieferes Verständnis über SSL-Zertifikate und den Wechsel von HTTP auf HTTPS liefern konnte. Noch ein Tipp: Wenn du mehrere und größere Webseiten auf HTTPS umstellen willst (gerade solche, die besonders viele Kundendaten verwalten), ist es durchaus sinnvoll und ratsam, einen Profi dafür einzuschalten.

Schlagwörter
Bild von Simon Lüthje Simon Lüthje11. Februar 2020
Bild von Simon Lüthje

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Ähnliche Artikel

Facebook,Google+ & Co Kommentare in WordPress

22. August 2013

WordPress Jetpack AI: Automatisierte Blogbeiträge durch künstliche Intelligenz

8. Juni 2023

Wordpress 6.0 veröffentlicht: Diese Neuerungen erwarten dich

25. Mai 2022

HTML-Tags in WordPress Kommentaren

10. April 2013

1 Antwort

Beteilige dich an der Diskussion →

Neue Antworten laden...

Avatar of ML1984
ML1984

Öfters hier

250 Beiträge 41 Likes
#1 Feb 11, 2020

Toller Artikel @Simon ??? Ich muss gestehen, ich gehe trotzdem weiter auch wenn Seiten nicht Verschlüsselt sind ?

Antworten Like

Beteilige dich an der Diskussion in der Basic Tutorials Community →

© Copyright 2024, All Rights Reserved, *Affiliate-Link
Schaltfläche "Zurück zum Anfang"