Vor kurzem habe ich meine Webseite endlich auf HTTPS umgestellt. Warum? Die SSL Verschlüsselung erhöht nicht nur die Sicherheit der Seite, sondern bringt noch weitere Vorteile mit sich. Die Umstellung an sich ist recht schnell und einfach erledigt. Einige Punkte werden jedoch häufig übersehen. Daher habe ich eine Step-by-Step Anleitung für dich geschrieben.

SSL – Vorteile & Nachteile

Seit Google SSL als Ranking-Faktor wertet, stellen immer mehr Webmaster ihre Seiten auf HTTPS um. Doch gibt es noch einige andere, wichtigere Vorteile der SSL Verschlüsselung:

  • Sicherheit: Die Verbindung zur Webseite ist sicher. D.h. Login-Daten oder Formular-Daten sind geschützt.
  • Vertrauen: Das grüne Schloss in der Adressleiste signalisiert Sicherheit und schafft Vertrauen beim Benutzer. Besonders wichtig, wenn man Dienstleistungen anbietet.
  • Rankingfaktor: Google selbst spricht lediglich von einem Ranking Signal durch HTTPS. Aber ein kleiner Ranking Bonus sollte bemerkbar sein.
  • Bessere Performance: Die Voraussetzung für das schnellere HTTP/2 ist SSL. Durch den neuen Webstandard werden Seiten deutlich schneller geladen.
  • Datenschutz: Verschlüsselung persönlicher Daten, die z.B. über ein Kontaktformular gesendet werden.

Natürlich gibt es auch Nachteile durch die Umstellung:

  • Aufwand (einmalig): Die eigentliche Umstellung geht zwar recht schnell, jedoch muss man im Anschluss einige Punkte abarbeiten.
  • Kosten: Nicht jeder kann oder möchte ein kostenloses Zertifikat einrichten. Je nach Anbieter und benötigtem Zertifikatstyp entstehen also Kosten.
  • Social Shares: Shares von Google+ und Facebook gehen bei der Umstellung leider verloren.
  • Schlechtere Performance: Durch SSL kann der PageSpeed der Seite geringfügig sinken, sofern kein HTTP/2 verfügbar ist.

So stellst du WordPress auf HTTPS (SSL) um

Sobald das SSL Zertifikat eingerichtet ist, kannst du mit der eigentlichen Umstellung loslegen. Ich hoffe, meine Anleitung hilft dir weiter!

Step1: SSL Zertifikat kaufen und einrichten

Bevor du WordPress auf HTTPS umstellen kannst, benötigst du natürlich ein SSL Zertifikat. Im besten Fall kannst du dieses direkt über deinen Provider beziehen. Einige bieten neben kostenpflichtigen Zertifikaten auch die Unterstützung für das kostenlose LetsEncrypt SSL.

Sobald das Zertifikat erstellt wurde, kannst du es für deine Domain aktivieren. Der genaue Vorgang hängt vom gewählten Zertifikat und Provider ab. Bei meinem Hoster war die Einrichtung absolut problemlos und gut dokumentiert.

Step2: Backup erstellen

Wie bei allen Änderungen an einer Webseite, solltest du vorher ein Backup machen. Nur zur Sicherheit.

Step3: WordPress Admin auf SSL umstellen

Am besten überprüfst du zunächst, ob der WordPress Login mit SSL funktioniert. Dazu nutzt du bei WordPressSSL erzwingen über die Datei wp-config.php. Diese findest du im WordPress-Verzeichnis auf dem FTP-Server.
Dort fügst du folgendes ein:

define('FORCE_SSL_ADMIN', true);

Anschließend sollte der Login-Bereich verschlüsselt sein und in der Browser-Leiste so aussehen:

wordpress admin ssl geschützt

Chrome weist die Webseite als sicher aus und zeigt das grüne Schloss an.

Step4: WordPress Adresse ändern

Unter Einstellungen > Allgemein musst Du nun die URL deiner WordPress-Adresse und die deiner Website-Adresse ändern. Also WordPress von http auf https ändern.

WordPress Adresse ändern

WordPress Adresse von http auf https umstellen

Step5: URLs ersetzen

Damit auch die anderen URLs wie z.B. interne Links oder Bilder auf HTTPS umgestellt werden, musst du noch die Einträge in der Datenbank anpassen.

Am einfachsten kannst Du die URLs mit dem Plugin Better Search Replace ersetzen.
Dazu gibst Du in das erste Feld (A) die alte URL ein und in das zweite Feld (B) die neue.

Also Suche nach: http://www.deineseite.de
Ersetzen durch: https://www.deineseite.de

Anschließend markierst Du alle Tabellen (C), in denen die URL ersetzt werden soll. Falls Du unsicher bist, markiere einfach alle.
Bevor du den Vorgang startest, kannst du erst mal einen Testlauf (D) anstoßen. So siehst du genau, in welchen Tabellen wie viele Ersetzungen vorgenommen werden. Wenn dann alles in Ordnung ist, entfernst Du das Häkchen bei Testlauf und startest den Vorgang (E).

URLs in der Datenbank ersetzen

Suchen und Ersetzen der URL in der Datenbank

Step6: Umleitung von HTTP auf HTTPS einrichten

Damit generell alle Anfragen über HTTP zukünftig auf HTTPS umgeleitet werden, musst Du noch die .htacces-Datei anpassen. Diese kannst Du via FTP mit einem Texteditor bearbeiten. Vorher empfiehlt es sich, eine Sicherung der Datei anzulegen.

Füge einfach folgenden Redirect ein:

<IfModule mod_headers.c>

#Umleitung http zu https
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

</IfModule>

Step7: Mixed Content Fehler

Eigentlich sollten jetzt alle Seiten über HTTPS ausgeliefert werden. Vermutlich wird es aber auf einigen Seiten zu einer Mixed Content Warnung kommen. D.h. die Seite ist zwar SSL verschlüsselt, enthält aber noch unsichere HTTP URLs.

mixed content warnung

Mixed Content Warnung. Teile der Webseite (z.B. Bilder) sind nicht verschlüsselt. Also nicht sicher.

 

Häufige Ursachen für unsichere Inhalte:

  • Bilder, Hintergrundbilder in der style.css
  • Bilder, URLS, Werbeanzeigen in Widgets
  • Manuell eingebundene Skripte
  • Lokal eingebundene Schriften
  • Favicons

Um zunächst alle Unterseiten mit Warnungen zu finden, kannst du z.B. den SSL-Check von JitBit nutzen. Das Tool crawlt deine komplette Website und sucht nach unsicheren Inhalten wie Bildern, Skripten und Styles.

Anschließend nimmst du die betroffenen Seiten genauer unter die Lupe. Dazu verwendest du am besten die Entwickler-Tools deines Browsers.
Öffne die Seite mit der Warnmeldung und starte in Firefox oder Chrome die Browser-Tools mit STRG + SHIFT + i. Wenn du in den Reiter Console wechselst, siehst du alle Fehler.

mixed content fehler finden

Unsichere Inhalte in der Konsole aufspüren

Alternativ kannst du auch über das Online Tool Why No Padlock? deine Seite checken lassen.

Step8: Weitere Anpassungen

Sobald auch alle Mixed Content Fehler bereinigt sind, ist WordPress erfolgreich von HTTP auf HTTPS umgestellt.
Je nach individuellen Einstellungen sind jedoch noch ein paar zusätzliche Anpassungen erforderlich:

  • Falls du Canonical URLs nutzt, solltest du diese kurz prüfen. Ggf. musst du diese noch auf HTTPS umstellen.
  • Die Datei robots.txt prüfen und anpassen
  • Den Cache von Performance Plugins leeren

Step9: SSL Check

Zum Abschluss kannst du noch einen Check deiner SSL-Einstellungen machen. Mit dem Server Test von SSL Labs kannst du dir Details zu deiner SSL-Konfiguration anzeigen lassen. Als Testergebnis sollte ein A, besser ein A+ zu sehen sein.

ssl check ergebnis

SSL Report von Qualys SSL LABS

HST-Header aktivieren

Um ein A+ zu erhalten musst du noch den HST-Header aktivieren. Dazu musst du folgende Ergänzung in der .htaccess machen.

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=15768000; includeSubDomains" env=HTTPS
</IfModule>

Mit der Funktion HTTP Strict Transport Security (HSTS) wird festgelegt, dass die Webseite ausschließlich per HTTPS erreichbar ist.
Durch HSTS lässt der Browser alle Anfragen automatisch über HTTPS laufen. Selbst wenn der Benutzer die Adresse mit HTTP eingibt. Zudem wird so Google mitgeteilt, die sichere URL in den Suchergebnissen anzuzeigen.

Was du nach der Umstellung auf HTTPS noch erledigen musst

Im Prinzip ist jetzt alles auf der Webseite umgestellt. Nach einer kleinen Verschnaufpause solltest du dann noch externe Dienste und Backlinks updaten.

Step10: Google Search Console

google search console Property

Webseite als neue Property in den Webmaster Tools anlegen

Leider kann man in der Search Console nicht einfach die Adresse von HTTP auf HTTPS ändern, sondern muss die Webseite neu einreichen.
D.h. du musst zunächst die Seite mit HTTPS als eine neue Property hinzufügen und anschließend auch die Sitemap neu einreichen.

Um das Crawlen der Seite durch Google zu beschleunigen, kannst du Fetch as Google ausführen und an den Index senden wählen.

Falls du auch die Bing Webmaster Tools nutzt, musst du auch hier die Seite neu einreichen

Step11: Google Analytics

Falls du Analytics nutzt, musst du auch hier die verschlüsselte Web-Adresse eingeben. Wenigstens hier geht das mit einem Klick.

google analytics property

Standard-URL in Google Analytics aktualisieren

Danach solltest du nicht vergessen, die Verknüpfung der Property mit der Search Console zu erneuern.

Step12: Social Media Accounts updaten

  • Facebook Profil
  • Facebook App URL
  • Twitter Profil
  • Google: Google AdWords, Google Plus, Google Business, YouTube
  • Pinterest
  • Lokale Branchenverzeichnisse

Step13: Facebook Shares wiederherstellen?

Leider behandeln viele Social Media Plattformen die Umstellung der Webseite auf SSL wie einen Domainwechsel. D.h. alle Google+ und  Facebook Shares sind nun weg!
Bei Facebook sind die geteilten Inhalte zwar noch unter der HTTP-Variante vorhanden, werden aber nicht zur neuen HTTPS-Variante addiert.

Ein kurzer Vergleich:
Artikel mit HTTP-URL hat 10 Shares: http://graph.facebook.com/?id=http://www.webtimiser.de/contact-form-7-einrichten/

Gleicher Artikel mit HTTPS-URL hat 1 Share: http://graph.facebook.com/?id=https://www.webtimiser.de/contact-form-7-einrichten/

Eine wirklich gute Lösung für das Problem scheint es nicht zu geben. Bei meinen Recherchen bin ich auf ein kostenpflichtiges Social Sharing Plugin gestoßen, dass Abhilfe verspricht. Ob Social Warefare wirklich die Shares zurückbringt und ob es insgesamt empfehlenswert ist, kann ich leider nicht sagen.

Weitere Ansätze empfehlen den Facebook-Bot vom Redirect auszuschließen und die Share-Buttons anzupassen. Mir persönlich ist das alles zu aufwändig, zumal meine Share-Counts eher bescheiden waren… Aber du bist herzlich eingeladen, dies zu ändern 😉

Update: Inzwischen habe ich eine Anleitung geschrieben, wie du die Facebook Shares wieder zurückbekommen kannst.

Step14: Backlinks aktualisieren

Wenn möglich, solltest du versuchen die Backlinks zu deiner Seite von HTTP auf HTTPS umzustellen.

Step15: CDN-URLs aktualisieren

Falls Du ein CDN wie beispielsweise CloudFlare nutzt, musst du auch hier die geänderte Adresse hinterlegen

Nützliche WordPress HTTPS Plugins

Wer sich einige Schritte bei der SSL-Umstellung erleichtern möchte, kann folgende Plugins ausprobieren:

Really Simple SSL

Really Simple SSL

1-Klick Umstellung auf SSL

Really Simple SSL stellt deine Webseite automatisch auf https um. Dazu benötigst du lediglich ein eingerichtetes SSL-Zertifikat, den Rest erledigt das Plugin durch einen Klick.

Better Search Replace

Better search replace

Suchen & Ersetzen in der WordPress Datenbank mit Better Search Replace:

Better Search Replace ist ein sehr nützliches Tool, wenn man URLs oder Textpassagen in der Datenbank ersetzen möchte. Wie du es für die Umstellung von WordPress auf SSL nutzen kannst, habe ich unter Step4 beschrieben.

SSL Insecure Content Fixer

ssl content fixer

Unsichere Inhalte komfortabel beheben lassen

Das Plugin SSL Insecure Content Fixer bereinigt die meisten Mixed Content Fehler ohne großen Aufwand.

Fazit

Wie du siehst, ist die Umstellung von WordPress auf HTTPS nicht wirklich schwierig. Jedoch etwas zeitaufwändig, da man auch viele externe Services aktualisieren muss.