You are currently viewing WordPress von HTTP auf HTTPS (SSL) umstellen
Zuletzt aktualisiert:   - Sonia Rieder -  105 Kommentare

Vor einiger Zeit habe ich WordPress auf SSL (HTTPS) umgestellt. Warum? Die SSL Verschlüsselung erhöht nicht nur die Sicherheit der Seite, sondern bringt noch weitere Vorteile mit sich. Die WordPress SSL Umstellung an sich ist recht schnell und einfach erledigt. Einige Punkte werden jedoch häufig übersehen. Daher habe ich eine Step-by-Step Anleitung für dich geschrieben.

SSL – Vorteile & Nachteile

Seit Google SSL als Ranking-Faktor wertet, stellen immer mehr Webmaster ihre Seiten auf HTTPS um. Doch gibt es noch einige andere, wichtigere Vorteile der SSL Verschlüsselung:

  • Sicherheit: Die Verbindung zur Webseite ist sicher. D.h. Login-Daten oder Formular-Daten sind geschützt.
  • Vertrauen: Das grüne Schloss in der Adressleiste signalisiert Sicherheit und schafft Vertrauen beim Benutzer. Besonders wichtig, wenn man Dienstleistungen anbietet.
  • Rankingfaktor: Google selbst spricht lediglich von einem Ranking Signal durch HTTPS. Aber ein kleiner Ranking Bonus sollte bemerkbar sein.
  • Bessere Performance: Die Voraussetzung für das schnellere HTTP/2 ist SSL. Durch den neuen Webstandard werden Seiten deutlich schneller geladen.
  • Datenschutz: Verschlüsselung persönlicher Daten, die z.B. über ein Kontaktformular gesendet werden. Das ist vor allem für die DSGVO wichtig.

Natürlich gibt es auch Nachteile durch die Umstellung:

  • Aufwand (einmalig): Die eigentliche Umstellung geht zwar recht schnell, jedoch muss man im Anschluss einige Punkte abarbeiten.
  • Kosten: Nicht jeder kann oder möchte ein kostenloses Zertifikat einrichten. Je nach Anbieter und benötigtem Zertifikatstyp entstehen also Kosten.
  • Social Shares: Shares von Google+ und Facebook gehen bei der Umstellung leider verloren.
  • Schlechtere Performance: Durch SSL kann der PageSpeed der Seite geringfügig sinken, sofern kein HTTP/2 verfügbar ist.

So stellst du WordPress auf SSL (HTTPS) um

Sobald das SSL Zertifikat eingerichtet ist, kannst du mit der eigentlichen WordPress SSL Umstellung loslegen. Ich hoffe, meine Anleitung hilft dir weiter!

Step1: SSL Zertifikat kaufen und einrichten

Bevor du WordPress auf HTTPS umstellen kannst, benötigst du natürlich ein SSL Zertifikat. Im besten Fall kannst du dieses direkt über deinen Hoster beziehen. Einige bieten neben kostenpflichtigen Zertifikaten auch die Unterstützung für das kostenlose LetsEncrypt SSL, wie z.B. Raidboxes oder ALL-INKL.

Sobald das Zertifikat erstellt wurde, kannst du es für deine Domain aktivieren. Der genaue Vorgang hängt vom gewählten Zertifikat und Hoster ab. Bei meinem Hoster war die Einrichtung absolut problemlos und gut dokumentiert.

Step2: Backup erstellen

 
Wie bei allen Änderungen an einer Webseite, solltest du vorher ein WordPress Backup machen. Nur zur Sicherheit.

Step3: Admin Bereich von WordPress auf SSL umstellen

Am besten überprüfst du zunächst, ob der WordPress Login mit SSL funktioniert. Dazu nutzt du bei WordPress SSL erzwingen über die Datei wp-config.php. Diese findest du im WordPress-Verzeichnis auf dem FTP-Server.
Dort fügst du folgendes ein:

define('FORCE_SSL_ADMIN', true);

Anschließend sollte der Login-Bereich verschlüsselt sein und in der Browser-Leiste so aussehen:

Step4: WordPress Adresse ändern

Unter Einstellungen > Allgemein musst Du nun die URL deiner WordPress-Adresse und die deiner Website-Adresse ändern. Also WordPress von http auf https ändern.

WordPress SSL: Seiten-Adresse ändern
WordPress Adresse von http auf https umstellen

Step5: URLs ersetzen

Damit auch die anderen URLs wie z.B. interne Links oder Bilder auf HTTPS umgestellt werden, musst du noch die Einträge in der Datenbank anpassen.

Am einfachsten kannst Du die URLs mit dem Plugin Better Search Replace ersetzen.
Dazu gibst Du in das erste Feld (A) die alte URL ein und in das zweite Feld (B) die neue.

Also Suche nach: http://www.deineseite.de
Ersetzen durch: https://www.deineseite.de

Anschließend markierst Du alle Tabellen (C), in denen die URL ersetzt werden soll. Falls Du unsicher bist, markiere einfach alle.
Bevor du den Vorgang startest, kannst du erst mal einen Testlauf (D) anstoßen. So siehst du genau, in welchen Tabellen wie viele Ersetzungen vorgenommen werden. Wenn dann alles in Ordnung ist, entfernst Du das Häkchen bei Testlauf und startest den Vorgang (E).

URLs in der Datenbank ersetzen
Suchen und Ersetzen der URL in der Datenbank

Slider Revolution Bild-URLs ersetzen

Leider funktioniert das automatische Ersetzen von URLs nicht immer. Schuld sind oft Plugins wie beispielsweise Galerie- oder Slider-Plugins. Falls du Slider Revoltion nutzt, gibt es hier aber eine gute Möglichkeit, die Bild-URLs zu ersetzen.

Unter „Slider Eisntellungen“ gibt es rechts unten eine Meta-Box für Import / Export / Replace. Ähnlich wie bei Better Search Replace, kannst du hier die alte URL durch die neue ersetzen.

Screenshot Slider Revolution URLs ersetzen
Bild-URLs in Slider Revolution ersetzen

Step6: Umleitung von HTTP auf HTTPS einrichten

Damit generell alle Anfragen über HTTP zukünftig auf HTTPS umgeleitet werden, musst Du noch die .htacces-Datei anpassen. Diese kannst Du via FTP mit einem Texteditor bearbeiten. Vorher empfiehlt es sich, eine Sicherung der Datei anzulegen.

Füge einfach folgenden Redirect ein:

<IfModule mod_headers.c>
#Umleitung http zu https
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Am besten fügst du den Redirect ganz am Anfang der  .htaccess ein, um Probleme zu vermeiden.

Step7: Mixed Content Fehler

Eigentlich sollten jetzt alle Seiten über HTTPS ausgeliefert werden. Vermutlich wird es aber auf einigen Seiten zu einer Mixed Content Warnung kommen. D.h. die Seite ist zwar SSL verschlüsselt, enthält aber noch unsichere HTTP URLs.

mixed content warnung
Mixed Content Warnung. Teile der Webseite (z.B. Bilder) sind nicht verschlüsselt. Also nicht sicher.

Häufige Ursachen für unsichere Inhalte:

  • Bilder, Hintergrundbilder in der style.css
  • Bilder, URLS, Werbeanzeigen in Widgets
  • Manuell eingebundene Skripte
  • Lokal eingebundene Schriften
  • Favicons

Um zunächst alle Unterseiten mit Warnungen zu finden, kannst du z.B. den SSL-Check von JitBit nutzen. Das Tool crawlt deine komplette Website und sucht nach unsicheren Inhalten wie Bildern, Skripten und Styles.

Anschließend nimmst du die betroffenen Seiten genauer unter die Lupe. Dazu verwendest du am besten die Entwickler-Tools deines Browsers.
Öffne die Seite mit der Warnmeldung und starte in Firefox oder Chrome die Browser-Tools mit STRG + SHIFT + i. Wenn du in den Reiter Console wechselst, siehst du alle Fehler.

mixed content fehler finden
Unsichere Inhalte in der Konsole aufspüren

Alternativ kannst du auch über das Online Tool Why No Padlock? deine Seite checken lassen.

Die Behebung von Mixed Content Fehlern wird immer wichtiger! Denn ab Ende 2019 wird Google Chrome beginnen, solche Inhalte zu blockieren.

In a series of steps starting in Chrome 79, Chrome will gradually move to blocking all mixed content by default.

Emily Stark & Carlos Joan Rafael Ibarra Lopez (Chrome security team)

Step8: Weitere Anpassungen

Sobald auch alle Mixed Content Fehler bereinigt sind, ist WordPress erfolgreich von HTTP auf HTTPS umgestellt.
Je nach individuellen Einstellungen sind jedoch noch ein paar zusätzliche Anpassungen erforderlich:

  • Falls du Canonical URLs nutzt, solltest du diese kurz prüfen. Ggf. musst du diese noch auf HTTPS umstellen.
  • Die Datei robots.txt prüfen und anpassen
  • Den Cache von Performance Plugins leeren

Step9: SSL Check

Zum Abschluss kannst du noch einen Check deiner SSL-Einstellungen machen. Mit dem Server Test von SSL Labs kannst du dir Details zu deiner SSL-Konfiguration anzeigen lassen. Als Testergebnis sollte ein A, besser ein A+ zu sehen sein.

ssl check ergebnis
SSL Report von Qualys SSL LABS

HST-Header aktivieren

Um ein A+ zu erhalten musst du noch den HST-Header aktivieren. Dazu musst du folgende Ergänzung in der .htaccess machen.

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=15768000; includeSubDomains" env=HTTPS
</IfModule>

Mit der Funktion HTTP Strict Transport Security (HSTS) wird festgelegt, dass die Webseite ausschließlich per HTTPS erreichbar ist.
Durch HSTS lässt der Browser alle Anfragen automatisch über HTTPS laufen. Selbst wenn der Benutzer die Adresse mit HTTP eingibt. Zudem wird so Google mitgeteilt, die sichere URL in den Suchergebnissen anzuzeigen.

Was du nach der Umstellung auf HTTPS noch erledigen musst

Im Prinzip ist jetzt alles auf der Webseite erledigt und die WordPress SSL Umstellung ist abgeschlossen. Nach einer kleinen Verschnaufpause solltest du dann aber noch externe Dienste und Backlinks updaten.

Step10: Google Search Console

google search console Property auf SSL umstellen
Webseite als neue Property in den Webmaster Tools anlegen

Leider kann man in der Search Console nicht einfach die Adresse von HTTP auf HTTPS ändern, sondern muss die Webseite neu einreichen.
D.h. du musst zunächst die Seite mit HTTPS als eine neue Property hinzufügen und anschließend auch die Sitemap neu einreichen.

Um das Crawlen der Seite durch Google zu beschleunigen, kannst du Fetch as Google ausführen und an den Index senden wählen.

 
Falls du auch die Bing Webmaster Tools nutzt, musst du auch hier die Seite neu einreichen.

Step11: Google Analytics

Falls du Analytics nutzt, musst du auch hier die verschlüsselte Web-Adresse eingeben. Wenigstens hier geht das mit einem Klick.
Dazu musst Du nur unter > Verwaltung > Property-Einstellungen die Standard-URL anpassen.

google analytics property
Standard-URL in Google Analytics aktualisieren

Danach solltest du nicht vergessen, die Verknüpfung der Property mit der Search Console zu erneuern.

Step12: Social Media Accounts updaten

  • Facebook Profil
  • Facebook App URL
  • Twitter Profil
  • Google: Google AdWords, Google Plus, Google Business, YouTube
  • Pinterest
  • Lokale Branchenverzeichnisse

Step13: Facebook Shares wiederherstellen?

Leider behandeln viele Social Media Plattformen die Umstellung der Webseite auf SSL wie einen Domainwechsel. D.h. alle Google+ und  Facebook Shares sind nun weg!
Bei Facebook sind die geteilten Inhalte zwar noch unter der HTTP-Variante vorhanden, werden aber nicht zur neuen HTTPS-Variante addiert.

Ein kurzer Vergleich:
Artikel mit HTTP-URL hat 10 Shares: https://graph.facebook.com/?id=http://www.webtimiser.de/contact-form-7-einrichten/

Gleicher Artikel mit HTTPS-URL hat 1 Share:https://graph.facebook.com/?id=https://www.webtimiser.de/contact-form-7-einrichten/

Eine wirklich gute Lösung für das Problem scheint es nicht zu geben. Bei meinen Recherchen bin ich allerdings auf das kostenpflichtiges Social Sharing Plugin Social Warfare gestoßen, das Abhilfe verspricht.

Update: Inzwischen nutze ich Social Warfare selbst und kann es absolut empfehlen. Es hat bei meinen Artikeln alle Shares wiederhergestellt und zeigt sogar die Shares für Twitter an.
social warfare pro
Social Warfare Pro: sehr empfehlenswertes Social Media Plugin, das auch Shares zurückbringt

Weitere Ansätze empfehlen den Facebook-Bot vom Redirect auszuschließen und die Share-Buttons anzupassen. Auch ich habe es auprobiert und dazu eine Anleitung geschrieben, wie du die Facebook Shares wieder zurückbekommen kannst. Dazu benötigst Du aber das SEO-Plugin Yoast.

Mir persönlich ist die manuelle Anpassung zu aufwändig, zumal meine Share-Counts eher bescheiden waren… Aber du bist herzlich eingeladen, dies zu ändern 😉

Step14: Backlinks aktualisieren

Wenn möglich, solltest du versuchen die Backlinks zu deiner Seite von HTTP auf HTTPS umzustellen.

Step15: CDN-URLs aktualisieren

Falls Du ein CDN wie beispielsweise CloudFlare nutzt, musst du auch hier die geänderte Adresse hinterlegen

Nützliche WordPress SSL Plugins

Wer sich einige Schritte bei der SSL-Umstellung erleichtern möchte, kann folgende Plugins ausprobieren:

Really Simple SSL

Really Simple SSL
1-Klick Umstellung auf SSL

Really Simple SSL stellt deine Webseite automatisch auf https um. Dazu benötigst du lediglich ein eingerichtetes SSL-Zertifikat, den Rest erledigt das Plugin durch einen Klick.

Better Search Replace

Better search replace
Suchen & Ersetzen in der WordPress Datenbank mit Better Search Replace:

Better Search Replace ist ein sehr nützliches Tool, wenn man URLs oder Textpassagen in der Datenbank ersetzen möchte. Wie du es für die Umstellung von WordPress auf SSL nutzen kannst, habe ich unter Step4 beschrieben.

SSL Insecure Content Fixer

ssl content fixer
Unsichere Inhalte komfortabel beheben lassen

Das Plugin SSL Insecure Content Fixer bereinigt die meisten Mixed Content Fehler ohne großen Aufwand.

Fazit

Wie du siehst, ist die Umstellung von WordPress auf HTTPS nicht wirklich schwierig. Jedoch etwas zeitaufwändig, da man auch viele externe Services aktualisieren muss.