WordPress auf SSL umstellen

Deine Website läuft immer noch nicht verschlüsselt über eine SSL Verbindung? Für deine WordPress Website zeige ich dir, wie du SSL Verschlüsselung aktivierst und wie du http:// URLs auf  https:// URLs weiterleitest.

Wie stellt man WordPress auf SSL um?

Um WordPress auf SSL umzustellen sind ein paar Schritte nötig. Wer überhaupt nichts mit Webseiten am Hut hat, der sollte hier lieber jemanden ran lassen, der sich damit auskennt. Für alle anderen:

1. Datensicherung
   Bevor man auf SSL umstellt, macht man eine Datensicherung der kompletten Webseite. Das entweder über ein Plugin wie BackWpUp oder UpdraftPlus oder man vertraut auf die Datensicherung, die hoffentlich der Webhoster nachts anwirft. Meine Tipp: Erst checken, ob eine Sicherung der Dateien und vor allem der Datenbank vorliegt, die aktuell ist und zurückgespielt werden könnte.
2. Zertifikat einrichten (lassen)
   Man benötigt für SSL Verschlüsselung ein Zertifikat für die entsprechende Domain. Dieses kauft man oder holt sich ein kostenfreies beim Hoster wo die Domain liegt (meist ist das der Hoster, bei dem auch die Website liegt). Mein Tipp: Am besten den Webhoster fragen. Dieser richtet SSL Zertifikate bequem für Kunden ein. Entweder kostenpflichtige oder kostenlose (wenn der Hoster das unterstützt; zB über Let’s encrypt). Und: Erst weitermachen, wenn die eigene Webseite schon per https:// erreichbar ist. Wie erkennen? Fehlermeldungen wie die folgenden sollten nicht auftreten, wenn die Website per https:// aufgerufen wird:

   Chrome:
   „Diese Verbindung ist nicht sicher“ oder „Ihre Verbindung ist nicht privat“ (NET::ERR_CERT_AUTHORITY_INVALID oder ähnlich).

   Firefox:
   „Warnung: Mögliches Sicherheitsrisiko erkannt“ (SEC_ERROR_UNKNOWN_ISSUER oder ähnlich).

   Edge:
   „Diese Website ist nicht sicher“ oder „Ihre Verbindung ist nicht privat“.

   Safari:
   „Safari kann die Identität der Website nicht bestätigen“.

3.  Änderung aller URLs von http auf https in der WordPress Datenbank
   Die in der Datenbank gespeicherten URLs der Website müssen umgestellt werden auf die neue Version. Sie sind mit http:// gespeichert und müssen auf https:// umgestellt werden.
   Das erledigt man am besten mit Hilfe eines Plugins wie WP Migrate DB Pro (siehe Screenshot) oder Better Search Replace. Mein Tipp: Stellt man die URLs nicht um, kann es zu Fehldarstellungen in WordPress kommen.
   

   Über Migrate DB Pro kannst du einfach die URLs in der Datenbank auf https: umstellen

4. Umstellen der WordPress Adresse
   Dann macht es Sinn noch zusätzlich in der wp-config.php hart die neue Domain einzutragen. So manches Migrationsproblem hat sich durch diese Absicherung gelöst.
   Man trägt die folgenden beiden Einträge in der wp-config.php im root-Verzeichnis der WordPress-Installation ein und gibt somit WordPress die neue Verschlüsselung bekannt.

   define('WP_SITEURL', 'https://www.meinedomain.de');
   define('WP_HOME', 'https://www.meinedomain.de');

5. Weiterleitung aller Adressen von http:// auf https://
   Ausserdem müssen dann noch alle Aufrufe der nicht verschlüsselten Seiten auf die SSL-verschlüsselte Version weitergeleitet werden mit 301 redirect. Hierzu fügt man den folgenden Eintrag in die .htaccess-Datei im root-Verzeichnis der WordPress-Installation ein. Aber bitte vor die Rewrites, die von WordPress selber mitkommen (also einfach oben anfügen).

   RewriteEngine On
   RewriteCond %{HTTPS} !=on
   RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

   Diese Lösung funktioniert nicht bei allen Webhostern. Manchesmal führt sie zu einem Fehler, bei dem „zu oft weitergeleitet“ wird. In diesem Fall probiert man folgende Variante:

   RewriteEngine On
   RewriteCond %{SERVER_PORT} 80
   RewriteRule ^(.*)$ https://www.meinedomain.de/$1 [L,R=301]

6. Weiterleitung aller Adressen einer Domain in einer Multisite von http:// auf https://
   Hat man übrigens eine Multisite im Einsatz und möchte nur eine der dort eingerichteten Domains auf SSL umstellen, muss man den folgenden Code in der .htaccess-Datei einbauen um die http://-Adressen umzuleiten.

   RewriteEngine On
   RewriteCond %{SERVER_PORT} !=443
   RewriteCond %{HTTP_HOST} ^meinedomain\.de.* [OR]
   RewriteCond %{HTTP_HOST} ^www\.meinedomain\.de.*
   RewriteRule ^ https://www.meinedomain.de%{REQUEST_URI} [L,R=301]

7. Hartcodierte Verlinkungen umstellen
   Manch selbstgebasteltes oder auch schlampig programmiertes Theme beinhaltet vielleicht Links auf Scripte oder Bilder, die mit http:// eingebunden wurden. Diese müssen ebenso auf https:// umgestellt werden. Ansonsten wird die Verschlüsselung abgelehnt aufgrund von „mixed content“. Das betrifft typischerweise Verweise auf:
   – Google Fonts
   – VGWort Scripte
   – Hintergrundbilder in der style.css (Klassiker!)
   – favicons
   – …
   Mein Tipp: Am besten zieht man sich das ganze (Child)Themeverzeichnis auf den lokalen Rechner und durchsucht dieses nach „http://“.
8. Testen
   Hat man all diese Schritte erledigt, testet man die Site und auch das WP Dashboard von vorne bis hinten.
9. Umstellung weiterführen in Plugins und Themes (zB SSL Umstellung in Elementor Seiten)
   Manche Plugins oder Themes erfordern das neue Speichern der SSL Verschlüsselung. Insofern nach den hier genannten Schritten noch Probleme auftauchen, wie beispielsweise Mixed Content, dann sollte geprüft werden ob diese Plugins oder das genutzte Theme nicht ebenfalls von der SSL Umstellung in Kenntnis gesetzt werden müssen. Elementor zum Beispiel speichert die Domain separat und kann durch die Migration mit Migrate DB Pro nicht ebenfalls angepasst werden. Hier hat Elementor aber unter Werkzeuge die Möglichkeit geschaffen die geänderte URL zu speichern. Dafür klickt man die im Screenshot markierten beiden Buttons.
   

---

WordPress mit Plugin auf SSL umstellen

Wer wirklich gar keine Ahnung hat, über was ich hier schreibe, der sollte vielleicht eher einen Fachmann die Umstellung durchführen lassen oder versucht sich mit einem Plugin. Really Simple SSL verrichtet hier zuverlässig seinen Dienst. Dennoch empfehle ich auf eine manuelle Umstellung zu setzen, da diese in der Regel sauber und einfach funktioniert und eben die Verwendung eines Plugins unnötig wird. Fast jedes weitere genutzte Plugin macht WP langsamer (hierzu gibt es zumindest bei Really Simple SSL auch Hinweise von Nutzern) und erhöht das Risiko irgendwann auf einer schwerer zu wartenden Webseite zu sitzen.

Zudem kommt man leider nicht weiter mit Really Simple SSL, wenn noch im Theme Anpassungen durchgeführt werden müssen, weil dort hartcodierte http:// Links gesetzt wurden. Bzw. weiter kommt man schon, nur werden diese dann grundsätzlich per Weiterleitung behandelt, was für Suchmaschinen suboptimal ist. Wer es quick and dirty mag, kann aber durchaus mit Really Simple SSL versuchen.

---

Wo kriege ich ein SSL Zertifikat für meine WordPress-Webseite?

Kostenlose Zertifikate über den Webhoster
Der Anbieter Let’s Encrypt bietet kostenlose SSL-Zertifikate an. Für eine grundlegende Verschlüsselung reicht das vollkommen aus. Viele Webhoster integrieren die Einrichtung direkt im Hosting-Backend (z. B. All-Inkl.), sodass du dich um nichts kümmern musst.

Kostenpflichtige Zertifikate
Diese Zertifikate kosten je nach Typ zwischen 15 € und mehreren hundert Euro pro Jahr. Anbieter wie die PSW Group oder DigiCert stellen solche Zertifikate aus. Falls dein Webhoster keine direkte Bestellung ermöglicht, kannst du ein Zertifikat bei einem Anbieter kaufen und es anschließend bei deinem Webhoster einbinden lassen. Mein Tipp: Falls möglich, bestelle das Zertifikat direkt beim Webhoster – das spart Zeit und Aufwand.

Welche Zertifikate sind besser?
Die Frage ist nicht, ob kostenlose oder kostenpflichtige Zertifikate „besser“ sind – es kommt auf den Anwendungsfall an. Kostenpflichtige Zertifikate bieten zusätzliche Vorteile wie Unternehmensvalidierung (OV) oder erweiterte Validierung (EV), die Vertrauen schaffen können. Allerdings wurde die grüne Adressleiste für EV-Zertifikate mittlerweile aus den Browsern entfernt. Für Standardverschlüsselung sind kostenlose Zertifikate völlig ausreichend.

---

Gründe, wieso man seine WordPress-Webseite auf SSL umstellen sollte

Datenschutz und DSGVO: SSL als Pflicht
Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass personenbezogene Daten sicher übertragen werden. Dazu gehören zum Beispiel Kontaktformulare, Logins oder Bestellungen. Ohne SSL besteht das Risiko von Datenlecks – und das kann nicht nur das Vertrauen der Nutzer, sondern auch rechtliche Konsequenzen nach sich ziehen. Eine verschlüsselte Verbindung ist daher nicht nur sinnvoll, sondern in vielen Fällen verpflichtend.

SSL ist für Google ein Rankingfaktor
Google empfiehlt Webseitenbetreibern schon seit Jahren, ihre Seiten zu verschlüsseln. Zwar ist SSL nur ein kleiner Rankingfaktor, aber es trägt zur Vertrauenswürdigkeit bei. Zudem ermöglicht SSL die Nutzung von HTTP/2, was die Ladegeschwindigkeit verbessert – und Geschwindigkeit ist ein wichtiger Rankingfaktor für Google.

Browser warnen vor unsicheren Webseiten
Moderne Browser wie Google Chrome und Firefox markieren unverschlüsselte Webseiten als „nicht sicher“. Besonders bei Formularen, Logins oder Bezahlvorgängen kann das potenzielle Besucher abschrecken. Wer eine seriöse Webseite betreibt, sollte daher zwingend auf SSL umstellen.

Bessere Außenwirkung durch SSL-Verschlüsselung
Nicht nur Google, sondern auch deine Besucher sehen SSL als Zeichen für Sicherheit. Wer ein Kontaktformular ausfüllt oder eine Bestellung aufgibt, fühlt sich wohler, wenn die Daten verschlüsselt übertragen werden.

Schnellere WordPress-Webseite mit SSL-Verschlüsselung und HTTP/2
SSL ist Voraussetzung für HTTP/2, eine Technologie, die Webseiten schneller macht, indem sie mehrere Anfragen gleichzeitig verarbeitet. Fast alle Webhoster unterstützen inzwischen HTTP/2 – aber nur mit aktivierter SSL-Verschlüsselung.

Voraussetzung für Zertifizierungen schaffen
Wer seinen Onlineshop mit einem TÜV- oder Trusted Shops-Siegel auszeichnen lassen möchte, braucht eine SSL-Verschlüsselung. Ohne sie sind viele Zertifizierungen gar nicht möglich.

---

Risiken durch SSL Verschlüsselung

Webseite wird langsamer durch SSL Verschlüsselung

Gegner der Verschlüsselung prangern oft die nachlassende Performance einer Webseite nach der Verschlüsselung an. Die Wahrheit ist, dass das die meisten Webseitenbetreiber nicht betrifft. Nur wer hochperformante Systeme mit sehr viel Traffic betreibt, muss auf jedes Zehntel-Prozent Last schauen. Das trifft auf sehr wenige Webseiten zu. In Kombination mit http/2 wird dieses vermeintliche Risiko sowieso aufgehoben.

Weniger Werbeeinnahmen für z.B. WordPress-Blogs

Tatsächlich liefern Google und andere Werbetreibende Werbung nicht immer in https:// aus. Das heißt eine Webseite, die über Werbung betrieben wird, hat weniger potentielle Anzeigen zur Verfügung. Das kann zu weniger Einnahmen nach der SSL Umstellung führen. Allerdings teile ich die Erfahrung nicht und ich denke, dass künftig alle Werbeanbieter hier immer mehr auf https:// setzen werden.

Scripte laufen nicht mehr

Wie oben im Ablauf der Umstellung SSL beschrieben, müssen auch externe Scripts per https:// eingeladen werden. Ansonsten wird es nix aus der Verschlüsselung. Bietet der externe Anbieter wiederrum keine Verschlüsselung, kann man auch nicht per https:// anfordern. Das bedeutet es könnte sein, dass gewohnte Features nicht mehr funktionieren. In der Regel bieten externe Anbieter https://. Aber man sollte es zumindest vor der Umstellung abklären.

WordPress SSL-Umstellung fehlgeschlagen?

Dann meldet man sich am besten bei einem Fachmann. Im akuten Fall, lässt man vom Webhoster erstmal die letzte Sicherung wieder einspielen.

---

Häufige Fragen zur WordPress SSL Umstellung

Wieso sollte man WordPress Websites auf SSL umstellen?

Laut DSGVO ist die Auslieferung von Kontaktformularen oder das Nutzen jeglicher Website-Funktionen über die personenbezogene Daten erhoben werden können über eine SSL Verschlüsselung abzusichern. Zudem zeigen moderne Browser mittlerweile Hinweise auf unsichere Verbindungen in den Adressleisten an, wenn kein https verwendet wird. Daher sollten auch WP Websites verschlüsselt werden.

Ist SSL ausreichend um eine WP Website securitytechnisch abzusichern?

Der Sinn hinter SSL ist es, die Kommunikation zwischen der Website und Servern zu verschlüsseln, so dass diese Daten nicht ohne Weiteres abgehört werden können. Das bringt eine gewisse Datensicherheit für die User dieser Websites mit sich. Allerdings handelt es sich bei der SSL Verschlüsselung um keine Technik um Websites ansich securitytechnisch vor Angriffen zu schützen. Hierzu ist der Einsatz von Firewalls sinnvoll, als auch das regelmäßige Einspielen von Updates in allen Bestandteilen und das Führen eines Backups.

Was kostet ein SSL Zertifikat?

SSL Zertifikate sind bei den meisten Hostern bereits kostenlos verfügbar (z.B. über Let's encrypt). Es gibt aber auch Zertifikate, bei denen die Inhaberschaft einer Domain/Website geprüft wird nach einem unterschiedlich aufwändigen Prozess. Je nachdem erhält man dann ggfs. eine grüne Adressleiste. Allerdings haben einige Browser die Darstellung der grünen Adressleiste bereits eingestellt, so dass der User die Art des Zertifikats nicht mehr erkennen kann ohne tiefer in die Zertifikat-Informationen hineinzuschauen.

Was ist SSL?

SSL bedeutet Secure Sockets Layer und ist eine um Daten im Netz zwischen der Website und Servern zu verschlüsseln und so sensible Daten zu schützen.

Was ist der Unterschied zwischen http und https?

Bei http und https handelt es sich um Protokolle mit deren Hilfe Daten übertragen werden können. Bei HTTPS (Hypertext Transfer Protocol Secure) werden die Daten abhörsicher übertragen. Zum Beispiel vom Server zum Browser. Als Voraussetzung für die Verschlüsselung per HTTPS ist ein SSL Zertifikat nötig.

Wo erhalte ich ein SSL Zertifikat?

Bei den meisten Webhostern lassen sich SSL Zertifikate bequem bestellen. Meist geschieht das sogar automatisch über Funktionen im Backend des Hosters. Wenn der Hoster kein SSL Zertifikat bereitstellen kann, können diese bei externen Brokern gemietet werden. Anschließend können diese externen SSL Zertifikate auf dem self hosted oder managed Server eingerichtet werden.

Ist Let's encrypt ein ausreichendes SSL Zertifikat?

Ein Let's encrypt Zertifikat ist ein genauso sicheres Zertifikat wie kostenpflichtige SSL Zertifikate. Es erfüllt also den gleichen Zweck. Lediglich die Prüfung auf Inhaberschaft bezüglich der zu sichernden Domain ist hier mehr oder weniger umgangen.

Wie schalte ich SSL in einer Multisite von WordPress ein?

Im Prinzip muss SSL auf jeder Domain aktiviert werden über Hoster, die in der Multisite gemappt bzw. aktiviert wurde. Dann lässt sich die jeweilige Website auch bezüglich der Website-Adresse anpassen (ggfs. muss die Datenbank migriert werden).

Kann ich einfach meine Website Adresse bei der SSL Umstellung ändern?

Das kann in vielen Fällen gut gehen, geht aber leider auch in einigen Versuchen schief. Das Problem ist, dass in der Datenbank die Länge der URL inkl. des http/https Protokolls als Hashwert gespeichert wird. Ändert sich die URL, indem bei https der Buchstabe s in der Seiten-URL angefügt wird, werden diese Hashwerte ungültig. Die Folge kann sein, dass Einstellungen in Themes, Plugins oder Widgets verloren gehen. Daher ist es ratsam die Datenbank zu migrieren. Spezielle Plugins (Hinweise siehe oben) helfen bei dieser Migration.