WordPress auf SSL umstellen

Aktuell ist es in aller Munde (zumindest wenn es um Webseiten geht), dass Webseiten auf SSL Verschlüsselung und somit https:// umgestellt werden sollten. Am Beispiel WordPress zeige ich auf, wie man das macht und wie man http:// URLs auf  https:// URLs weiterleitet. (Stand 06.04.2017)

Wie stellt man WordPress auf SSL um?

Um WordPress auf SSL umzustellen sind ein paar Schritte nötig. Wer überhaupt nichts mit Webseiten am Hut hat, der sollte hier lieber jemanden ran lassen, der sich damit auskennt. Für alle anderen:

  1. Datensicherung
    Bevor man auf SSL umstellt, macht man eine Datensicherung der kompletten Webseite. Das entweder über ein Plugin wie BackWpUp oder man vertraut auf die Datensicherung, die hoffentlich der Webhoster nachts anwirft. Meine Tipp: Erst checken, ob eine Sicherung der Dateien und vor allem der Datenbank vorliegt, die aktuell ist und zurückgespielt werden könnte.
  2. Zertifikat einrichten (lassen)
    Man benötigt für SSL Verschlüsselung ein Zertifikat für die entsprechende Domain. Dieses kauft man oder holt sich ein kostenfreies. Mein Tipp: Am besten den Webhoster fragen. Dieser richtet SSL Zertifikate bequem für Kunden ein. Entweder kostenpflichtige oder kostenlose (wenn der Hoster das unterstützt). Und: Erst weitermachen, wenn die eigene Webseite schon per https:// erreichbar ist.
  3.  Änderung aller URLs von http auf https in der WordPress Datenbank
    Das erledigt man am besten mit Hilfe eines Plugins wie WP Migrate DB Pro (< 20% Rabatt über diesen Link) (siehe Screenshot). Mein Tipp: Stellt man die URLs nicht um, kann es zu Fehldarstellungen in WordPress kommen.
  4. Umstellen der WordPress Adresse
    Man trägt die folgenden beiden Einträge in der wp-config.php im root-Verzeichnis der WordPress-Installation ein und gibt somit WordPress die neue Verschlüsselung bekannt.

    define('WP_SITEURL', 'https://www.meinedomain.de');
    define('WP_HOME', 'https://www.meinedomain.de');
  5. Weiterleitung aller Adressen von http:// auf https://
    Ausserdem müssen noch alle Aufrufe der nicht verschlüsselten Seiten auf die SSL-verschlüsselte Version weitergeleitet werden mit 301 redirect. Hierzu fügt man den folgenden Eintrag in die .htaccess-Datei im root-Verzeichnis der WordPress-Installation ein. Aber bitte vor die Rewrites, die von WordPress selber mitkommen.

    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    Diese Lösung funktioniert nicht bei allen Webhostern. Manchesmal führt sie zu einem Fehler, bei dem „zu oft weitergeleitet“ wird. In diesem Fall probiert man folgende Variante:

    RewriteEngine On
    RewriteCond %{SERVER_PORT} 80
    RewriteRule ^(.*)$ https://www.meinedomain.de/$1 [L,R=301]
  6. Weiterleitung aller Adressen 1 Domain in einer Multisite von http:// auf https://
    Hat man übrigens eine Multisite im Einsatz und möchte nur eine der dort eingerichteten Domains auf SSL umstellen, muss man den folgenden Code in der .htaccess-Datei einbauen um die http://-Adressen umzuleiten.

    RewriteEngine On
    RewriteCond %{SERVER_PORT} !=443
    RewriteCond %{HTTP_HOST} ^meinedomain\.de.* [OR]
    RewriteCond %{HTTP_HOST} ^www\.meinedomain\.de.*
    RewriteRule ^ https://www.meinedomain.de%{REQUEST_URI} [L,R=301]
  7. Hartcodierte Verlinkungen umstellen
    Manch selbstgebasteltes oder auch schlampig programmierte Theme beinhaltet vielleicht Links auf Scripte oder Bilder, die mit http:// eingebunden wurden. Diese müssen ebenso auf https:// umgestellt werden. Ansonsten wird die Verschlüsselung abgelehnt aufgrund von „mixed content“. Das betrifft typischerweise Verweise auf:
    – Google Fonts
    – VGWort Scripte
    – Hintergrundbilder in der style.css
    – favicons
    – …
    Mein Tipp: Am besten zieht man sich das ganze Themeverzeichnis auf den lokalen Rechner und durchsucht dieses nach „http://“.
  8. Testen
    Hat man all diese Schritte erledigt, testet man die Site und auch das WP Dashboard von vorne bis hinten.

Wo kriege ich ein SSL Zertifikat für meine WordPress-Webseite?

Kostenlose Zertifikate über den Webhoster

Der Anbieter Let’s encrypt bietet kostenlose SSL Zertifikate an. Gerade für einfache Verschlüsselung reicht dies vollkommen aus. Manche Webhoster bieten die Einrichtung direkt aus dem Webhoster-Backend heraus (zB All-Inkl.). Wer aber Verschlüsselung mit Unternehmensprüfung benötigt, um z.B. eine grüne Adressleiste zu erhalten, der kommt um ein kostenpflichtiges Zertifikat nicht herum.

Beispiel einer grünen Adressleiste durch ein spezielles EV Zertifikat:

Kostenpflichtige Zertifikate

Diese Zertifikate kosten je nach Ausführung zwischen 15€ und ein paar hundert € im Jahr. Anbieter wäre z.B. die PSW Group. Hier holt man sich das Zeritifikat und geht dann mit den Zertifikatsschlüsseln zu seinem Webhoster, der dieses einbinden kann. Mein Tipp: Wenn möglich holen Sie das Zertifikat direkt bei Ihrem Webhoster. Dann haben Sie damit am wenigsten Aufwand.

Welche Zertifikate sind besser?

Ob kostenloses oder kostenpflichtiges Zeritifikat besser sind? Die Frage stellt sich nicht. Kostenpflichtige Zertifikate bieten generell mehr (unter Umständen schneller, bessere Verschlüsselung, Vorabprüfung des Unternehmens, grüne Adressleiste), werden aber seltener benötigt. Für Standardverschlüsselung sind kostenlose Zertifikate vollkommen ausreichend.

Gründe, wieso man seine WordPress-Webseite auf SSL umstellen sollte

SSL ist für Google ein Rankingfaktor

Seit einiger Zeit empfiehlt Google Webseitenbetreibern, ihr Angebot zu verschlüsseln. Das liegt daran, dass Google generell Leuten mehr vertraut, die in ihre Webseite Zeit und Geld investieren. Wer SPAM Seiten ins Netz stellt, betreibt selten den Aufwand von Verschlüsselung. Zudem will Google hier vielleicht auch aus dem NSA Skandal lernen und sich weniger angreifbar machen. Die wahren Gründe sind nicht 100% kommuniziert. Evtl. kommt noch die Möglichkeit dazu, dass SSL verschlüsselte Seiten mit http/2 ausgeliefert werden können. Das macht die Webseite schneller und Geschwindigkeit ist ein Rankingfaktor für Google.

Google Chrome Browser zeigt Meldung wenn nicht verschlüsselt

Google zeigt schon jetzt im Chrome Browser bei Webseiten ohne Verschlüsselung neben der Domain ein Ausrufezeichen. Das soll in Zukunft durch ein rotes x ersetzt werden. Wer also kein Warnzeichen in der Browserleiste neben seiner Domain sehen möchte, muss zwingend auf SSL umstellen.

Bessere Aussenwirkung durch SSL Verschlüsselung

Neben Google ist es auch für Ihre Kunden ein positives Signal, wenn Sie in Sicherheit für deren Daten investieren. Abgeschickte Formulare oder Online-Bestellungen gibt man ungern ab, wenn die Site nicht verschlüsselt ist.

Schnellere WordPress Webseite mit SSL Verschlüsselung und http/2

Wie bereits geschrieben können SSL Verschlüsselte WordPress-Webseiten (andere natürlich auch) mit http/2 ausgeliefert werden, wenn der Webhoster das unterstützt (in Zukunft sicher alle). Dadurch werden Requests (Ladeanforderungen von Bildern, Schriften, Scripten, etc….) parallel gefahren und nicht wie jetzt nacheinander. Dadurch lädt die Webseite viel schneller. Grundvoraussetzung ist eine SSL Verschlüsselung.

Voraussetzung für Zertifizierung schaffen

Wer seinen Onlineshop mit dem TÜV Siegel oder Trusted Shop Zertifikat schmücken möchte, der muss zwingend SSL Verschlüsselung anbieten.

Risiken durch SSL Verschlüsselung

Webseite wird langsamer durch SSL Verschlüsselung

Gegner der Verschlüsselung prangern oft die nachlassende Performance einer Webseite nach der Verschlüsselung an. Die Wahrheit ist, dass das die meisten Webseitenbetreiber nicht betrifft. Nur wer hochperformante Systeme mit sehr viel Traffic betreibt, muss auf jedes Zehntel-Prozent Last schauen. Das trifft auf sehr wenige Webseiten zu. In Kombination mit http/2 wird dieses vermeintliche Risiko sowieso aufgehoben.

Weniger Werbeeinnahmen für z.B. WordPress-Blogs

Tatsächlich liefern Google und andere Werbetreibende Werbung nicht immer in https:// aus. Das heißt eine Webseite, die über Werbung betrieben wird, hat weniger potentielle Anzeigen zur Verfügung. Das kann zu weniger Einnahmen nach der SSL Umstellung führen. Allerdings teile ich die Erfahrung nicht und ich denke, dass künftig alle Werbeanbieter hier immer mehr auf https:// setzen werden.

Scripte laufen nicht mehr

Wie oben im Ablauf der Umstellung SSL beschrieben, müssen auch externe Scripts per https:// eingeladen werden. Ansonsten wird es nix aus der Verschlüsselung. Bietet der externe Anbieter wiederrum keine Verschlüsselung, kann man auch nicht per https:// anfordern. Das bedeutet es könnte sein, dass gewohnte Features nicht mehr funktionieren. In der Regel bieten externe Anbieter https://. Aber man sollte es zumindest vor der Umstellung abklären.

WordPress SSL-Umstellung fehlgeschlagen?

Dann meldet man sich am besten bei einem Fachmann. Im akuten Fall, lässt man vom Webhoster erstmal die letzte Sicherung wieder einspielen.

8 Kommentare

  1. Tommy K sagt:

    Hey René und danke für den Artikel.

    Wann genau lohnt sich denn die Nutzung von SSL? Würdest du das tendenziell bei allen WordPress Seiten empfehlen? Kann die Umstellung zu irgendwelchen Problem führen? Bin da leider nicht ganz im Bilde :/

    Danke und viele Grüße,
    Tommy

  2. Dominik sagt:

    Danke für die gute Anleitung. Hinweis: Schritt 4 ist nicht nötig, weil das Suchen-Ersetzen-Plugin dies ebenfalls erledigen sollte. Bei dem von mir verwendeten «Better Search Replace» jedenfalls war das so.

  3. Armin sagt:

    Danke für die prompte Reaktion

  4. Armin sagt:

    Danke für die übersichtliche Anleitung.

    Es hat alles super funktioniert, nur:

    Die Weiterleitung von http auf https auch beim direkten Aufruf von Unterseiten funktionierte erst, nachdem ich den Codeschnipsel vor die Rewrite-Regeln von WordPress in die .htaccess setzte.

    Setze ich ihn hinter diese Regeln, wird nur der Aufruf der Startseite zuverlässig weitergeleitet.

    Armin

  5. Leander sagt:

    Leider gibt es hier keinen Twitter-Button zum Teilen – echt schade!

  6. Heike Lorenz sagt:

    Hallo,
    Danke für die tolle Anleitung!

    Wichtig: wer die VG-Wort-Zählpixel nutzt, muss auch diese ändern (s. Punkt 2.3.5): https://tom.vgwort.de/Documents/pdfs/dokumentation/metis/DOC_Verlagsmeldung.pdf

    Viele Grüße
    Heike

Kommentar schreiben

* Notwendige Angaben

Netzgänger Webdesign | Schlehenweg 7 in Büchenbach | Bayern
Kontakt: info@netz-gaenger.de |
↑ oben
Inhalt