WordPress auf SSL umstellen

Aktuell ist es in aller Munde (zumindest wenn es um Webseiten geht), dass Webseiten auf SSL Verschlüsselung und somit https:// umgestellt werden sollten. Am Beispiel WordPress zeige ich auf, wie man das macht und wie man http:// URLs auf  https:// URLs weiterleitet. (Stand 21.08.2023)

Wie stellt man WordPress auf SSL um?

Um WordPress auf SSL umzustellen sind ein paar Schritte nötig. Wer überhaupt nichts mit Webseiten am Hut hat, der sollte hier lieber jemanden ran lassen, der sich damit auskennt. Für alle anderen:

1. Datensicherung
   Bevor man auf SSL umstellt, macht man eine Datensicherung der kompletten Webseite. Das entweder über ein Plugin wie BackWpUp oder man vertraut auf die Datensicherung, die hoffentlich der Webhoster nachts anwirft. Meine Tipp: Erst checken, ob eine Sicherung der Dateien und vor allem der Datenbank vorliegt, die aktuell ist und zurückgespielt werden könnte.
2. Zertifikat einrichten (lassen)
   Man benötigt für SSL Verschlüsselung ein Zertifikat für die entsprechende Domain. Dieses kauft man oder holt sich ein kostenfreies. Mein Tipp: Am besten den Webhoster fragen. Dieser richtet SSL Zertifikate bequem für Kunden ein. Entweder kostenpflichtige oder kostenlose (wenn der Hoster das unterstützt). Und: Erst weitermachen, wenn die eigene Webseite schon per https:// erreichbar ist.
3.  Änderung aller URLs von http auf https in der WordPress Datenbank
   Das erledigt man am besten mit Hilfe eines Plugins wie WP Migrate DB Pro (siehe Screenshot). Mein Tipp: Stellt man die URLs nicht um, kann es zu Fehldarstellungen in WordPress kommen.
   
4. Umstellen der WordPress Adresse
   Man trägt die folgenden beiden Einträge in der wp-config.php im root-Verzeichnis der WordPress-Installation ein und gibt somit WordPress die neue Verschlüsselung bekannt.

   define('WP_SITEURL', 'https://www.meinedomain.de');
   define('WP_HOME', 'https://www.meinedomain.de');

5. Weiterleitung aller Adressen von http:// auf https://
   Ausserdem müssen noch alle Aufrufe der nicht verschlüsselten Seiten auf die SSL-verschlüsselte Version weitergeleitet werden mit 301 redirect. Hierzu fügt man den folgenden Eintrag in die .htaccess-Datei im root-Verzeichnis der WordPress-Installation ein. Aber bitte vor die Rewrites, die von WordPress selber mitkommen.

   RewriteEngine On
   RewriteCond %{HTTPS} !=on
   RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

   Diese Lösung funktioniert nicht bei allen Webhostern. Manchesmal führt sie zu einem Fehler, bei dem „zu oft weitergeleitet“ wird. In diesem Fall probiert man folgende Variante:

   RewriteEngine On
   RewriteCond %{SERVER_PORT} 80
   RewriteRule ^(.*)$ https://www.meinedomain.de/$1 [L,R=301]

6. Weiterleitung aller Adressen 1 Domain in einer Multisite von http:// auf https://
   Hat man übrigens eine Multisite im Einsatz und möchte nur eine der dort eingerichteten Domains auf SSL umstellen, muss man den folgenden Code in der .htaccess-Datei einbauen um die http://-Adressen umzuleiten.

   RewriteEngine On
   RewriteCond %{SERVER_PORT} !=443
   RewriteCond %{HTTP_HOST} ^meinedomain\.de.* [OR]
   RewriteCond %{HTTP_HOST} ^www\.meinedomain\.de.*
   RewriteRule ^ https://www.meinedomain.de%{REQUEST_URI} [L,R=301]

7. Hartcodierte Verlinkungen umstellen
   Manch selbstgebasteltes oder auch schlampig programmierte Theme beinhaltet vielleicht Links auf Scripte oder Bilder, die mit http:// eingebunden wurden. Diese müssen ebenso auf https:// umgestellt werden. Ansonsten wird die Verschlüsselung abgelehnt aufgrund von „mixed content“. Das betrifft typischerweise Verweise auf:
   – Google Fonts
   – VGWort Scripte
   – Hintergrundbilder in der style.css
   – favicons
   – …
   Mein Tipp: Am besten zieht man sich das ganze Themeverzeichnis auf den lokalen Rechner und durchsucht dieses nach „http://“.
8. Testen
   Hat man all diese Schritte erledigt, testet man die Site und auch das WP Dashboard von vorne bis hinten.
9. Umstellung weiterführen in Plugins und Themes (zB SSL Umstellung in Elementor Seiten)
   Manche Plugins oder Themes erfordern das neue Speichern der SSL Verschlüsselung. Insofern nach den hier genannten Schritten noch Probleme auftauchen, wie beispielsweise Mixed Content, dann sollte geprüft werden ob diese Plugins oder das genutzte Theme nicht ebenfalls von der SSL Umstellung in Kenntnis gesetzt werden müssen. Elementor zum Beispiel speichert die Domain separat und kann durch die Migration mit Migrate DB Pro nicht ebenfalls angepasst werden. Hier hat Elementor aber unter Werkzeuge die Möglichkeit geschaffen die geänderte URL zu speichern. Dafür klickt man die im Screenshot markierten beiden Buttons.
   

---

WordPress mit Plugin auf SSL umstellen

Wer wirklich gar keine Ahnung hat, über was ich hier schreibe, der sollte vielleicht eher einen Fachmann die Umstellung durchführen lassen oder versucht sich mit einem Plugin. Really Simple SSL verrichtet hier zuverlässig seinen Dienst. Dennoch empfehle ich auf eine manuelle Umstellung zu setzen, da diese in der Regel sauber und einfach funktioniert und eben die Verwendung eines Plugins unnötig wird. Fast jedes weitere genutzte Plugin macht WP langsamer (hierzu gibt es zumindest bei Really Simple SSL auch Hinweise von Nutzern) und erhöht das Risiko irgendwann auf einer schwerer zu wartenden Webseite zu sitzen.

Zudem kommt man leider nicht weiter mit Really Simple SSL, wenn noch im Theme Anpassungen durchgeführt werden müssen, weil dort hartcodierte http:// Links gesetzt wurden. Bzw. weiter kommt man schon, nur werden diese dann grundsätzlich per Weiterleitung behandelt, was für Suchmaschinen suboptimal ist. Wer es quick and dirty mag, kann aber durchaus mit Really Simple SSL versuchen.

Wo kriege ich ein SSL Zertifikat für meine WordPress-Webseite?

Kostenlose Zertifikate über den Webhoster

Der Anbieter Let’s encrypt bietet kostenlose SSL Zertifikate an. Gerade für einfache Verschlüsselung reicht dies vollkommen aus. Manche Webhoster bieten die Einrichtung direkt aus dem Webhoster-Backend heraus (zB All-Inkl.). Wer aber Verschlüsselung mit Unternehmensprüfung benötigt, um z.B. eine grüne Adressleiste zu erhalten, der kommt um ein kostenpflichtiges Zertifikat nicht herum.

Beispiel einer grünen Adressleiste durch ein spezielles EV Zertifikat:

Kostenpflichtige Zertifikate

Diese Zertifikate kosten je nach Ausführung zwischen 15€ und ein paar hundert € im Jahr. Anbieter wäre z.B. die PSW Group. Hier holt man sich das Zeritifikat und geht dann mit den Zertifikatsschlüsseln zu seinem Webhoster, der dieses einbinden kann. Mein Tipp: Wenn möglich holen Sie das Zertifikat direkt bei Ihrem Webhoster. Dann haben Sie damit am wenigsten Aufwand.

Welche Zertifikate sind besser?

Ob kostenloses oder kostenpflichtiges Zeritifikat besser sind? Die Frage stellt sich nicht. Kostenpflichtige Zertifikate bieten generell mehr (unter Umständen schneller, bessere Verschlüsselung, Vorabprüfung des Unternehmens, grüne Adressleiste), werden aber seltener benötigt. Für Standardverschlüsselung sind kostenlose Zertifikate vollkommen ausreichend.

Gründe, wieso man seine WordPress-Webseite auf SSL umstellen sollte

SSL ist für Google ein Rankingfaktor

Seit einiger Zeit empfiehlt Google Webseitenbetreibern, ihr Angebot zu verschlüsseln. Das liegt daran, dass Google generell Leuten mehr vertraut, die in ihre Webseite Zeit und Geld investieren. Wer SPAM Seiten ins Netz stellt, betreibt selten den Aufwand von Verschlüsselung. Zudem will Google hier vielleicht auch aus dem NSA Skandal lernen und sich weniger angreifbar machen. Die wahren Gründe sind nicht 100% kommuniziert. Evtl. kommt noch die Möglichkeit dazu, dass SSL verschlüsselte Seiten mit http/2 ausgeliefert werden können. Das macht die Webseite schneller und Geschwindigkeit ist ein Rankingfaktor für Google.

Google Chrome Browser zeigt Meldung wenn nicht verschlüsselt

Google zeigt schon jetzt im Chrome Browser bei Webseiten ohne Verschlüsselung neben der Domain ein Ausrufezeichen. Das soll in Zukunft durch ein rotes x ersetzt werden. Wer also kein Warnzeichen in der Browserleiste neben seiner Domain sehen möchte, muss zwingend auf SSL umstellen. Nachtrag: jetzt weiß man, dass ab dem 27. Oktober 2017 Google Chrome Webseiten mit „nicht sicher“ markiert werden, die zB Formulare nutzen (wie Login oder Kontakt). Um seriös zu arbeiten, sollte also auf SSL umgestellt werden.

Bessere Aussenwirkung durch SSL Verschlüsselung

Neben Google ist es auch für Ihre Kunden ein positives Signal, wenn Sie in Sicherheit für deren Daten investieren. Abgeschickte Formulare oder Online-Bestellungen gibt man ungern ab, wenn die Site nicht verschlüsselt ist.

Schnellere WordPress Webseite mit SSL Verschlüsselung und http/2

Wie bereits geschrieben können SSL Verschlüsselte WordPress-Webseiten (andere natürlich auch) mit http/2 ausgeliefert werden, wenn der Webhoster das unterstützt (in Zukunft sicher alle). Dadurch werden Requests (Ladeanforderungen von Bildern, Schriften, Scripten, etc….) parallel gefahren und nicht wie jetzt nacheinander. Dadurch lädt die Webseite viel schneller. Grundvoraussetzung ist eine SSL Verschlüsselung.

Voraussetzung für Zertifizierung schaffen

Wer seinen Onlineshop mit dem TÜV Siegel oder Trusted Shop Zertifikat schmücken möchte, der muss zwingend SSL Verschlüsselung anbieten.

Risiken durch SSL Verschlüsselung

Webseite wird langsamer durch SSL Verschlüsselung

Gegner der Verschlüsselung prangern oft die nachlassende Performance einer Webseite nach der Verschlüsselung an. Die Wahrheit ist, dass das die meisten Webseitenbetreiber nicht betrifft. Nur wer hochperformante Systeme mit sehr viel Traffic betreibt, muss auf jedes Zehntel-Prozent Last schauen. Das trifft auf sehr wenige Webseiten zu. In Kombination mit http/2 wird dieses vermeintliche Risiko sowieso aufgehoben.

Weniger Werbeeinnahmen für z.B. WordPress-Blogs

Tatsächlich liefern Google und andere Werbetreibende Werbung nicht immer in https:// aus. Das heißt eine Webseite, die über Werbung betrieben wird, hat weniger potentielle Anzeigen zur Verfügung. Das kann zu weniger Einnahmen nach der SSL Umstellung führen. Allerdings teile ich die Erfahrung nicht und ich denke, dass künftig alle Werbeanbieter hier immer mehr auf https:// setzen werden.

Scripte laufen nicht mehr

Wie oben im Ablauf der Umstellung SSL beschrieben, müssen auch externe Scripts per https:// eingeladen werden. Ansonsten wird es nix aus der Verschlüsselung. Bietet der externe Anbieter wiederrum keine Verschlüsselung, kann man auch nicht per https:// anfordern. Das bedeutet es könnte sein, dass gewohnte Features nicht mehr funktionieren. In der Regel bieten externe Anbieter https://. Aber man sollte es zumindest vor der Umstellung abklären.

WordPress SSL-Umstellung fehlgeschlagen?

Dann meldet man sich am besten bei einem Fachmann. Im akuten Fall, lässt man vom Webhoster erstmal die letzte Sicherung wieder einspielen.

---

Häufige Fragen zur WordPress SSL Umstellung

Wieso sollte man WordPress Websites auf SSL umstellen?

Laut DSGVO ist die Auslieferung von Kontaktformularen oder das Nutzen jeglicher Website-Funktionen über die personenbezogene Daten erhoben werden können über eine SSL Verschlüsselung abzusichern. Zudem zeigen moderne Browser mittlerweile Hinweise auf unsichere Verbindungen in den Adressleisten an, wenn kein https verwendet wird. Daher sollten auch WP Websites verschlüsselt werden.

Ist SSL ausreichend um eine WP Website securitytechnisch abzusichern?

Der Sinn hinter SSL ist es, die Kommunikation zwischen der Website und Servern zu verschlüsseln, so dass diese Daten nicht ohne Weiteres abgehört werden können. Das bringt eine gewisse Datensicherheit für die User dieser Websites mit sich. Allerdings handelt es sich bei der SSL Verschlüsselung um keine Technik um Websites ansich securitytechnisch vor Angriffen zu schützen. Hierzu ist der Einsatz von Firewalls sinnvoll, als auch das regelmäßige Einspielen von Updates in allen Bestandteilen und das Führen eines Backups.

Was kostet ein SSL Zertifikat?

SSL Zertifikate sind bei den meisten Hostern bereits kostenlos verfügbar (z.B. über Let's encrypt). Es gibt aber auch Zertifikate, bei denen die Inhaberschaft einer Domain/Website geprüft wird nach einem unterschiedlich aufwändigen Prozess. Je nachdem erhält man dann ggfs. eine grüne Adressleiste. Allerdings haben einige Browser die Darstellung der grünen Adressleiste bereits eingestellt, so dass der User die Art des Zertifikats nicht mehr erkennen kann ohne tiefer in die Zertifikat-Informationen hineinzuschauen.

Was ist SSL?

SSL bedeutet Secure Sockets Layer und ist eine um Daten im Netz zwischen der Website und Servern zu verschlüsseln und so sensible Daten zu schützen.

Was ist der Unterschied zwischen http und https?

Bei http und https handelt es sich um Protokolle mit deren Hilfe Daten übertragen werden können. Bei HTTPS (Hypertext Transfer Protocol Secure) werden die Daten abhörsicher übertragen. Zum Beispiel vom Server zum Browser. Als Voraussetzung für die Verschlüsselung per HTTPS ist ein SSL Zertifikat nötig.

Wo erhalte ich ein SSL Zertifikat?

Bei den meisten Webhostern lassen sich SSL Zertifikate bequem bestellen. Meist geschieht das sogar automatisch über Funktionen im Backend des Hosters. Wenn der Hoster kein SSL Zertifikat bereitstellen kann, können diese bei externen Brokern gemietet werden. Anschließend können diese externen SSL Zertifikate auf dem self hosted oder managed Server eingerichtet werden.

Ist Let's encrypt ein ausreichendes SSL Zertifikat?

Ein Let's encrypt Zertifikat ist ein genauso sicheres Zertifikat wie kostenpflichtige SSL Zertifikate. Es erfüllt also den gleichen Zweck. Lediglich die Prüfung auf Inhaberschaft bezüglich der zu sichernden Domain ist hier mehr oder weniger umgangen.

Wie schalte ich SSL in einer Multisite von WordPress ein?

Im Prinzip muss SSL auf jeder Domain aktiviert werden über Hoster, die in der Multisite gemappt bzw. aktiviert wurde. Dann lässt sich die jeweilige Website auch bezüglich der Website-Adresse anpassen (ggfs. muss die Datenbank migriert werden).

Kann ich einfach meine Website Adresse bei der SSL Umstellung ändern?

Das kann in vielen Fällen gut gehen, geht aber leider auch in einigen Versuchen schief. Das Problem ist, dass in der Datenbank die Länge der URL inkl. des http/https Protokolls als Hashwert gespeichert wird. Ändert sich die URL, indem bei https der Buchstabe s in der Seiten-URL angefügt wird, werden diese Hashwerte ungültig. Die Folge kann sein, dass Einstellungen in Themes, Plugins oder Widgets verloren gehen. Daher ist es ratsam die Datenbank zu migrieren. Spezielle Plugins (Hinweise siehe oben) helfen bei dieser Migration.