Endlich verschlüsselt: Eure WordPress-Seite in 4 Schritten auf HTTPS umstellen


Endlich verschlüsselt: Eure WordPress-Seite in 4 Schritten auf HTTPS umstellen

Gepostet Von am 20.03.2018 in Newsticker, SEO, Tipps & Termine, WordPress

Warum auch die Betreiber ganz „normaler“, kleiner Websites nicht mehr darum herumkommen, ihre Webseiten verschlüsselt auszuliefern, und es deshalb für jeden allerhöchste Eisenbahn ist, der seine Website noch nicht auf HTTPS umgestellt hat, haben wir letzte Woche näher ausgeführt. Heute geht es um die Frage: Wie geht das eigentlich? Und ihr werdet schnell sehen: Viel einfacher als ihr glaubt. Auch in WordPress.

Eigentlich ist die Umstellung einer Website auf HTTPS keine große Sache. Dennoch sollte man ein paar Aspekte dabei beachten, damit alles reibungslos läuft und auch Rankingverluste vermieden werden.

Für die Umstellung einer WordPress-Seite braucht ihr genau genommen nur 4 Schritte.

Schritt Nr. 1: SSL-Zertifikat erstellen und einbinden

Als erstes müsst ihr ein sogenanntes SSL-Zertifikat erstellen. Wenn ihr eure Website nicht gerade selber hostet, passiert das in der Regel über euren Webhoster. Viele Hosting-Pakete enthalten bereits ein SSL-Zertifikat, bei anderen muss man die Zertifikate kostenpflichtig dazubestellen. Eine besonders interessante Möglichkeit gibt es seit 2015 mit Let’s Encrypt. Diese Initiative hat sich zum Ziel gesetzt, die Verschlüsselung von Websites im Netz zum Standard zu machen, und tut dies, indem sie als Zertifizierungsstelle agiert und kostenlose SSL-Zertifikate anbietet.

Manche Webhoster, wie etwa all-inkl, Webhostone, Checkdomain oder Webgo, bieten eine kostenlose und recht unkomplizierte Einbindung von Let’s Encrypt-Zertifikaten an. Bei all-inkl etwa braucht es zum Einrichten nur einen einzigen Klick.

Let's Encrypt-Zertifikat bei all-inkl

Beim Webhoster all-inkl lassen sich Let’s Encrypt-Zertifikate mit nur einem Klick einbinden. | Screenshot: all-inkl.com

Da Let’s Encrypt lediglich eine Domain Validation (DV) vornimmt, kann es für Websites, über die sensible Daten (etwa Kreditkartennummern oder Bankdaten) übertragen werden, eine Überlegung wert sein, auf ein in der Regel kostenpflichtiges Zertifikat mit Organisation Validation (OV) zu setzen. Die Meinungen darüber, ob etwa für einen Online-Shop die Domain Validation ausreicht, gehen auseinander (> mehr Informationen zu den Unterschieden zwischen DV und OV). Für die meisten „normalen“ Websites dürfte ein Let’s Encrypt-Zertifikat aber völlig ausreichen.

Seit @letsencrypt gibt es wirklich keine Entschuldigung mehr, wenn eure Website nicht verschlüsselt ist. #SSL #HTTPS Klick um zu Tweeten

Was dagegen auf den ersten Blick nach einem Problem klingt, ist in der Praxis meist keins: „Let’s Encrypt“-Zertifikate sind immer nur 90 Tage gültig. In der Regel werden sie aber vom Provider wenige Tage vor Ablauf automatisch verlängert.

Übrigens, nur damit ihr das schonmal gehört habt: Seit 2014 sind SSL-Zertifikate nur noch mit einer 2048-bit-Verschlüsselung gültig. Sofern ihr euch bei dem Thema auf einen ernstzunehmenden Webhoster bzw. eine seriöse Zertifikatsstelle verlasst, dürfte das aber ohnehin eine Selbstverständlichkeit sein.

Schritt Nr. 2: WordPress-Adressen ändern

Bei einer WordPress-Seite solltet ihr nach dem Aktivieren des SSL-Zertifikats zunächst die Adressen eurer WordPress-Installation ändern. Dazu loggt ihr euch im Admin-Bereich ein und gebt einfach unter Einstellungen > Allgemein in den Feldern „WordPress-Adresse (URL)“ und „Website-Adresse (URL)“ die https://-Adresse ein.

HTTPS-Adressen in WordPress eingeben

HTTPS-Adressen in WordPress eingeben | Screenshot: WordPress

Sollten die Felder ausgegraut und keine Eingabe möglich sein, liegt das daran, dass die Adressen in der wp-config.php definiert sind. Dann müsst ihr die Änderung dort vornehmen – oder die dortigen Eintragungen löschen.

Nach dem Ändern wirft WordPress euch aus dem Adminbereich und ihr müsst euch neu einloggen.

Schritt Nr. 3: Interne Verlinkungen und Quellen anpassen

Im nächsten Schritt solltet ihr alle internen Links auf eurer Seite von http:// auf https:// ändern. Das gilt vor allem auch für eingebundene Dateien, Bilder zum Beispiel. Es genügt nämlich, dass auf einer Seite ein IMG SRC-Link ohne HTTPS enthalten ist, damit der Browser die gesamte Seite nicht mehr als sicher einstuft.

Gründlich suchen: Ein unverschlüsseltes IMG reicht schon aus, damit eure Website nicht mehr als sicher eingestuft wird. #SSL #HTTPS Klick um zu Tweeten

Für WordPress-Seiten lassen sich interne Verlinkungen im Handumdrehen über das Plugin „Better Search Replace“ ändern. Aber Achtung: Da hierfür direkte Datenbankveränderungen erfolgen, solltet ihr vorher auf jeden Fall ein Backup eurer Seite anlegen. Und nicht vergessen, das Plugin nach der Nutzung mindestens zu deaktivieren, am besten zu deinstallieren.

 

http durch https ersetzen mit Better Search Replace

Mit dem Plugin „Better Search Replace“ könnt ihr interne Verlinkungen und Quellenangaben im Handumdrehen auf „https://“ umstellen. | Screenshot: WordPress/Better Search Replace

Schritt Nr. 4. Umleitungen einrichten

Damit alle Aufrufe und Links, egal ob sie mit http:// oder https:// ein- bzw. angegeben werden, immer  über HTTPS erfolgen, solltet ihr abschließend noch eine Umleitung einrichten. Das könnt ihr ganz einfach tun, indem ihr (am besten ganz am Anfang) in der .htaccess-Datei den folgenden Code ergänzt:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Achtung: Dies funktioniert nur dann, wenn in der Serverkonfiguration das Modul mod_rewrite aktiviert ist.

Die obigen Codezeilen aktivieren die Rewrite Engine, prüfen, ob HTTPS genutzt wird und leiten, wenn nicht, mit dem Statuscode 301 alle Anfragen auf HTTPS um. Der Statuscode 301 gibt Suchmaschinen dabei das Signal, dass die Seite permanent auf HTTPS umgezogen ist, das hilft dabei, dass der Umzug keine Rankingverluste mit sich bringt.

Keine Ahnung, was die .htaccess-Datei ist? Die liegt in der Regel im Hauptordner eurer Domain und beinhaltet zum Beispiel Zugriffsbeschränkungen auf passwortgeschützte Verzeichnisse. Sollte es noch keine .htaccess geben, könnt ihr die einfach mit einem Texteditor anlegen, „.htaccess“ benennen und via FTP hochladen.

Übrigens: Manche Webhoster nehmen euch diese Arbeit auch ab. Bei all-inkl beispielsweise könnt ihr einfach in der dortigen SSL-Konfiguration die Option „SSL erzwingen“ auswählen und euch die manuellen .htaccess-Änderungen sparen.

Fertig? Fast.

Dann schaut euch eure Website mal gründlich an und achtet auf die Anzeige in der Browserzeile. Die sollte jetzt ein grünes, geschlossenes Vorhängeschloss verpasst bekommen haben.

So sieht eine SSL-verschlüsselte Website im Browser aus | Screenshot: content-iq.com

So sieht eine SSL-verschlüsselte Website im Browser aus | Screenshot: content-iq.com

Wenn nicht, versteckt sich irgendwo noch ein nicht verschlüsselter Inhalt, den es zu finden gilt.

Typische Fehlerquellen, auf die ihr ein Auge haben solltet:

  • Tracking-Pixel, etwa von der VG Wort. Die lassen sich wahlweise mit http:// oder mit https:// einbinden, müssen also jetzt auch auf https:// umgestellt werden.
  • Über CSS definierte Hintergrundbilder.
  • hreflang-Attribute im Header.
  • Unsauber codierte Themes, die hartverdrahtete http://-Links enthalten. Tipp: Den Themefolder nach der Zeichenfolge „http://“ durchsuchen.

Alles gefunden? Alles grün? Prima! Dann seid ihr eigentlich fertig. Aber auch wenn eure Seite jetzt fertig verschlüsselt ist, empfehlen sich im Nachgang in der Regel noch ein paar ergänzende Schritte:

Tracking Tools anpassen

Wenn ihr Analytic-Tools wie Matomo (ehemals Piwik) oder Google Analytics einsetzt, müssen auch die entsprechend konfiguriert werden, damit das Tracking auch über https:// weiter funktioniert.

HTTPS-Seite in der Google Search Console anmelden

Für Google ist eure HTTPS-Seite eine gänzlich neue Website. Deshalb solltet ihr die neue HTTPS-Version in der Google Search Console als zusätzliche „Property“ anmelden – und zwar zweimal: einmal mit und einmal ohne „www.“ Da ihr jetzt (wenn ihr vorher schon die http-Adressen eingetragen hattet) 4 verschiedene Varianten eurer Website als Property angemeldet habt, kann es sich anbieten, diese für besseren Überblick in sogenannte Sätze zu gruppieren.

Sitemaps neu erstellen und neu einreichen

Im Anschluss solltet ihr natürlich auch bei Google eingereichte Sitemaps aktualisieren – erstellt also neue Sitemaps, in denen nur noch HTTPS-Links vorhanden sind, und reicht diese in der Search Console neu ein.

Backlinks ändern

Wenn ihr zum Beispiel von euren Social-Media-Accounts aus auf eure Website verlinkt, solltet ihr diese Links ebenfalls anpassen. Und vielleicht könnt ihr bei Websites, von denen viel Linktraffic kommt, auch um eine Anpassung der Links bitten. Je mehr Backlinks die richtige Linkstruktur haben, umso besser. Natürlich geht das nicht für alle Links – aber dafür sind ja die oben angelegten Umleitungen da.

Testen nicht vergessen

Wenn alle Umstellungen erledigt sind, ist es wichtig, das Ergebnis im Auge zu behalten. Testet dafür eure Website ausführlich und beobachtet genau, ob die grüne „Sicher“-Anzeige auch auf allen Seiten angezeigt wird. Beobachtet die Search Console und ggf. euer Analytics-Tool, ob alles passt.

Alles grün? Alles verschlüsselt? Glückwunsch! Dann ist der erste Punkt auf der #DSGVO-ToDo-Liste ja abgehakt. #SSL #HTTPS Klick um zu Tweeten

Und dann: Klopft euch ruhig mal auf die Schulter. Ihr habt es (endlich) geschafft. War doch gar nicht so schwierig, oder?

KF/ciq

SEO, Chrome und DSGVO: Warum auch ihr eine verschlüsselte Website braucht

Dr. Katja Flinzner

Dr. Katja Flinzner

Versorgt digitale Unternehmen mit grenzenlos guten Inhalten - als Fachautorin, Corporate Bloggerin, Lektorin und Übersetzerin. Bloggt seit 18 Jahren und schreibt heute hauptsächlich über Themen aus Web, IT, eCommerce und digitaler Bildung - gerne auch für Ihr Unternehmen.
Dr. Katja Flinzner

Letzte Artikel von Dr. Katja Flinzner (Alle anzeigen)

Weitere Artikel zu ähnlichen Themen

Was bedeutet die DSGVO für Einzelunternehmer und F... Bereitet euch die DSGVO auch Bauchschmerzen? Habt ihr schlaflose Nächte, weil ihr nicht wisst, welche Datenschutzanforderungen auf euch als Freelancer...
SEO, Chrome und DSGVO: Warum auch ihr eine verschl... Seine Website verschlüsselt auszuliefern, ist schon lange eine gute Idee. Derzeit kommen aber immer mehr Gründe dazu, warum man das Thema nicht mehr a...
9 gute Vorsätze für 2018: Tipps zu OnSite-Suchmasc... Wer Website sagt, muss auch Suchmaschinenoptimierung sagen. Warum eine saubere Optimierung Eurer Web-Seiten so wichtig ist und wie Ihr mit OnSite-Opti...
Wo kommen die rel-Attribute in euren WordPress-Lin... Verwendet ihr für eure Website WordPress? Dann könnte euch in den vergangenen Tagen - seit dem Update auf die Version 4.7.4 - aufgefallen sein, dass e...
OffSite-Optimierung über Ländergrenzen (#SEOintern... Eine saubere OnSite-Optimierung ist auch im internationalen SEO die halbe Miete - aber eben nur die halbe. Auch außerhalb eurer eigenen Website darf d...
10 SEO-Tipps für die Internationalisierung eurer I... Für eine Website oder einen Online-Shop möglichst gute Suchergebnisse zu erzielen, ist eine komplexe Angelegenheit. Wenn euer Webangebot auch noch in ...
eCommerce Analytics für Einsteiger: 4. Analytics u... Ihr wollt mehr über die Kauferfahrung eurer Kunden wissen? Dann solltet ihr früh ansetzen, denn der Verkaufsprozess beginnt nicht erst an eurer Ladent...
Hrefwhat? Wie hreflang eure internationale Website... Mit hreflang könnt ihr eure internationale Website so strukturieren, dass Google immer genau weiß, wo was zu finden ist. Wie das konkret geht, was hre...
Länder, Sprachen und Strukturen (#internationalSEO... Produktbeschreibungen übersetzen lassen und Content lokalisieren. Das sind zweifellos wichtige und unabdingbare Elemente einer erfolgreichen Internati...
Vom Ranking zum Klick: Optimierung von Google-Such... Bei Google unter den ersten Ergebnissen zu landen, ist meist das Hauptziel aller SEO-Aktivitäten. Es sollte jedoch nicht das einzige bleiben. Denn dar...

4 Kommentare

  1. Doch, das ist alles ziemlich schwierig und vor allem zeitaufwendig. Wäre es nicht einfacher, abzuwarten und zu gegebener Zeit gegen die DSGVO vor Gericht zu ziehen?

    Kommentar absenden
  2. Bin daran vor einiger Zeit auch fast zerbrochen…aber schlussendlich mit dem Support meines Hosters hat es geklappt.

    Kommentar absenden

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.