WordPress HTTPS: Eine WordPress-Seite auf SSL umstellen

In der heutigen Zeit sollte jede Wordpress-Seite verschlüsselt und gesichert sein. Nicht erst seit der DSGVO ist Datensicherheit ein Kriterium, das jedem Webseitenbetreiber am Herzen liegen sollte. Hier erfahren Sie, was genau SSL-Verschlüsselung bedeutet, warum man überhaupt SSL verwenden sollte und wie Sie bei Ihrer WordPress Installation vorgehen können.
SSL bedeutet „Secure Socket Layer“ und ermöglicht das verschlüsselte Übertragen von Daten zwischen Webseiten-Server und Browser. Man erkennt eine aktive SSL-Verschlüsselung am grünen Schloss neben der Adressleiste des Browsers und durch den Präfix https:// statt http:// vor der Adresse der Seite.
SSL sorgt durch die Verschlüsselung für eine sichere Übertragung von eingegebenen persönlichen Daten, Login-Informationen oder auch Zahlungsdaten in einem Webshop. Es ist heute undenkbar, dass beispielsweise eine Banking-Seite oder ein ernstzunehmender Webshop ohne SSL-Verschlüsselung arbeitet – nicht nur bei der Zahlungsabwicklung, sondern auf der gesamten Seite.
Adressleiste im Browser bei unverschlüsselter Seite
Adressleiste im Browser bei verschlüsselter Seite
Für den Umstieg auf SSL gibt es mehrere gute Gründe – nicht nur für Shop-Betreiber oder alle, die Daten von Nutzern verarbeiten. Die Wichtigsten Gründe haben wir hier kurz für Sie zusammengefasst.
Diesen zweifelsfrei großen Vorteilen stehen nur einige wenige Nachteile gegenüber, wie beispielsweise weniger potentielle Werbeanzeigen über Google, da nicht alle Werbetreibenden ihre Anzeigen per SSL bereitstellen oder auch das Risiko, dass Scripts oder Plugins nicht mehr funktionieren. Unterm Strich kommt über lange Sicht kein Webseitenbetreiber einer WordPress-Seite mit kommerziellen Absichten um ein SSL-Zertifikat herum.
Eine WordPress Webseite auf SSL umzustellen klingt zunächst etwas kompliziert. Wer sich aber ein wenig mit dem Thema befasst, wird schnell feststellen, dass der Aufwand überschaubar ist. Letztendlich lohnt sich die Mühe auf jeden Fall.
Bevor Sie Irgendetwas tun, sollten Sie zunächst eine Sicherung der WordPress Datenbank und aller Dateien vornehmen! Wie genau das geht bzw. welche Möglichkeiten Sie haben, können Sie in unserer Step-by-Step WordPress Backup Anleitung nochmals genau nachlesen.
Die Grundvoraussetzung für eine verschlüsselte Webseite ist ein domainspezifisches SSL-Zertifikat. Viele Hoster unterstützen das kostenlose Let’s Encrypt, allerdings nicht alle. Wenn Let’s Encrypt nicht unterstützt wird, müssen Sie entweder den Support des Hosters kontaktieren, damit dieser ihnen ein kostenpflichtiges Zertifikat einrichtet, oder Sie können – wie im Falle von Strato – einfach Ihrer Domain ein SSL-Zertifikat zuweisen, das der Hoster kostenlos zur Verfügung stellt. Strato arbeitet hier mit einem kostenlosen SSL-Zertifikat von Symantec je Domain.
Wenn Sie einen eigenen Server betreiben, müssen Sie das SSL-Zertifikat gegebenenfalls über das Backend – beispielsweise über Plesk – selbst einrichten und installieren. Hier empfehlen wir, einfach nach einer passenden Anleitung für Ihre speziellen Anforderungen zu suchen.
Wenn das Zertifikat installiert wurde, ist die WordPress Seite noch nicht per https zu erreichen. Hierfür müssen noch die URLs in WordPress auf https umgestellt und angepasst werden. Der erste Schritt erfolgt im WordPress Backend über Einstellungen -> Allgemein. Dort wird in den Feldern WordPress-Adresse und Website-Adresse das http durch https ersetzt.
Anschließend müssen noch die Permalinks unter Einstellungen -> Permalinks angepasst werden. Dies geschieht, indem sie nach dem Ändern der Adressen erneut abgespeichert werden. Andernfalls wird beim Abrufen eines Beitrags ein 404-Error angezeigt werden.
Nun geht es an das Aktualisieren der WordPress Datenbank, denn hier sind noch die alten http URLs hinterlegt. Zwar werden einige bereits durch das Ändern der Adressen aktualisiert, leider aber nicht alle. Sie müssen also nochmal manuell sicherstellen, dass alle URLs korrekt auf https umgestellt wurden.
Man könnte nun per phpMyAdmin alle URLs per Hand korrigieren, indem man in der Datenbank nach http: sucht, dies kann aber mit zunehmender Komplexität der Seite enorm aufwändig sein. Daher empfehlen wir, für diesen Schritt ein Plugin wie beispielsweise Better Search Replace ⇱ zu installieren. Dies macht das Ändern in der Datenbank deutlich einfacher, denn über Werkzeuge -> Better Search Replace können Sie nach der Installation des Plugins einfach nach http://www.IHRE-WEBSEITE.de suchen und alle gefundenen Einträge in der Datenbank durch https://www.IHRE-WEBSEITE.de ersetzen. Wichtig ist, dass alle vorhandenen Tabellen ausgewählt werden. Alternativ ist auch das Plugin Velvet Blues Update URLs ⇱ sehr empfehlenswert.
Wie genau Sie WordPress Plugins installieren, können Sie in unserer separaten Anleitung nochmals im Detail nachlesen.
Damit jede Anfrage auf Ihre Seite zukünftig auf https weitergeleitet wird und nicht unter beiden Protokollen erreichbar ist, sollten Sie in der .htaccess-Datei im Hauptverzeichnis einen entsprechenden Redirect-Hinweis einbinden.
Dazu können Sie die .htaccess-Datei direkt auf dem Server editieren oder per FTP-Programm auf Ihre Festplatte kopieren und dort anpassen. Zum Bearbeiten reicht ein einfaches Programm wie das Notepad. Fügen Sie folgenden Code ein:
Für den Erwerb eines SSL-Zertifikats gibt es, wie oben bereits erwähnt, zwei Möglichkeiten. Es gibt jedoch auch qualitative Unterschiede zwischen den Zertifikaten. Die wichtigsten Eigenschaften und Möglichkeiten haben wir hier kurz für Sie zusammengefasst: