WordPress HTTPS: Eine WordPress-Seite auf SSL umstellen

In der heutigen Zeit sollte jede Wordpress-Seite verschlüsselt und gesichert sein. Nicht erst seit der DSGVO ist Datensicherheit ein Kriterium, das jedem Webseitenbetreiber am Herzen liegen sollte. Hier erfahren Sie, was genau SSL-Verschlüsselung bedeutet, warum man überhaupt SSL verwenden sollte und wie Sie bei Ihrer WordPress Installation vorgehen können.

Was ist SSL und https?

SSL bedeutet „Secure Socket Layer“ und ermöglicht das verschlüsselte Übertragen von Daten zwischen Webseiten-Server und Browser. Man erkennt eine aktive SSL-Verschlüsselung am grünen Schloss neben der Adressleiste des Browsers und durch den Präfix https:// statt http:// vor der Adresse der Seite.

SSL sorgt durch die Verschlüsselung für eine sichere Übertragung von eingegebenen persönlichen Daten, Login-Informationen oder auch Zahlungsdaten in einem Webshop. Es ist heute undenkbar, dass beispielsweise eine Banking-Seite oder ein ernstzunehmender Webshop ohne SSL-Verschlüsselung arbeitet – nicht nur bei der Zahlungsabwicklung, sondern auf der gesamten Seite.

Adressleiste im Browser bei unverschlüsselter Seite

Adressleiste im Browser bei verschlüsselter Seite

Warum jeder Webseiten-Betreiber auf SSL umsteigen sollte

Für den Umstieg auf SSL gibt es mehrere gute Gründe – nicht nur für Shop-Betreiber oder alle, die Daten von Nutzern verarbeiten. Die Wichtigsten Gründe haben wir hier kurz für Sie zusammengefasst.

• SSL ist seit 2014 Rankingkriterium bei Google
  Schon seit dem Jahr 2014 rankt Google Webseiten besser, wenn sie mit einer SSL-Verschlüsselung arbeiten. In den organischen Suchergebnissen von Google aufzutauchen, sollte das Ziel eines jeden Webseitenbetreibers sein. Spätestens aus diesem Grund sollte man unbedingt SSL verwenden.
• Browser zeigen unverschlüsselte Seiten als unsicher an
  Viele Browser – wie beispielsweise Googles Chrome Browser – zeigen neben der Domain ein auffälliges Ausrufezeichen als Warnsignal an, dass die Seite nicht sicher ist. Das ist für die Nutzer oder Kunden Ihrer Seite kein gutes Zeichen und wird viele davon abhalten, Daten einzugeben oder sich auf Ihrer Seite einzuloggen.
• Geschwindigkeits-Schub durch http/2
  Viele Webhoster unterstützen http/2 bei mit SSL-Zertifikat verschlüsselten Seiten. Dadurch können Requests parallel angefordert werden, was die Ladezeiten für Bilder und andere Inhalte deutlich verkürzt. Dadurch erfährt die Seite einen beachtlichen Performance-Boost.
• Webshop-Zertifikate erfordern SSL
  Neukunden in einem Shop achten häufig auf Zertifikate wie Trusted Shops oder ein TüV-Siegel. Wenn Sie als Webshop-Betreiber kein SSL-Zertifikat nutzen, werden Ihnen die entsprechenden Stellen jedoch kein Siegel ausstellen.

Diesen zweifelsfrei großen Vorteilen stehen nur einige wenige Nachteile gegenüber, wie beispielsweise weniger potentielle Werbeanzeigen über Google, da nicht alle Werbetreibenden ihre Anzeigen per SSL bereitstellen oder auch das Risiko, dass Scripts oder Plugins nicht mehr funktionieren. Unterm Strich kommt über lange Sicht kein Webseitenbetreiber einer WordPress-Seite mit kommerziellen Absichten um ein SSL-Zertifikat herum.

Der Umstieg auf SSL in fünf Schritten

Eine WordPress Webseite auf SSL umzustellen klingt zunächst etwas kompliziert. Wer sich aber ein wenig mit dem Thema befasst, wird schnell feststellen, dass der Aufwand überschaubar ist. Letztendlich lohnt sich die Mühe auf jeden Fall.

1. Backup erstellen

Bevor Sie Irgendetwas tun, sollten Sie zunächst eine Sicherung der WordPress Datenbank und aller Dateien vornehmen! Wie genau das geht bzw. welche Möglichkeiten Sie haben, können Sie in unserer Step-by-Step WordPress Backup Anleitung nochmals genau nachlesen.

2. SSL-Zertifikat anfordern und installieren

Die Grundvoraussetzung für eine verschlüsselte Webseite ist ein domainspezifisches SSL-Zertifikat. Viele Hoster unterstützen das kostenlose Let’s Encrypt, allerdings nicht alle. Wenn Let’s Encrypt nicht unterstützt wird, müssen Sie entweder den Support des Hosters kontaktieren, damit dieser ihnen ein kostenpflichtiges Zertifikat einrichtet, oder Sie können – wie im Falle von Strato – einfach Ihrer Domain ein SSL-Zertifikat zuweisen, das der Hoster kostenlos zur Verfügung stellt. Strato arbeitet hier mit einem kostenlosen SSL-Zertifikat von Symantec je Domain.

Wenn Sie einen eigenen Server betreiben, müssen Sie das SSL-Zertifikat gegebenenfalls über das Backend – beispielsweise über Plesk – selbst einrichten und installieren. Hier empfehlen wir, einfach nach einer passenden Anleitung für Ihre speziellen Anforderungen zu suchen.

3. URLs und Permalinks aktualisieren

Wenn das Zertifikat installiert wurde, ist die WordPress Seite noch nicht per https zu erreichen. Hierfür müssen noch die URLs in WordPress auf https umgestellt und angepasst werden. Der erste Schritt erfolgt im WordPress Backend über Einstellungen -> Allgemein. Dort wird in den Feldern WordPress-Adresse und Website-Adresse das http durch https ersetzt.

Anschließend müssen noch die Permalinks unter Einstellungen -> Permalinks angepasst werden. Dies geschieht, indem sie nach dem Ändern der Adressen erneut abgespeichert werden. Andernfalls wird beim Abrufen eines Beitrags ein 404-Error angezeigt werden.

4. WordPress Datenbank aktualisieren

Nun geht es an das Aktualisieren der WordPress Datenbank, denn hier sind noch die alten http URLs hinterlegt. Zwar werden einige bereits durch das Ändern der Adressen aktualisiert, leider aber nicht alle. Sie müssen also nochmal manuell sicherstellen, dass alle URLs korrekt auf https umgestellt wurden.

Man könnte nun per phpMyAdmin alle URLs per Hand korrigieren, indem man in der Datenbank nach http: sucht, dies kann aber mit zunehmender Komplexität der Seite enorm aufwändig sein. Daher empfehlen wir, für diesen Schritt ein Plugin wie beispielsweise Better Search Replace zu installieren. Dies macht das Ändern in der Datenbank deutlich einfacher, denn über Werkzeuge -> Better Search Replace können Sie nach der Installation des Plugins einfach nach http://www.IHRE-WEBSEITE.de suchen und alle gefundenen Einträge in der Datenbank durch https://www.IHRE-WEBSEITE.de ersetzen. Wichtig ist, dass alle vorhandenen Tabellen ausgewählt werden. Alternativ ist auch das Plugin Velvet Blues Update URLs sehr empfehlenswert.

5. .htaccess Datei anpassen

Damit jede Anfrage auf Ihre Seite zukünftig auf https weitergeleitet wird und nicht unter beiden Protokollen erreichbar ist, sollten Sie in der .htaccess-Datei im Hauptverzeichnis einen entsprechenden Redirect-Hinweis einbinden.

Dazu können Sie die .htaccess-Datei direkt auf dem Server editieren oder per FTP-Programm auf Ihre Festplatte kopieren und dort anpassen. Zum Bearbeiten reicht ein einfaches Programm wie das Notepad. Fügen Sie folgenden Code ein:

Für den Erwerb eines SSL-Zertifikats gibt es, wie oben bereits erwähnt, zwei Möglichkeiten. Es gibt jedoch auch qualitative Unterschiede zwischen den Zertifikaten. Die wichtigsten Eigenschaften und Möglichkeiten haben wir hier kurz für Sie zusammengefasst:

• Kostenloses Zertifikat
  Bei Ihrem Hoster können Sie häufig einfach in Ihrem Kundenlogin ein SSL-Zertifikat auswählen und es der Domain zuweisen. Einige Hoster bieten beliebig viele kostenlose SSL-Zertifikate in einfacher Ausführung oder es gibt Anbieter, wie beispielsweise Strato, bei denen die Anzahl an SSL-Zertifikaten begrenzt ist. Hier handelt es sich dann allerdings um hochwertigere Zertifikate, die eigentlich kostenpflichtig wären. Kostenlose Zertifikate reichen für eine einfache Verschlüsselung jedoch aus.
  Als Serverbetreiber haben Sie auch die Möglichkeit, ein kostenloses SSL-Zertifikat bei einem Dienstleister wie SSL For Free zu generieren.
• Kostenpflichtige Zertifikate
  Wer eine Verschlüsselung mit Unternehmensprüfung benötigt, wird um ein kostenpflichtiges Zertifikat nicht herumkommen. Dabei gibt es große Preisunterschiede. Einfache kostenpflichtige Zertifikate kosten rund 15 €, es gibt aber auch Zertifikate für mehrere hundert Euro. Kostenpflichtige Zertifikate bieten eine bessere Verschlüsselung und beinhalten eine Vorabprüfung des Unternehmens.