Sicherheit im Internet wird 2017 großgeschrieben. Die verschlüsselte Übertragung von Daten mittels HTTPS/SSL schützt deine Leser, wird von Google positiv bewertet und im Browser als „sicher“ gekennzeichnet.
Grund genug, das Projekt „WordPress auf HTTPS umstellen“ zu starten. In dieser einfachen Anleitung zeige ich dir Schritt-für-Schritt, wie das problemlos klappt.
Inhalt
Was steckt hinter HTTPS und SSL/TLS?
Ich weiß, es sieht ein bisschen nach Buchstabensalat aus, dabei sprechen wir von wichtigen Begriffe, die für mehr Sicherheit im Internet sorgen. Aber ich werde mich kurzhalten, versprochen.
HTTPS ist die Abkürzung für „hyper-text-transfer-protocol-secure“ und stellt eine vertrauliche Verbindung zwischen dir, als Anwender (Client), und einer Website (Server) her.
Sicher ist die Übertragung, weil die Daten mit Hilfe von SSL/TLS verschlüsselt übertragen werden und dadurch unlesbar sind, wenn sie unterwegs abgefangen werden.
So profitierst du von HTTPS
Eines der wichtigsten Argumente, für die Umstellung von http auf https, ist die erhöhte Sicherheit deiner Website, bei der Datenübertragung.
Für Online Shops ist https schon längst verpflichtend, aber auch dein Kontaktformular sollte Daten verschlüsselt übertragen, um deine Leser zu schützen.
Das Argument Datenschutz führt gleich zum nächsten wichtigen Argument. Bietest du deine Website über https an, stärkst du automatisch das Vertrauen deiner Kunden und Leser. Sichere Websites sind im Browser deutlich, auf den ersten Blick erkennbar.
HTTPS ist außerdem ein Faktor, der sich positiv auf dein Ranking in den Suchergebnissen auswirkt. Und da Google selbst die Umstellung auf https forciert, gehe ich davon aus, dass dieser Faktor in Zukunft höher gewichtet wird.
Ein paar Hinweise vorab
Bevor du jetzt gleich loslegst, gibt es ein paar Punkte, die du vorab klären oder vorbereiten solltest, damit alles glatt über die Bühne geht.
- Nimm dir Zeit. Die Umstellung geht zwar rasch, aber es gibt auch danach noch ein paar Handgriffe zu erledigen.
- Stell dich drauf ein, dass du die Anzeige deiner Social-Shares verlierst, falls dein Plugin keine „Share Recovery“ Funktion hat.
- Deaktiviere dein Caching Plugin, um Komplikationen vorzubeugen.
- Je nachdem wie umfangreich deine Website, kann es einige Zeit dauern, bis Google deine Seiten richtig mit https indexiert. Dabei kann es zu Schwankungen im Ranking kommen.
WordPress auf HTTPS umstellen
Genug Theorie, lass uns endlich zur Praxis kommen und deine Website Schritt für Schritt auf https umstellen.
1. Erstelle ein vollständiges Backup
Wie immer, bevor du größere Veränderungen in WordPress vornimmst, empfehle ich dir ein vollständiges Backup deiner Website zu erstellen. Damit bist du auf der sicheren Seite, falls doch mal etwas schiefgeht.
Ich setze vor größeren Eingriffen immer auf ein manuelles Backup. Wie das geht, erkläre ich dir im Artikel „WordPress Backup erstellen und wiederherstellen„.
2. Bestelle dein SSL Zertifikat
Viele Anbieter im deutschsprachigen Raum unterstützen mittlerweile die kostenlosen SSL-Zertifikate der Firma „Let’s Encrypt“ und richten diese für dich am Server ein.
Die Bestellung erfolgt über das Kundencenter deines Hosters. Als Kunde von World4You* wählst du den Menüpunkt „SSL/TLS-Verschlüsselung“ und kannst dort dein „Let’s Encrypt“-Zertifikat aktivieren.
*Affiliate-Link
3. Ändere deine WordPress Urls auf https
Sobald dein SSL-Zertifikat eingerichtet ist, kannst du deine Website Adressen umstellen und zwar ganz einfach in deinem WordPress Backend.
Im Menüpunkt „Einstellungen > Allgemein“ änderst du deine „WordPress Adresse“ und deine „Website Adresse“ von http:// auf https:// und speicherst.
4. Leite HTTP auf HTTPS um
Im nächsten Schritt kümmerst du dich darum, dass alle Aufrufe deiner Website, die über http:// erfolgen, auf https:// umgeleitet werden.
Dazu ist eine Anpassung der .htaccess-Datei notwendig, die du im Hauptverzeichnis deiner WordPress Installation findest. Verbinde dich mit deinem FTP-Client, ich verwende Filezilla, mit deinem Server und lade die Datei auf deinen Rechner, um sie zu bearbeiten.
Füge ganz oben in deine .htaccess folgenden Code ein, speichere und lade die Datei, mittels Filezilla, wieder zurück auf deinen Server.
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
5. Passe die Links in der Datenbank an
Dieser Schritt ist ein bisschen heikel, weil es jetzt um die Anpassung aller Links direkt in der MySQL-Datenbank geht. Mit deinem aktuellen Backup, bist du aber auf der sicheren Seite.
Installiere dafür das Plugin „Better Search and Replace“, da es kinderleicht zu bedienen ist und zuverlässig arbeitet. Nach der Aktivierung kannst du es unter „Werkzeuge > Better Search and Replace“ aufrufen.
Um die Links anzupassen führst wählst du folgende Einstellungen:
- Bei „Suchen nach“ trägst du deine alte Adresse mit http ein
- In „Ersetzen durch“ kommt deine neue Adresse mit https rein
- Wähle alle Tabellen aus, dabei kannst du mit SHIFT und den Pfeiltasten arbeiten
- Setze das Häkchen bei „Testlauf?“, für den Probedurchgang
- Starte „Suchen und Ersetzen“
Wenn du Testlauf aktiviert hast, wird die Änderung deiner Links nur simuliert. Im Anschluss wird angezeigt, wie viele Tabellenzellen gefunden wurden, die aktualisiert werden sollen. War der Testlauf erfolgreich, geht’s ans Eingemachte.
Entferne das Häkchen bei Testlauf und starte „Suchen und Ersetzen“. Jetzt werden alle Links in deiner Datenbank tatsächlich angepasst und durch die Variante mit https ersetzt.
6. Teste deine Website und korrigiere Links
Eigentlich bist du jetzt fertig und kannst kontrollieren, ob deine Website schon als sicher gekennzeichnet ist.
Das überprüfst du ganz einfach, indem du deine Website öffnest und alle Seiten durchklickst. Erscheint vor der Adresszeile bereits das grüne Schloss, werden deine Inhalte verschlüsselt übertragen.
Unsichere Inhalte aufspüren
Wird deine Website allerdings durch ein anderes Symbol zB. Rufzeichen oder Dreieck gekennzeichnet, musst du dich auf die Suche nach den „unsicheren Inhalten“ machen, um sie zu korrigieren.
Sichere und unsichere Inhalte auf einer Website vertragen sich nämlich nicht und können zu einer fehlerhaften Darstellung deiner Seite führen.
Um diese Inhalte aufzuspüren empfehle ich dir den Google Browser Chrome. Über einen Rechtsklick (egal wo) auf deiner Seite kannst du die Funktion „Untersuchen“ auswählen und im neuen Fenster auf „Console“ umschalten. Dort werden alle Elemente angezeigt, die nicht über https übertragen werden.
All diese Links musst du anpassen, bis deine Seite vollständig über https übertragen und in der Adressleiste als sicher gekennzeichnet wird.
Auf meiner Website musste ich beispielsweise die Anmeldeformulare für meinen Newsletter und meinen Website Link im Footer korrigieren.
Google Search Console
Hast du deine Website in der Google Search Console eingetragen?
Dann solltest du dort auch deine neue Url mit https hinterlegen, indem du einfach eine neue Property für diese Variante erstellst. Wähle diese Version auch als bevorzugte Variante aus und reiche deine aktuelle xml-Sitemap ein.
Alle weiteren Vorteile und Funktionen dieses praktischen Google Tools, kannst du in meinem Artikel „Google Search Console – dein Blick hinter die Kulissen“ nachlesen.
Google Analytics
Auch Google Analytics solltest du auf deine neue https-Adresse umstellen.
Melde dich in deinem Account an, wechsle in „Verwaltung > Property > Property Einstellungen“ und ändere deine Standard-URL.
Am unteren Ende dieser Seite kannst du Google Analytics auch gleich mit der Search Console verknüpfen und ermöglichst dadurch den Datenaustausch zwischen diesen beiden Tools.
Im nächsten Schritt änderst du die URL deiner Website auch für die Datenansicht unter „Verwaltung > Datenansicht > Einstellungen der Datenansicht“.
Und falls Google Analytics noch nicht für deine Website eingerichtet hast, findest du die Anleitung in diesem Artikel „Google Analytics in WordPress einrichten“.
Ein paar letzte Handgriffe
Du verlinkst sicher von deinen Social Media Profilen in Facebook, Twitter, Pinterest und Co. auf deine Website. Nimm dir ein paar Minuten Zeit und trag dort deine neuen https-Urls ein.
Verwendest du Jetpack? Dann musst du diese Verbindung unter Umständen erneuern. Falls notwendig, wird ein entsprechender Hinweis in deinem WordPress Dashboard angezeigt.
Bis deine Website und alles rundherum auf https umgestellt ist, sind doch ein paar Handgriffe notwendig. Mit dieser Schritt-für-Schritt Anleitung bist du dafür aber bestens gerüstet.
Hast du deine Website schon auf https umgestellt oder steht das noch auf deiner To-Do-Liste? Ich freu mich auf deinen Kommentar 🙂
Lies weiter:
Hat dir der Artikel gefallen? Dann teil ihn bitte in deinen Netzwerken:
Liebe Daniela,
eine sehr wertvolle Anleitung. Wir werden diese über unsere Kanäle teilen. Alles Liebe,
Sebastian
Vielen Dank, Sebastian
Liebe Daniela,
herzlichen Dank für die Anleitung. Ich überlege auch schon seit Jahresbeginn, ob ich umsteigen soll. Dank deiner Anleitung werde ich es wohl in den nächsten Tagen versuchen. Ich hoffe, dass es klappt!
Liebe Grüße
Elvira
Liebe Elvira,
Das klappt ganz bestimmt und du wirst erstaunt sein, wie einfach die Umstellung auf HTTPS ist.
Herzliche Grüße,
Daniela
Hallo, danke für den Beitrag! Habe erst am Wochenende darüber nachgedacht und werde mich wohl am Wochenende mit deiner Anleitung trauen das umzuändern 😃
Hallo Kathi,
Na dann kommt meim Beitrag ja genau zur richtigen Zeit, das freut mich 🙂
Liebe Grüße,
Daniela
Grüss Dich,
wie so oft habe ich auch diesen Beitrag von Dir schon mehrmals mit Ehrfurcht gelesen. Nun wollte ich mich gerade aufraffen und die Umstellung angehen und scheitere als erstes schon mal an Filezilla… „Unsicherer Server; er unterstützt kein FTP über TLS.“ Habe den Fehler gegooglet (weil er zu oft kommt) und laut gefundener Anleitung den Zeichensatz auf UTF-8 umgestellt (lt Info von world4you ist das der verwendete – hat nichts geholfen. Gut, versuche es später wieder, meistens klappt es dann irgendwann aus heiterem Himmel…. Unverständlicherweise – für mich zumindest 🙂
So, dann eben wieder auf die w4u Seite gewechselt und wollte mein Zertifikat lösen – ja welches denn nun? Die monatliche Gebühr ist immer 1,90€ *seufz*, der Rest ist eine einmalige Gebühr.
letsencrypt und Standard-SSL werden nicht von allen Browsern unterstützt, der Unterschied zwischen Premium und Wildcard-SSL ist nur noch die IP. Nachdem ich bei solchen Dingen ja leider noch ein bissl ein Depp bin, steh ich grad an. Lohnt es sich einmal die 33,10 für das Wildcard Zertifikat zu investieren?
In Wahrheit zwickt mich ja jeder Cent, da wir erst mal einige Zeit ohne Einkommen Segeln werden und nur von Reserven leben. Möchte es also so kostengünstig wie möglich handhaben, aber trotzdem im sinnvollen Rahmen.
Wenn Du jetzt nicht genervt den Rechner abgedreht hast und in die nächste Therme fährst (Therme würde ich Dir natürlich gönnen, am besten die Linsberg Asia, da kann ich dann spontan & persönlich weiternerven) würde ich mich über Ratschläge sehr freuen.
Danke 😀
Liebe Astrid,
Das kostenlose Zertifikat von „Let’s Encrypt“ ist vollkommen ausreichend. Seitens W4U fallen trotzdem € 22,80 pro Jahr an.
(Noch günstiger wäre es allerdings, statt dem Kontaktformular einfach eine E-Mailadresse als Kontaktmöglichkeit anzugeben und auf SSL zu verzichten. 😉 )
Liebe Grüße,
Daniela
Danke für Deine Antwort 🙂
Kann ich Deinen Nachsatz (Email-adresse statt Kontaktformular) so verstehen, dass ich mir damit das Zertifikat – und somit das httpS ersparen kann?
Muss die Adresse dann unverändert, also mit @ statt (a) oder anderen Kombinationen sein? Öffne ich damit meine Adresse nicht für jeden Spammer?
Liebe Grüsse und schönes Wochenende
Astrid
Liebe Astrid,
Grundsätzlich empfehle ich die Umstellung auf HTTPS/SSL, aus den im Artikel genannten Gründen. Allerdings musst du selbst abwägen, ob das aktuell wichtig für dich ist oder du dein Geld momentan an anderer Stelle dringender brauchst.
Aus rechtlicher Sicht, musst du deine Website in Österreich verpflichtend ab 2018 per HTTPS/SSL absichern, wenn du zum Beispiel ein Kontaktformular/Newsletteranmeldung,… oder eine andere Form der Dateneingabe anbietest. Daher mein Vorschlag einfach eine Emailadresse als Kontaktmöglichkeit zu nutzen, dann brauchst du dir darüber keine Gedanken machen. In welcher Form du die Emailadresse darstellst, bleibt dir überlassen.
Liebe Grüße,
Daniela
(Trotz sorgfältiger Recherche, möchte ich darauf hinweisen, dass diese Informationen keine Rechtsberatung darstellen.)
Hallo Daniela 🙂
ich habe mich vor kurzem auch an die Umstellung gewagt und ich bin froh, dass ich es gemacht habe, wo mein Blog noch recht klein ist. Dann ist die Umstellung schneller und unkomplizierter erledigt. Gut zu wissen, dass SSL ab 2018 in Österreich unter gewissen Umständen Pflicht ist. Dann wird das in Deutschland bestimmt auch bald kommen. Aber falsch machen kann man damit sowieso nichts und Google wertet „sichere“ Seiten bestimmt einen Deut besser als unsichere Seiten.
liebe Grüße
Josy von https://dasfraeuleinwunder.de
Liebe Josy,
Super, dass du bereits auf HTTPS umgestellt hast, damit bis du auf jeden Fall auf der sicheren Seite, sowohl rechtlich als auch aus Google Sicht 😉
Liebe Grüße,
Daniela
Hallo Daniela!
Jetzt hats bei mir auch endlich funktioniert!
Ich habe noch eine Frage an dich: Wie bessere ich die unsicheren Links aus? Ich sehe in der Console leider eine jede Menge, die noch unter http laufen – wie kann ich das beheben?
Tausend Dank,
lg Viktoria
Liebe Viktoria,
Tolle Seite und ein super Titelbild, gefällt mir sehr gut.
Die unsicheren Links musst du meist nur im Code von http auf https ausbessern, weil es sich dabei oft um manuell platzierte Bilder/Links/… handelt.
Liebe Grüße,
Daniela
Liebe Daniela,
ich war ja etwas nervös ob der bevorstehenden Umstellung – doch es hat alles perfekt geklappt dank deiner Anleitung!
Vielen Dank! Dein Blog ist mein Handbuch, wann immer ich Technik-Fragen habe, schaue ich zuerst nach, ob es etwas auf deiner Seite dazu gibt! 😉
Vielen Dank noch einmal!
Alles Liebe,
Jules
Hi Jules,
Super, dass du dich drüber getraut hast und vielen Dank für dein Lob zu meinem Blog.
Alles Liebe,
Daniela
Liebe Daniela,
vielen lieben Dank für deine ausführliche Anleitung. Lange habe ich mich gedrückt, aber danke dir hat die Umstellung geklappt 🙂
Liebe Grüße,
Helen
Super Helen, das freut mich 🙂
Liebe Daniela,
vielen Dank für den Zuspruch und die Anleitung – hat ganz einfach geklappt. Liebe Grüße!
Super Claudia, das freut mich 🙂
Hallo Daniela,
könntest du mir bitte deine Quellen bezüglich der verpflichtenden HTTPS/SSL Absicherung ab 2018 nennen? Google verrät hierzu noch nicht allzu viel… Danke & liebe Grüße, Thomas
Hallo Thomas,
Die Information habe ich aus dem Gespräch mit der Juristin meines Vertrauens mitgenommen, mit der ich das Thema diskutiert habe.
Es ist nämlich, wie du richtig sagst, oft nicht einfach die rechtlichen Rahmenbedingungen (speziell für Österreich) im vollen Umfang zu erfassen. Daher lasse ich mich in diesem Punkt gerne beraten.
Abgesehen davon, sprechen aber aus meiner Sicht auch genug andere Gründe für die Umstellung auf HTTPS/SSL.
Liebe Grüße,
Daniela
Neulich für einen Kunden eine dementsprechende Anleitung als Checklist gesucht und bei all den ganzen im Web ist deine wirklich am besten & am verständlichsten – well done 😉
Vielen Dank, Michael, das freut mich sehr 🙂
Hallo Daniela,
danke für die super Anleitung. Hat einfach geklappt 🙂 Zum Thema Search Console habe ich noch eine Frage: Dort sind jetzt quasi 4 Properties (mit http, mit https, mit http://www. und mit https://www) hinterlegt. Ich konnte nur auswählen, ob www oder nicht www bevorzugt werden soll. Trotzdem sind die 4 Properties weiter aufgelistet. Ist das richtig? Falls du mir helfen kannst, vielen Dank!
Viele Grüße
Imke
Hallo Imke,
Super, das freut mich. In der Search Console bleiben immer alle Properties aufgelistet und du entscheidest nur, welche Variante du bevorzugst. Du hast also alles richtig gemacht 😉
Liebe Grüße,
Daniela
Vielen Dank, Daniela! Auch habe es nun, Dank Deiner Anleitung, zusammen gebracht. Echt cool!
LG, Martin
Hallo Daniela,
Eine Super Anleitung die uns sehr weitergeholfen hat. Mit der Umstellung auf HTTPS hatten wir probeme, weil wir nicht wussten, was zu tun ist. Wir sind unterwegs in Australien, haben nicht immer tolles Internet und durch die Zeitverschiebung ist der Kontakt mit Hotlines sehr schwierig. Mit deinem Artikel hat es nun geklappt und hoffentlich passt wieder alles.
Herzlichen Dank und sonnige Grüsse aus Australien.
Marcel
Hallo Marcel,
Super, dass ich euch mit meiner Anleitunge helfen konnte und vielen lieben Dank für die Grüße vom anderen Ende der Welt. 🙂
Liebe Grüße,
Daniela
Wirklich toller Beitrag! Hat bei mir soweit auch gut funktioniert. Leider habe ich seit der Umstellung Probleme mit dem Verzeichnisschutz. Die Passworteingabe wird jetzt auf allen Seiten im Frontend aufgerufen, nicht nur bei /wp-admin.
Weiß nicht wo der Fehler liegt – wahrscheinlich bei der htpswd.
Hallo liebe Daniela,
danke für den tollen Beitrag. Wir haben schon auf https umgestellt, haben aber jetzt das Problem, dass Seiten (Beiträge) auf denen die Kommentarfunktion eingeschaltet ist (Diskussion erlauben ja/nein) als unsicher angesehen werden. Wie hast du das denn gelöst bzw. kennst du das Problem?
Guten Morgen Max,
Super, dass ihr schon auf https umgestellt habt. Ich habe gerade einen Blick auf eine der angesprochenen Seiten geworfen und festgestellt, dass es hier noch „mixed-content“ geladen wird und es nicht an der Kommentarfunktion liegt.
Ich habe hier im Artikel unter „6. Teste deine Website und korrigiere Links“ beschrieben, wie du das lösen kannst.
Liebe Grüße,
Daniela
Vielen Dank für diesen wirklich tollen und sehr hilfreichen Artikel. Hat mir sehr weiter geholfen.
Liebe Grüße
Michaela
daisies and glitter
Wunderbarer perfekt erklärter Beitrag!
Habe meine Seiten und Blocks dank der klaren Erklärungen
umgestellt…vielen Dank!!
Nur eine Sache bekomme ich bis jetzt nicht hin!
Den Eintrag nach erfolgter Umstellung in der Google Search Console. Da bekomme ich immer Fehlermeldungen.
Wo muss ich den HTML Tag einbauen um mich als Eigentümer zu bestätigen?
Wie lange dauert es bis die Suchmaschinen die Webseiten neu listen?
Danke für alles Ferry
Hi Ferry,
Super, dass die Umstellung so gut geklappt hat.
Um deine Website in der Google Search Console zu verifizieren bietet Google dir eine kleine HTML-Datei an, die du direkt in das root-Verzeichnis deines Servers hochlädst, das ist am einfachsten. Zusätzlich solltest du außerdem deine xml-Sitemap neu einreichen, um Google über die neuen Links zu informieren.
Liebe Grüße,
Daniela
Vielen Dank für den Tip in der Konsole zu schauen,
bei mir war in der Sidebar ein link auf ein Bild noch hinterlegt
ohne „https“, dadurch war die Seite nicht vollständig sicher.
Hätte ich ohne die Analyse der Fehlermeldung in der Konsole
nicht gefunden
Gruss Andreas
Hallo Andreas,
Gerne, ohne Konsole hat man auch kaum eine Chance, solche Fehler zu finden. Freut mich, dass bei die jetzt alles „grün“ ist.
Alles Liebe,
Daniela
Griaß di Daniela;
Ich muss echt auch mal meinen Senf dazu geben – Ich mag die Art Deines Schreibens – klar, verständlich und vor allem auf Augenhöhe mit dem Laien.
Beste und kollegiale Grüße,
Peter
Hi Peter,
Vielen lieben Dank, solch ein Lob unter Kollegen freut mich ganz besonders 🙂
Herzliche Grüße nach Schladming,
Daniela
Hallo Daniela,
cooler Artikel von Dir, aber warum Nutzt man immer wieder Plugins, man kann doch ganz einfach die Datenbank mit 3 Update Befehle angleichen.
UPDATE wp_posts SET guid = replace(guid, ‚http://example.de‘,’https://example.de‘);
UPDATE wp_posts SET post_content = replace(post_content, ‚http://example.de‘, ‚https://example.de‘);
UPDATE wp_postmeta SET meta_value = replace(meta_value,’http://example.de‘,’https://example.de‘);
Mach weiter so…
Grüße David
Hallo David,
Grundsätzlich gebe ich dir Recht und bin auch kein großer Fan davon, für jede Kleinigkeit ein Plugin zu nutzen. In diesem Fall, empfinde ich es allerdings wirklich als bequem und verwende es deshalb sehr gerne. 🙂
Alles Liebe,
Daniela
vielen dank für die tolle anleitung, konnte sie auf allen meinen domains umsetzen. <3