Im heutigen Beitrag zeigen wir euch, wie man mittels unserer Anleitung sein WordPress auf HTTPS umstellt. Dazu gehen wir kurz auf Zertifikate ein, erklären warum Du auf HTTPS umstellen solltest und zeigen Dir die sichersten Ansätze zum Umstellen. Zusätzlich erwähnen wir die Umstellung auf die Subdomain www und klären problematische Fälle.

Dir fehlen Informationen?

Dieser Post wird laufend aktualisiert. Lass uns doch gerne ein Kommentar mit weiteren Fragen da.

Was ist ein SSL-Zertifikat und wieso brauche ich das zur Umstellung auf HTTPS?

Mit HTTP (Hyper Text Transfer Protocol) oder HTTPS (Hyper Text Transfer Protocol Secure) können Daten im Internet zwischen dem Client (Webbrowser) und Server übertragen werden. Mit HTTPS wird eine geschützte Verbindung zwischen dem Browser und Server aufgebaut. Dabei wird ein SSLZertifikat auf dem Server abgelegt und jedes Mal abgerufen, wenn ein Besucher eine auf HTTPS umgestellte Website besucht. 

WordPress von HTTP auf HTTPS und WWW umstellen HTTP VS HTTPS wordpress http auf https umstellen

Es gibt vier Arten von Zertifikaten, die sich vor allem hinsichtlich des Umfangs der Identifikation unterscheiden: Zertifikate mit Domain Validation sind meist kostenfrei und schnell eingerichtet. Dieses Zertifikat wird von einer autorisierten Stelle ausgegeben und ist das mit Abstand meist genutzte Zertifikat. Beliebt ist das Let´s Encrypt Zertifikat, dass bei fast jedem Hoster zur Verfügung steht.  

Let´s Encrypt

Im November 2021 bedient Let’s Encrypt 266 Millionen Websites mit 211 Millionen aktiven Zertifikaten. Seit 2013 ist der Anteil der HTTPS-Seitenaufrufe weltweit von 25 % auf 84 % gestiegen; in den Vereinigten Staaten liegt er bei fast 92 %.

WordPress von HTTP auf HTTPS und WWW umstellen Lets Encrypt Annual Report wordpress http auf https umstellen
Bild aus dem 2021 Annual Report

Neben der Domain Validation gibt es noch Self-Signed (Selbst signiert, ist nur für Testumgebungen sinnvoll), Organization Validation (auch als High Assurance Zertifikat bekannt, hier wird der Inhaber validiert) und Extended Validation Zertifikat. Dabei zeigte eine grüne Adressleiste an, dass die Domain von einem vertrauenswürdigen Dritten verifiziert wurde, um die höchstmöglichen Sicherheitsstandards zu erfüllen. Diese Art von Zertifikaten nutzen z. B. Banken, Versicherungen usw. Allerdings ist hier nicht immer teuer auch gleich besser.

Extended Validation Zertifikat

Die grüne Adresszeile wurde angezeigt, was ist damit geschehen?

Da die Verwendung eines SSL-Zertifikats (Secure Sockets Layer) für Websites inzwischen zum Standard geworden ist, zeigen die gängigsten Browser nur an, wenn eine Website keine Verschlüsselung verwendet. Aus diesem Grund wird die Adressleiste auch dann nicht grün angezeigt, wenn Du ein EV-Zertifikat verwendest. 

In den Browsern Chrome und Firefox entfällt seit 2020 beim Besuch einer Website die Anzeige der grünen Adressleiste. Stattdessen erscheint nur das graue Schloss-Symbol, über das Du die Zertifikatsinformationen abrufen kannst. 

Möchtest Du Dein SSL Zertifkat testen?

ssllabs.com ist ein kostenlose Online-Dienst und führt eine gründliche Analyse der Konfiguration eines beliebigen SSL-Webservers im öffentlichen Internet durch. 

Wie erkennst Du eine SSL verschlüsselte Verbindung im Webbrowser?

Ob die Verbindung eine gesicherte SSLVerbindung ist, erkennt man anhand der Adresszeile. Ist ein verschlüsselter Aufruf sichtbar an der Angabe https oder dem grünem Schloss. Wenn nur http dort steht, dann ist meistens kein SSL-Zertifikat vorhanden.

Wenn Drittanbieter-Dateien ohne SSL eingebunden wurden, spricht man von Mixed Content. Dann entfällt das grüne Schloss – du musst also alle eingebundenen Ressourcen per HTTPS ausliefern – z.B. Fotos, Videos, Dokumente, Icons, Werbung, Fonts usw.

Mixed Content wird blockiert

Seit Chrome 88 werden gemischte Inhalte als Downloads in Chrome komplett blockiert. Bis dahin wurde da nur gewarnt. Auch andere Browser blockieren bereits solche unsicheren Inhalte.

Warum auf HTTPS umstellen?

Solltest Du Deine Website nicht auf HTTPS umstellen, kannst Du mit folgendem rechnen:

  • Das Vertrauen in Deine Website wird nicht aufgebaut
  • Manche Browser blockieren die Website schon beim Seitenaufbau
  • Solltest Du personenbezogene Daten ungesichert übertragen, verstößt Du gegen die DSGVO
  • Google straft die Nutzung von HTTP ab bzw sieht HTTPS als Ranking-Faktor
Gibt es auch Nachteile bei der Umstellung von WordPress auf HTTPS?

Ich weiß nicht worüber wir hier diskutieren – eine Umstellung dauert Minuten daher Überwiegen die Vorteile dem Aufwand oder den Kosten. Ich zeig Dir jetzt wie Du einfach auf HTTPS umstellen kannst.

WordPress auf HTTPS umstellen – in 4 Schritten zur sicheren Website

Keine HTTPS-Weiterleitung ohne SSL Zertifikat!

Non-SSL läuft auf Port 80, SSL auf 443. Wenn Du mit der .htaccess Regeln auf Port 443 weiterleitest und damit SSL erzwingst, SSL aber nicht eingerichtet ist, dann wird Deine Seite ein Timeout haben.

In den folgenden Absätzen erklären wir Dir die Umstellung von HTTP auf HTTPS in WordPress. Dabei sind folgende vier Schritte durchzuführen:

  1. SSL Zertifikat einrichten
  2. Backup erstellen
  3. WordPress Adresse ändern
  4. URLs in der Datenbank ersetzen

Schritt 1: SSL Zertifikat bei Deinem Hoster einrichten

Bitte hab Verständnis, dass wir nicht jeden Hoster hier aufführen können. 

SSL Zertifikat bei All Inkl einrichten

Gehe ins KAS (technische Verwaltung) und suche in Deinem (Sub-) Account die zu zertifizierende Domain. Unter Domains kannst Du nun bei Aktion auf bearbeiten klicken.

WordPress von HTTP auf HTTPS und WWW umstellen All Inkl Domain Übersicht wordpress http auf https umstellen
All Inkl Domain Übersicht

Unter dem Punkt SSL-Schutz klickst Du nun auf deaktiviert, bearbeiten. Für die Aktivierung des kostenlosen Zertifikats von Let´s Encrypt musst du den Haftungsausschluss akzeptieren.

WordPress von HTTP auf HTTPS und WWW umstellen All Inkl Domain bearbeiten Übersucht wordpress http auf https umstellen
All Inkl Domain bearbeiten Übersicht

Nach einer kurzen Wartezeit erscheint im Tab Übersicht nun das eingerichtete Zertifikat. Du kannst hier bereits auf SSL erzwingen stellen, damit HTTP Anfragen automatisch auf HTTPS umgeleitet werden.

WordPress von HTTP auf HTTPS und WWW umstellen All Inkl SSL Zertifikat wurde erstellt wordpress http auf https umstellen
All Inkl SSL Zertifikat wurde erstellt

SSL Zertifikat bei Webgo einrichten

Einloggen in Webgo und auf Webgo Webspace-Admin klicken

WordPress von HTTP auf HTTPS und WWW umstellen Webgo Webspace Admin wordpress http auf https umstellen

Nun über Paket-Verwaltung in den Reiter SSL wechseln und dort auf SSL anlegen drücken

WordPress von HTTP auf HTTPS und WWW umstellen Webgo SSL Einstellungen wordpress http auf https umstellen
Webgo SSL Einstellungen

Wähle nun die Domain aus. Diese solltest Du inklusive www-Subdomain zertifizieren und automatische Verlängerung + Umleitung aktivieren.

WordPress von HTTP auf HTTPS und WWW umstellen Webgo SSL Einrichten für spezifische Domain wordpress http auf https umstellen
Webgo SSL Einrichten für spezifische Domain

SSL Zertifikat bei Hetzner einrichten

Logge dich dazu in die Konsole bei Hetzner ein. Nun auf Verwaltung drücken und in den Reiter SSL-Zertifikate wechseln. Du kannst auch diesen Link folgen.

WordPress von HTTP auf HTTPS und WWW umstellen Hetzner SSL Verwaltung wordpress http auf https umstellen
Hetzner SSL Verwaltung
Was nun?

Was Du nach der Umstellung auf HTTPS noch erledigen musst folgt nun in den nächsten Schritten.

Schritt 2: Backup erstellen

Da wir nun in der Datenbank arbeiten, rate ich Dir dringend ein Backup Deiner Datenbank zu erstellen. Dies kannst Du wieder einspielen, solltest Du einen Fehler machen (und das passiert schneller als man denkt..).

Wir nutzen meist UpdraftPlus. Installieren, Backup erstellen (z.B. verschlüsselt an Cloud-Speicher schicken), Fertig.

WordPress von HTTP auf HTTPS und WWW umstellen Mittels Updraft ein Backup in WordPress erstellen wordpress http auf https umstellen
Mittels Updraft ein Backup in WordPress erstellen

Schritt 3: WordPress Adresse ändern

Deine Website war bisher unter http:// erreichbar. Du solltest nun in Deinen WordPress Einstellungen die WordPress-Adresse und Website Adresse auf https stellen. 

WordPress von HTTP auf HTTPS und WWW umstellen WordPress Adresse in den Einstellungen ändern wordpress http auf https umstellen
WordPress Adresse in den Einstellungen ändern

Sollten die Felder ausgegraut sein, musst Du die WordPress Adresse in der WP-Config ändern

Auch kannst Du in phpmyadmin in der Tabelle _options die Home und Site Url anpassen. 

Schritt 4: URLs in der Datenbank ersetzen

Eine Umstellung komplett auf https ist einfach mittels Better Search Replace, Velvet Blues Update URLs und in den genutzten Themes und Tools wie Elementor, die entsprechende Funktionen mitbringen, durchführbar. Die genutzten Plugins können danach auch wieder entfernt werden.

Das ist ein einmaliger Schritt und bringt nicht die genannten Probleme und Nachteile. Besonders auch in Bezug auf die Performance eurer WordPress-Webseite.

Lade dazu Better Search Replace und Velvet Blues Update URLs herunter, die im Menü Werkzeuge erscheinen. Ersetze nun http://deineDomain.de mit https://deineDomain.de solltest Du nicht mit der Subdomain www arbeiten. Ansonsten gleich auf https://www.deineDomain.de umstellen, dazu gleich mehr.

Kann man beim Umstellen auf https die Spalte GUID der Posttabelle problemlos umschreiben, von http:// auf https:// ?

GUID (warnen die Tools aus guten Gründen) besser nicht umschreiben, die kommt im Frontend nicht vor. Wer den RSS-Feed abonniert hat, erhält dann alle bisherigen Feed-Einträge erneut als neu, da die guid dann abweichend ist. Insofern eher nein. Siehe hier.

Fragerunde – alles zur Umstellung von HTTPS in WordPress

WordPress auf HTTPS umstellen mittels Really Simple SSL sinnvoll?

Oftmals lesen wir, dass eine empfohlene Methode, die sichere Verbindung auf Deiner Website herzustellen, Really Simple SSL sein soll. Das Plugin ist im Grunde unnötig und verursacht folgende

Probleme:

  • reißt Performance in den Keller weil dynamisch alle URLs umgebogen werden
  • Ressourcen laden teilweise nicht wenn es mit der https-URL Probleme gibt
  • kann Cross Origin Frame Fehler verursachen
  • bei Deaktivieren / Löschen des Plugins ist es entsprechend wie vorher
Braucht man Really Simple SSL zum HTTPS umstellen in WordPress?

Bitte verwendet nicht Really Simple SSL dafür, das ist keine empfehlenswerte langfristige Lösung.

Was muss ich bei der Umstellung auf https://www. beachten?

Im Schritt 3 solltest Du die Home sowie Site-URL ebenfalls auf www. schreiben und beim Schritt 4 im Datenbank URL Replace ebenso die Ziel-Url als https://www. angeben. Zudem sollte das SSL-Zertifikat aus Schritt 1 die www Subdomain inkludieren. Möchtest Du die Weiterleitung per .htaccess erzwingen, kannst Du diesen Code nutzen.

RewriteEngine on
RewriteCond %{HTTP_HOST} ^deineDomain.de 
RewriteRule ^(.*)$ https://www.deineDomain.de/$1 

Was tun wenn mein Hoster keine automatische Weiterleitung von SSL erzwingt?

Per .htaccess Weiterleitung erzwingen. Einfach diesen Code ganz an den Anfang deiner .htaccess schreiben. So redirectest Du einfach von http auf https.

RewriteEngine on
RewriteCond %{HTTP_HOST} ^www.(.*)$ 
RewriteRule ^(.*)$ https://%1/$1 
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 

Die HTTPS-Umstellung wurde in den Einstellungen zu voreilig gesetzt. Jetzt wird die Seite ständig auf HTTPS umgeleitet. In welcher Datei kann ich das wieder ändern?

  1. Öffne im Root Ordner die WP-Config.php
  2. Trage define(‚RELOCATE‘, true); ein
  3. Rufe Deine Website ohne https auf -> http://deineDomain.de/wp-login/
  4. Entferne anschließend den relocate Befehl wieder
  5. Ändere die Einstellungen wieder auf http

Gibt es eine Anweisung für die wp-config, um SSL zu erzwingen?

Ja und zwar 

define( 'WP_HOME', 'https://deineWebsite.de' );
define( 'WP_SITEURL', 'https://deineWebsite.de' );

 

Muss ich für Google irgendwas beachten? Muss ich in der Google Search Console etwas ändern?

Du musst in der GSC die https-Adresse dann explizit anmelden, solltest Du die Property mittels URL prefix eingerichtet haben. Sonst hast Du keinen Zugriff auf die neuen Statistiken. Ich nutze fast ausschließlich die Domain Property, das dies alle URLs und Subdomains abgedeckt. Benötigt aber ein DNS TXT-Eintrag.

WordPress von HTTP auf HTTPS und WWW umstellen GoogleSearchConsole Property hinzufügen wordpress http auf https umstellen
GoogleSearchConsole Property hinzufügen

Ich habe die Links immer händisch in der Datenbank per SQL Update gerichtet – Was spricht dagegen?

Dies solltest Du besser per Better Search Replace und Velvet Blues Replace URLs durchführen, denn serialisierte Objekte so anzupassen ist fehleranfällig. Zum Beispiel speichert Elementor die URLs als Base64 – diese sollten unter Werkzeuge -> URLs ersetzen ersetzt werden.

Benötigst Du Hilfe bei der Umsetzung?

  

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert