WordPress von HTTP auf HTTPS und WWW umstellen

Im heutigen Beitrag zeigen wir euch, wie man mittels unserer Anleitung sein WordPress auf HTTPS umstellt. Dazu gehen wir kurz auf Zertifikate ein, erklären warum Du auf HTTPS umstellen solltest und zeigen Dir die sichersten Ansätze zum Umstellen. Zusätzlich erwähnen wir die Umstellung auf die Subdomain www und klären problematische Fälle.

Was ist ein SSL-Zertifikat und wieso brauche ich das zur Umstellung auf HTTPS?

Mit HTTP (Hyper Text Transfer Protocol) oder HTTPS (Hyper Text Transfer Protocol Secure) können Daten im Internet zwischen dem Client (Webbrowser) und Server übertragen werden. Mit HTTPS wird eine geschützte Verbindung zwischen dem Browser und Server aufgebaut. Dabei wird ein SSL–Zertifikat auf dem Server abgelegt und jedes Mal abgerufen, wenn ein Besucher eine auf HTTPS umgestellte Website besucht. 

Es gibt vier Arten von Zertifikaten, die sich vor allem hinsichtlich des Umfangs der Identifikation unterscheiden: Zertifikate mit Domain Validation sind meist kostenfrei und schnell eingerichtet. Dieses Zertifikat wird von einer autorisierten Stelle ausgegeben und ist das mit Abstand meist genutzte Zertifikat. Beliebt ist das Let´s Encrypt Zertifikat, dass bei fast jedem Hoster zur Verfügung steht.  

Neben der Domain Validation gibt es noch Self-Signed (Selbst signiert, ist nur für Testumgebungen sinnvoll), Organization Validation (auch als High Assurance Zertifikat bekannt, hier wird der Inhaber validiert) und Extended Validation Zertifikat. Dabei zeigte eine grüne Adressleiste an, dass die Domain von einem vertrauenswürdigen Dritten verifiziert wurde, um die höchstmöglichen Sicherheitsstandards zu erfüllen. Diese Art von Zertifikaten nutzen z. B. Banken, Versicherungen usw. Allerdings ist hier nicht immer teuer auch gleich besser.

Da die Verwendung eines SSL-Zertifikats (Secure Sockets Layer) für Websites inzwischen zum Standard geworden ist, zeigen die gängigsten Browser nur an, wenn eine Website keine Verschlüsselung verwendet. Aus diesem Grund wird die Adressleiste auch dann nicht grün angezeigt, wenn Du ein EV-Zertifikat verwendest. 

In den Browsern Chrome und Firefox entfällt seit 2020 beim Besuch einer Website die Anzeige der grünen Adressleiste. Stattdessen erscheint nur das graue Schloss-Symbol, über das Du die Zertifikatsinformationen abrufen kannst. 

Wie erkennst Du eine SSL verschlüsselte Verbindung im Webbrowser?

Ob die Verbindung eine gesicherte SSL–Verbindung ist, erkennt man anhand der Adresszeile. Ist ein verschlüsselter Aufruf sichtbar an der Angabe https oder dem grünem Schloss. Wenn nur http dort steht, dann ist meistens kein SSL-Zertifikat vorhanden.

Wenn Drittanbieter-Dateien ohne SSL eingebunden wurden, spricht man von Mixed Content. Dann entfällt das grüne Schloss – du musst also alle eingebundenen Ressourcen per HTTPS ausliefern – z.B. Fotos, Videos, Dokumente, Icons, Werbung, Fonts usw.

Warum auf HTTPS umstellen?

Solltest Du Deine Website nicht auf HTTPS umstellen, kannst Du mit folgendem rechnen:

• Das Vertrauen in Deine Website wird nicht aufgebaut
• Manche Browser blockieren die Website schon beim Seitenaufbau
• Solltest Du personenbezogene Daten ungesichert übertragen, verstößt Du gegen die DSGVO
• Google straft die Nutzung von HTTP ab bzw sieht HTTPS als Ranking-Faktor

WordPress auf HTTPS umstellen – in 4 Schritten zur sicheren Website

In den folgenden Absätzen erklären wir Dir die Umstellung von HTTP auf HTTPS in WordPress. Dabei sind folgende vier Schritte durchzuführen:

1. SSL Zertifikat einrichten
2. Backup erstellen
3. WordPress Adresse ändern
4. URLs in der Datenbank ersetzen

Schritt 1: SSL Zertifikat bei Deinem Hoster einrichten

Bitte hab Verständnis, dass wir nicht jeden Hoster hier aufführen können. 

SSL Zertifikat bei All Inkl einrichten

Gehe ins KAS (technische Verwaltung) und suche in Deinem (Sub-) Account die zu zertifizierende Domain. Unter Domains kannst Du nun bei Aktion auf bearbeiten klicken.

Unter dem Punkt SSL-Schutz klickst Du nun auf deaktiviert, bearbeiten. Für die Aktivierung des kostenlosen Zertifikats von Let´s Encrypt musst du den Haftungsausschluss akzeptieren.

Nach einer kurzen Wartezeit erscheint im Tab Übersicht nun das eingerichtete Zertifikat. Du kannst hier bereits auf SSL erzwingen stellen, damit HTTP Anfragen automatisch auf HTTPS umgeleitet werden.

SSL Zertifikat bei Webgo einrichten

Einloggen in Webgo und auf Webgo Webspace-Admin klicken

Nun über Paket-Verwaltung in den Reiter SSL wechseln und dort auf SSL anlegen drücken

Wähle nun die Domain aus. Diese solltest Du inklusive www-Subdomain zertifizieren und automatische Verlängerung + Umleitung aktivieren.

SSL Zertifikat bei Hetzner einrichten

Logge dich dazu in die Konsole bei Hetzner ein. Nun auf Verwaltung drücken und in den Reiter SSL-Zertifikate wechseln. Du kannst auch diesen Link folgen.

Schritt 2: Backup erstellen

Da wir nun in der Datenbank arbeiten, rate ich Dir dringend ein Backup Deiner Datenbank zu erstellen. Dies kannst Du wieder einspielen, solltest Du einen Fehler machen (und das passiert schneller als man denkt..).

Wir nutzen meist UpdraftPlus. Installieren, Backup erstellen (z.B. verschlüsselt an Cloud-Speicher schicken), Fertig.

Schritt 3: WordPress Adresse ändern

Deine Website war bisher unter http:// erreichbar. Du solltest nun in Deinen WordPress Einstellungen die WordPress-Adresse und Website Adresse auf https stellen. 

Sollten die Felder ausgegraut sein, musst Du die WordPress Adresse in der WP-Config ändern. 

Auch kannst Du in phpmyadmin in der Tabelle _options die Home und Site Url anpassen. 

Schritt 4: URLs in der Datenbank ersetzen

Eine Umstellung komplett auf https ist einfach mittels Better Search Replace, Velvet Blues Update URLs und in den genutzten Themes und Tools wie Elementor, die entsprechende Funktionen mitbringen, durchführbar. Die genutzten Plugins können danach auch wieder entfernt werden.

Das ist ein einmaliger Schritt und bringt nicht die genannten Probleme und Nachteile. Besonders auch in Bezug auf die Performance eurer WordPress-Webseite.

Lade dazu Better Search Replace und Velvet Blues Update URLs herunter, die im Menü Werkzeuge erscheinen. Ersetze nun http://deineDomain.de mit https://deineDomain.de solltest Du nicht mit der Subdomain www arbeiten. Ansonsten gleich auf https://www.deineDomain.de umstellen, dazu gleich mehr.

Kann man beim Umstellen auf https die Spalte GUID der Posttabelle problemlos umschreiben, von http:// auf https:// ?

GUID (warnen die Tools aus guten Gründen) besser nicht umschreiben, die kommt im Frontend nicht vor. Wer den RSS-Feed abonniert hat, erhält dann alle bisherigen Feed-Einträge erneut als neu, da die guid dann abweichend ist. Insofern eher nein. Siehe hier.

Fragerunde – alles zur Umstellung von HTTPS in WordPress

WordPress auf HTTPS umstellen mittels Really Simple SSL sinnvoll?

Oftmals lesen wir, dass eine empfohlene Methode, die sichere Verbindung auf Deiner Website herzustellen, Really Simple SSL sein soll. Das Plugin ist im Grunde unnötig und verursacht folgende

Probleme:

• reißt Performance in den Keller weil dynamisch alle URLs umgebogen werden
• Ressourcen laden teilweise nicht wenn es mit der https-URL Probleme gibt
• kann Cross Origin Frame Fehler verursachen
• bei Deaktivieren / Löschen des Plugins ist es entsprechend wie vorher

Was muss ich bei der Umstellung auf https://www. beachten?

Im Schritt 3 solltest Du die Home sowie Site-URL ebenfalls auf www. schreiben und beim Schritt 4 im Datenbank URL Replace ebenso die Ziel-Url als https://www. angeben. Zudem sollte das SSL-Zertifikat aus Schritt 1 die www Subdomain inkludieren. Möchtest Du die Weiterleitung per .htaccess erzwingen, kannst Du diesen Code nutzen.

RewriteEngine on
RewriteCond %{HTTP_HOST} ^deineDomain.de 
RewriteRule ^(.*)$ https://www.deineDomain.de/$1 

Was tun wenn mein Hoster keine automatische Weiterleitung von SSL erzwingt?

Per .htaccess Weiterleitung erzwingen. Einfach diesen Code ganz an den Anfang deiner .htaccess schreiben. So redirectest Du einfach von http auf https.

RewriteEngine on
RewriteCond %{HTTP_HOST} ^www.(.*)$ 
RewriteRule ^(.*)$ https://%1/$1 
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 

Die HTTPS-Umstellung wurde in den Einstellungen zu voreilig gesetzt. Jetzt wird die Seite ständig auf HTTPS umgeleitet. In welcher Datei kann ich das wieder ändern?

1. Öffne im Root Ordner die WP-Config.php
2. Trage define(‚RELOCATE‘, true); ein
3. Rufe Deine Website ohne https auf -> http://deineDomain.de/wp-login/
4. Entferne anschließend den relocate Befehl wieder
5. Ändere die Einstellungen wieder auf http

Gibt es eine Anweisung für die wp-config, um SSL zu erzwingen?

Ja und zwar 

define( 'WP_HOME', 'https://deineWebsite.de' );
define( 'WP_SITEURL', 'https://deineWebsite.de' );

 

Muss ich für Google irgendwas beachten? Muss ich in der Google Search Console etwas ändern?

Du musst in der GSC die https-Adresse dann explizit anmelden, solltest Du die Property mittels URL prefix eingerichtet haben. Sonst hast Du keinen Zugriff auf die neuen Statistiken. Ich nutze fast ausschließlich die Domain Property, das dies alle URLs und Subdomains abgedeckt. Benötigt aber ein DNS TXT-Eintrag.

Ich habe die Links immer händisch in der Datenbank per SQL Update gerichtet – Was spricht dagegen?

Dies solltest Du besser per Better Search Replace und Velvet Blues Replace URLs durchführen, denn serialisierte Objekte so anzupassen ist fehleranfällig. Zum Beispiel speichert Elementor die URLs als Base64 – diese sollten unter Werkzeuge -> URLs ersetzen ersetzt werden.