WordPress

Wie stellt man WordPress auf SSL um?


Aktuell ist es in aller Munde (zumindest wenn es um Websites geht), dass Websites auf SSL Verschlüsselung und somit https:// umgestellt werden sollten. Am Beispiel WordPress zeige ich auf, wie man das macht und wie man http:// URLs auf https:// URLs weiterleitet.

Um WordPress aus SSL umzustellen, sind ein paar Schritte nötig. Wer überhaupt nichts mit Websites am Hut hat, der sollte hier lieber jemanden ran lassen, der sich damit auskennt. Für alle anderen:

  1. Datensicherung

    Bevor man auf SSL umstellt, sollte man eine Datensicherung der kompletten Website machen. Dies entweder über ein Plugin wie BackWpUp oder man vertraut auf die Datensicherung, die hoffentlich der Webhoster nachts anwirft. Mein Tipp: Erst checken, ob eine Sicherung der Dateien und vor allem der Datenbank vorliegt, die aktuell ist und zurückgespielt werden könnte.

  2. Zertifikat einrichten (lassen)

    Man benötigt für die SSL Verschlüsselung ein Zertifikat für die entsprechende Domain. Dieses kauft man oder holt sich ein kostenfreies. Mein Tipp: Am besten den Webhoster fragen. Dieser richtet SSL Zertifikate bequem für Kunden ein. Entweder kostenpflichtige oder kostenlose (wenn der Hoster das unterstützt). Und: Erst weitermachen, wenn die eigene Website schon unter https:// erreichbar ist.

  3. Änderung aller URLs von http auf https in der WordPress Datenbank

    Das erledigt man am besten mit Hilfe eines Plugins wie WP Migrate DB Pro Mein Tipp: Stellt man die URLs nicht um, kann es zu Fehldarstellungen in WordPress kommen.

  4. Umstellen der WordPress Adresse

    Man trägt die folgenden beiden Einträge in der wp-config.php im root-Verzeichnis der WordPress-Installation ein und gibt somit WordPress die neue Verschlüsselung bekannt.

    define('WP_SITEURL', 'https://www.ihredomain.de');

    define('WP_HOME', 'https://www.ihredomain.de');

  5. Weiterleitung aller Adressen von http:// auf https://

    Außerdem müssen noch alle Aufrufe der nicht verschlüsselten Seiten auf die SSL-verschlüsselte Version weitergeleitet werden mit 301 redirect. Hierzu fügt man den folgenden Eintrag in die .htaccess-Datei im root-Verzeichnis der WordPress-Installation ein. Aber bitte vor die Rewrites, die von WordPress selber mitkommen.

    RewriteEngine On

    RewriteCond %{HTTPS} !=on

    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    Diese Lösung funktioniert nicht bei allen Webhostern. Manchesmal führt sie zu einem Fehler, bei dem „zu oft weitergeleitet“ wird. In diesem Fall probiert man folgende Variante:

    RewriteEngine On

    RewriteCond %{SERVER_PORT} 80

    RewriteRule ^(.*)$ https://www.ihredomain.de/$1 [L,R=301]

  6. Weiterleitung aller Adressen 1 Domain in einer Multisite von http:// auf https://

    Hat man übrigens eine Multisite im Einsatz und möchte nur eine der dort eingerichteten Domains auf SSL umstellen, muss man den folgenden Code in der .htaccess-Datei einbauen um die http://-Adressen umzuleiten.

    RewriteEngine On

    RewriteCond %{SERVER_PORT} !=443

    RewriteCond %{HTTP_HOST} ^ihredomain\.de.* [OR]

    RewriteCond %{HTTP_HOST} ^www\.ihredomain\.de.*

    RewriteRule ^ https://www.ihredomain.de%{REQUEST_URI} [L,R=301]

  7. Hartcodierte Verlinkungen umstellen

    Manch selbstgebasteltes oder auch schlampig programmierte Theme beinhaltet vielleicht Links auf Scripte oder Bilder, die mit http:// eingebunden wurden. Diese müssen ebenso auf https:// umgestellt werden. Ansonsten wird die Verschlüsselung abgelehnt aufgrund von „mixed content“. Das betrifft typischerweise Verweise auf:

    – Google Fonts

    – VGWort Scripte

    – Hintergrundbilder in der style.css

    – favicons

    – …

    Mein Tipp: Am besten zieht man sich das ganze Themeverzeichnis auf den lokalen Rechner und durchsucht dieses nach „http://“.

  8. Testen

    Hat man all diese Schritte erledigt, testet man die Site und auch das WP Dashboard von vorne bis hinten.

WordPress mit Plugin auf SSL umstellen

Wer wirklich gar keine Ahnung hat, über was ich hier schreibe, der sollte vielleicht eher einen Fachmann die Umstellung durchführen lassen oder versucht sich mit einem Plugin. Really Simple SSL verrichtet hier zuverlässig seinen Dienst. Dennoch empfehle ich auf eine manuelle Umstellung zu setzen, da diese in der Regel sauber und einfach funktioniert und eben die Verwendung eines Plugins unnötig wird. Fast jedes weitere genutzte Plugin macht WP langsamer (hierzu gibt es zumindest bei Really Simple SSL auch Hinweise von Nutzern) und erhöht das Risiko irgendwann auf einer schwerer zu wartenden Website zu sitzen.

Zudem kommt man leider nicht weiter mit Really Simple SSL, wenn noch im Theme Anpassungen durchgeführt werden müssen, weil dort hartcodierte http:// Links gesetzt wurden. Bzw. weiter kommt man schon, nur werden diese dann grundsätzlich per Weiterleitung behandelt, was für Suchmaschinen suboptimal ist. Wer es quick and dirty mag, kann aber durchaus mit Really Simple SSL versuchen.

Wo kriege ich ein SSL Zertifikat für meine WordPress-Website?

Kostenlose Zertifikate über den Webhoster

Der Anbieter Let’s encrypt bietet kostenlose SSL Zertifikate an. Gerade für einfache Verschlüsselung reicht dies vollkommen aus. Manche Webhoster bieten die Einrichtung direkt aus dem Webhoster-Backend heraus (zB one.com.). Wer aber Verschlüsselung mit Unternehmensprüfung benötigt, um z.B. eine grüne Adressleiste zu erhalten, der kommt um ein kostenpflichtiges Zertifikat nicht herum.

Kostenpflichtige Zertifikate

Diese Zertifikate kosten je nach Ausführung zwischen 15€ und ein paar hundert € im Jahr. Anbieter wäre z.B. die PSW Group. Hier holt man sich das Zeritifikat und geht dann mit den Zertifikatsschlüsseln zu seinem Webhoster, der dieses einbinden kann. Mein Tipp: Wenn möglich holen Sie das Zertifikat direkt bei Ihrem Webhoster. Dann haben Sie damit am wenigsten Aufwand.

Welche Zertifikate sind besser?

Ob kostenloses oder kostenpflichtiges Zeritifikat besser sind? Die Frage stellt sich nicht. Kostenpflichtige Zertifikate bieten generell mehr (unter Umständen schneller, bessere Verschlüsselung, Vorabprüfung des Unternehmens, grüne Adressleiste), werden aber seltener benötigt. Für Standardverschlüsselung sind kostenlose Zertifikate vollkommen ausreichend.

Gründe, wieso man seine WordPress-Websites auf SSL umstellen sollte

SSL ist für Google ein Rankingfaktor

Seit einiger Zeit empfiehlt Google Websitebetreibern, ihr Angebot zu verschlüsseln. Das liegt daran, dass Google generell Leuten mehr vertraut, die in ihre Website Zeit und Geld investieren. Wer SPAM Seiten ins Netz stellt, betreibt selten den Aufwand von Verschlüsselung. Zudem will Google hier vielleicht auch aus dem NSA Skandal lernen und sich weniger angreifbar machen. Die wahren Gründe sind nicht 100% kommuniziert. Evtl. kommt noch die Möglichkeit dazu, dass SSL verschlüsselte Seiten mit http/2 ausgeliefert werden können. Das macht die Website schneller und Geschwindigkeit ist ein Rankingfaktor für Google.

Google Chrome Browser zeigt Meldung wenn nicht verschlüsselt

Google zeigt schon jetzt im Chrome Browser bei Websites ohne Verschlüsselung neben der Domain ein Ausrufezeichen. Das soll in Zukunft durch ein rotes x ersetzt werden. Wer also kein Warnzeichen in der Browserleiste neben seiner Domain sehen möchte, muss zwingend auf SSL umstellen. Nachtrag: jetzt weiß man, dass ab dem 27. Oktober 2017 Google Chrome Websites mit „nicht sicher“ markiert werden, die zB Formulare nutzen (wie Login oder Kontakt). Um seriös zu arbeiten, sollte also auf SSL umgestellt werden.

Bessere Außenwirkung durch SSL Verschlüsselung

Neben Google ist es auch für Ihre Kunden ein positives Signal, wenn Sie in Sicherheit für deren Daten investieren. Abgeschickte Formulare oder Online-Bestellungen gibt man ungern ab, wenn die Site nicht verschlüsselt ist.

Schnellere WordPress Website mit SSL Verschlüsselung und http/2

Wie bereits geschrieben können SSL Verschlüsselte WordPress-Websites (andere natürlich auch) mit http/2 ausgeliefert werden, wenn der Webhoster das unterstützt (in Zukunft sicher alle). Dadurch werden Requests (Ladeanforderungen von Bildern, Schriften, Scripten, etc….) parallel gefahren und nicht wie jetzt nacheinander. Dadurch lädt die Website viel schneller. Grundvoraussetzung ist eine SSL Verschlüsselung.

Voraussetzung für Zertifizierung schaffen

Wer seinen Onlineshop mit dem TÜV Siegel oder Trusted Shop Zertifikat schmücken möchte, der muss zwingend SSL Verschlüsselung anbieten.

Risiken durch SSL Verschlüsselung

Website wird langsamer durch SSL Verschlüsselung

Gegner der Verschlüsselung prangern oft die nachlassende Performance einer Website nach der Verschlüsselung an. Die Wahrheit ist, dass das die meisten Websitebetreiber nicht betrifft. Nur wer hochperformante Systeme mit sehr viel Traffic betreibt, muss auf jedes Zehntel-Prozent Last schauen. Das trifft auf sehr wenige Websites zu. In Kombination mit http/2 wird dieses vermeintliche Risiko sowieso aufgehoben.

Weniger Werbeeinnahmen für z.B. WordPress-Blogs

Tatsächlich liefern Google und andere Werbetreibende Werbung nicht immer in https:// aus. Das heißt eine Website, die über Werbung betrieben wird, hat weniger potentielle Anzeigen zur Verfügung. Das kann zu weniger Einnahmen nach der SSL Umstellung führen. Allerdings teile ich die Erfahrung nicht und ich denke, dass künftig alle Werbeanbieter hier immer mehr auf https:// setzen werden.

Scripte laufen nicht mehr

Wie oben im Ablauf der Umstellung SSL beschrieben, müssen auch externe Scripts per https:// eingeladen werden. Ansonsten wird es nix aus der Verschlüsselung. Bietet der externe Anbieter wiederrum keine Verschlüsselung, kann man auch nicht per https:// anfordern. Das bedeutet es könnte sein, dass gewohnte Features nicht mehr funktionieren. In der Regel bieten externe Anbieter https://. Aber man sollte es zumindest vor der Umstellung abklären.

WordPress SSL-Umstellung fehlgeschlagen?

Dann meldet man sich am besten bei einem Fachmann. Im akuten Fall, lässt man vom Webhoster erst mal die letzte Sicherung wieder einspielen.

Share this post