Es lohnt sich, die eigene Internetseiten auf die sogenannte SSL-Verschlüsselung umzustellen. Die Migration auf das HTTPS-Protokoll verbessert nicht nur die Sicherheit von WordPress-Seiten, sondern bringt Ihnen weitere Vorteile wie z.B besseres Ranking bei Google, schafft Vertrauen bei Besuchern und ist für die DSGVO wichtig.
SSL-Umstellung: Schritt für Schritt erklärt
Der Prozess ist in relativ kurzer Zeit durchgeführt. Manchmal übersehen selbst versierte WordPress-Administratoren aber wichtige Punkte. Daher veröffentlichen wir eine einfache Anleitung, die Sie sicher durch den gesamten Prozess führt.
1. SSL-Zertifikat kaufen und einrichten
Bevor Sie eine WordPress-Installation auf das HTTPS-Verfahren umstellen, benötigen Sie ein entsprechendes SSL-Zertifikat. Im Idealfall bietet Ihr Provider eine entsprechende Variante.
Manche Webhoster versorgen Sie nur mit kostenpflichtigen SSL-Versionen. Andere Hoster bieten den Support für den Gratis-Service „LetsEncrypt SSL“. Dann können Sie die Dienste von SSL-Anbietern wie „ALL-INKL“ oder „Raidboxes“ nutzen. Bei ALL-INKL. ist die Einrichtug des LetsEcrypt SSL Zertifikates wirklich einfach und das Zertifikat wird automatisch erneuert.
Sobald das SSL-Zertifikat für Ihre Homepage generiert wurde, können Sie es für Ihre Domain aktivieren. Dieser Vorgang unterscheidet sich. Je nach Zertifikat und Provider sind unterschiedliche Schritte zur Aktivierung. erforderlich. Viele Webhoster dokumentieren das jeweilige Vorgehen gut, sodass die erste Einrichtung des Zertifikates rasch abgeschlossen ist.
2. WordPress-Backup erstellen
Zur Sicherheit empfehlen wir Ihnen, vor dem Eingriff in das WordPress-System ein Backup zu erzeugen. Falls etwas schiefläuft, nutzen Sie die Sicherheitskopie. Ich nutze dafür das Plugin Backupbuddy von iThemes. Alternativ kann man auch manuell die Webspace Inhalte und die MySQL Datenbank sichern.
3. Login auf SSL umstellen
Wenn das SSL-Zertifikat für Ihre Domain aktiviert ist, sollten Sie zunächst testen, ob der WordPress-Login mit der HTTPS-Verschlüsselung funktioniert. Zu diesem Zweck greifen Sie einfach auf die Datei wp-config.php zu, die sich im WordPress-Verzeichnis ihres FTP-Servers befindet. In die Datei fügen Sie folgende Zeilen ein
define(‚FORCE_SSL_ADMIN‘, true);
Speichern Sie die PHP-Datei anschließend auf Ihrem Server. Anschließend sollte die der Login-Bereich Ihrer WordPress-Seite die SSL-Verschlüsselung aufweisen. Das erkennen Sie am HTTPS in der Adressleiste des Browsers.
4. WordPress-Adresse anpassen
Loggen Sie sich wie gewohnt ein. Danach wählen Sie zunächst die „Einstellungen“ und dann den Bereich „Allgemein“ an. Hier müssen Sie die URL der WordPress-Installation sowie die Adresse der Internetseite anpassen. Ändern Sie die HTTP-Einträge einfach in die entsprechenden HTTPS-Adressen.
5. URLs ersetzen
Im Anschluss ändern Sie weitere WordPress-Adressen, wie zum Beispiel die Verweise auf Grafiken oder interne Links. Passen Sie daher die Einträge in der WordPress-Datenbank an. Am einfachsten funktioniert das mit dem Plugin „Better Search Replace„. Nach Installation finden Sie das Plugin unter Werkzeuge -> Better Search Replace.
In der Anwendung geben Sie im ersten Feld die alte Adresse ein z.B http://www.d1ma.de
Im zweiten Feld erfolgt die Eingabe der neuen HTTPS-Adresse z.B https://www.d1ma.de.
Starten Sie den Suchvorgang. Markieren Sie nun alle Tabellen, in denen die bisherige URL ersetzt werden soll. Sie können einen Testlauf durchführen, um die Änderungen zu prüfen. Wenn alles in Ordnung ist, beginnen Sie die endgültige Aktualisierung, die das Plug-In im Anschluss durchführt.
6. Umleitungen einrichten
Damit die WordPress-Installation alle HTTP-Anfragen zukünftig auf HTTPS-Adressen umleitet, müssen Sie die .htaccess-Datei anpassen. Sie lässt sich mit Hilfe eines Texteditors bearbeiten und auf dem FTP-Server speichern. Es empfiehlt sich, vorab eine Sicherheitskopie der Datei anzulegen. Fügen Sie im Anschluss folgenden Code direkt zu Anfang der .htaccess-Datei ein:
#Umleitung http zu https
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
7: Mixed Content Fehler beheben
Nun sollte die WordPress-Installation sämtliche Seiten über die SSL-Verschlüsselung ausliefern. Allerdings kommt es manchmal zu sogenannten Mixed Content Fehlern auf einigen Seiten, sodass eine Fehlermeldung neben der Adresszeile des Browsers erscheint. Der Hinweis ist nur dann zu sehen, wenn die Seite zwar via SSL verschlüsselt ist, aber noch unsichere HTTP-URLs enthält.
Ursachen für unsichere Inhalte können Bilder und Hintergründe sein, die sich in der style.css-Datei befinden. Weitere Verursacher sind Bilder, URLs oder Anzeigen, die sich in Widgets befinden. Lokale Schriftarten sowie Favicons führen ebenfalls zur Fehlermeldung.
Um sämtliche Unterseiten zu finden, die mit der Warnung ausgegeben werden, sollten Sie den SSL-Check von „JitBit“ verwenden. Das Tool analysiert die gesamte WordPress-Installation. Die Anwendung sucht nach unsicheren Inhalten, wobei es Grafiken, Skripte und Styles prüft.
Im Anschluss sollten Sie die betroffenen Unterseiten genauer untersuchen. Verwenden Sie am besten das Entwickler-Tool ihres Browsers. Im Reiter Console des Tools sollten sich sämtliche Fehler auf der Unterseite finden, die Sie im danach über die Administrationsoberfläche von WordPress beheben.
8. Zusätzliche Anpassungen vornehmen
Wenn die letzten Mixed Content Fehler behoben sind, haben Sie WordPress erfolgreich von HTTP auf das HTTPS-Verfahren umgestellt. Bei manchen WordPress-Installationen müssen Sie allerdings zusätzliche Anpassungen vornehmen.
Analysieren Sie die Datei robots.txt. Passen Sie die Daten ebenfalls an.
Leeren Sie den Cache von Performance-Plugins
9. SSL prüfen und HSTS aktivieren
Zum entgültigen Abschluss der SSL-Einrichtung öffnen Sie erneut die htaccess-Datei. Fügen Sie folgenden Code ein:
Header set Strict-Transport-Security „max-age=15768000; includeSubDomains“ env=HTTPS
Mittels vorheriger HTTP Strict Transport Security (HSTS) Funktion legen Sie fest, dass Ihre Internetseite ausschließlich via HTTPS erreichbar ist. Dank HSTS-Header laufen sämtliche Browser-Anfragen fortan mittels SSL-Verschlüsselung ab. Außerdem informieren Sie Suchmaschinen wie Google, die in der Folge die sichere URL in den Suchergebnissen visualisieren.
10. Finalen Check durchführen
Die Konfiguration ist abgeschlossen. Zeit für einen letzten Check. Nutzen Sie beispielsweise den Servertest von „SSL Labs“, um sich alle Details zur bestehenden SSL-Konfiguration anzeigen zu lassen. Beim Test sollte Ihre WordPress-Internetseite am besten ein A+, aber mindestens ein A erreichen. Damit Sie ein optimales Ergebnis erzielen, sollten Sie den HSTS-Header aktivieren.
11. SEO-Tools aktualisieren
Die Google Search Console ist ein kostenloses Analysetool, das viele Webmaster zur Suchmaschinenoptimierung verwenden. Leider können Sie im Online-Werkzeug nicht einfach die Adresse von HTTP auf HTTPS umstellen. Stattdessen müssen Sie die jeweilige Internetseite neu einreichen. Selbiges gilt für ähnliche Anwendungen wie die Bing Webmaster Tools.
Falls Sie Google Analytics verwenden, müssen Sie die verschlüsselte URL gleichfalls aktualisieren. Begeben Sie sich zu diesem Zweck in die „Verwaltung“ des Tools. Passen Sie dann unter „Property-Einstellungen“ die Web-Adresse an. Danach haben Sie auch diese letzten Einstellungen abgeschlossen, wodurch die SSL-Einrichtung beendet ist.
SSL für WordPress: Umstellung vom Profi
Wenn Sie unsere Anleitung befolgen, können Sie die wichtige SSL-Umstellung selbst vornehmen. Erfahrene WordPress-Nutzer benötigen nur etwas Geduld und Zeit, damit die Internetseite fortan via HTTPS erreichbar ist.
Als Internetspezialisten, die regelmäßig Webshops, Blogs und andere Online-Projekte auf SSL-Verschlüsselung umstellen, sind wir wesentlich schneller. Treten Sie in Kontakt, um alle Arbeiten für das HTTPS-Protokoll vom Profi vornehmen zu lassen. Nutzen Sie die Hilfe der d1ma Webentwicklung, die SSL und WordPress sicher zusammenbringt.