WordPress auf HTTPS umstellen

Es ist mittlerweile offiziell, dass eine sichere Datenübertragung auf Websites per SSL / HTTPS das Google-Ranking positiv beeinflussen kann. Außerdem ist es seit Inkrafttreten der DSGVO sowieso Pflicht, solltest Du auf Deiner Website ein Formular anbieten, über das personenbezogene Daten übermittelt werden.

Hier noch ein paar Gründe, warum Du unbedingt auf HTTPS umstellen solltest:

  • SSL ist mittlerweile ein Rankingfaktor bei Google
  • Du gestaltest Deine Website damit DSGVO-konform
  • Du wirkst vertrauenswürdiger gegenüber Deine Websitebesuchern und nicht zuletzt auch auf Google, wo es immer mehr auf Expertise, Autorität und Vertrauenswürdigkeit (E-A-T) ankommt

Ich zeige Dir hier, wie Du Deine WordPress Website sicher und SEO-konform auf HTTPS umstellst, ohne Dein bestehendes Google-Ranking dabei zu gefährden.

Was ist SSL überhaupt?

SSL steht für Secure Sockets Layer und ist ein Verschlüsselungsprotokoll, mit dem Daten sicher übertragen werden können. SSL-verschlüsselte Websites erkennt man daran, dass in der Adressleiste im Browser statt „http“ ein „https“ steht und an dem (grünen) Schloss neben der Website-Adresse (URL).

SSL Adressleiste
verschlüsselte Website in Chrome, Firefox, Opera und Edge

Wofür benötige ich SSL?

Das Sicherheitsprotokoll SSL zählt bereits seit 2014 zu den Ranking-Faktoren bei Google. Nun will Google ab 01.01.2017 unverschlüsselte Websites, auf denen Passwörter oder Kreditkartendaten eingegeben werden können, als unsicher markieren.

Google möchte damit dazu beitragen, das Web sicherer zu machen. Die Verwendung von SSL signalisiert dem Besucher, dass Du verantwortungsvoll mit seinen persönlichen Daten umgehst.

Woher bekomme ich ein SSL Zertifikat für meine Website?

Ein SSL Zertifikat wird von vielen Registrierungsstellen gegen ein Entgelt angeboten. Bei den günstigeren Varianten wird einfach nur geprüft, ob eine Domain rechtmäßig registriert wurde. Bei aufwändigeren Verfahren werden amtliche Dokumente, wie ein Handelsregisterauszug, zur Überprüfung der Identität herangezogen.

Eine kostenlose Alternative ist Let’s Encrypt, eine Initiative der Internet Security Research Group (ISRG). Die ISRG ist ein Zusammenschluss von Big Playern wie Mozilla Foundation, Google Chrome, Facebook und Automattic (WordPress), die zum Ziel hat, sicheres Internet für Jedermann verfügbar zu machen.

Einige deutsche Hoster wie All-inkl.com* bieten Unterstützung für Let’s Encrypt an, andere bieten stattdessen kostengünstige Zertifikate ihrer Partner, wie beispielsweise AlphaSSL an.( Im Zweifelsfall frag Deinen Hoster.) Bei einigen Hostern, wie HostEurope, ist bei den Serverprodukten eine manuelle Installation des Zertifikates möglich.  Hier findest Du eine Liste der Hoster, die Let’s Encrypt unterstützen.

In diesem Artikel zeige ich Dir, wie Du ein SSL-Zertifikat auf Deiner WordPress-Website einrichtest. Du solltest allerdings schon etwas Erfahrung mit der Betreuung von Websites haben.

1. Schritt: SSL-Zertifikat auf dem Server einrichten

Zunächst einmal musst Du bei Deinem Hoster ein SSL-Zertifikat beziehen. Bei einigen Hostern kannst Du das problemlos selbst im Kundenbereich einstellen, vor allem dann, wenn sie das kostenlose Let’s Encrypt unterstützen. Bei anderen Hostern musst Du ein kostenpflichtiges Zertifikat beziehen. Dazu kontaktierst Du am besten Deinen Hoster.

Solltest Du einen eigenen (Virtual) Server nutzen, musst Du das Zertifikat selbst installieren. Im folgenden zeige ich Dir das beispielhaft an zwei Hostern, wie das geht:

Variante a: Kostenloses Let’s Encrypt- Zertifikat bei All-Inkl.com aktivieren

Logge Dich unter https://kas.all-inkl.com/ im Kundenadministrationsbereich ein und klicke links auf „Domain“. Wähle dort neben der Domain, die Du umstellen möchtest in der Spalte „Aktion“ den Bearbeiten-Button (Pfeil-Icon) aus.

all-inkl.com KAS
All-inkl.com SSL Schutz

Klicke dann neben SSL-Schutz auf „bearbeiten“.

All-inkl.com Let's Encrypt

In der Ansicht wählst Du den Let’s Encrypt Tab aus und machst ein Häkchen bei „Haftungsausschluss akzeptieren“. Dann klicke auf den Button „jetzt ein Let´s Encrypt Zertifikat beziehen und einbinden“.

Nun einige Minuten warten, bis das Zertifikat aktiv ist.

All-inkl.com SSL Zertifikat

Nun ist Deine Website sowohl unter http:// als auch unter https:// erreichbar. Damit sämtliche Links und Grafiken auf Deiner Website auf die https://-Version verweisen, gehe nun zu Schritt 2.

Variante b: Einrichtung Deines SSL-Zertifikates auf Deinem (Virtual) Server mit Plesk (z.B. für HostEurope Server Kunden)

Nachdem Du Dein SSL-Zertifikat bei Deinem Hoster oder bei Let’s Encrypt bezogen hast, logge Dich in der Plesk-Administrations-Oberfläche ein und klicke auf „Websites & Domains“. Dort wählst Du die entsprechende Domain aus und klickst auf „SSL-Zertifikat“.

Klicke dort auf „SSL-Zertifikat hinzufügen“ und gib einen Namen für Dein Zertifikat ein.

Plesk Zertifikat hinzufügen

Dann lädst Du entweder die entsprechenden Zertifikats-Dateien (private Key, Zertifikat, CA-Zertifikat) hoch oder fügst die entsprechenden Komponenten per Copy&Paste in die dafür vorgesehenen Felder ein. Klicke dann auf „Zertifikat hochladen“.

Plesk Zertifikat hochladen
Plesk Zertifikat hochladen

Nun musst Du das Zertifikat noch für Deine Domain aktivieren. Gehe auf „Websites & Domains“, wähle Deine Domain und klicke auf „Hosting-Einstellungen“. Aktiviere dort SSL-Unterstützung und wähle das Zertifikat aus.

Plesk Zertifikat auswählen
Wenn Du einen ganz neuen WordPress Blog / eine neue Website erstellst, solltest Du von vornherein mit SSL starten. Rufe bei der Installation einfach https://deinedomain.de auf statt http://deinedomain.de Dann wird Deine Installation automatisch unter https angelegt. Denke daran, bei Deinem Hoster SSL zu erzwingen, damit Dein Blog nicht unter http und https erreichbar ist!

2. Schritt: BackUp Deiner WordPress Datenbank

Grundsätzlich sollten Wordpress-Backups sowieso regelmäßig gemacht werden. Da Du hier aber Änderungen an Deiner Datenbank machen wirst, ist es äußerst wichtig, vorher ein Backup zu erstellen. (In einem der folgenden Blogartikel zeige ich Dir, wie es geht). Geeignete Plugins sind z.B. BackWPup, Duplicator oder UpdraftPlus.
Lies hier meine Anleitung zum WordPress Umzug mit Duplicator.

3. Schritt: WordPress Website auf https:// umstellen

Im nächsten Schritt stellst Du im WordPress Dashboard unter „Einstellungen“ Die WordPress-Adresse und die Website-Adresse auf HTTPS um:

WP Dashboard HTTPS

Ggf. musst Du Dich nun neu im Dashboard einloggen.

Außerdem solltest Du Deine Permalinks einmal aktualisieren (unter Einstellungen -> Permalinks).

4. Schritt: Die URLS anpassen

Nun solltest Du die URLs anpassen, also alle internen Links, Bilder und Mediendateien auf https:// umstellen. Denn nur wenn alle Verknüpfungen auf Deiner Website auf die https-Version verweisen, wird im Browser die Seite als sicher ausgewiesen (grünes Schloss).

Ich empfehle dazu ein Suchen-und-Ersetzen-Plugin wie Better Search Replace.
Alternative: Velvet Blues Update URLs

Achtung! Solltest Du OptimizePress nutzen, dann ist Better Search & Replace nicht zu empfehlen. Folge stattdessen den Anweisungen von OptimizePress!
Better Search & Replace HTTPS

Gib dazu unter

  • Suchen nach“ die alte URL mit http:// ein,
  • im Feld „Ersetzen durch“ die neue https-Variante
  • und wähle alle Tabellen aus.
  • Häkchen bei „Testlauf“ rausnehmen.

Nun sollten alle Pfade auf https geändert sein.

5. Schritt: Testen der SSL Verschlüsselung

Nun solltest Du noch einmal Deine Website überprüfen. Funktioniert alles korrekt und wird überall in der Adressleiste das (grüne) Schloss angezeigt? Sollten im Browser Warnhinweise angezeigt werden, kann das daran liegen, dass einzelne Elemente der Seite noch über http eingebunden sind. Das könnten z.B. Grafiken sein, die über einen absoluten Link eingebunden sind. Oder die CSS Datei kann noch solche Pfade enthalten. Ein Blick in den Seitenquelltext oder in die Entwicklertools von Chrome oder Firefox hilft hier weiter.

Dialogi Adressleiste

6. Schritt: Weiterleitung von http:// auf https:// per .htaccess Datei

Nun ist Deine Seite sowohl unter http als auch unter https erreichbar. Das ist für Dein Google Ranking nicht gut, denn so hast Du Duplicate Content, was Google gar nicht mag. Deshalb solltest Du sicherstellen, dass Deine Website nur noch über https erreichbar ist.

Apache-Server

Dazu benötigst Du jetzt einen FTP-Zugang zu Deiner Website. Logge Dich per FTP- Programm (z.B. mit Filezilla) auf Deinem Server ein und lade Dir die .htaccess-Datei auf deinen lokalen PC. Am besten, Du erstellst Dir vorher noch eine Kopie der .htacces-Datei.

Nun öffne die Datei mit einem Text-Editor (nicht Word!) wie Notepad ++ und füge folgende Code hinzu:

RewriteEngine On
 RewriteCond %{HTTPS} !=on
 RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Speichern und dann wieder auf den Server hochladen. Das war’s auch schon.

nginx-Server

Falls Deine WordPress-Website auf einem nginx-Server liegt, solltest Du diesen Code in Deine nginx.conf einfügen:

# force https-redirects
    if ($scheme = http) {
        return 301 https://$server_name$request_uri;
}

Falls Du ein Caching-Plugin installiert hast, solltest Du jetzt den Cache noch einmal leeren.

Die einfache Plugin-Variante – Really Simple SSL

Really Simple SSL

Es ist also wirklich nicht schwer, seine Website auf SSL umzustellen, aber es geht natürlich noch einfacher. Mit dem Plugin Really Simple SSL kannst Du Dir die Schritte 3,4 und 6 sparen. Lediglich Dein SSL Zertifikat beim Hoster musst Du bestellen. Backups solltest Du sowieso immer machen, und testen nach der Umstellung solltest Du auch. Wenn Du Dich also gar nicht mit der manuellen Lösung anfreunden kannst, dann nutze einfach dieses Plugin.

Was gibt es sonst noch SEO-mäßig zu beachten?

In der Google Search Console solltest Du eine neue Property für die HTTPS-Version anlegen und die neu erstellte Sitemap dort einreichen. Falls Du die Property mit Google Analytics verbunden hast, solltest Du auch hier die Verknüpfung ändern.

Beobachte nun in den nächsten Wochen, ob Du irgendwelche Probleme oder Auffälligkeiten feststellen kannst.

Es kann sein, dass Du – kurzfristig – einen kleinen Einbruch in Deinen Rankings bemerkst. Lass Dich davon nicht stressen, denn Google benötigt immer eine gewisse Zeit, genau wie bei einem Domainwechsel auch. Mit Hilfe der 301-Weiterleitung, die Du per .htaccess eingerichtet hast, gibst Du dein Ranking an die HTTPS-Version weiter und nach kurzer Zeit sollte Dein Ranking wieder auf dem alten Niveau sein.

Denke außerdem daran, auch Deine bestehenden Links zu ändern, z.B. bei sozialen Netzwerken – ggf. musst Du Deine Linkpartner anschreiben!

Ist Dir sonst noch etwas aufgefallen? Hast Du noch Fragen dazu? Dann hinterlasse mir einen Kommentar!

WordPress auf HTTPS umstellen

Ähnliche Beiträge

8 Kommentare

  1. Hallo Martina,

    erstmal vielen Dank für diesen exzellenten Artikel.

    Habe einer meiner Seiten mit dem Plugin „Better Search & Replace“ durchlaufen lassen und wusste zu diesem Zeitpunkt leider noch nicht das es mit Optimizepress nicht funktioniert, bis ich auf Deinen Artikel stieß.

    Was seltsam ist, selbst nach dem Backup – dieses habe ich über Strato eingereicht – ist leider immer noch die Seite verschossen. Weißt Du eventuell woran das liegen könnte?

    Liebe Grüße und schöne Pfingsten

    Matthias

    1. Hallo Matthias,

      hm schwer zu sagen. Ich kenne mich mit OptimizePress leider nicht so gut aus…wie hast Du denn das Backup eingepflegt?

      Liebe Grüße und schöne Pfingsten
      Martina

      1. Hallo Martina,

        vielen Dank für Dein (schnelles) Feedback. (o:

        Das Backup habe ich immer automatisch von meinem Hostinganbieter sichern lassen, doch offenbar wurden dort – so bisher meine Vermutung – nicht die Plugins hinterlegt. Bin derzeit noch mit dem Support im Gespräch, warum es nicht geklappt hat.

        In Zukunft werde ich in jedem Fall immer zusätzlich nochmal ein manuelles Backup anlegen, denn diesbezüglich hält doppelt wahrhaftig im Zweifel besser.

        Ganz liebe Grüße aus Schwerin & noch einen angenehmen Abend

        Matthias (o:

        1. Hallo Matthias,

          ja das ist auf jeden Fall besser! Und mit den gängigen WordPress Plugins (ich empfehle BackWPUp oder Updraft Plus) ist das ja auch schnell gemacht.

          Liebe Grüße von den Azoren 🙂
          Martina

  2. Hallo! Ich arbeite mit OptimizePress Theme und habe diese Empfehlung hier gelesen BEVOR ich gecheckt habe, ob diese Vorgehensweise mit dem OptimizePress Theme kompatibel ist. Durch die Benutzung von Better Search Replace ist meine Seite nun zerstört und nicht erreichbar. Durch den backup kann ich das glücklicherweise beheben.
    Also, für OptimizePress-Benutzer NICHT das Better Search Replace Plugin verwenden! Sondern der Vorgehensweise hier folgen:
    https://help.optimizepress.com/article/446-using-an-ssl-certificate-for-https-protection-with-optimizepress

    1. Hallo Alina,

      das tut mir leid. Ich hoffe, Du konntest Deinen Blog wiederherstellen. Ich habe in die Anleitung nun einen Hinweis zu OptimizePress aufgenommen.
      LG Martina

  3. Hallo Martina,

    Tolle Beschreibung! Ich habe eine Frage: ich bin auch all-inkl Kunde und habe meine Seite vor ein paar Wochen auf https umgestellt. Jetzt habe ich aber eine neue Home Startseite erstellt (ich habe die alte Startseite nicht überschrieben, sondern eine neue Seite in Wordpress angelegt, sonst hätte es wahrscheinlich geklappt, oder?) nicht und diese ist nun als einzigste nicht mehr https gesichert. Hast du mir vielleicht einen Tipp wie ich das nun hinbekomme.

    LG,
    Jörg

    1. Hallo Jörg!

      Danke für das Lob! Was meinst Du mit: die Seite ist nicht gesichert? Wird kein grünes Schloss angezeigt im Browser? Vielleicht sind auf der Seite Bilder oder Links eingebunden, die noch auf einen http-Link verweisen. Die Startseite zu ändern dürfte eigentlich keine Probleme verursachen. Schick mir doch mal eine Link zu Deiner Seite, wenn Du magst.

      LG Martina

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert