SicherheitWordpress

Die WordPress-Umstellung auf HTTPS in ein paar Schritten

Einführung

Irgendwann stellt sich für jeden Betreiber einer WordPress-Website die Frage nach einer Umstellung auf HTTPS. Warum diese Umstellung wichtig ist und was eigentlich die Unterschiede zwischen HTTP und HTTPS ausmacht, können Sie bei Interesse in meinem Artikel „Was Sie über Dinge wie HTTP und HTTPS wissen sollten“ nachlesen.

Und deswegen liste ich Ihnen hier auch nur ganz kurz die Vor- und Nachteile einer solchen Umstellung auf.

Und dahinter finden Sie eine Schritt-für-Schritt-Anleitung der wichtigsten Schritte, die Sie für eine erfolgreiche Umstellung auf HTTPS durchführen sollten sowie eine Aufstellung einiger Plug-Ins, die Ihnen bei der Umstellung helfen können.

Und noch eine kleine Bemerkung zu dem hier verwendeten Begriff HTTPS. Ich verwende hier den Begriff HTTPS für das um eine Verschlüsselungsfunktion ergänzte HTTP. Die eigentliche Verschlüsselung nennt sich TLS (oder auch SSL, weil sich das vom Vorgänger so eingebürgert hat). Außerdem benutze ich den Begriff SSL-Zertifikat, der eigentlich auch nicht so ganz korrekt ist. Eigentlich müssten die Dinger TLS-Zertifikate heißen, aber, wie oben schon gesagt, der Begriff hat sich so eingebürgert.

Die Vor- und Nachteile der Umstellung

Durch die Umstellung auf HTTPS werden Sie ganz automatisch von einigen Vorteilen profitieren.

  • Durch die Umstellung auf die verschlüsselte Übertragung von Daten wird die Verbindung zu Ihrer Website für den Benutzer sicherer, so werden beispielsweise in Formulare eingegebene Daten schwerer abzufangen (ob’s auch gegen Abgreifaktionen staatlicher Stellen hilft, sei hier einmal dahingestellt, aber für den gewöhnlichen Ganoven sollte es reichen).
  • Außerdem schaffen Sie durch die Umstellung ganz automatisch mehr Vertrauen in Ihre Website durch Ihre Besucher, weil in der Adressleiste des Browsers jetzt ein Schloss anstelle des Kommentars „Nicht sicher“ angezeigt wird.
  • Und das sehen Google & Co. ganz genauso und honorieren Ihre Anstrengungen mit einem verbesserten Ranking in den Suchlisten. Weil nämlich gerade Google erhebliche Anstrengungen unternimmt, um die Sicherheit im Internet auf breiter Fläche zu erhöhen.
  • Mit etwas Glück (nämlich dann, wenn Ihr Provider HTTP/2 unterstützt) sollte sich auch die Performance Ihrer Website durch die Umstellung etwas verbessern.
  • Und auch die Komptabilität zur Datenschutz-Grundverordnung (DSGVO) können Sie eigentlich nur durch eine Umstellung auf HTTPS erreichen. Und das hilft dann vielleicht auch zur Vermeidung der einen oder anderen Abmahnung durch einen der darauf spezialisierten Vereine. Was Ihnen wiederrum mehr Geld spart, als das SSL-Zertifikat jemals kosten könnte.

Aber natürlich haben Sie auch ein paar Nachteile durch die Umstellung (auch wenn die Vorteile klar überwiegen)

  • Da wäre zum einen der Aufwand durch die Umstellung selbst. Das Ganze ist zwar nicht sehr komplex (es sei denn, Sie müssten das SSL-Zertifikat selbst installieren, aber darum sollte sich eigentlich Ihr Hosting-Provider kümmern). Rechnen Sie insgesamt mit gut 2 Stunden für die Abarbeitung der einzelnen Punkte, eventuell geht’s auch etwas schneller.
  • Manche Hosting-Provider erlauben eine einfache Einbindung von kostenlosen SSL-Zertifikaten (beispielsweise über den Anbieter „Let’s Encrypt“). Aber bei den meisten ist das nicht der Fall. Und dann fallen für das Zertifikat Kosten zwischen 20 und 30 € pro Jahr an. Aber das liegt, wie oben schon gesagt, immer noch deutlich unter den Kosten für eine etwaige Abmahnung.
  • Falls Ihr Hosting-Provider HTTP/2 nicht unterstützen sollte (was eigentlich beinahe nicht mehr möglich ist) könnte die Ladegeschwindigkeit Ihrer Website geringfügig zurückgehen.

Aber jetzt genug der Theorie, lassen Sie uns mit der Umstellung beginnen.

Ein paar einfache Schritte zur Umstellung auf HTTPS

Ein SSL-Zertifikat besorgen und installieren

Zunächst einmal benötigen Sie ein SSL-Zertifikat. Im einfachsten Fall (und das sollte eigentlich bei allen halbwegs vernünftigen Providern der Fall sein) lässt sich das Zertifikat direkt auf der Verwaltungsseite Ihres Hosting-Providers bestellen und wird auch direkt vom Hosting-Anbieter installiert.

Je nach gewünschtem Typ des Zertifikats sind dann eventuell noch Schritte zur Verifizierung Ihrer Identität und/oder Ihrer Kontaktdaten notwendig. Bei einem SSL-Zertifikat der Klasse 1 (das eigentlich für die meisten Websites ausreichen sollte) reduziert sich das im Allgemeinen auf den Klick auf einen Bestätigungslink in einer E-Mail und eventuell noch die Eingabe eines Codes aus ebendieser E-Mail.

In diesem Fall können Sie sich nach der Bestellung und der Bestätigung ganz beruhigt zurücklehnen und auf die Bestätigung der Installation des Zertifikats durch Ihren Hosting-Provider waren.

Noch einfacher geht’s übrigens für meine Kunden, deren Website auf meinem Server gehostet sind. In dem Fall reicht ein Anruf oder eine E-Mail, und ich erledige diesen Teil für Sie und stelle Ihnen nur die effektiven Kosten für das Zertifikat in Rechnung (das sind aktuell für ein Zertifikat der Klasse 1 für ein Jahr 21 € und für 2 Jahre 39 €).

Falls Ihr Hosting-Provider die automatisierte Bestellung und Installation eines SSL-Zertifikats nicht anbieten sollte und Sie mit der Installation alleine nicht klarkommen, können Sie sich ebenfalls gerne an mich wenden. Ich werde Ihnen dann gerne ein unverbindliches Angebot für Bestellung und Installation des SSL-Zertifikats zukommen lassen, dass sich an den Möglichkeiten Ihres Providers orientiert.

Falls Sie mir die gesamte Umstellung Ihrer Website überlassen möchten, ist das übrigens ebenfalls kein Problem. Kontaktieren Sie mich bitte auch in diesem Falle für ein unverbindliches Angebot.

Mein Formular zur Angebotsanfrage finden Sie übrigens hier.

Ein Backup der Website erstellen

Die Umstellung einer Website ist zwar nicht besonders kompliziert in der Ausführung, greift aber trotzdem sehr tief ins System ein. Und deswegen sollten Sie, wie übrigens bei allen Änderungen Ihrer Website, vorher ein Backup der gesamten Website erstellen.

Testen der HTTPS-Verbindung

Bevor Sie die eigentliche Umstellung beginnen, sollten Sie sich vom ordnungsgemäßen Funktionieren der Verbindung überzeugen. Rufen Sie dazu in Ihrem Browser einfach Ihre eigene Website auf. Sie sollten in der Adresszeile jetzt eine Information darüber erhalten, dass diese Website unverschlüsselt oder nicht sicher ist (wie genau diese Warnung erfolgt, hängt vom verwendeten Webbrowser ab).

Und jetzt gehen Sie einfach in die Adresszeile des Webbrowsers und fügen Sie vor der eigentlichen Adresse die Zeichen „https://“ ein (beispielsweise wird aus dem üblichen „www.xyz.com“ ein „https://www.xyz.com“ und bestätigen Sie Ihre Eingabe mit der Enter-Taste.

Die Website sollte normal laden, allerdings sollten Sie jetzt angezeigt bekommen, dass die Verbindung nur teilweise sicher ist und Sie sollten sich das Zertifikat ansehen können. Die Meldung über die teilweise Sicherheit ist übrigens völlig normal, schließlich ist die eigentliche Umstellung noch gar nicht passiert.

Gehen Sie jetzt in den Admin-Bereich von Wordpress (egal welche Seite) und machen Sie dort die gleiche Umstellung in der Adresszeile. Sie müssen sich nach dem Neuladen der Seite übrigens neu bei Wordpress anmelden. Wenn das jetzt auch funktioniert und Sie sich problemlos anmelden konnten, können Sie mit der eigentlichen Umstellung beginnen.

Die Konfigurationsdatei von WordPress ändern

Für diesen Schritt benötigen Sie Zugriff auf Ihren Webserver. Die notwendige Änderung können Sie je nach Anbieter entweder direkt über das Verwaltungsmenü vornehmen oder Sie benötigen einen FTP-Zugriff.

Auf jeden Fall müssen Sie jetzt die Konfigurationsdatei Ihrer WordPress-Installation ändern. Diese Datei befindet sich im Hauptverzeichnis Ihrer Website und trägt den Namen „wp-config.php“.

  • Öffnen Sie zunächst einmal die Datei mit einem Editor
  • Suchen Sie dann folgende Zeile in der Datei
     „define( ‚WP_DEBUG‘, false );“
  • Fügen Sie unterhalb dieser Zeile eine neue Zeile mit folgendem Inhalt ein:
    „define( ‚FORCE_SSL_ADMIN‘, true );“

Damit haben Sie bereits den Admin-Bereich von WordPress umgestellt. Die Website wird aber immer noch als nur teilweise sicher ausgewiesen.

Die Website-Adresse in WordPress ändern

Klicken Sie jetzt im Menü des Admin-Bereichs auf der linken Seite auf „Einstellungen“. Jetzt sollten sich die allgemeinen Einstellungen Ihrer Website öffnen.

Unterhalb des Titels der Website finden die die Felder „WordPress-Adresse (URL)“ und „Website-Adresse (URL)“. In beiden sollte die Adresse Ihrer Website, beginnend mit der Buchstabenfolge „http://“ stehen.

Ändern Sie „http://“ in beiden Feldern zu „https://“ und speichern Sie die Werte. Nach dem Speichern der Werte werden Sie sich neu bei Wordpress anmelden müssen, das ist durch die Umstellung bedingt und völlig normal.

Die URLs in der Datenbank ersetzen

Damit auch alle anderen URLs (interne Links, Bilder oder ähnliches) auf HTTPS umgestellt werden, müssen Sie jetzt sämtliche Einträge in Ihrer WordPress-Datenbank anpassen.

Glücklicherweise lässt sich das recht einfach mit einem Plug-In namens „Better Search Replace“ erledigen. Sie sollten also zunächst einmal dieses Plug-In installieren und aktivieren.

Gehen Sie dazu im Menü des Admin-Bereichs auf der linken Seite auf „Plugins“ und danach auf „Installieren“ und geben Sie im Suchfeld „Better Search Replace“ ein. Das Plug-In sollte als erstes in der Liste erscheinen. Klicken Sie also auf „Jetzt installieren“ und nach abgeschlossener Installation auf „Aktivieren“.

Im Menü des Admin-Bereichs finden Sie in der Gruppe „Werkzeuge“ jetzt einen Eintrag „Better Search Replace“ den Sie jetzt öffnen sollten. In diesem Menü sollten Sie jetzt folgendes tun:

  • Tragen Sie unter „Suchen nach:“ den alten Namen Ihrer Website ein. Das ist die Version mit dem „http://“ davor, also beispielsweise „http://www.meineseite.de“)
  • Tragen Sie unter „Ersetzen durch:“ den neuen Namen Ihrer Website ein. Das ist die Version mit dem „https://“ davor, also beispielsweise „https://www.meineseite.de“)
  • Wählen Sie im Feld „Tabellen auswählen:“ alle Einträge aus.
  • Stellen Sie sicher, dass alle Tabellen ausgewählt und die Website-Namen richtig geschrieben sind.
  • Kreuzen Sie das Feld „Groß -und Kleinschreibung ignorieren?“ an.
  • Lassen Sie das Feld „Testlauf?“ für den Moment angekreuzt.
  • Klcken Sie auf „Suchen/Ersetzen starten“

Nach einem Moment erhalten Sie im oberen Teil des Bildschirms eine Meldung wie „TESTLAUF: xx Tabellen wurden durchsucht, xx Tabellenzellen wurden gefunden, die aktualisiert werden sollen. 0 Änderungen wurden vorgenommen.“.

Wenn Sie diese Meldung sehen und wenn anstelle von „xx“ in Ihrer Meldung Zahlen stehen, können Sie die Ersetzung starten.

  • Entfernen Sie das Kreuz beim Feld „Testlauf?“
  • Klcken Sie auf „Suchen/Ersetzen starten“

Jetzt werden die Datenbanken ein weiteres Mal durchsucht und die Ersetzungen vorgenommen. Sie sollten jetzt eine Meldung wie „Beim Suchen/Ersetzen wurden xx Tabellen mit insgesamt xx Zellen durchsucht. xx Aktualisierungen wurden vorgenommen.“.

Und damit sollte eigentlich alles soweit okay sein. Wenn Sie jetzt auf Ihre Website schauen, dann sollte Ihnen Ihr Webbrowser eigentlich mitteilen, dass Sie ich auf einer sicheren Seite befinden.

Die Kontrolle der erfolgten Umstellung

Zunächst einmal sollten Sie versuchen, auf die ungesicherte Version Ihrer Website zu gelangen, indem Sie die Seite mit vorangestelltem „http://“ öffnen. Wenn alles gut funktioniert hat, dann sollte Ihr Webbrowser jetzt automatisch auf die sichere Seite wechseln.

Danach sollten Sie einmal sämtliche Seiten Ihrer Website öffnen und darauf achten, ob auch tatsächlich alle Seiten in Ihrem Webbrowser als „sicher“ angezeigt werden.

Und dann können Sie noch einen Online-Test Ihrer Website durchführen, um wirklich sicherzugehen. Mit einem Online-Tool von JitBit können Sie Ihre gesamte Website untersuchen lassen und feststellen, ob Sie noch irgendwo etwas vergessen haben könnten.

Wenn beides der Fall ist (und das sollte es in den meisten Fällen sein) sollten Sie jetzt ein weiteres Backup Ihrer auf HTTPS umgestellten Seite vornehmen und sich danach befriedigt zurücklehnen.

Was tun, wenn es nicht geklappt hat ?

Falls das nicht der Fall sein sollte und Ihnen nach wie vor einzelne Seiten als nicht sicher angezeigt werden, sollten Sie die folgenden Möglichkeiten überprüfen.

  • Überprüfen Sie Punkt 6 der vorigen Anleitung

    Eventuelle haben Sie nicht alle Tabellen in der Liste angekreuzt. Lassen Sie zur Sicherheit den Ersetzungsvorgang noch einmal für alle Tabellen laufen. Wenn nach dem erfolgten Durchlauf angezeigt wird, dass keine Ersetzung vorgenommen wurde, dann lag der Fehler zumindest nicht hier.
  • Überprüfen Sie Ihre Plug-Ins (besonders Galerien und Slider)

    Manche Plug-Ins (beispielsweise „Slider Revolution“) speichern ihre Informationen so, dass die Ersetzung nicht wie gewünscht funktioniert. Überprüfen Sie daher alle Plug-Ins darauf, ob in der Bild-URL die Version mit „https://“ angezeigt wird und ersetzen Sie die URLs im Bedarfsfall.

    Bei Slider Revolution können Sie das übrigens ganz bequem im Menü unten rechts unter „Import / Export / Replace“ erledigen. Ähnlich wie bei „Better Search Replace“ können Sie hier die alte URL durch die neue ersetzen.

Bei weiteren Problemen können Sie mich gerne ansprechen.

Claus Nehring

Ich bin freiberuflicher Autor, Journalist und Texter (aka "Schreiberling") aus Luxemburg. Als Informatiker und Statistiker habe ich jahrelange Erfahrung in der Visualisierung und Modellierung großer Datenmengen. Ich beschäftige mich seit mehr als 30 Jahren mit Infektionskrankheiten und publiziere Artikel zu diesem Thema, aus verschiedenen anderen Wissenschafts-Bereichen und aus dem Bereich Internet & Gesellschaft,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


Durch das Abschicken des Kommentars werden die eingegebenen Daten in der Datenbank dieser Website gespeichert. Ausserdem speichern wir aus Sicherheitsgründen Ihre IP-Adresse für einen Zeitraum von 60 Tagen. Weitere Informationen zur Datenverarbeitung finden Sie in der Datenschutz-Erklärung.

Schaltfläche "Zurück zum Anfang"