Was ist HTTPS?
HTTPS ist nicht länger nur ein Nice-to-Have und SEO-Faktor: die SSL-Verschlüsselung wird überraschend schnell zur Pflicht. Den Stein ins Rollen gebracht haben die kostenlosen SSL-Zertifikate von Let’s Encrypt. Das Zertifikat sorgt dafür, dass eine Website-Adresse als “Sicher” ausgezeichnet wird. Sicher deshalb, weil alle Daten verschlüsselt übertragen werden. Angesichts des Umstandes, dass ohne Verschlüsselung übertragene Daten ausgelesen werden können, sicherlich eine gute Sache.
WordPress Website auf HTTPS umstellen
1. SSL Zertifikat bestellen
Bei den meisten Hosting-Anbietern lässt sich ein kostenloses SSL-Zertifikat auf Knopfdruck bestellen bzw. aktivieren. Erfahren Sie hier, wie die Aktivierung bei einigen beliebten Hosting-Anbietern in der Schweiz funktioniert: Hoststar, Hostpoint, Metanet, Cyon und Infomaniak.
An dieser Stelle sei darauf hingewiesen, dass es neben den kostenlosen Zertifikaten auch kostenpflichtige Zertifikate gibt. Diese höheren Zertifikate empfehlen sich für Online Shops und Unternehmen, die Wert auf Sicherheit legen. Die Zertifizierungsstelle prüft beispielsweise, ob der im Antrag eingetragene Inhaber auch Zugriff auf die angegebene Domain hat. WebSENNsation nutzt ein solches kostenpflichtiges Zertifikat. Der Umfang variiert von Anbieter zu Anbieter.
Mit der Aktivierung des Zertifikates ist es leider noch nicht gemacht: Damit eine Website “grün” wird, braucht es einige Anpassungen in WordPress.
2. Backup erstellen & Caching Plugin deaktivieren
Erstellen Sie ein Datenbank-Backup – besser noch eine vollständige Sicherung der gesamten Website.
Sofern Sie ein Caching Plugin nutzen, sollten Sie dieses deaktivieren, um Komplikationen zu vermeiden.
3. HTTPS für den Adminbereich einrichten
Sobald das SSL-Zertifikat bereit steht und das Backup gemacht ist, kann mit der Umstellung begonnen werden. Vorsichtige und alle Besitzer einer Multisite-Installation sollten mit der Umstellung des Adminbereichs beginnen. Dazu muss lediglich eine Zeile in die wp-config.php eingefügt werden – vor der Zeile /* That’s all, stopp editing! Happy blogging. */
define(‚FORCE_SSL_ADMIN‘, true);
Hat alles geklappt, dann können Sie damit beginnen, die gesamte Website auf HTTPS umzustellen.
4. WordPress URLS auf HTTPS umstellen
Unter dem Menupunkt “Einstellungen” > “Allgemein” müssen die WordPress-Adresse sowie die Website-Adresse auf HTTPS umgestellt werden.
5. Datenbankbereinigung – “Better Search Replace”
Im nächsten Schritt müssen jetzt alle Links der Website auf HTTPS umgestellt werden. Zum Glück gibt es für dieses aufwändige Unterfangen ein hilfreiches Plugin: Better Search Replace. Installieren und aktivieren Sie das Plugin.
Sollten Sie Punkt 2 mit dem Backup grosszügig übersprungen haben, so sollten Sie spätestens jetzt ein Datenbank-Backup durchzuführen!
Das Plugin “Better Search Replace” ermöglicht es, die gesamte Datenbank zu durchsuchen und über die Suchen/Ersetzen-Funktion HTTP durch HTTPS zu ersetzen. Dazu geben Sie unter “Suche nach” Ihre Domain ohne HTTPS und unter “Ersetzen durch” Ihre Domain mit HTTPS ein.
Danach markieren Sie alle Tabellen Ihrer Datenbank.
6. Mixed Content aufspüren: was, wenn nicht alles auf grün steht?
Jetzt geht es ans Testen! Rufen Sie ganz unterschiedliche Seiten Ihrer Website auf – insbesondere natürlich alle Seiten mit Kontaktformularen. Es ist sehr gut möglich, dass nicht alle Seiten sofort auf Grün stehen. Ein häufige Ursache dafür ist Mixed Content. Mixed Content entsteht, wenn die Website zwar über HTTPS aufgerufen wird, aber Mediendateien wie Bilder, PDFs oder ähnliches nur via HTTP eingebunden sind. Sie können die Ursache von Mixed Content über die Console in den Entwickler-Werkzeugen des jeweiligen Browser ausfindig machen und manuell beheben.
7. HTTPS erzwingen via .htaccess
Im nächsten Schritt erzwingen wir den Aufruf der Website via HTTPS über eine Anpassung der .htaccess Datei. Das macht Sinn, da eine Website von anderen Websites her verlinkt wird und diese Links gesetzt worden sind, bevor Sie Ihre Website auf HTTPS umgestellt haben. Doch nicht nur Backlinks sind betroffen – auch Ihre Posts auf den verschiedenen Social Media Plattformen. Und weil es sich dabei um einen 301 Redirect handelt, wird an Google die Info weitergegeben, dass die HTTP URL nicht länger gültig ist und die HTTPS URL in den Index aufgenommen werden soll.
Das ist der Code, der in die .htaccess eingefügt wird, um HTTPS zu erzwingen:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
8. Abschliessende Massnahmen und Warnungen
Die Website ist nun auf HTTPS umgestellt! Herzliche Gratulation. Nun gilt es, einige weitere Massnahmen vorzunehmen: Aktualisieren Sie Ihre XML-Sitemap und laden Sie diese in einer neuen Property der Search Console hoch. Ändern Sie des Weiteren die URL in den Kontoeinstellungen von Google Analytics und in allen Sozialen Netzwerken, bei der Sie Ihre URL eingegeben haben. Bei Facebook beispielsweise können Sie das unter Infos machen.
Es kann zu Schwankungen im SEO-Ranking kommen, bis die neuen URLs von Google gänzlich indexiert sind. Des Weiteren sei darauf hingewiesen, dass die angezeigten Social Shares auf der Website verloren gehen, wenn das dafür genutzte Plugin nicht über eine Share Recovery Funktion verfügt.