Schlechte Rankings auf Google, langsame Ladezeiten und Vertrauensverlust bei der Kundschaft: All das droht Websites, die noch nicht auf https umgestellt sind. Wenn Sie auf Ihrer Seite personenbezogene Daten sammeln und keine SSL-Verschlüsselung aktiviert haben, könnten Sie seit der DSGVO sogar Abmahnungen erhalten. Höchste Zeit, zu handeln!
Wir zeigen Ihnen anhand eines kleinen Tutorials Schritt für Schritt, wie Sie Ihre Website bzw. Ihren WordPress Blog auf https umstellen, welche Rolle die htacces Datei hierbei spielt und welche positiven Auswirkungen die Umstellung auf ihre Suchmaschinenrankings hat.
Inhalt
Wordpress auf https umstellen: So schaffen Sie es in 9 Schritten
Für eine erfolgreiche Umstellung auf https und die Nutzung der SSL-Verschlüsselungen müssen Sie verschiedene Maßnahmen ergreifen und Schritte befolgen. Welche das sind und worauf Sie bei den einzelnen Punkten achten sollten, erfahren Sie im Folgenden:
- SSL-Zertifikat anfordern
- SSL-Zertifikat auf dem Server installieren
- WordPress- und Website-Adresse aktualisieren
- Permalinks neu abspeichern
- Alte URLs austauschen
- Datei wp-config.php aktualisieren
- Umleitung von http auf https einrichten
- Caches leeren
- URLs in sozialen Medien, APIs und Tools ändern
1. Kostenloses SSL-Zertifikat anfordern
Um von http auf https wechseln zu können, brauchen Sie ein SSL-Zertifikat. Viele Webhosting-Anbieter unterstützen das sogenannte Let’s Encrypt und bieten das Zertifikat kostenlos an. Andere stellen es auf Anfrage für etwa 15 bis 40 Euro pro Jahr zur Verfügung. Unser Tipp: Fragen Sie beim Support Ihres Webhosters nach, wenn Sie nicht sicher sind.
2. Das SSL-Zertifikat auf Ihrem Server installieren
Sobald Sie Zugriff auf das SSL-Zertifikat haben, können Sie es auf Ihrem Server installieren. Bei Hoster, die Let’s Encrypt unterstützen, ist das in der Regel unkompliziert im Admin-Bereich des Servers oder Hostings möglich.
Bei anderen Anbietern und Anbieterinnen kann sich die Installation etwas schwieriger gestalten. Im Internet finden Sie Anleitungen für die verschiedenen Hoster. Alternativ können Sie sich vom Support beraten lassen oder einen fachkundigen Dienstleistenden beauftragen.
3. WordPress- und Website-Adresse aktualisieren
Bevor Sie die weiteren Anpassungen vornehmen, sollten Sie ein Backup Ihrer Website erstellen. So sind Sie auf der sicheren Seite, falls irgendetwas schief geht. Deaktivieren Sie außerdem Ihr Caching-Plugin oder die Cache-Funktion bei Ihrem Hoster.
Wechseln Sie nun in das Backend Ihrer WordPress-Website. Klicken Sie auf „Einstellungen” > „Allgemein”. Dort finden Sie die beiden Felder „WordPress-Adresse (URL)” und „Website-Adresse (URL)”. Tauschen Sie dort das http gegen ein https.
Nach dem Speichern loggen Sie sich aus dem Backend aus und melden sich neu an. Erst danach sind die Änderungen aktiv.
4. Permalinks neu abspeichern
Rufen Sie erneut die Einstellungen auf. Diesmal wählen Sie den Menüpunkt „Permalinks”. In diesem Bereich müssen Sie nichts weiter tun als auf den Button „Änderungen speichern” zu klicken.
Dieser Schritt ist wichtig, damit Ihre Seiten und Beiträge weiter aufrufbar bleiben. Vergessen Sie, die Permalinks neu abzuspeichern, bekommen Besucher und Besucherinnen fortan nur noch eine 404-Fehlermeldung zu sehen.
5. Alte URLs austauschen
Die Aktualisierung der Permalinks hat Ihre Seiten und Beiträge auf WordPress auf https umgestellt. Allerdings ist Ihr Content selbst noch mit http-Resten durchsetzt: Interne Verlinkungen weisen http-Adressen auf, Themes und Plugins bedienen sich noch der alten URLs und auch Bilder und andere Dateien werden oft noch unverschlüsselt eingebunden.
Damit Nutzer und Nutzerinnen keine Warnmeldung vor unsicheren Inhalten erhalten und Suchmaschinen Ihre Seite nicht als unsicher erachten, müssen Sie nachbessern. Falls der Umfang Ihrer Website überschaubar ist, können Sie das manuell tun.
Andernfalls lohnt es sich, das Plugin Better Search Replace zur Hilfe zu nehmen. Better Search Replace hilft Ihnen, die Umstellung möglichst nahtlos über die Bühne zu bringen. Auch das Plugin Really Simple SSL unterstützt Sie beim Konfigurieren der Website für den Betrieb über https.
Nach der Installation finden Sie es im Menü unter „Werkzeuge”. In das Feld „Suchen nach” schreiben Sie einfach Ihre alte Webadresse mit http. In die Zeile „Ersetzen durch” tragen Sie Ihre neue https-URL ein.
Im Bereich „Tabelle auswählen” markieren Sie durch die Tastenkombination Strg + A alle Optionen. Zum Schluss entfernen Sie das Häkchen bei der Frage nach einem Testlauf und starten das Plugin. Fertig!
6. Datei wp-config.php aktualisieren
Die meisten Einstellungen und Inhalte auf Ihrer Website speichert WordPress in einer Datenbank. Anweisungen zur Verschlüsselung liegen allerdings in einer Datei mit dem Namen wp-config.php. Diese müssen Sie nun aktualisieren.
Auf die wp-config.php können Sie nur über Ihren FTP-Client zugreifen. Seien Sie beim Bearbeiten der Daten vorsichtig. Wenn Sie einen Fehler machen, kann es passieren, dass WordPress nicht mehr funktioniert. Falls Sie bisher kein Backup Ihrer Website angelegt haben, sollten Sie es spätestens jetzt tun.
Schreiben Sie folgende Angaben in die Datei:
define (‘WP_SITEURL’, ‘https://www.ihredomain.de’);
define (‘WP_HOME’, ‘https://www.ihredomain.de’);
Vergessen Sie dabei nicht, „ihredomain.de” durch Ihre Website-Adresse auszutauschen.
7. Umleitung von http auf https einrichten
Als Nächstes richten Sie eine 301-Weiterleitung von http auf https ein. Sie sorgt dafür, dass künftig alle Besucher und Besucherinnen nur noch die verschlüsselte Version Ihrer Website zu sehen bekommen – selbst, wenn sie eine http-URL in die Adresszeile eintippen.
Bleiben Sie für diesen Schritt im FTP-Client. Öffnen Sie die Datei .htaccess und geben Sie ganz oben folgenden Code ein:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI}
8. Caches leeren
Abschließend sollten Sie den Cache von allen Plugins leeren, die Caching betreiben. Nun sind alle Änderungen in Kraft getreten. Wenn Sie Ihre Website aufrufen, sollten Sie am Beginn der Adressleiste ein kleines grünes Schloss sehen.
Prüfen Sie am Ende zudem, ob interne Links noch aktiv sind und ob Sie sich wie gewohnt über den Admin-Bereich einloggen können.
9. URLs in sozialen Medien, APIs und Tools ändern
Die Umstellung von http auf https beeinflusst auch Drittanbieter. Haben Sie Links zu Ihrer Website in sozialen Medien, Suchmaschinen, APIs oder Analyse-Tools hinterlegt? Dann passen Sie sie an, damit weiter alles funktioniert wie es soll. Betroffen sein können zum Beispiel:
- Ihre E-Mail-Signatur
- Ihr Newsletter
- Ihre Social-Media-Kanäle (zum Beispiel Facebook, Instagram oder Twitter)
- Suchmaschinen (zum Beispiel Pinterest oder YouTube)
- Affiliate-Programme
- APIs
- Analyse-Tools (zum Beispiel Google Analytics und die Google Search Console)
- Ihre Einträge in Branchenverzeichnissen (zum Beispiel Google My Business, jameda oder ProvenExpert)
Google Analytics ist bei vielen Bloggern und Bloggerinnen oder Unternehmen, die WordPress nutzen, ein beliebtes Tool. Mit wenigen Schritten können Sie in Google Analytics die verschlüsselte Webadresse eingeben. Im Reiter „Verwaltung” können Sie in den Property-Einstellungen die URL anpassen, die standardmäßig verwendet wird.
Was tun, wenn das WordPress–Backend nicht mehr erreichbar ist?
Sie sind mit Ihrer SSL-Umstellung fertig, doch nun ist das WordPress-Backend nicht mehr erreichbar? Das kann daran liegen, dass Sie die Reihenfolge der oben genannten Schritte verändert haben. Zum Glück können Sie die Domain auch ändern, ohne ins WordPress-Backend eingeloggt zu sein.
Öffnen Sie dazu die Datei wp-config.php (zu finden im Hauptordner der WordPress-Installation) mit Ihrem Texteditor und tippen Sie folgende Befehle ein:
define('WP_SITEURL', 'Name Ihrer Domain');
define('WP_HOME', 'Name Ihrer Domain');
Warum auf https umstellen?
Eine höhere Sicherheit im Sinne der DSGVO und dadurch ein höheres Vertrauen seitens der User und Userinnen sowie eine verbesserte SEO sind ausschlaggebende Gründe, die für die Umstellung von WordPress-Websiten auf https sprechen.
Betrachten wir uns diese Argumente nochmal genauer: Rechtlich wiegen Sie sich auf der sicheren Seite, wenn Sie auf https-Seiten setzen. Das gilt insbesondere dann, wenn Sie mit personenbezogenen Daten arbeiten. Spätestens seit dem Inkrafttreten der DSGVO müssen Unternehmen und speziell Onlineshops ausdrücklich auf Sicherheit und Kundenschutz achten.
Dadurch genießen Sie durch den Einsatz von https-Seiten deutlich mehr Vertrauen. Das betrifft einerseits ihre Leser und Leserinnen beziehungsweise Kunden und Kundinnen, die sich auf ihrer WordPress-Seite sicher fühlen. Aber auch verschiedene Browser wie Google Chrome und Firefox registrieren, dass eine Website https nutzt.
Ist dies nicht der Fall, wird die Website des Öfteren als „nicht sicher" tituliert, was bei den Nutzern und NutzerInnen nicht gut ankommt und dazu führt, dass diese die Website schnell wieder verlassen.
Zuletzt sorgen SSL-Verschlüsselungen nicht nur für Sicherheit, sondern sind auch ein entscheidender Rankingfaktor für Suchmaschinen. Sie haben somit die Möglichkeit, ihr Suchmaschinenranking auf Google & Co. zu verbessern, wenn Sie ihre WordPress-Website auf https umstellen. Hinzu kommt, dass https-Websites in der Regel dank http/2- Protokoll schneller laden – und das führt zu einer besseren User-Experience.
Was bedeuten https und SSL und warum ist beides wichtig?
Https ist ein Protokoll, dass bei der Übertragung von Webservern an Clients zum Einsatz kommt. Bei solchen Webseiten werden sämtliche Daten bei der Übertragung verschlüsselt. Somit fällt es Cyberkriminellen deutlich schwerer, Zugriff auf die Daten zu erlangen. Selbst wenn ihnen der Zugang gelingt, können Sie diese häufig nicht auslesen.
Bei der Nutzung von https versendet der Server beim Aufrufen der Website durch Nutzer und Nutzerinnen zunächst ein Zertifikat an den Client. Hierdurch bestätigt er seine Echtheit und der Client kann das Zertifikat überprüfen. Im Anschluss schickt er einen individuellen Sicherheitsschlüssel an den Server, wodurch die Verschlüsselung eingeleitet werden kann. Solche Sicherheitsschlüssel umfassen in der Regel Buchstaben, Zahlen und Sonderzeichen.
Die verschlüsselte Verbindung erfolgt über das Internetprotokoll SSL. Hierdurch sind sämtliche Daten, die zwischen Webserver und Client ausgetauscht werden, vor dem Zugriff Dritter geschützt. Übrigens: Bei der WordPress-Installation sollten Sie darauf achten, dass schon vor der Installation ein eingerichtetes SSL-Zertifikat vorhanden ist. So bleibt Ihnen eine manuelle SSL-Umstellung im Nachgang erspart.
Wann ist eine SSL-Verschlüsselung notwendig?
Eine SSL-Verschlüsselung ist immer dann notwendig, wenn Sie mit personenbezogenen Daten arbeiten. Die DSGVO schreibt hier hohe Sicherheitsstandards vor, um Kunden und Kundinnen vor Datendiebstahl und einem Missbrauch ihrer persönlichen Informationen zu schützen. Sind Ihre Seiten SSL-verschlüsselt, brauchen Sie sich keine Sorgen um DSGVO-Verstöße zu machen.
Wenn Sie also einen Onlineshop aufbauen, Kundendaten im Rahmen des Lead-Managements über ein Kontaktformular abfragen, Zahlungsmodalitäten online regeln oder in anderer Weise mit personenbezogenen Daten arbeiten, sollten Sie WordPress auf https umstellen und die SSL-Verschlüsselungen nutzen.
In diesem Zusammenhang bietet sich der Einsatz einer htaccess-Datei an. Binden Sie in die htaccess-Datei idealerweise einen Weiterleitungs-Vermerk ein, damit die Seite richtig umgeleitet wird.
Fazit: WordPress auf https umstellen lohnt sich
Zugegeben: Der Umstieg von http auf https kann auf den ersten Blick kompliziert erscheinen. Und tatsächlich sollten Sie ein bis zwei Stunden für alle nötigen Schritte einplanen und sich intensiv mit htaccess, CSS, SEO, Mixed Content und einigem mehr beschäftigen. Allerdings müssen Sie diesen Aufwand nur ein einziges Mal betreiben und profitieren im Anschluss von erheblichen Vorteilen.
Durch die SSL-Verschlüsselung werden Daten auf Ihrer Website verschlüsselt – also sicher – übertragen. Zusätzlich verbessert sich die Ladezeit. Beide Aspekte sind wichtige Ranking-Faktoren. Die Umstellung kann sich deshalb auch positiv auf Ihre Position in den Suchergebnissen von Google & Co. auswirken.
Ihre Kunden und Kundinnen oder die Leserschaft Ihres WordPress Blogs werden durch die Anpassungen nicht länger durch „nicht sicher”-Meldungen in ihrem Browser verunsichert. Und nicht zuletzt umgehen Sie durch https rechtliche Probleme im Zusammenhang mit der DSGVO. Deshalb: Kümmern Sie sich am besten so schnell wie möglich um den Umstieg auf https.
Titelbild: izusek/ iStock / Getty Images Plus