WordPress auf SSL-Verschlüsselung umstellen

WordPress auf SSL-Verschlüsselung umstellen

17. September 2016

Was bringt eigentlich eine Umstellung auf das https-Protokoll? Warum sollte ich das machen?

Nun, der offensichtliche Grund dafür liegt auf der Hand: die Sicherheit das Ranking der Seite in den Google-Serps. Google hatte bereits im August 2014 angekündigt, dass das https-Protokoll ein klares Ranking-Signal ist. Wer also im Ranking weiter vorne landen möchte, sollte seine Hausaufgaben machen. Entweder um den Platz an der Sonne nicht zu verlieren, oder aber einen (oder zwei?) Schritte nach vorne zu machen.

Natürlich gibt es noch den Sicherheitsaspekt, das wollen wir hier nicht unterschlagen. Die Kommunikation zwischen Client und Server ist weitaus sicherer, als das bei einer unverschlüsselten http-Verbindung der Fall wäre.

Und zu guter Letzt gibt es noch die Datenschhützer. Hier scheint das Bayerische Landesamt für Datenschutzaufsicht eine Vorreiterrolle zu spielen. Es beanstandet derzeit Webseiten, welche einfache Kontaktformulare mit personenbezogenen Daten unverschlüsselt übertragen. Inwieweit hier bereits abgemahnt wird, ist mir derzeit nicht bekannt. Um auf Nummer sicher zu gehen: SSL-Zertifikat aktivieren und gut ist.

 

Los geht’s

Die Umstellung sollte besser nicht unter immensem Zeitdruck erfolgen. Die Erfahrung zeigt, dass die Umstellung zwischen 15 Minuten und mehr als 2 Stunden dauern kann. Das ist immer abhängig vom eingesetzten Theme, mitunter muss da recht viel angepasst werden. Entwicklerkenntnisse sind in diesem Fall von Vorteil.

Natürlich benötigst Du noch das SSL-Zertifikat. Hier ist das Angebot ziemlich groß, am besten Du erkundigst Dich bei Deinem Hoster.

Wahrscheinlich ist es überflüssig zu erklären, dass die Umstellung auf eigene Gefahr erfolgt und hierfür ein technisches Grundwissen erforderlich ist. Sollte es zu Fehlern bei der Umstellung oder aus der Umstellung resultierenden Fehler kommen, können wir hierfür natürlich keine Haftung oder sonstwas übernehmen.

 

Backup, backup, backup

Daher als 1. Schritt: Backup machen. Da wir auch einige Anpassungen an der Datenbank während der Umstellung vornehmen müssen, sollte muss unbedingt vor Beginn eine Sicherung der Datenbank und des Themes vorgenommen werden. Hierzu gibt es zahlreiche Plugins (BackWPup funktioniert erfahrungsgemäß recht gut) oder die Daten werden einfach via ftp, phpMyAdmin oder einem anderen Tool Deines Vertrauens heruntergeladen und lokal weggesichert.

Falls während der Umstellung irgendetwas in die Hose geht, könnt ihr den gesamten Prozess wieder auf null stellen und von vorne beginnen.

 

Mögliche Stolperfallen

Wir haben schon bei einigen unseren Kunden diese Umstellung vorgenommen, und haben hier ein paar Dinge entdeckt, an welche man im ersten Moment gar nicht denkt.

Bei einigen Kunden haben wir das populäre plugin „Contact Form 7“ im Einsatz. Hier kam es nach der Umstellung dazu, dass bei den Formularen die Inhalte im Tab „E-Mail“ verschwunden waren. Diese müssen nach der Umstellung auf https manuell eingetragen werden, sonst funktionieren die Formulare nicht.

Ein weitere Beobachtung von uns war, dass je nach Theme auch die widgets verschwunden waren. Speziell wenn es sich um Theme-spezifische widgets handelt, waren die Inhalte weg und wurden im Frontend nicht mehr angezeigt. Hierauf solltet Ihr auch ein Auge haben und dies nach der Umstellung auf https nochmals gesondert prüfen und eventuell die Daten entweder nachpflegen oder per SQL-Statement wieder einlaufen lassen.

 

Einstellung im Backend

Wenn Du mit der Umstellung beginnst, kann die Seite für kurze Zeit nicht erreichbar sein. Also die Umstellung am besten zu einer Zeit machen, wo nicht gerade die Hölle auf der Seite los ist. Im Backend wird dann unter „Einstellungen / Allgemein“ aus dem http ein https gemacht.

wordpress einstellungen

Da WordPress die meisten URL’s „von selbst“ anpasst, ist Deine Seite bereits wieder erreichbar.

 

Anpassung der Datenbank

Jetzt wird es etwas knifflig, diesen Schritt sollte man nur machen wenn man genau weiß, was man tut (Trust me, I know what I’m doing). Unter Umständen kann die Datenbank verpfuscht werden und Deine Website ist nicht mehr verfügbar. Für diese Anpassung gibt es ebenfalls einige Plugins, hier wäre kurz Better Search Replace erwähnt. Das Plugin sollte nach der erfolgreichen Umstellung wieder deaktiviert und aus Sicherheitsgründen komplett gelöscht werden.

Es geht natürlich auch direkt im phpMyAdmin. Hier können in der entsprechenden Datenbank folgende Befehle eingegeben werden:

UPDATE wp_options SET option_value = replace(option_value, ‚http://www.deineseite.de‘, ‚https://www.deineseite.de‘) WHERE option_name = ‚home‘ OR option_name = ’siteurl‘;
UPDATE wp_posts SET guid = replace(guid, ‚http://www.deineseite.de‘,’https://www.deineseite.de‘);
UPDATE wp_posts SET post_content = replace(post_content, ‚http://www.deineseite.de‘, ‚https://www.deineseite.de‘);
UPDATE wp_postmeta SET meta_value = replace(meta_value,’http://www.deineseite.de‘,’https://www.deineseite.de‘);

Sollte ein anderes prefix als das Standard-Prefix „wp_“ verwendet werden, so muss dies in diesen Befehlen auch entsprechend angepasst werden. Hast Du als Prefix z.B. „wptable_“ gewählt, so muss z.B. das „wp_posts“ durch „wptable_posts“ ersetzt werden. Ebenso muss „deineseite.de“ natürlich durch Deine Domain ersetzt werden.

 

Anpassung der .htaccess

Deine Seite ist nun per https erreichbar – lass die Welt daran teilhaben. Im Index der Suchmaschinen ist Deine Domain nur mit http bekannt. In der .htaccess kannst Du einstellen, dass die Aufrufe über https erfolgen.

Füge diesen Teil in Deiner .htaccess ein:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

 

Fast fertig

Jetzt kann es nochmals ein bisschen aufwändiger werden. Du musst alle Deine Seiten prüfen und schauen, ob es zu Fehlermeldungen kommt. Ist auf Deiner Seite alles ok und der https-Aufruf wirft keine Fehler, wird in der URL-Leiste Deines Browser oben links ein grünes Schloß angezeigt – alles paletti.

no-https Siehst Du hingegen ein Icon wie dieses, bedeutet es ein wenig Nacharbeit. Es bedeutet, dass noch mindestens ein Bild, Stylesheet… über http geladen wird. Teilweise kann auch im Theme selbst noch irgendein direkter Aufruf mit http sein. Finde den Übeltäter! Diese sind mit den Entwicklerwerkzeugen in z.B. Mozilla Firefox oder Google Chrome recht schnell lokalisiert. Dann nur noch im code des Templates anpassen und – fertig!

 

Google Search Console

Wenn Ihr Eure Seite mit der Google Search Console (formerly known as „Webmastertools“) überwacht, was ihr spätestens jetzt machen solltet, müsst ihr eine neue Property für die https-Version Eurer Seite anlegen. Ansonsten bekommt ihr wahrscheinlich einen Schock, wenn Eure Zugriffe laut Search Console in den Keller rauschen.

Das liegt daran, dass Google die https- und die http-Version Eurer Seite als eigenständige Instanzen ansieht. Leider bietet die Search Console derzeit keine Möglichkeit, die https und die http Version zu vereinen.

 

Ich wünsche Euch viel Erfolg!

Blue Hippo Kompetenzen

Online Marketing

AdWords, Displaywerbung, Content Marketing, Newsletter. Wir helfen Dir das ganze Potential Deines Online Marketings zu erkennen und nutzen.

Mehr erfahren

Blue Hippo Technik

Technik

Ob Neuerstellung oder Pflege Deiner Website. Wir bieten individuelle und maßgeschneiderte Lösungen für Deine Anforderungen.

Mehr erfahren

Homepage Widget

Homepage Widget

"Entführe" die Postleitzahlensuche auf Deine Homepage und biete Deinen Besuchern einen echten Mehrwert. Kostenlos und ohne Registrierung.

Mehr erfahren