Umstellung von WordPress auf HTTPS

MaSu.de ist bereits seit einigen Wochen nur noch verschlüsselt über das HTTPS – Protokoll erreichbar.
Dies ist zum einen seit Einführung der DSGVO z.B. für Kontaktformulare Pflicht, hat aber auch diverse Vorteile. Zum einen schafft es mehr Vertrauen bei den Usern und natürlich auch Suchmaschinen. Zum anderen ist das HTTPS – Protokoll auch schneller als das seit Jahren nicht mehr weiterentwickelte HTTP – Protokoll.

Die Umstellung an sich ist nicht kompliziert, und kann auch vollkommen kostenfrei umgesetzt werden. Allerdings gibt es gerade bei WordPress einige Kniffe, die einem die Umstellung deutlich erleichtern. Auf diese Tricks möchte ich in diesem Artikel eingehen, damit ist die komplette Umstellung in nicht einmal einer Stunde erledigt.

 

Vorbereitung:

Wie bei jeder größeren Wartung / Umstellung sollte auch hier zunächst ein Datenbankbackup erstellt werden, sodass man nicht doof dasteht, sollte doch etwas schief laufen.

Da die Dateien “wp-config.php” und “.htaccess” später auch modifiziert werden müssen, sollte auch hier gleich eine Kopie gezogen werden, am besten via FTP.

 

Das richtige Zertifikat:

Um eine Website über eine HTTPS – Verschlüsselung anbieten zu können, benötigt man zunächst ein entsprechendes Zertifikat. Hier gibt es diverse Dienstleister, die genauen Kosten können beim Webhoster erfragt werden, übliche sind ca. 1 – 10 Euro / Monat. Bei sogenannten Wildcard – Zertifikaten (für mehrere Subdomains) auch deutlich mehr. Idealerweise bietet der Hoster das kostenfreie “Let´s Encrypt” TlS-Zertifikat an. Einmal konfiguriert können damit auch die Email-Datenübertragungen vom Mailserver geschützt werden. Außerdem unterstützt es auch Subdomains.
Das Zertifikat wird in der Benutzeroberfläche eures Webhosters eingerichtet und benötigt ggf. etwas Zeit, bis es aktiv ist. Bei Unklarheiten hilft euch der Support eures Hosters sicher gerne weiter.

 

Umstellen im Adminbereich von WordPress:

Sobald das Zertifikat für euere Domain aktiv ist, können im Admininstrationsbereich von WordPress in den allgemeinen Einstellungen die Angaben bei WordPress-Adresse und Website-Adresse von “http://” auf “https://” umgestellt werden.
Anschließend sollte auch für den Admin-Bereich ein HTTPS – Zwang eingerichtet werden. Dies kann durch einen Eintrag in der wp-config.php erledigt werden. Diese liegt im WordPress-Hauptverzeichnis und kann einfach via FTP heruntergeladen, mit dem Editor bearbeitet und wieder hochgeladen werden.

VOR der Zeile

/* Das war’s, Schluss mit dem Bearbeiten! Viel Spaß beim Bloggen. */”

wird die Zeile

define(‘FORCE_SSL_ADMIN’, true);

eingefügt.

 

Umstellen vom Content auf HTTPS:

Um auf einfache und schnelle Weise sämtliche Links (z.B. zu Grafiken) umzustellen, kann beispielsweise das WordPress – Plugin “Better Search Replace” verwendet werden.
Damit ist es möglich, in der Datenbank sämtliche Einträge zu durchsuchen und zu ersetzen. Beachten sollte man hier, dass man nur Einträge mit dem Domainnamen und nicht alle “http://” ersetzt, sonst würden evtl. externe Links nicht mehr korrekt funktionieren.

Wie im Screenshot zu sehen, habe ich einfach “http://www.masu.de” durch “https://www.masu.de” ersetzen lassen.

Um alle Links und Verknüpfungen zu erschlagen, sollten sowohl “http://www.domain.de” also auch “http://domain.de” ersetzt werden.

Es ist empfehlenswert vorher einen Testlauf durchzuführen, nur um zu sehen ob auch alles korrekt funktionieren würde.

 

HTTPS beim Seitenaufruf erzwingen:

Da zukünftig alle User, auch die die von Suchmaschinen oder verlinkenden Seiten kommen, die Seite nur noch über das HTTPS – Protokoll aufrufen sollen, ist es sinnvoll dies noch über die .htaccess – Datei zu erzwingen. Dies geht ganz einfach mit einer 301-Weiterleitung.
Dazu wird einfach folgender Code in die .htaccess – Datei ganz oben eingefügt:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

In einigen Foren wird empfohlen, den Code ganz ans Ende zu setzen, bei mir hat es aber nur zuverlässig funktioniert, wenn dieser am Anfang stand.

 

Überprüfung auf Fehler, manuelle Behebung:

Die Umstellung wäre nun eigentlich abgeschlossen. Die Website sollte nun wie gewünscht über HTTPS erreichtbar sein und oben am linken Ende in der Eingabezeile des Browsers sollte in geschlossenes Schloss angezeigt werden.
Ist dies nicht der Fall, lohnt sich eine Überprüfung mit einem Tool wie z.B. der Web-Konsole im Mozilla Firefox. Diese aktiviert man im Menü Web-Entwickler » Webkonsole (oder “Strg + Umschalt + K”).

Wie man im Screenshot sieht, war hier noch ein mit HTTP eingebundenes Video der Grund für das offene Schloss. Dies lies sich aber mit der Web-Konsole schnell lokalisieren.

 

Suchmaschineneinträge nicht vergessen:

Was zu guter Letzt noch fehlt sind ggf. die Einträge in Suchmaschinen und Linklisten. Google und Yahoo z.B. haben Seiten mit HTTPS – Verschlüsselung wesentlich lieber als HTTP – Websites ohne Verschlüsselung und ranken diese entsprechend auch höher.
Ist dies auch noch erledigt, können Suchmaschinen und User die Seite in vollem Umfang aufrufen und verschlüsselt nutzen.

Wie bereits erwähnt, ist der Aufwand wirklich überschaubar und recht zügig durchführbar – viel Erfolg bei der Umsetzung!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.