WordPress HTTPS: Eine WordPress-Seite auf SSL umstellen
Wer seine WordPress-Website heute noch ohne SSL-Verschlüsselung betreibt, setzt nicht nur die Sicherheit seiner Besucher aufs Spiel: Auch die Suchmaschinen bestrafen diese Nachlässigkeit – und sogar die Performance kann leiden. Für Nachzügler ist es somit höchste Zeit, auf SSL umzustellen. Das ist bei WordPress gar nicht so kompliziert.
Wir verraten, was eine SSL-Verschlüsselung überhaupt ist, warum man sie verwenden sollte, und wie Sie Ihre WordPress-Website in 6 einfachen Schritten auf SSL umstellen.
SSL (Secure Socket Layer) ist ein Verschlüsselungsprotokoll, das eine sichere Datenübertragung im Internet ermöglicht.
WordPress-Websites mit SSL-Verschlüsselung sind nicht nur sicherer, sie ranken auch besser auf Google und laden schneller.
Eine Umstellung ist in wenigen Schritten möglich: Sie müssen nur das SSL-Zertifikat beim Webhoster installieren und im Anschluss bei WordPress die URLs und Permalinks, sowie die Datenbank aktualisieren.
SSL und HTTPS: Was ist das überhaupt?
SSL bedeutet „Secure Socket Layer“. Es handelt sich um ein Sicherheitsprotokoll, das die verschlüsselte Übertragung von Daten zwischen Webseiten-Servern und Browsern ermöglicht. Man erkennt eine aktive SSL-Verschlüsselung am Schloss neben der Adressleiste des Browsers und durch das https:// statt http:// vor der Adresse der Seite. HTTPS steht dabei für „Hypertext Transfer Protocol Secure“ – ein Übertragungsprotokoll, das SSL für die Verschlüsselung nutzt.
SSL sorgt für eine sichere Übertragung der eingegebenen Inhalte, Login-Informationen oder Zahlungsdaten. Bei Banking-Seiten oder Online-Shops, die Zahlungsinformationen ihrer Kunden verarbeiten müssen, ist dies besonders wichtig. Mittlerweile hat sich die SSL-Verschlüsselung bei seriösen Websites deshalb durchgesetzt – und sie greift nicht nur bei der Zahlungsabwicklung, sondern auf der gesamten Seite.
Anzeige im Browser
Websites, die kein SSL-Zertifikat nutzen, sind also vergleichsweise unsicher, und werden auch vom Browser dementsprechend gekennzeichnet. Bei Chrome steht beispielsweise ein Ausrufezeichen in der Adressleiste, und wer darauf klickt, sieht eine Warnung in Rot:
So sieht es aus, wenn eine Website keine SSL-Verschlüsselung nutzt.
Wenn die Website hingegen SSL nutzt, finden Sie in der Adresszeile ein Schloss, und Chrome weist darauf hin, dass die Verbindung gesichert ist:
Diese Verbindung nutzt SSL und wird somit als sicher gekennzeichnet.
Warum jeder Website-Betreiber auf SSL umsteigen sollte
Ganz egal, ob Sie Zahlungen entgegennehmen und sensible Daten verarbeiten, oder nicht: Für den Umstieg auf SSL gibt es heute mehrere gute Gründe. Diese zum Beispiel:
Google bestraft Websites ohne SSL
Ihnen liegt sicherlich viel daran, in den organischen Suchergebnissen von Google aufzutauchen. Das ist ohne SSL deutlich schwieriger: Schon seit 2014 rankt Google Websites besser, wenn sie mit einer SSL-Verschlüsselung arbeiten.Browser zeigen unverschlüsselte Seiten als unsicher an
Viele Browser – wie beispielsweise Googles Chrome Browser – zeigen neben der Domain ein auffälliges Ausrufezeichen als Warnsignal an, dass die Seite nicht sicher ist. Das ist für die Besucher und potenzielle Kunden kein gutes Zeichen und wird viele davon abhalten, Daten einzugeben oder sich auf Ihrer Seite einzuloggen.Geschwindigkeits-Schub durch http/2
Viele Webhoster unterstützen bei Websites, die mit SSL-Zertifikat verschlüsselt sind, das http/2-Protokoll. Dadurch können Requests parallel angefordert werden, was die Ladezeiten für Bilder und andere Inhalte deutlich verkürzt. Ihre Seite erhält dadurch einen beachtlichen Performance-Boost.Webshop-Zertifikate erfordern SSL
Neukunden in einem Shop achten häufig auf Zertifikate wie Trusted Shops oder ein TÜV-Siegel. Wenn Sie als Webshop-Betreiber kein SSL-Zertifikat nutzen, werden Ihnen die entsprechenden Stellen jedoch kein Siegel ausstellen.
Der Sicherheit und dem Erfolg Ihrer Website zuliebe: Wenn Sie SSL noch nicht nutzen, sollten Sie schleunigst umstellen. Wir verraten, wie’s geht.
Umstieg zu SSL auf WordPress: Anleitung in 6 einfachen Schritten
Eine WordPress-Website auf SSL umzustellen, ist unkompliziert und auch ohne viel technisches Knowhow möglich. Wir haben die wichtigsten Schritte für Sie zusammengefasst:
Backup erstellen
Gehen Sie zunächst auf Nummer sicher, und erstellen Sie ein WordPress-Backup. Falls etwas schiefgeht, können Sie Ihre Website ganz einfach wieder in ihren aktuellen Zustand zurückversetzen. Unsere Anleitung finden Sie hier:
SSL-Zertifikat anfordern und installieren
Die Grundvoraussetzung für eine verschlüsselte Webseite ist ein domainspezifisches SSL-Zertifikat, das auf dem Webserver installiert sein muss. Jenes erhalten Sie am besten direkt vom Webhoster, und richten es dort in Ihrem Benutzerkonto auch direkt ein.
Praktisch: Viele Anbieter unterstützen das kostenlose Let’s Encrypt, sodass Sie für den SSL-Schutz gar nichts extra bezahlen müssen. Alternativ können Sie aber auch ein kostenpflichtiges SSL-Zertifikat erwerben.
Wie Sie bei der Aktivierung von SSL für Ihre Website vorgehen, ist von Anbieter zu Anbieter unterschiedlich. Bei Bluehost können Sie es beispielsweise einfach in den Seiteneinstellungen aktivieren:
Viele Webhoster unterstützen das kostenlose SSL-Zertifikat Let’s Encrypt.
Wenn Sie einen eigenen Server betreiben, müssen Sie das SSL-Zertifikat gegebenenfalls über das Backend – beispielsweise über Plesk – selbst einrichten und installieren. Hier empfehlen wir, einfach nach einer passenden Anleitung für Ihre speziellen Anforderungen zu suchen.
URLs und Permalinks aktualisieren
Wenn Sie das Zertifikat installiert haben, ist die WordPress Seite noch nicht per https zu erreichen. Dafür müssen Sie zunächst die URLs in WordPress auf https umstellen. Navigieren Sie dafür im WordPress Backend zu Einstellungen > Allgemein. Dort ersetzen Sie in den Feldern „WordPress-Adresse“ und „Website-Adresse“ das http durch https.
Sie müssen Ihre Website-URLs im WordPress-Dashboard anpassen.
Anschließend müssen Sie noch die Permalinks unter Einstellungen > Permalinks anpassen. Klicken Sie hier einfach unten links auf „Änderungen speichern“ – die Permalinks werden automatisch aktualisiert.
WordPress-Datenbank aktualisieren
Noch ist die Arbeit nicht komplett, denn manche Bereiche oder Seiten Ihrer Website werden vermutlich immer noch über HTTP ohne S geladen. Das liegt daran, dass beispielsweise in internen Links, Bildern oder Plugins immer noch die alten URLs hinterlegt sind. Sie können diese URLs manuell ausfindig machen und ersetzen, was jedoch – ja nachdem, wie groß Ihre Seite ist – einen enormen Aufwand bedeuten könnte.
Schneller geht es mit einem Plugin, das genau für diesen Zweck konzipiert ist. Better Search Replace beispielsweise. Wenn Sie das Plugin installiert haben, finden Sie es unter Werkzeuge > Better Search Replace. Dort müssen Sie nur eingeben, dass Sie Ihre alte http-URL mit der neuen https-URL ersetzen möchten:
Mit Better Search Replce ersetzen Sie die URLs Ihrer WordPress-Seite im Handumdrehen.
Wie genau Sie WordPress-Plugins installieren, lesen Sie in unserem Tutorial:
Von HTTP zu HTTPS weiterleiten
Nun, da Sie Ihre Website auf https umgestellt haben, möchten Sie vermeiden, dass sie auch noch unter der alten http-Adresse zu erreichen ist. Viele Webhoster bieten dafür im Admin-Bereich eine Einstellung, mit der Sie SSL erzwingen:
Bei vielen Webhostern können Sie einstellen, dass Ihre Website ab sofort ausschließlich per SSL erreichbar ist.
Alternativ ist es möglich, in der .htaccess-Datei im Hauptverzeichnis von WordPress einen entsprechenden Redirect-Hinweis einzubinden. Dazu können Sie die .htaccess-Datei direkt auf dem Server editieren oder per FTP-Programm auf Ihre Festplatte kopieren und dort anpassen. Zum Bearbeiten reicht ein einfaches Programm wie das Notepad. Fügen Sie folgenden Code ein:
URL in der Google Search Console anpassen
Wir haben die Suchmaschinenoptimierung bereits erwähnt. Damit Google auch über den Wechsel zu SSL Bescheid weiß, sollten Sie den Dienst über die Google Search Console informieren. Das geschieht nämlich nicht automatisch, weil Google die http- und die https-Version Ihrer Website als zwei unterschiedliche Websites betrachtet.
Rufen Sie die Google Search Console auf und legen Sie einen neuen Eintrag („Property“) der https-Version an. Falls es bereits einen Eintrag zur alten http-Version der Website gibt, müssen Sie daran nichts ändern – Google sollte den Wechsel automatisch erkennen.
In der Google Search Console müssen Sie einen neuen Eintrag für Ihre https-URL anlegen.
Geschafft: Sie haben Ihre WordPress-Website automatisch auf SSL umgestellt. Natürlich kann es sein, dass die alte URL noch bei anderen Diensten und Drittanbietern hinterlegt ist – beispielsweise auf Social Media, in Ihrer E-Mail-Signatur, bei Google Analytics oder in Backlinks. Gehen Sie deshalb systematisch alles durch, um sicherzustellen, dass überall die neue https-URL verwendet wird.
Fazit: SSL ist Pflicht
Eine WordPress-Website ohne SSL-Verschlüsselung ist heute nicht mehr zeitgemäß. Sie ist nicht nur vergleichsweise unsicher – und schreckt dadurch Besucher ab – sondern wird auch von Suchmaschinen abgestraft. Sogar die Performance Ihrer Website kann darunter leiden.
Deshalb sollten Sie Ihre WordPress-Website schnellstmöglich auf SSL umstellen. Das ist, wie oben beschrieben, in wenigen Schritten möglich, und dank kostenloser Dienste wie Let’s Encrpyt, das von vielen Webhostern unterstützt wird, sogar völlig kostenlos.
Sie haben weitere Fragen rund ums Thema WordPress? In den WordPress-Ratgebern von EXPERTE.de finden Sie ausführliche Anleitungen für Einsteiger und Fortgeschrittene.