WordPress SSL Umstellung

Keine Kommentare

In allen IT-Relevanten Medien wird über die neue europäischen Datenschutzgrundverordnung der Europäischen Union, welche zum 25. Mai 2018 in Kraft tritt, berichtet. Diese ist für alle Mitglieder der EU dann geltendes Recht. Für die meisten Betreiber von Webseiten, sind einige Teilbereiche des neuen Gesetzes von sehr großer Bedeutung.

Es sind neue Datenschutzerklärungen zu erstellen oder generieren zu lassen, sowie müssen personenbezogene Daten verschlüsselt übertragen werden. Personenbezogene Daten sind als Beispiel ein Kontaktformular, welches ohne Verschlüsselung abmahnfähig ist – Dies betrifft alle gewerblich genutzten Webseiten! Deswegen muss man jetzt handeln, weil die Abmahnanwälte nur darauf warten nach dem 25.05.2018 hunderte von teuren mit dem Titel: “Abmahung wegen Kontaktformular ohne SSL Verschlüsselung” zu versenden.

In diesem Beitrag erklären wir Dir anhand einer Beispiel-Webseite, wie Du dein WordPress auf SSL umstellen kannst. Wenn du kein WordPress als Content Management System verwendest, sondern ein anderes CMS wie Joomla, Drupal oder eine einfach HTML Webseite sind die hier beschriebenen Schritte natürlich nicht ohne weiteres so möglich. Bei ganz ausgefallenen oder veralteten Webseiten sollte man jetzt auch über einen Wechsel auf ein modernes CMS System wie WordPress nachdenken!

Bevor du beginnst, solltest du dir über folgendes klar sein: Ein SSL Zertifikat in WordPress einrichten ist kein einfacher Job! Du solltest über ein gutes technisches KnowHow verfügen und dich gut mit den WordPress Grundlagen auskennen bevor du dich selbst an einer WordPress SSL Installation versuchst. Natürlich möchten wir auch darauf hinweisen, dass wir in keinerlei Weise garantieren oder dafür haften, dass es in deinem Fall genau so funktioniert WordPress auf SSL umzustellen.

Was ist SSL und warum sollte ich meine Webseite mit SSL verschlüsseln?

SSL ist ein Protokoll zur verschlüsselten Übertragung von Inhalten im Internet. Die am meisten verbreitete Verwendung ist im Bereich Webseiten sowie E-Mail gegeben. Dadurch wird ein Auslesen der Daten während der Übertragung theoretisch unmöglich gemacht. Das ist z.B. wichtig, wenn du dich in deiner Webseite an einem öffentlichen Hotspot einloggst, wenn deine WordPress Webseite unverschlüsselt ist, können andere Personen im selben Wlan das Password mit lesen und dann beispielsweise dein WordPress hacken. Jetzt stell dir mal vor, was passieren kann wenn dein Kunde bei einem Onlineshop ohne Verschlüsselung seine Kreditkarten Daten eingibt 😉 Ich denke du verstehst jetzt, warum es richtig ist, das personenbezogene Daten “sicher” übermittelt werden.

In Anwendungen wie Online-Banking oder der Webmail-Oberfläche Deines Providers ist Dir mit Sicherheit schon links oben das kleine grüne Symbol aufgefallen.

Google Chrome und WordPress . SSL Hinweis

Somit ist der Inhalt von deinem Browser bis zum Server, der die Webseite hostet verschlüsselt. Ein Angreifer kann aber immer noch sehen, welche URL’s aufgerufen wurden und welche Dateien geladen worden sind, da diese an der URL eindeutig zu erkennen sind. Aber der Inhalt von Kontaktformularen, Warenkörben und Chatnachrichten ist verschlüsselt. Dein persönlichen Daten oder die Deines Besuchers sind für einen Angreifer nicht sichtbar. Natürlich lassen sie die Daten auslesen, sobald man Zugriff auf die Hardware des Servers hat, das kann man mit SSL nicht verhindern.

Des weiteren fördert Google die Verbreitung von SSL, in der kommenden Version des weit verbreiteten Browser Google Chrome wird eine Webseite, welche keine SSL Verschlüsselung aufweisen kann, als potentiell unsicher markiert. Das kann Besucher schon davon abhalten Deine Webseite zu besuchen oder diese sofort wieder zu verlassen.

Um die Verbreitung von SSL zu beschleunigen ist die Verwendung von HTTPS für Google auch ein Ranking Faktor. Eine Webseite mit SSL Verschlüsselung hat gegenüber einer Webseite ohne SSL bzw. https schlechtere Karten gut bei Google gefunden zu werden.

Arten von SSL Zertifikaten

So, nun wird es etwas technisch. Zuerst musst Du herausfinden ob Dein Provider überhaupt SSL Zertifikate anbietet. Die meisten Provider sollten sowas aber im Angebot haben, sonst solltest Du dringend über einen Providerwechsel nachdenken. Es gibt kostenpflichtige SSL Zertifikate sowie kostenlose mit LetsEncrypt. Auch bieten Hosting Provider wie Strato und 1und1 häufig ein kostenloses Standard SSL Zertifikat pro Hosting Paket an. Wenn du mehrere Domains in einem Hosting Paket hast, kann es also sein, dass du für die zusätzlichen SSL Zertifikate eine monatliche bzw. jährliche Gebühr zahlen musst.

Die kostenpflichtigen Zertifikate bieten meistens auch noch eine Versicherung und eine Erweiterte Färbung der Browserleiste in grün, so wie Du es vom Online-Banking kennst. Diese validierten SSL Zertifikaten sind allerdings aufwändiger zu beantragen und auch erheblich teurer wie einfach SSL Zertifikate.

Auch gibt es noch s.g. Multidomain SSL Zertifikate und Wildcard SSL Zertifikate. Multidomain SSL bedeutet, dass du mit einem SSL Zertifikat mehrere Domains (meineerstedomain.de und meinezweitedomain.de) absichern kannst. Wildcard SSL ist dafür da, dass du mehrere Subdomains (www.meinedomain.de support.meinedomain.de) absichern kannst. Du solltest dir also vorher genaue Gedanken machen welche Anforderungen du an dein SSL Zertifikat hast!

Dafür ist eine gründliche Verifizierung notwendig, die sich aber für die meisten Betreiber einer Webseite nicht lohnt. Mit einem kostenlosen Zertifikat erfüllst Du schon die Anforderungen der Datenschutzverordnung in Sachen verschlüsselte Übertragung von personenbezogenen Daten.

Ein passendes SSL Zertifikat erstellen, einbinden und aktivieren

Wir zeigen Dir anhand einer unseren Webseiten, wie Du beim Provider Mittwald ein kostenloses SSL Zertifikat mit LetsEncrypt erstellen kannst. Die Schritte sind bei anderen Providern ähnlich. Wenn du nichts passendes im Dashboard deines Hosting Anbieters findest, solltest du mal den Support anrufen.

In unserem Beispiel meldest Du dich in Mittwald Backend an und wählst die passenden Domain aus. Danach kannst Du für diese Domain ein SSL Zertifikat bestellen:

Mittwald SSL pro Domain bestellen

Du hast nun zwei verschiedene kostenlose SSL Zertifikate aus Auswahl. Wir nehmen eigentlich immer das Zertifikat von LetsEncrypt, da diese von jedem Browser akzeptiert wird.

Mittwald LetsEncrypt Zertifikat bestellen

 

Nachdem Du den üblichen Button mit dem Haftungsausschluss angeklickt hast, kannst Du das Zertifikat bestellen. Dies kann nun einige Minuten dauern und dann siehst Du vor der entsprechenden Domain ein kleines Schloss.

Nun kannst Du die Seite bereits mit SSL aufrufen. Dazu einfach ein https:// anstelle http:// vor Deiner URL setzen. ABER: In den meisten Fällen wird das CSS, Javascript und Bilder noch per http geladen und nicht mit https. Das ist vollkommen normal und wie wir das ausgebessert bekommen, zeige ich Dir hier.

Wordpress SSL Umstellung SSL Fehler

 

Dazu musst Du dich im Backend der Webseite anmelden, am besten gleich auch per SSL.

Nun machst Du am besten als ersten ein komplette Backup der Seite mit dem Tool Deiner Wahl. Wenn Du schon angemeldet bist, ist es ein guter Zeitpunkt auch WordPress und alle Plugins zu aktualisieren – aber wichtig, erst nach dem Backup 😉

WordPress SSL aktivieren mit einem WordPress SSL Plugin

Die einfachste Möglichkeit dein WordPress auf SSL umzustellen ist die Verwendung eines passenden Plugins. Wir benutzen in 99% aller Fälle Really Simple SSL. Nachdem Du das Plugin installiert und auch aktiviert hast, kannst Du SSL aktivieren:

Wordpress SSL Umstellung mit Plugin

Danach bekommst Du noch eine Warnung bezüglich der Webmaster Tools und Google Analytics.

Really Simple SSL Webmaster tools warnung

Diese ignorieren wir an diese Stelle erst einmal und melden uns neu am System ab. In den meisten Fällen bist Du automatisch abgemeldet worden. Du kannst nun auch schon Deine Seite nochmals aufrufen und nun sollte diese problemlos funktionieren.

Fehlersuche bei der WordPress SSL Umstellung

Wenn nun noch irgendwelche Fehler vorkommen oder in der URL-Leiste deiner Webseite grün auftaucht, sind Bilder, CSS oder Javascript Dateien noch per http:// eingebunden.

Diese solltest Du nun identifizieren und auch auf https:// umstellen. Gehe dazu auf die Ansicht der Webseite im Quellcode und suche nach dem String ‘http://’ Nun sollten Dir alles Dateien angezeigt werden, welche unverschlüsselt angefordert werden. Oft ist es das Logo, oder Dateien die mit vollständigen Pfad und nicht als “/wp-content/uploads/xxxx/xxx” eingebunden worden sind.

Bevor Du nun alle Unterseite manuell durchsuchst, kannst Du auch der Plugin “Better Search Replace” benutzen. Nach der Installation findest Du dieses unter Werkzeuge.

Dort gibt Du nur deine URL mit http://example.com und https://example.com ein und lässt den Haken erst einmal bei “Testdurchlauf”.

URL in wordpress datenbank auf ssl stellen

Kurze Zeit später kommt die Auswertung:

Search & replace WordPress ssl umstellung

Wie Du siehst ist in vielen Tabellen noch die URL mit http:// eingetragen, nun nehmen wir den Haken bei Testdurchlauf raus und starten das Tool nochmals. Nun sollte Deine Seite ganz normal aber verschlüsselt aufrufbar sein. Wenn nicht wird in irgendeiner Datei im Theme eine URL mit http:// aufgerufen, das kann bei Google Fonts oder anderen externen Scripten der Fall sein. Die kannst Du mit der Google Chrome Console ermitteln, da diese als Fehler markiert sind.

Wenn Du bei deinem Provider SSH Zugang hast, kannst Du froh sein. Ansonsten musst Du dein Theme sowie alle Plugins per FTP auf deinem lokalen Computer laden und die CSS sowie PHP Dateien manuell durchsuchen.

Mit SSH geht es einfacher: Melde Dich dazu per SSH auf deinem Webspace an und wechsel in das Verzeichnis wp-content/themes/dein-theme/. Nun sucht Du mit grep rekursive nach dem String http://

grep -r “http://” . (Der Punkt ist wichtig, dieser sagt grep “Starte hier mit der Suche”)

Kurze Zeit später, bekommst Du die Ausgabe der Dateien wo die Zeichenkette http:// vorkommt. Diese Dateien öffnest Du mit einem Editor und schreibst diese in “https://” um.

Nach dem Leeren Deines eventuell vorhandenen Caches, sollte die Seite nun reibungslos funktionieren.

WordPress SSL erzwingen

Wenn Du nun die Webseite und alle Unterseiten geprüft hast, musst Du nun SSL erzwingen. Ansonsten ist Deine Webseite mit und ohne SSL erreichbar, was Google nicht so toll findet (Stichwort: Duplicate Content), Anwälte dagegen schon, da Du kein SSL zur Verfügung stellst.

In der Regel macht das Plugin dieses automatisch, aber manchmal klemmt es doch. Die meisten Anbieter von Webspace nutzten den Apache oder Nginx als Webserver. Dort kannst Du in die Konfiguration die passende Regel einpflegen.

Wenn Dein Provider Apache2 benutzte, musst Du nur die Datei .htaccess im Wurzelverzeichnis Deiner Webseite edieren.

Dort fügst Du folgenden Code ein:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Beim Webserver Nginx ist es nicht so einfach. Meistens liegen die Konfigurationsdateien außerhalb des für Benutzer zugänglichen Bereich, solltest Du aber Zugriff auf die Konfigurationsdateien haben, musst Du nur folgenden Code einfügen:

server {
listen 80; server_name domain.com www.domain.com; return 301 https://domain.com$request_uri; }

Achte aber darauf, dass sich keine Schleifen in den erzwungenen Redirects bilden, sonst ist Deine Webseite nicht mehr aufrufbar. Eine bekannte Fehlermeldung dazu ist “Too many redirects”.

Wenn Du folgende Umleitungen in der Konfigurations hast, kann es nicht funktioneren

http://www.example.com -> http://example.com -> https://example.com -> http://www.example.com.

Somit würdest Du eine Schleife bilden und nach einigen Versuchen bricht der Vorgang ab. Dann musst Du die Konfiguration nach weiteren Redirects durchsuchen.

Hier hast Du eine Konfiguration für den Apache2 die eine Seite http://example.com nach https://www.example.com umleitet:

RewriteEngine On
RewriteCond %{HTTPS} off [OR] RewriteCond %{HTTP_HOST} !^www\. [NC] RewriteCond %{HTTP_HOST} ^(?:www\.)?(.+)$ [NC] RewriteRule ^ https://www.%1%{REQUEST_URI} [L,NE,R=301]

Als nächstes kontrollierst Du die wp-config.php im Wurzelverzeichnis von WordPress. Falls Dort die Domain angegeben ist, musst Du auch dort die Version mit https:// eintragen

define(‘WP_HOME', ‘https://exmaple.com');
define(‘WP_SITEURL', ‘https://example.com');

Google Analytics und Google Search Console auf SSL umstellen

Damit Deine Google Search Console und Google Analytics auch wie gewohnt funktioniert ist es wichtig, diesem Service die neue URL mitzuteilen.
Beginnen wir mit der Google Search Console und melden uns unter https://www.google.com/webmasters/tools/ an. Wir müssen dort eine neue Property erstellen und diese geben wir gleich mit https:// an.

Wordpress SSL Umstellung Google Webaster Tools

 

Nun teilen wir nur noch der Search Console die URL der Sitemap mit und wir sind fertig. Wenn du dort schon eine Property ohne SSL hast, brauchst du diese nicht zu löschen.

Bei Google Analytics ist es genauso einfach. Einfach unter analytics.google.com anmelden und in den Einstellungen der Property einfach die Selectbox auf https:// stellen.

Diese neue URL solltest Du nun in allen Profilen, die auf Deine Webseite verlinken, sei es Facebook, YouTube, Google Plus oder Xing ändern.

Gratulation, du hast es geschafft dein WordPress auf SSL umzustellen 🙂

Checkliste WordPress SSL Umstellung

  1. SSL Zertifikat vorhanden
  2. Seite lässt sich schon mit https://example.com aufrufen
  3. Really Simple SSL Plugin installiert und aktiviert
  4. Seite lässt sich im Frontend mit https aufrufen
  5. In der URL Leiste ist links ein grünes Symbol mit einem Schloss
  6. Alle Bilder, Schriften und Icons werden korrekt angezeigt
  7. Automatische Weiterleitung von http:// zu https:// funktioniert
  8. Google Analytics und Webmaster Tools sind aktualisiert
  9. URL in sozialen Profilen aktualisiert

Wie Du siehst ist die WordPress SSL Umstellung kein Problem, es kann aber einiges dabei schief gehen. Wenn Du Probleme bei der WordPress https Umstellung hast, nimm einfach über das Kontaktformular zu uns Kontakt auf und wir helfen dir gerne weiter.

Ivo ist unser Mann für Linux, Bashscripte und Optimierung von Servern. Des weiteren ist er bei uns für Umzüge von Wordpress Webseiten, technische Dokumentation und Fehlersuche verantwortlich.

Über uns und diesen Blog

Wir sind eine SEO und Webdesign Agentur aus Koblenz und helfen Klein- und Mittelständigen Unternehmen online gefunden zu werden und neue Kunden zu gewinnen.

Gratis Beratung

Du möchtest erfahren wie du bei Google auf die erste Seite kommst? Dann fordere jetzt die kostenlose SEO-Webseiten Beratung und Analyse an. 

Mehr aus unseren Blog

Keine Kommentare
 

Hinterlasse ein Kommentar