WordPress-Website auf HTTPS umstellen
Wer 2019 oder auch später eine WordPress Webseite online schaltet, fällt längst unter die Vorgaben der DSGVO. Damit ist auch das SSL-Zertifikat auf der eigenen Seite unverzichtbar, eben schon alleine des Gesetztes wegen.
Warum muss das sein? Deine Webseite bezieht über verschiedene Wege personenbezogene Daten. Dazu zählen zum Beispiel Eingaben in Kontaktformular oder in der Kommentarsektion. Deine Tools zur Messung der Besucherstatistik beziehen aber auch bereits anhand der IP-Adresse die Herkunft des Besuchers und auch das gilt bereits als personenbezogene Daten. Die DSGVO sieht vor, dass solche Informationen nur noch auf verschlüsseltem Weg erhoben werden dürfen – und das ist nur bei einem aufrechten SSL-Zertifikat der Fall.
Aber bereits davor war es von Vorteil, auf seiner Webseite SSL zu haben. Denn bereits seit 2014 beeinflusst dieser Faktor die Rankings von Google positiv.
Die Folgen eines nicht aufrechten SSL Zertifikats
Wird dein WordPress Blog nicht durch SSL verschlüsselt, kann das gravierende Folgen für dich haben.
- Browser, wie Firefox oder Google Chrome markieren solche Webseiten als „nicht sicher“, was natürlich das Vertrauen deiner Besucher (und Kunden!) schädigen wird.
- Du bist dadurch abmahnbar! Und das kann horrende Strafzahlungen für dich bedeuten.
So installierst du SSL auf deinem Server
Jeder Hoster verfügt seit der DSGVO über die Möglichkeit, neben seinen kostenpflichtigen SSL-Zertifikaten ein kostenfreies durch Let’s Encrypt anzubieten. Für einen normalen WordPress-Blog ist das völlig ausreichend. Über eine kostenpflichtige Variante solltest du im Fall eines Onlineshops nachdenken, aber das kommt ganz auf den einzelnen Fall an.
Das Zertifikat bestellst du ganz normal im Backend deines Webspaces. Wenn du keinen vServer betreibst, wird SSL anschließend vom Hoster hinterlegt. Andernfalls musst du dies selbst vornehmen. (Auch hier bieten viele Hoster allerdings eine Installation gegen Aufpreis an.)
SSL Zertifikat ist aktiv – wie geht’s nun weiter?
Nun begibst du dich ins Backend von deinem WordPress Blog. Zuerst musst du die URLs deiner Seite anpassen. Dazu gehst du ins Einstellungs-Menü. Im Punkt „Allgemein“ findest du diese beiden Eingabefelder: WordPress-Adresse sowie Website-Adresse. In beiden fällen veränderst du http auf https.
Sobald du die Eingaben erledigt hast, musst du die Änderungen speichern. Dann musst du dich neu einloggen, was daran liegt, dass via https noch keine Loginsession für dein Nutzerprofil vorliegt.
Login im Backend nach SSL-Änderung nicht mehr möglich – was nun?
In einzelnen Fällen kann es an dieser Stelle zu Problemen kommen. Aber keine Panik, das ist schnell gelöst! Du verbindest dich via FTP mit deinem Webserver und machst eine Sicherung der Datei wp-config.php. Dann ergänzt du in dieser folgende Zeile:
define(‚RELOCATE‘, true);
Am besten fügst du die bereits nach dem Willkommens-Kommentar ein, denn du musst sie gleich in Kürze schnell wiederfinden.
Nun rufst du das Backend deiner Seite auf, direkt mit der https-Adresse, also https://www.deinblog.de/wp-login.php. Aber noch nicht einloggen! Zuvor öffnest du nämlich nochmal die wp-config.php und löscht die soeben gesetzte Relocate-Konstante wieder raus. Die ganze Zeile, die du soeben hinzugefügt hast. Dann erst, wenn du das vorgenommen und natürlich gespeichert hast, loggst du dich auf der soeben aufgerufenen Seite ein.
WordPress hat nun eine Loginsession kreiert und das Problem ist aus der Welt geschafft. Jetzt kann es ganz normal weitergehen.
Du musst die Permalinks deiner Seite neu speichern
Auch für die Permalinks musst du wieder in die Einstellungs-Maske hineinklicken. Deine ursprüngliche Auswahl ist noch immer da, aber du musst einfach nochmal die Änderungen speichern, da sonst bei jedem Abruf deiner Seite ein 404-Fehler an die Besucher rausgeht.
Soweit so gut, nun kommt eine etwas lästige Aufgabe.
Alte URLs müssen ersetzt werden
Je nachdem, wie umfangreich dein Blog ist, gibt es so einige potenzielle Datenbankzeilen, in denen noch die URL ohne https hinterlegt ist. Das musst du nun ändern.
Ein hilfreiches Tool dafür ist das Plugin Better Search Replace. Du kannst es direkt installieren und aktivieren, bevor du allerdings die nachfolgenden Schritte erledigst, musst du unbedingt ein Backup deiner Datenbank machen.
Das Plugin findest du unter den Werkzeugen. Dort gibst du folgendes ein:
- Suchen nach: http://www.deinblog.de
- Ersetzen durch: https://www.deinblog.de
Dann deaktivierst du noch das Kontrollkästchen für den Testlauf und lässt alles durchlaufen.
Ist das Plugin fertig, kannst du es deaktivieren oder auch ganz löschen. Das liegt bei dir und ob du denkst, dass du es nochmal brauchen wirst.
301 Redirect zu deiner SSL-verschlüsselten URL
Wenn Besucher an dieser Stelle deine Adresse unter http (ohne S) aufrufen, kommen sie noch immer zu einer ungesicherten Seite. Das ist abmahnbar, also müssen wir das natürlich unterbinden. Es gibt nun im Fall von WordPress zwei verschiedene Möglichkeiten.
Einmal wäre da das Plugin Really Simple SSL, das die automatische Weiterleitung erzeugt. Und dann gäbe es da noch einen Codeschnipsel, den du einfach in deine .htaccess hinterlegst. Was da übrigens noch alles rein sollte, erfährst du in diesem Artikel.
Folgender Code sorgt in der .htaccess für eine automatische Weiterleitung:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Nun noch den Cache leeren & etwaige Fehlerquellen beheben
Anschließend brauchst du nur noch den Cache deiner Seite zu leeren. Wenn nun noch immer kein grünes Schloss in deinem Browser anzeigt, dass eine gesicherte Verbindung besteht, kann das verschiedene Ursachen haben:
- Es gibt extern geladene Fonts (lerne hier, wie du sie selbst einbettest) oder Skripte/Widgets.
- Badges von Blogverzeichnissen oder Toplisten sowie allgemein Grafiken, die noch via http anstelle von https eingebunden sind.
- Werbebanner
- Tracking-Tools
Im Zweifelsfall nutzt du die Hinweise deines Browsers (insbesondere Firefox ist hier sehr praktisch), denn der zeigt dir bei einer unsicheren Verbindung auf, woran es liegt. Dazu klickst du links oben neben der Eingabezeile auf das Warnsymbol. Der Rest ist dann selbsterklärend.