Warum und wie du WordPress auf HTTPS umstellen solltest [Anleitung]
- Posted By Siegfried Ferlin
- Webseiten
Bewertung: 5 / 5
Warum WordPress auf HTTPS umstellen? Aus 6 stichhaltigen Gründen. Der wichtigste Grund ist die Sicherheit. Aber es gibt noch mehr. Ich erkläre dir, warum das SSL-Zertifikat von Vorteil ist, wie du es deiner WordPress-Seite hinzufügst und anschließend dein CMS auf HTTPS umstellst.
Es gibt also einige gute Gründe, WordPress auf HTTPS umzustellen. Ich werde sie dir im Verlauf dieses Artikels aufzeigen. Soviel sei aber schon jetzt gesagt: Wenn du bei Google gut ranken willst, solltest du auf deiner WordPress-Website das SSL-Zertifikat hinzufügen.
Als WordPress-Agentur haben wir darin schon einiges an Erfahrung sammeln können und wissen, wovon wir reden.
Sehen wir uns einmal die Fakten an.
HTTPS als Ranking-Faktor
Im August 2014 ist Google dazu übergegangen, HTTPS (hyper-text-transfer-protocol-secure) als Ranking-Faktor einzuführen. Websites mit HTTPS-Protokoll haben seither einen kleinen Vorteil gegenüber Websites mit HTTP. Es ist zwar kein erstrangiger Ranking-Faktor, er kann aber durchaus über die eine oder andere Position in den Suchergebnissen entscheiden.
Stell dir mal vor, du entscheidest dich, aus welchem Grund auch immer, gegen das SSL-Zertifikat. Deine Seite ist qualitativ gleichwertig oder besser als die deines Mitbewerbers. Dieser hat sich aber für die Umstellung seiner WordPress-Seite auf https entschieden. Seine Seite wird auf Seite 1 gefunden, deine nur auf Seite 2 oder noch weiter hinten.
Dumm gelaufen. Stimmt’s? Aus SEO-Perspektive ein fataler Fehler.
Vielleicht fragst du dich, was dieses HTTPS überhaupt ist. Lass es mich kurz erklären.
Was ist HTTPS?
Grundsätzlich ist es, wie auch das HTTP-Protokoll, nichts anderes als ein Kommunikationsprotokoll für den Datentransfer im Internet. Während aber bei HTTP alle Daten unverschlüsselt übertragen werden, überträgt HTTPS sie mittels SSL/TLS (Verschlüsselungsprotokoll) verschlüsselt und abhörsicher.
Falls du dich fragst, worin der Unterschied von SSL und TLS besteht. TLS (Transport Layer Security) ist die neue Version von SSL (Secure Sockets Layer).
Ohne dieses Verschlüsselungsprotokoll kann jeder die übertragenen Daten einsehen, manipulieren und missbräuchlich verwenden. Zum Beispiel deine Kreditkarten- oder Bankzugangsdaten klauen. Oder, die deiner Webseitenbesucher.
Benutzt du als Webseitenbetreiber das SSL-Zertifikat, werden Daten von deiner Website verschlüsselt übertragen. Die Gefahr des Datenklaus und der Manipulation ist dadurch ausgeschaltet und deine Seite wird im jeweiligen Browser als vertrauenswürdig gekennzeichnet.
Wie erkennst du eine SSL-verschlüsselte Verbindung im Webbrowser?
Ob eine Webseite HTTPS verschlüsselt ist oder nicht, erkennst du an folgenden Merkmalen:
- Ein Schlosssymbol am Beginn der Adresszeile
- Bei Google Chrome und Mozilla Firefox ist dieses zusätzlich in grüner Farbe gehalten
- Die Adresse der Seite beginnt mit HTTPS
Das sieht im Falle von ithelps.at so aus:
6 Gründe, warum du WordPress auf HTTPS umstellen solltest
Gehen wir einige wichtige Punkte bezüglich des HTTPS-Protokolls gemeinsam durch.
Grund 1 für die Umstellung von WordPress auf HTTPS: Ranking-Faktor
Darüber habe ich bereits gesprochen. Es handelt sich ausdrücklich um einen Ranking-Faktor. Auch, wenn er nicht so sehr ins Gewicht fällt, wie andere.
Hier ein Google+ Posting von John Mueller (Webmaster Trends Analyst at Google) als Beleg dafür:
Daher ist aus unserer Sicht als SEO-Agentur ein SSL-Zertifikat dringend anzuraten.
Grund 2 für die Umstellung von Wordpress auf HTTPS: Die Sicherheit
Daten, die zwischen Besucher und Website ausgetauscht werden, sind verschlüsselt und können so von niemandem eingesehen werden.
Der Datenaustausch mit einer Seite ohne SSL-Verschlüsselung ist unverschlüsselt. Zugangsdaten sowie heikle Daten, wie Passwörter und Benutzernamen können abgefangen und gelesen werden.
Grund 3, der für die Umstellung auf SSL/TLS spricht: Das Sicherheitsempfinden der Besucher
Fühlt sich der Besucher sicher, wird er gerne wieder deine Seite oder deinen Shop besuchen. Das bringt Traffic und im Falle eines Webshops Umsätze.
Ganz nebenbei wirkt sich die Besucherzahl positiv auf dein Ranking aus.
Grund 4 für die Umstellung auf das SSL-Zertifikat: Sicherheitswarnung im Google Chrome Browser
Google hat seit 2017 begonnen in seinem hauseigenen Browser Google Chrome (ab Version 56) eine Sicherheitswarnung einzublenden, wenn die Seite über kein gültiges SSL-Zertifikat verfügt.
Noch gilt dies nur für Seiten, auf denen tatsächlich sensible Daten eingegeben werden können (z. B. Login-Informationen/Passwörter oder Kreditkarteninformationen). Doch wurde bereits darauf hingewiesen, dass dieser Warnhinweis zukünftig bei jeder Website ohne SSL-Zertifikat angezeigt werden soll – egal, ob sensible Daten übertragen werden oder nicht!
Da dieser Warnhinweis den einen oder anderen Besucher abschrecken könnte, ist anzuraten, auf HTTPS umzustellen.
Grund 5 für das Hinzufügen des SSL-Zertifikats: Höhere Ladegeschwindigkeit
Das alte HTTP, welches für die Bereitstellung der Webseite in deinem Browser zuständig ist, ist seit 1999 nicht mehr weiterentwickelt worden. Es kommt daher mit den heutigen Anforderungen nicht mehr wirklich gut zurecht.
2005 kam die neue Version HTTP/2 heraus. Diese ist wesentlich schneller. Unter anderem deshalb, weil sie mehrere Verbindungen gleichzeitig zulässt.
Das hat noch nichts mit HTTPS zu tun. Aber jetzt kommt’s.
Alle aktuellen Browser unterstützen HTTP/2 nur, wenn die Verbindung SSL-verschlüsselt ist.
HTTP/2 ist also schneller als HTTP, funktioniert aber nur mit einer validen SSL-Verschlüsselung. Das gefällt Google und das gefällt den Besuchern.
Grund 6 - SSL und die DSGVO
Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Spätestens ab diesem Zeitpunkt ist die SSL-Verschlüsselung für alle Webseiten, welche personenbezogene Daten verarbeiten, Pflicht. Bei Zuwiderhandeln drohen hohe - teils existenzbedrohende Geldstrafen.
Mehr darüber erfährst du in unseren Artikeln:
Kontaktformulare DSGVO 2018: Was muss auf deiner Website getan werden?
DSGVO & Newsletter – alles zum Newsletterversand 2018
Soviel zu den Gründen, warum du dein WordPress auf HTTPS umstellen solltest. Jetzt gehen wir es praktisch an.
Wie stelle ich WordPress auf HTTPS um?
Gehen wir gleich in die Vollen und beginnen wir mit dem ersten Schritt.
1. Erstelle eine Sicherung deiner WordPress-Seite
Solltest du kein aktuelles Backup deiner Seite haben, empfehle ich dir, jetzt eine Sicherung anzulegen.
Dafür empfehle ich dir das WordPress-Plugin UpdraftPlus. Damit kannst du regelmäßige Sicherungen planen oder manuell erstellen. Was ich dir in diesem Fall rate.
2. Besorge dir dein SSL-Zertifikat
Die meisten Hosting-Anbieter unterstützen mittlerweile das kostenlose SSL-Zertifikat von Let’s Encrypt oder haben ein anderes in ihren Hosting-Paketen inkludiert. Kontaktiere deinen Anbieter und erkundige dich. Dieser richtet dir dieses am Server ein. Im schlimmsten Fall (wenn es im Preis nicht beinhaltet ist), musst du ein paar EURO dafür in die Hand nehmen.
3. Ändere deine URL in WordPress von HTTP auf HTTPS
Wenn du das OK deines Hosters bekommen hast und dein SSL-Zertifikat eingerichtet ist, kannst du die URL umstellen. Das machst du in deinem WordPress Backend.
Gehe dazu in den Menüpunkt „Einstellungen > Allgemein“. Dort musst du deine WordPress-Adresse und deine Website-Adresse von HTTP:// auf HTTPS:// ändern. Speichern nicht vergessen.
4. Umleitung von HTTP auf HTTPS
Damit alle Aufrufe deiner Website, die über HTTP erfolgen, auf HTTPS umgeleitet werden, musst du diese Umleitung erst einmal einrichten.
Dazu musst du in deiner .htaccess-Datei den folgenden Code-Schnipsel an oberster Stelle einfügen.
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Sollte diese Lösung zu einem Fehler (zu oft weitergeleitet) führen, was bei manchen Hostern passieren kann, verwende diese Variante des Codes:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.meinedomain.de/$1 [L,R=301]
Du findest die .htaccess-Datei im Hauptverzeichnis der WordPress-Installation.
5. Links in der Datenbank anpassen
Dafür nützt du am besten das Plugin Better Search Replace. Es ist einfach zu bedienen und arbeitet sehr zuverlässig. Installiere es in deinem Plugin-Bereich. Danach rufst du es unter „Werkzeuge > Better Search Replace“ auf.
Wähle folgende Einstellungen, um die Links anzupassen:
- Bei „Suchen nach“ kommt deine alte Adresse mit HTTP rein
- In „Ersetzen durch“ trägst du deine neue Adresse mit HTTPS ein
- Wähle alle Tabellen aus (markiere die erste, scrolle ans Ende, drücke die Shift-Taste und markiere die letzte)
- Für den Probelauf setzt du das Häkchen bei „Testlauf?“
Danach startest du den Testlauf, indem du auf „Suchen und Ersetzen“ klickst.
Das sieht so aus:
Nun wird die Änderung der Links simuliert. Nach Abschluss des Testlaufs wird dir angezeigt, wie viele Tabellenzellen gefunden wurden, die aktualisiert werden sollen.
Nachdem der Testlauf erfolgreich war, nimmst du das Häkchen bei Testlauf weg und startest den Vorgang, wie zuvor.
Alle Links in deiner Datenbank werden jetzt auf HTTPS geändert.
6. Teste deine WordPress-Seiten und Links
Das machst du ganz einfach, indem du die Seite in deinem Browser aufrufst. Siehst du das (grüne) Schloss vor deiner Adresse, werden die Inhalte verschlüsselt übertragen. Bingo.
Kontrolliere noch alle Links, damit auch in diesem Bereich alles seine Richtigkeit hat.
Solltest du bei einer Seite anstelle eines (grünen) Schlosses ein Rufzeichen oder ein Dreieck sehen, gibt es noch „unsichere Inhalte“, die du korrigieren musst.
Dazu gehst du folgendermaßen vor.
Ich verwende dazu den Browser Google Chrome. Mache irgendwo auf der Seite einen Rechtsklick und wähle „Untersuchen“. Es öffnet sich ein zusätzliches Fenster. Dort klickst du auf „Console“. Es werden dir nun alle Elemente angezeigt, die nicht über HTTPS übertragen werden.
Damit deine Seite in der Adresszeile als sicher angezeigt wird, musst du alle Links korrigieren, die noch mit HTTP beginnen.
Mit diesen letzten Korrekturen ist die Umstellung von WordPress auf HTTPS abgeschlossen.
Das solltest du nach der Umstellung von WordPress auf HTTPS noch tun.
- Trage deine HTTPS-Adresse in der Google Search Console ein
- Mache das Gleiche in Google Analytics
- Ändere deine URL in deinen Social-Media-Konten, falls du mit diesen auf deine Seite verlinkst
Gibt es eine einfachere Lösung WordPress auf HTTPS umzustellen?
Es gibt einige Plugins, die eine einfache Lösung versprechen. Ob diese Lösungen auch sicher und zuverlässig sind, weiß ich zum jetzigen Zeitpunkt nicht. Ich bevorzuge die manuelle Umstellung, da ich bei dieser alles unter meiner Kontrolle habe.
Ich führe hier trotzdem die wichtigsten Plugins an.
Die anderen Plugins möchte ich nicht empfehlen, da diese schon seit längerer Zeit nicht aktualisiert wurden und dadurch nicht auf dem letzten Sicherheitsstandard sein dürften. Du kannst sie dir aber in Google suchen, indem du „wordpress to https plugin“ eingibst.
Du kannst dein WordPress via Plugin auf HTTPS umstellen. Dabei solltest du jedoch Folgendes beachten.
- Jedes Plugin macht deine Website schwerer, langsamer und es besteht bei jeder zusätzlichen Erweiterung auch ein erhöhtes Sicherheitsrisiko.
- Mit einer Plugin-Lösung bleiben einige hartcodierte HTTP-Links bestehen. Zum Beispiel könnte dein Theme Skripte oder Bilder enthalten, die mit HTTP eingebunden sind. Beispiele dafür:
- Hintergrundbilder in der style.css
- Favicons
- Google Fonts
Diese musst du unbedingt manuell oder mit dem Plugin "Better Search Replace", wie vorhin beschrieben, auf HTTPS ändern. Solltest du das nicht machen, wird die SSL-Verschlüsselung aufgrund von sogenanntem "mixed content" nicht validiert.
Sollten dir beide Lösungen nicht gefallen, die eine, weil sie dir zu aufwendig ist, und die Plugins, weil sie dir zu unsicher sind, wende dich an einen Spezialisten. Wir stehen dir für deine Umstellung auf HTTPS natürlich gerne zur Verfügung. Hier kannst du mit uns Kontakt aufnehmen.
Gibt es auch Nachteile bei der Umstellung von WordPress auf HTTPS?
Manche Gegner der SSL-Verschlüsselung behaupten, dass diese auch gravierende Nachteile mit sich bringt. Ich denke jedoch, dass die Vorteile bei weitem überwiegen und die Probleme nur einige wenige Webseitenbetreiber betreffen.
Aber sehen wir uns die Argumente gegen das SSL-Zertifikat einmal genauer an.
Die Website wird durch die Verschlüsselung langsamer
Dieses Problem betrifft dich nur dann, wenn du ein High Performance System mit sehr viel Traffic betreibst. Außerdem wird dieses Problem durch HTTP/2 (wie vorhin schon besprochen) mehr als ausgeglichen.
Manche Skripte laufen nach der Umstellung nicht mehr
Hast du bei deiner Website alles richtig gemacht, bist du schon einmal auf der sicheren Seite. Nun kann es sein, dass noch einige Drittanbieter in HTTP ausliefern. Das würde dazu führen, dass manche Scripts nicht so funktionieren, wie du es gerne haben möchtest.
Ist das der Fall, bist du vor die Wahl gestellt. Sicherheit oder Funktion? Was ist dir wichtiger?
Du könntest aber auch nach einer Lösung suchen, die per HTTPS funktioniert.
Weniger Werbeeinnahmen
Ja, es stimmt. Betreibst du deine WordPress-Seite, um damit Werbeeinnahmen zu generieren, könnte dich dieses Problem betreffen. Manche Anbieter von Werbeanzeigen hinken der Entwicklung noch hinterher und liefern ihre Links noch in HTTP aus. Dadurch kann es sein, dass du im Moment etwas weniger Werbemöglichkeiten zur Verfügung hast. Meiner Meinung nach ist es aber nur noch eine Frage der Zeit, bis auch diese Anbieter auf HTTPS umsteigen.
Die Umstellung von WordPress auf HTTPS ist fehlgeschlagen. Was tun?
Es kann ja mal passieren, dass etwas schiefgeht. Zum Beispiel beim Eintrag in die .htaccess-Datei. Da kann es schon vorkommen, dass du plötzlich keinen Zugriff mehr auf deine Website hast.
Keine Panik.
Kontaktiere erst einmal deinen Hoster und lasse dir die letzte Sicherung wieder herstellen. In der Regel dürfte diese nicht älter als eine Woche sein.
Ich hatte erst vor Kurzem dieses Problem mit einer meiner privaten WordPress-Seiten. Eine kleine Unachtsamkeit beim Eintragen eines Codes in die .htaccess, und schon war meine Seite down. Mein Hoster spielte mir eine drei Tage alte Sicherung ein und ich hatte wieder Zugriff. Daraufhin habe ich mein aktuelleres Backup eingespielt (ich erstelle täglich eine vollständige Sicherung) und alles war wieder ok.
Solltest du dich daraufhin nicht mehr selbst über die Umstellung deiner Website auf HTTPS wagen, nimm Kontakt mit einem Spezialisten auf.
Hier findest du unsere Anleitung, wie du Joomla auf https umstellen kannst.
FAQs: Häufig gestellte Fragen zu HTTPS
Was bedeutet HTTPS?
HTTPS bedeutet Hyper Text Transfer Protocol Secure und sorgt für eine sichere Datenübertragung zwischen einem Webbrowser, auch Client genannt, und einer Webseite, welche auf einem Server liegt. Auf eine Anfrage des Clients, Request genannt, folgt eine Antwort, also Response, vom Server.
Wie erstellt man ein HTTPS?
Die Voraussetzung für ein HTTPS ist ein sogenanntes SSL-Zertifikat. Dieses Zertifikat bestätigt, dass die Website dem angegebenen Websitebesitzer gehört. Das Zertifikat kann man in der Regel direkt mit einer Domain oder einem Hostingpaket zusammenkaufen, falls es nicht bereits inkludiert ist.
Was ist ein SSL-Zertifikat?
SSL steht für Secure Socket Layers. Dieses Zertifikat bestätigt, dass die Website dem angegebenen Websitebesitzer gehört und sorgt für eine sichere Datenübertragung zwischen Webbrowser (Client) und dem Server. Dass eine Website ein SSL-Zertifikat hat, erkennt man daran, dass die URL mit HTTPS (Hyper Text Transfer Protocol Secure) beginnt.
Was ist der Unterschied zwischen HTTP und HTTPS?
Websites mit HTTP (Hyper Text Transfer Protocol) haben kein SSL-Zertifikat, deshalb ist die Datenübertragung nicht geschützt. Im Vergleich dazu haben Websites, die ein SSL-Zertifikat haben eine URL, die mit HTTPS (Hyper Text Transfer Protocol Secure) beginnt, hier ist die Datenübertragung sicher.
Wann wird HTTPS verwendet?
HTTPS (Hyper Text Transfer Protocol Secure) kommt zum Einsatz, um für eine sichere Datenübertragung auf einer Website zu sorgen. Bei der Eingabe von sensiblen Daten im Internet sollte deshalb darauf geachtet werden, dass die Website eine sichere Verbindung hat. Erkennbar an dem vorhandenen Schloss Icon vor der URL.
