Zu lernen, wie man seine Website zu HTTPS umstellt, ist ein wichtiges Thema. Heutzutage geben wir täglich dutzende Male sensible Daten wie Kreditkarten- und Bankinformationen oder Anmeldedaten weiter.
Das Internet zum Einkaufen zu nutzen, bietet uns viele Annehmlichkeiten. Wir müssen nicht mehr rausgehen, um Besorgungen zu machen, Lebensmittel einzukaufen, Rechnungen zu bezahlen oder mit anderen von Angesicht zu Angesicht zu sprechen. Zur Hölle, kurz bevor wir diesen Leitfaden geschrieben haben, haben wir Brillen online anprobiert!
Allerdings gibt es auch eine Kehrseite. Als Website-Besitzer – besonders wenn Sie einen Online-Shop haben und/oder mit finanziellen oder anderen sensiblen Informationen umgehen – haben Sie eine Verantwortung, diese sicher zu halten. Einer der wichtigsten Schritte, um dies zu tun, ist die Verwendung von HTTPS und SSL-Verschlüsselung auf Ihrer Website. Darüber werden wir in diesem Leitfaden sprechen.
In diesem Leitfaden werden wir zunächst darüber sprechen, was wir mit HTTPS und SSL meinen und wie es funktioniert. Außerdem werden wir über die Gründe sprechen, warum Sie Ihrer Website Verschlüsselung hinzufügen sollten. Dann sagen wir Ihnen, wo Sie ein SSL-Zertifikat für Ihre Website erhalten können, und schließlich geben wir Ihnen eine Schritt-für-Schritt-Anleitung, wie Sie Ihre Website auf HTTPS umstellen.
Bereit? Dann setzen Sie Ihre Schutzbrille auf und lassen Sie uns über Sicherheit sprechen.
Klicken Sie hier, um die 8 Schritte zu sehen, mit denen Sie Ihr WordPress auf https:// umstellen
Wie HTTPS funktioniert – eine kurze Definition
Bevor wir uns damit beschäftigen, wie Sie Ihre Website auf HTTPS umstellen, lassen Sie uns zunächst definieren, worüber wir sprechen. Selbst wenn Sie nicht genau wissen, was HTTPS und SSL sind, haben Sie sie wahrscheinlich schon einmal bei der Arbeit gesehen.
HTTPS und SSL sind in den URLs der Websites sichtbar
Heutzutage beginnen die URLs der meisten großen Websites (und zunehmend auch der kleineren) mit https:// anstelle des bekannten https://. Tatsächlich sehen Sie genau das, wenn Sie in Ihre Browserleiste schauen, während Sie sich auf dieser Website befinden.
Neben diesem Symbol werden Sie auch das Vorhängeschloss-Symbol bemerken. So zeigen moderne Browser an, dass Sie sich auf einer Website befinden, die SSL-Verschlüsselung verwendet. In manchen Fällen wird sogar der Name des Unternehmens angezeigt. Beides sind Zeichen dafür, dass Sie sich auf einer Seite befinden, die die Privatsphäre ihrer Besucher ernst nimmt.
Was bedeutet das wirklich?
HTTPS steht für Hypertext Transport Protocol Secure. Sein Cousin, HTTP (steht für dasselbe ohne das Secure am Ende), ist das Kommunikationsprotokoll, das normalerweise für die Erleichterung des Webverkehrs verwendet wird.
Was ist der Unterschied?
Die sichere Version verwendet ein SSL-Zertifikat (Secure Socket Layer), um eine Verbindung zwischen Browser und Server herzustellen. Das bedeutet, dass alle Informationen, die ausgetauscht werden, verschlüsselt werden.
Verschlüsselung ist der Prozess, bei dem Klartextinformationen (wie Benutzernamen und Passwörter) durch zufällige Zahlen und Buchstaben ersetzt werden. Auf diese Weise sind sie für Menschen nicht mehr lesbar und schwerer zu entschlüsseln, wenn jemand sie abfängt.
Klingt nützlich, oder? Aber brauchen Sie das wirklich auf Ihrer Website? Lassen Sie uns einige gute Gründe durchgehen, um HTTPS zu Ihrer WordPress-Website hinzuzufügen.
Eine kurze Anmerkung: Technisch gesehen ist SSL nicht mehr der richtige Name. In den späten 90er Jahren wurde der Name in TLS (Transport Layer Security) geändert und SSL wurde eigentlich in Rente geschickt. Der Name blieb jedoch erhalten.
Wie Sie Ihre WordPress-Site auf HTTPS umstellen (8 Schritte)
Also, jetzt kommen wir zum Kernstück dieses Artikels: wie Sie Ihre Site von HTTP auf HTTPS umstellen. Wir werden Schritt für Schritt vorgehen, um sicherzustellen, dass Sie problemlos folgen können. Schließlich liegt uns auch die Sicherheit Ihrer Website am Herzen!
Sichern Sie Ihre Website
Wenn Sie größere Änderungen an Ihrer Website vornehmen, sollten Sie immer zuerst ein Backup erstellen. Auf diese Weise können Sie im Fall, dass etwas schief geht (nicht, dass wir das erwarten), auf die funktionierende Version zurückgreifen.
Da dieser Fall nicht anders ist, ist ein Backup Ihrer Website Ihre erste Aufgabe. Noch besser – wenn Sie die Möglichkeit haben, führen Sie den folgenden Prozess zuerst auf einem Testserver durch, nicht nur auf Ihrer Live-Site.
Implementieren Sie Ihr SSL-Zertifikat
Das erste, was wir tun werden, ist, uns ein SSL-Zertifikat zu besorgen. Wie einfach oder kompliziert dieser Prozess ist, hängt größtenteils von Ihrem Hoster ab.
Beim Recherchieren dieses Leitfadens haben wir zum Beispiel herausgefunden, dass unser aktueller Hoster Let’s Encrypt nicht unterstützt und auch nicht plant, dies zu tun. Unnötig zu sagen, dass wir gerade dabei sind, zu wechseln. Hoffentlich ist Ihr Hoster etwas vorausschauender, wie die Unternehmen auf dieser Liste.
Das optimale Szenario ist, dass Ihr Hoster eine Option anbietet, um Ihre Website direkt im Management-Dashboard auf HTTPS umzustellen. Um Ihre Website in cPanel auf Let’s Encrypt umzustellen, können Sie zum Beispiel diese Anweisungen befolgen. Die gleichen Schritte für Plesk finden Sie hier.
Für alle anderen gibt es Certbot. Wenn Sie administrativen Shell-Zugang auf Ihrem Server haben, können Sie einfach den Typ des Webservers und das verwendete Betriebssystem auswählen. Danach wird Ihnen die Seite sagen, wie Sie Let’s Encrypt auf Ihrem Server implementieren können.
Wenn Sie Ihr SSL-Zertifikat von einer anderen Quelle beziehen, folgen Sie den Anweisungen Ihres Hosting-Providers, um die Umstellung zu implementieren (das ist auch der Grund, warum es keine schlechte Idee ist, sich überhaupt an ihn zu wenden).
Sobald das erledigt ist, müssen Sie beginnen, die notwendigen Änderungen an Ihrer WordPress-Website vorzunehmen. Darüber werden wir als nächstes sprechen. Wenn Ihnen das Folgende zu technisch ist, können Sie auch das Plugin Really Simple SSL ausprobieren. Es kümmert sich um die meisten der nachfolgend beschriebenen Aufgaben.
HTTPS zum WordPress-Admin-Bereich hinzufügen
Der erste Ort, an dem Sie die neue sichere Verbindung genießen können, ist das WordPress-Dashboard. Indem Sie zuerst das Backend absichern, stellen Sie sicher, dass jedes Mal, wenn sich ein Benutzer anmeldet, seine Informationen sicher ausgetauscht werden.
Zu diesem Zweck öffnen Sie wp-config.php
in Ihrem WordPress-Stammverzeichnis und fügen die folgende Zeile irgendwo vor der Stelle ein, an der steht: „That’s all, stop editing!“
define('FORCE_SSL_ADMIN', true);
Nachdem Sie die Datei aktualisiert haben, ist es an der Zeit, zu testen, ob sie funktioniert. Versuchen Sie dazu, Ihre Login-Seite mit HTTPS in der URL aufzurufen, zum Beispiel über https://yoursite.com/wp-admin. Wenn alles korrekt funktioniert hat, sollten Sie nun eine sichere Verbindung haben. Fahren Sie dann fort.
Aktualisieren Sie die Website-Adresse
Nachdem Sie das WordPress-Backend auf HTTPS umgestellt haben, ist es an der Zeit, das Gleiche für den Rest Ihrer Website zu tun. Das können Sie tun, indem Sie Ihre Site-Adresse unter Einstellungen >Allgemein aktualisieren.
Fügen Sie https:// an den Anfang sowohl der WordPress-Adresse als auch der Site-Adresse. Aktualisieren Sie anschließend Ihre Einstellungen durch Speichern. Seien Sie sich bewusst, dass Sie sich danach möglicherweise erneut anmelden müssen.
Ändern Sie Links in Ihren Inhalten und Vorlagen
Nun ist es an der Zeit, alle Links in Ihren Inhalten und Ihrer Datenbank zu aktualisieren, die das alte HTTP-Protokoll enthalten. Ein Plugin wie Velvet Blues oder das Skript „Suchen und Ersetzen“ können dabei helfen. Seien Sie jedoch vorsichtig! Wenn sie falsch gehandhabt werden, können sie auch Ihre Website kaputt machen. Gut, dass Sie vorher ein Backup gemacht haben, oder?
Wenn Sie in Ihren Theme-Templates und Funktionsdateien Links zu externen Ressourcen und Assets mit absoluten HTTP-Links haben, ist es wichtig, diese ebenfalls zu korrigieren. Dinge, die Sie beachten sollten:
- Bilder, Videos, Audio, die auf Ihrer Seite gehostet werden
- Webfonts
- Iframes
- JavaScript- und CSS-Dateien oder Assets, die innerhalb dieser Dateien referenziert werden
- Interne Links
Wenn möglich, ändern Sie Ihre Links in //
anstelle von https://
. Sie erzeugen dann selbst relative Links!
Implementieren Sie 301-Weiterleitungen in .htaccess
Der nächste Schritt bei der Umstellung Ihrer Seite auf HTTPS ist das Einrichten einer Weiterleitung, die Besucher automatisch auf die sichere Version umleitet. Dafür werden wir .htaccess
verwenden. Dies ist der Name einer wichtigen Systemdatei auf Ihrem Server (in der Regel im WordPress-Stammverzeichnis).
Sie enthält in der Regel Einstellungen für die Verwendung von hübschen Permalinks, so dass Ihre Installation wahrscheinlich bereits eine hat. Um sie zu finden, stellen Sie sicher, dass Sie Ihrem FTP-Client erlauben, versteckte Dateien anzuzeigen, da .htaccess
standardmäßig unsichtbar ist. Wenn Sie keinen haben, erstellen Sie einfach eine einfache Textdatei, benennen Sie sie in .htaccess
um und laden Sie sie in das WordPress-Stammverzeichnis hoch.
Danach fügen Sie die folgenden Zeilen hinzu:
<IfModule mod_rewrite.c>RewriteEngine OnRewriteCond %{HTTPS} offRewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} </IfModule>
Das war’s. Von nun an sollten Besucher (auch Google-Bots) automatisch auf der HTTPS-Version Ihrer WordPress-Seite landen. Stellen Sie sicher, dass keine Seite in beiden Versionen vorhanden ist. Das kann zu Problemen mit Duplicate Content führen. Nicht gut für SEO.
Testen und live gehen
Ok, nun, da wir mit den wichtigsten Schritten fertig sind, ist es an der Zeit zu testen, ob alles korrekt funktioniert. Gehen Sie dazu auf SSL-Test. Geben Sie Ihren Domainnamen ein und klicken Sie auf Senden. So erhalten Sie eine Gesamtbewertung, wie gut Sie SSL auf Ihrer Website implementiert haben, und Details, um potenzielle Probleme herauszufinden und zu beheben.
Danach crawlen Sie Ihre Website mit einem Tool wie SSL Check. So können Sie alle übrig gebliebenen Links abfangen, die Sie vergessen haben. Wenn alles in Ordnung ist, ist es Zeit, live zu gehen.
Well done! Jetzt müssen Sie nur noch einige Peripheriegeräte aktualisieren.
Aktualisieren Sie Ihre Site-Umgebung
Wenn das gut funktioniert hat, ist es jetzt an der Zeit, die letzten Schritte zu tun, um den Transfer zu HTTPS abzuschließen:
- Aktualisieren Sie Ihre Sitemap – Idealerweise macht Ihr SEO-Plugin das automatisch. Allerdings funktioniert das nicht immer so. Bei Yoast SEO müssen Sie das Plugin eventuell einmal ausschalten, damit es die Sitemap aktualisiert. Vergessen Sie nicht, sie in Ihre robots.txt-Datei aufzunehmen und alle anderen hart kodierten Links zu aktualisieren, die Sie möglicherweise dort haben.
- Website zu Ihren Webmaster-Tools hinzufügen – Gehen Sie zu jedem Webmaster-Tool, das Sie verwenden, und fügen Sie die HTTPS-Version Ihrer Website als neue Eigenschaft hinzu. Während Sie dort sind, laden Sie die neue Sitemap hoch. Sie könnten auch erwägen, einen Fetch und Crawl durchzuführen und alle Disavow-Dateien einzureichen, die für die alte Version Ihrer Website bereits aktiv sind.
- Aktualisieren Sie Ihr CDN – Wenn Sie ein Content Delivery Network verwenden (eine der Möglichkeiten, Ihre WordPress-Site zu beschleunigen), müssen Sie es auch auf SSL umstellen. Viele von ihnen haben diese Funktion eingebaut und Ihr CDN sollte eine Dokumentation dazu haben. Andernfalls bitten Sie deren Support um Hilfe.
- Nehmen Sie die Umstellung in Ihrem Analytics vor – Wenn Ihr Analytics eine Standard-URL benötigt, stellen Sie sicher, dass Sie diese mit dem neuen Präfix aktualisieren. Bei Google Analytics finden Sie die Option unter Admin > Property Settings > Default URL. Notieren Sie sich auch, wann Sie auf HTTPS umgestellt haben, um die Änderungen beim Traffic zu verstehen.
- Social Share Counters erhalten – Wenn Sie Social Share Counters auf Ihrer Seite anzeigen, müssen Sie möglicherweise einige Änderungen vornehmen, um sie auf dem neuesten Stand zu halten. Vergessen Sie nicht, die Links zu Ihrer Seite in Ihren sozialen Profilen zu aktualisieren! Und machen Sie das Gleiche in Ihren E-Mail-Vorlagen.
Das war’s! Sie haben es erfolgreich geschafft, Ihre Website auf HTTPS umzustellen. Herzlichen Glückwunsch, das war keine kleine Meisterleistung. Wenn alles geklappt hat, bleibt nur noch, sich auf die Schulter zu klopfen und zu feiern. Sollten Sie auf Probleme stoßen, haben wir im Folgenden einige Tipps zur Fehlerbehebung.
Warum sollten Sie Ihre Website auf HTTPS umstellen?
Zurzeit nutzen nur 0,1 % aller Websites SSL. Folglich scheint es nicht so, als wäre die Technologie essentiell, um eine erfolgreiche Webpräsenz zu betreiben. Dennoch gibt es überzeugende Gründe, Teil der Minderheit zu werden.
Ihre Website verarbeitet sensible Informationen
Zunächst einmal, wenn Sie einen Online-Shop haben, der Kreditkarteninformationen oder ähnlich sensible Daten verarbeitet, ist die Umstellung Ihrer Website auf HTTPS ein absolutes Muss. Kunden wollen Ihrer Seite vertrauen und das sollten sie auch können. Es liegt in Ihrer Verantwortung, dies zu ermöglichen.
Wenn zum Beispiel jemand einen öffentlichen Wifi-Spot nutzt, um auf eine ungesicherte Seite zuzugreifen, können andere seine Zahlungsdaten stehlen. Wenn sie diese Informationen nutzen, um Ihren Kunden zu bestehlen, was glauben Sie, wie wahrscheinlich es ist, dass diese Person auf Ihre Seite zurückkommt? Nicht sehr.
Ohne HTTPS ist es auch möglich, die Daten, die Ihre Besucher erhalten, zu verändern. So könnte ein Dritter Werbung, Malware oder andere Dinge einfügen, von denen Sie definitiv nicht wollen, dass andere sie auf Ihrer Webpräsenz sehen.
Aber selbst wenn Sie „nur“ mit normalen Anmeldeinformationen arbeiten, ist es keine schlechte Idee, eine zusätzliche Sicherheitsebene anzubieten und diese sicher zu halten. Ihre Benutzer werden es sicherlich zu schätzen wissen.
HTTPS ist ein Zeichen von Vertrauenswürdigkeit und Authentizität
Apropos Besucher: Durch den allgemeinen Vorstoß zur HTTPS-Anpassung im Web ist Verschlüsselung etwas, das die Verbraucher zunehmend erwarten. Tatsächlich schauen mittlerweile 28,9 % auf die grüne Adressleiste in ihrem Browser – eine Zahl, die mit der Zeit wahrscheinlich noch steigen wird.
Warum ist ihnen das wichtig? Weil das kleine Vorhängeschloss nicht nur bedeutet, dass ihr Traffic geschützt ist, sondern auch, dass die Website authentisch ist und derjenige ist, der sie vorgibt zu sein, und nicht irgendein Fake. Immerhin zeigt dieselbe Studie, dass 77 % der Endnutzer besorgt darüber sind, dass ihre Daten abgefangen und missbraucht werden.
Wenn sie also die Wahl haben zwischen Ihrer Seite ohne HTTPS und einem Wettbewerber, der es implementiert hat, stehen die Chancen gut, dass sie sich gegen Sie entscheiden. Zumal die großen Browser (Chrome, Firefox) mittlerweile Seiten, die Formulare auf Seiten ohne HTTPS haben, als unsicher markieren.
In Zukunft könnten sie generell vor jeder Seite warnen, die keine Verschlüsselung einsetzt. Und zu denen wollen Sie wirklich nicht gehören.
Vorteile für SEO
Nicht nur die Verbraucher erwarten von Ihnen, dass Sie auf HTTPS umsteigen, sondern auch die Suchmaschinen. Google gab 2014 offiziell bekannt, dass das Vorhandensein eines SSL-Zertifikats nun ein Ranking-Faktor ist. Außerdem wird die Bedeutung von HTTPS – auch wenn sie im Moment noch schwach ist – mit der Zeit zunehmen.
Zudem werden Verweisdaten von HTTPS zu HTTP in Google Analytics blockiert. Wenn Sie also eine Website haben, die auf dem alten Protokoll läuft und viele Verweise von Websites erhalten, die auf HTTPS laufen, werden Sie dies in Ihren Webanalysen nicht richtig sehen. Auf diese Weise bemerken Sie möglicherweise nicht, welche Plattformen Ihnen viel Traffic schicken und verpassen es, Ihre Marketing-Kanäle zu verstärken.
Schnellere Ladezeiten
Wenn wir beim Thema SEO bleiben, ist HTTPS auch deutlich schneller. Sie glauben uns nicht? Probieren Sie es hier aus (verwenden Sie ein privates Fenster, um Bild-Caching zu verhindern). Als wir den Test durchführten, war HTTPS satte 83% schneller!
Nicht schlecht, oder? Zumal die Ladegeschwindigkeit einer Seite auch ein Ranking-Faktor ist.
Nicht nur das, auch die Besucher interessieren sich dafür. Tatsächlich wird ein großer Teil Ihre Seite verlassen, wenn sie nicht innerhalb von drei Sekunden geladen wird. Aus diesem und anderen Gründen sollten Sie sich unseren Leitfaden zur Beschleunigung von WordPress ansehen.
Tipps zur Fehlerbehebung bei HTTPS
Leider ist bei der Umstellung Ihrer Website auf HTTPS nicht alles eitel Sonnenschein und Regenbogen. Es können einige Dinge auftauchen, um die man sich kümmern muss.
Warnungen bei gemischtem Inhalt
Die häufigsten Probleme, die auftreten, nachdem Sie Ihre Website auf HTTPS umgestellt haben, sind Warnungen bei gemischtem Inhalt. Das passiert, wenn der Browser unsichere Links auf einer ansonsten sicheren Seite findet. In der Regel handelt es sich dabei um die Aktualisierung von Links zu jQuery-Bibliotheken, benutzerdefinierten Schriftarten oder ähnlichem auf ihre HTTPS-Version.
Dies sollten Sie normalerweise beim Scannen Ihrer Seite vor der Veröffentlichung beachten. Wenn Sie jedoch eine solche Warnung finden, stellen Sie sicher, dass Sie überprüfen, was die Ursache dafür ist.
Abgesehen von den oben genannten Tools können Sie auch Why No Padlock? für einzelne Seiten verwenden. Beheben Sie dann, was auch immer das Problem ist.
Sinkende Such-Rankings
Die Umstellung von HTTP auf HTTPS kann Ihre Rankings negativ beeinflussen. Was?! Haben wir nicht vorhin gesagt, dass dies gut für SEO ist? Warum sollten Ihre Rankings dann nach unten gehen?
Bevor Sie zurückgehen und HTTPS in die Tonne treten, hören Sie uns erst einmal zu. Wenn Ihr SEO negativ beeinflusst wird, ist das in der Regel nur vorübergehend.
Sie sehen, Google behandelt https:// und https:// URLs als zwei verschiedene Entitäten. Selbst wenn Sie 301-Redirects einrichten (wie wir es oben getan haben), übertragen diese nur 90-99% des Link-Safts. Deshalb kann es sein, dass Ihre Rankings anfangs sinken.
Nach dem anfänglichen Einbruch sollten sie jedoch mit der Zeit steigen. Wie bereits erwähnt, betrachtet Google die Verwendung von SSL als einen positiven Ranking-Faktor. Wenn Sie also Ihre Website auf HTTPS umstellen, machen Sie sie in ihren Augen attraktiver. Das wird Ihnen auf lange Sicht zugute kommen.
In a Nutshell…
Die Sicherheit Ihrer Website und des Traffics ist eines der wichtigsten Themen für jeden Website-Betreiber. Für Verbraucher ist es wichtig zu wissen, dass sie Ihnen ihre sensiblen Daten anvertrauen können. In Zeiten des zunehmenden Datendiebstahls ist das ein riesiger Vorteil und HTTPS und SSL sind die Werkzeuge, um das zu erreichen.
Neben der Signalisierung von Vertrauenswürdigkeit gegenüber den Verbrauchern, wenn Sie Ihre Website auf HTTPS umstellen, können Sie auch von erhöhter Geschwindigkeit und besserer SEO profitieren. Und mit einem kostenlosen Dienst wie Let’s Encrypt schrecken die Kosten nicht mehr ab.
Sie haben oben erfahren, wie Sie ein kostenloses SSL-Zertifikat erhalten und es auf Ihrer WordPress-Website implementieren. Wir sind die notwendigen Schritte durchgegangen, um Ihre gesamte Website auf HTTP umzustellen und haben auch über andere Überlegungen gesprochen, die Sie bei der Umstellung berücksichtigen sollten.
Wenn Sie mitgemacht haben, sind Sie jetzt in der Lage, HTTPS und SSL zu Ihrer WordPress-Website hinzuzufügen. Seien Sie sich bewusst, dass dies eine großartige Investition für die Zukunft ist und wohin sich das Web bewegt. Ihre Besucher, Benutzer und Ihre Website werden es Ihnen danken.