WordPress HTTPS: WordPress auf SSL Verschlüsselung umstellen

WordPress HTTPS

Der Aufruf einer Website findet mittels HTT-Protokoll statt (HTTP). Hierbei werden die Daten normalerweise unverschlüsselt übertragen. Es gibt allerdings die Möglichkeit die Verbindung mit SSL zu verschlüsseln. Eine verschlüsselte Übertragung erkennt man an dem Zusatz https:// und/oder einem grünen Schloss in der Adresszeile des Browsers.

WordPress HTTPS Adresszeile

Gerade Webseiten, die Daten vom Nutzer übertragen, sollten dabei nicht auf SSL verzichten. Viele Onlineshops beispielsweise sind verschlüsselt.

Warum HTTPS?

Viele Gründe sprechen für eine verschlüsselte Übertragung via HTTPS. Die wichtigsten sind hierbei:

  • Datenschutz: Immer wenn Daten vom Benutzer übertragen werden, sollte die Webseite auf HTTPS umgestellt werden. Daten werden zum Beispiel beim Kauf von Produkten im Onlineshop, aber auch durch ein Kontaktformular oder die Kommentarfunktion übertragen
  • SEO: Eine SSL Verschlüsselung wird auch von Suchmaschinen gerne gesehen. Verschlüsselte Seiten werden mit einem höheren Ranking versehen
  • Sicherheit: Auch Daten, die vom Admin übermittelt werden – beispielsweise beim Login ins Backend – sollten verschlüsselt werden um vor Angriffen besser geschützt zu sein

Voraussetzungen für HTTPS

Zunächst wird ein Webhosting-Paket benötigt, das eine SSL-Verschlüsselung anbietet. Hierbei gibt es viele verschiedene Anbieter. Beim Anbieter all-inkl.com kann beispielsweise bei Kontaktaufnahme mit dem Support das kostenlose Let’s Enrypt Zertifikat mit der eigenen Domain verknüpft werden. Aber auch andere Anbieter stellen Zertifikate zur Verfügung – meist jedoch kostenpflichtig.

WordPress auf HTTPS umstellen

Sobald ein Webhosting-Paket und ein SSL-Zertifikat erworben wurde, müssen folgende Schritte durchgeführt werden, um WordPress korrekt umzustellen:

1.     URLs umstellen

Alle URLs in der Datenbank müssen von HTTP auf HTTPS umgestellt werden. Oftmals verwendet WordPress oder Themes/Plugins keine relativen sondern absolute Pfade, weshalb es meist nicht ausreicht die home und site_url von WordPress umzustellen. Am besten, man verwendet das kostenlose Plugin Better Search Replace und lässt alle Einträge in der Datenbank von „http://deine-domain.de“ durch „https://deine-domain.de“ ersetzen. Vorher sollte aber unbedingt ein Datenbank Backup durchgeführt werden! Alternativ können die Datenbankeinträge auch manuell angepasst werden.

2.     301-Weiterleitung in der .htaccess

Nun sollte unbedingt verhindert werden, dass die Seite sowohl unverschlüsselt als auch verschlüsselt übertragen wird. Erstens hätte die Umstellung nur wenig Sinn gehabt, und zweitens stellt dies für die Suchmaschinen Duplicate Content dar, was zu einer Abstrafung in den Suchergebnissen führt. Es gibt verschieden Möglichkeiten die Weiterleitung zu erreichen. Am besten man fügt folgenden Code überhalb des WordPress Codes in der .htaccess im Hauptverzeichnis des Webspaces ein:

 

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

 

Die .htaccess wird am besten mit einem Texteditor via FTP geöffnet.

WordPress HTTPS: Hinweise

Noch einige Hinweise zum Schluss

  • Es sollten immer alle Seiten einer Webseite verschlüsselt übertragen werden, und nicht nur einzelne Seiten wie das Kontaktformular
  • Wird ein Caching-Plugin verwendet, sollte nach der Umstellung der Cache geleert werden