WordPress & Webwork

Umfangreiche WordPress-Websites auf https umstellen

Worauf man achten sollte, wenn man eine umfangreiche WordPress-Website auf https umstellt

Ich habe bereits im April letzten Jahres beschreiben, wie man Dank der kostenlosen SSL-Zertifikaten bei all-inkl seine Website auf https umstellen kann. Dort bin ich auch ein bisschen auf die WordPress-spezifischen Punkte eingegangen. Eigentlich wollte ich damals recht zügig auch diese Website auf https umstellen, aber wie sagte das mal jemand treffend:

Leben ist das, was passiert, während du eifrig dabei bist, andere Pläne zu machen

Daher bin ich erst jetzt dazu gekommen, diese WordPress-Installation auf https umzustellen. Dadurch, dass diese Website knapp 3.000 Blogbeiträge und knapp 30 weitere Unterseiten hat, kann man die schon als eine umfangreiche Website sehen. Ich habe mich an meiner eigenen Anleitung gehalten und daher werde ich diesem Blogartikel nur auf die Unterschiede eingehen.

Warum https?

Mittlerweile gibt es viele Gründe warum man auf https umsteigen sollte. Das Google seit einiger Zeit https als einen zusätzlichen Faktor sieht, hat sich schon mittlerweile herumgesprochen. Es wird auch berichtet, dass gleiche Websites unter https schneller als unter http sind.

Beide der genannten Faktoren – SEO und Performance – sind zwar wichtig, aber im besagten Fall würde ich Sie nicht an erster Stelle oder als wichtigste Argumente für einen Umstieg auf https sehen, sondern, falls Sie auch bei dir auftreten sollten, als netten Nebeneffekt dankend annehmen. Schon alleine deswegen, weil diese positiven Effekte nicht auftreten müssen und wenn sie auftreten eher eine schwache Wirkung erzielen. So wird https von Google selber als ein schwaches Signal eingestuft.

Es gibt wichtigere Gründe für den Umstieg auf https. Zum einen wäre dies die Sicherheit und der Datenschutz: die Kommunikation zwischen dem Browser und der Website ist verschlüsselt.

Darüber hinaus gibt es gesetzliche Bestimmungen, die Betreiber von Websites verpflichten Seiten mit Kontaktformularen bzw. deren Datenübertragung zu verschlüsseln. Das läuft im Endeffekt darauf hinaus, dass man zumindest diese Unterseite auf https umstellt … und wenn man schon da ist, kann man es auch mit ganzer Präsenz machen.

Wenn man es eng nimmt, würden Blogkommentar-Formulare auch darunter fallen.

Der konkrete Umstieg auf https

Wie bereits schon erwähnt, als Grundlage dient mir meine bestehende Anleitung. Auf all-inkl.com habe ich die Domain angesteuert und dort den Bearbeiten-Icon angeklickt. Anschließend bei SSL Schutz auf Bearbeiten klicken.

SSL beantragen unter Domain → Bearbeiten

In diesem Schritt dann einfach das Zertifikat von Let’s Encrypt wählen und bestätigen:

Das kostenlose Zertifikat von Let’s Encrypt wählen

Das wäre es dann auch. Im nächsten Fenster kann man zusätzliche Einstellungen tätigen:

SSL erzwingen und HSTS aktivieren

In diesem Schritt kann man SSL erzwingen. Das heißt, es werden alle alten http-Aufrufe auf https umgeleitet. Das ist das gleiche, wie folgende Angabe, die man in die .htaccess-Datei einfügen kann:

Ob man die SSL-Umleitung per Angabe im KAS oder via Code in der .htaccess-Datei macht ist natürlich auch Geschmackssache. Das HSTS habe ich persönlich noch nicht aktiviert. Ich habe da noch nicht ganz die pro- und die contra-Argumente abgewogen und habe die Entscheidung vertagt.

Schritte in WordPress

Ich habe mich gegen das Plugin Really Simple SSL entschieden und habe mit Hilfe von Better Search Replace Pro zuerst ein neues Datenbank-Backup erstellt und dann alle http-Pfade in https-Pfade ersetzt:

WordPress: Suche und Ersetzen starten

Bei einer WordPress-Website, die über mehr als 13 Jahre gewachsen ist, hat das allerdings nicht ausgereicht. Mann muss noch im Theme nach eigenen Anpassungen suchen und diese dann ersetzen. Hierbei können die Mutigen auf Search & Destroy 🙂 "Suche und Ersetzen"-Funktion des Editors zurückgreifen.

Externe Scripte und Grafiken anpassen

Bei manchen Websites dürfte das aber noch nicht ausreichen um eine komplett sichere Verbindung zu haben. Wenn du zum Beispiel in deinem Firefox ein gelbes Warnzeichen (⚠️) zu sehen bekommst, dann liegt es darin, dass die Website versucht externe Dateien zu laden, die nicht von einer sicheren Verbindung stammen. Das können Scripte, CSS-Dateien, Grafiken, Schriften oder iframes sein.

Schaue daher in deinem Theme nach, ob nicht auf http-Quellen zugegriffen wird und ersetze diese durch ein https-Pfad. Wenn du VG-Wort-Zählpixel einsetzt, dann findest du in diesem Artikel von mir Abhilfe. Dort beschreibe ich, wie man die Zählpixel-Pfade von http auf https umstellt.

Um zu schauen welche externe Quellen als unsicher gelten, kann dir folgendes Tool helfen.

So, nun hoffe ich ich das ich nichts übersehen habe. Falls ja, einfach einen Kommentar hinterlassen und mein Dank ist dir sicher.

17 Reaktion(en)

  1. Malte

    Hallo Vladimir,
    ich weiß nicht wie es andern Leuten geht, aber die Umstellung auf https stellt für mich eine große Hürde dar. Wegen Sicherheit und Datenschutz würde ich das gerne haben wollen, wegen Google Rating nicht. Meine Hobbywebsite ist laut deiner Definition oben dann auch schon recht umfangreich (ca.70 Seiten, 350 Posts). Mal so eben Suchen und Ersetzen ist es das wirklich? Geht das nur mit der Pro-Version des Plugins? Es sind dann doch sehr viele Einzelheiten die klappen müssen und wehe wenn, dann ist guter Rat teuer und graue Haare gewiss. Kommst du dann als Servicedienstleister ins Spiel?

    Bei meinem Hoster kostet das Zertifikat einige Euros noch, bei Google stehe ich in meiner Nische schon lange auf Platz 1, lohnt sich das? Denn es gilt der alte Satz: never change a running system!

    Es wird bestimmt der Tag kommen und ich stelle um auf https, aber aktuell bin ich skeptisch und vermute vielen anderen Privatseiten geht es genauso.

  2. Martin

    Hallo Zusammen,

    ich habe vorgestern meine/unsere Website umgestellt. Zertifikat kommt von GODaddy – Server bei Hetzner.
    Mit dem Plugin WP Force SSL hat es im Grunde reibungslos funktioniert. Auch die selbst programmierten Plugins springen auf die Weiterleitung an. Eine "suchen – ersetzen" Aktion habe ich nicht gemacht. Bei knappen 15.000 Artikeln war mir das dann doch zu heikel – falls ich wieder zurück müsste.

    Und ja – mixed Content gibt es immer, da muss man händisch in den Code…

    Dazu hätte ich eine Frage bezüglich Backend:

    Das Backend ist nämlich übersät mit Mixed Content. Das beginnt schon mit

    Dass User im Kommentarfeld eine http:// Website angeben – dagegen kann ich nichts machen.
    Aber, dass "cropped-website-icon-xxx.png" – welches ja für AMP Seiten notwendig ist und zB.: "xmlns="http://www.w3.org/2000/svg" unsicher im Code erscheinen, verstehe ich dann doch nicht…

    Hast du eine Ahnung wie man das ebenfalls hinbekommt?

    Danke für deine Beiträge und Hilfe.

    SG
    Martin

  3. Oliver

    Ich habe als absoluter Laie meine WordPress Installation mit 1700 Seiten und 190 Posts umgestellt und das war eine Sache von weniger als einer halben Stunde.

    Haupt-Herausforderung und auch Unsicherheitsfaktor Nummer 1 war eben das Ersetzen der alten http auf https. Ich habe das Tools zum "suchen und ersetzen" 4 mal durchlaufen lassen, danach war wirklich alles umgeschrieben. Sicherheitskopie ist natürlich unerlässlich vorher!

    Zusätzlich solltet ihr daran denken, bereits vorhandene Redirects in der htaccess neu auf https umzuleiten und in den Webmastertools müsst ihr danach https neu anlegen.

    Was mich nur etwas gewurmt hat, war die Tatsache dass z.B. die Facebook Likes in den Sharebuttons wieder auf Null standen 🙁

    1. Setzfehler

      Dass die Anzahl der Likes und Shares mittels den relativ datenschutzkonformen Shariff-Buttons nach der Umstellung auf https alle wieder auf Null zurückgingen, hatte mich auch ziemlich gewurmt! Und noch eine weitere Anmerkung zum Artikel allgemein: Für die, die ein Kontaktformular in ihre Website oder den Blog eingebunden haben, ist eine verschlüsselte Übertragung der persönlichen Daten mittels https Pflicht! Wer die nicht nutzt, kann sogar abgemahnt werden, was bislang allerdings nur bei Firmen-Websites passiert.

  4. Jan

    Danke für die ausführliche Anleitung! Da ich auch bei all-inkl bin, fand ich die Hilfestellung super.

    Kleiner Tipp: Ich habe als Ersetzungsplugin "Search and Replace" von Inpsyde genommen. Ist gratis und funktioniert. Backup ist trotzdem Pflicht!

  5. Robert

    Schöne Anleitung, die auch exakt für mich passen würde, da ich ebenfalls bei all-inkl gehostet habe. Ein Frage ist jedoch zu "Search & Replace" aufgetaucht: Wenn du ALLE "http://www." in "https://www." umwandeln lässt, werden dann nicht auch die Links zu externen seiten umgeschrieben? ist das egal?

  6. Sebastian

    Danke für den hilfreichen Artikel. In den nächsten Tagen habe ich eine Umstellung auf SSL bei einem Projekt mit über 40.000 Unterseiten vor mir. Da ist es gut, wenn man sich noch mal beim Fachmann "rückversichern" kann, damit man auch nichts vergisst. 🙂

  7. Der Nerd

    Warum so kompliziert? Mit einer SEO-Freundlichen Umleitung von http -> https Serverseitig und einen entsprechenden Zertifikat auf dem Server installiert geht das ohne jegliches herummurksen im WordPress. Natürlich sollte man dabei etwas Ahnung von Servertechnik haben, aber so gut wie jeder Linux-Server beherrscht das.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.