Umfangreiche WordPress-Websites auf https umstellen

01.02.2017 03.01.2022 Vladimir 20 Kommentare

Ich habe bereits im April letzten Jahres beschreiben, wie man Dank der kostenlosen SSL-Zertifikaten bei all-inkl seine Website auf https umstellen kann. Dort bin ich auch ein bisschen auf die WordPress-spezifischen Punkte eingegangen. Eigentlich wollte ich damals recht zügig auch diese Website auf https umstellen, aber wie sagte das mal jemand treffend:

Leben ist das, was passiert, während du eifrig dabei bist, andere Pläne zu machen

John Lennon

Daher bin ich erst jetzt dazu gekommen, diese WordPress-Installation auf https umzustellen. Dadurch, dass diese Website knapp 3.000 Blogbeiträge und knapp 30 weitere Unterseiten hat, kann man die schon als eine umfangreiche Website sehen. Ich habe mich an meiner eigenen Anleitung gehalten und daher werde ich diesem Blogartikel nur auf die Unterschiede eingehen.

Warum https?

Mittlerweile gibt es viele Gründe warum man auf https umsteigen sollte. Das Google seit einiger Zeit https als einen zusätzlichen Faktor sieht, hat sich schon mittlerweile herumgesprochen. Es wird auch berichtet, dass gleiche Websites unter https schneller als unter http sind.

Beide der genannten Faktoren – SEO und Performance – sind zwar wichtig, aber im besagten Fall würde ich Sie nicht an erster Stelle oder als wichtigste Argumente für einen Umstieg auf https sehen, sondern, falls Sie auch bei dir auftreten sollten, als netten Nebeneffekt dankend annehmen. Schon alleine deswegen, weil diese positiven Effekte nicht auftreten müssen und wenn sie auftreten eher eine schwache Wirkung erzielen. So wird https von Google selber als ein schwaches Signal eingestuft.

Es gibt wichtigere Gründe für den Umstieg auf https. Zum einen wäre dies die Sicherheit und der Datenschutz: die Kommunikation zwischen dem Browser und der Website ist verschlüsselt.

Darüber hinaus gibt es gesetzliche Bestimmungen, die Betreiber von Websites verpflichten Seiten mit Kontaktformularen bzw. deren Datenübertragung zu verschlüsseln. Das läuft im Endeffekt darauf hinaus, dass man zumindest diese Unterseite auf https umstellt … und wenn man schon da ist, kann man es auch mit ganzer Präsenz machen.

Wenn man es eng nimmt, würden Blogkommentar-Formulare auch darunter fallen.

Der konkrete Umstieg auf https

Wie bereits schon erwähnt, als Grundlage dient mir meine bestehende Anleitung. Auf all-inkl.com habe ich die Domain angesteuert und dort den Bearbeiten-Icon angeklickt. Anschließend bei SSL Schutz auf Bearbeiten klicken.

SSL beantragen unter Domain → Bearbeiten

In diesem Schritt dann einfach das Zertifikat von Let’s Encrypt wählen und bestätigen:

Das kostenlose Zertifikat von Let’s Encrypt wählen

Das wäre es dann auch. Im nächsten Fenster kann man zusätzliche Einstellungen tätigen:

In diesem Schritt kann man SSL erzwingen. Das heißt, es werden alle alten http-Aufrufe auf https umgeleitet. Das ist das gleiche, wie folgende Angabe, die man in die .htaccess-Datei einfügen kann:

Ob man die SSL-Umleitung per Angabe im KAS oder via Code in der .htaccess-Datei macht ist natürlich auch Geschmackssache. Das HSTS habe ich persönlich noch nicht aktiviert. Ich habe da noch nicht ganz die pro- und die contra-Argumente abgewogen und habe die Entscheidung vertagt.

Schritte in WordPress

Ich habe mich gegen das Plugin Really Simple SSL entschieden und habe mit Hilfe von Better Search Replace Pro zuerst ein neues Datenbank-Backup erstellt und dann alle http-Pfade in https-Pfade ersetzt:

Bei einer WordPress-Website, die über mehr als 13 Jahre gewachsen ist, hat das allerdings nicht ausgereicht. Mann muss noch im Theme nach eigenen Anpassungen suchen und diese dann ersetzen. Hierbei können die Mutigen auf ~~Search & Destroy~~ 🙂 “Suche und Ersetzen”-Funktion des Editors zurückgreifen.

Externe Scripte und Grafiken anpassen

Bei manchen Websites dürfte das aber noch nicht ausreichen um eine komplett sichere Verbindung zu haben. Wenn du zum Beispiel in deinem Firefox ein gelbes Warnzeichen (⚠️) zu sehen bekommst, dann liegt es darin, dass die Website versucht externe Dateien zu laden, die nicht von einer sicheren Verbindung stammen. Das können Scripte, CSS-Dateien, Grafiken, Schriften oder iframes sein.

Schaue daher in deinem Theme nach, ob nicht auf http-Quellen zugegriffen wird und ersetze diese durch ein https-Pfad. Wenn du VG-Wort-Zählpixel einsetzt, dann findest du in diesem Artikel von mir Abhilfe. Dort beschreibe ich, wie man die Zählpixel-Pfade von http auf https umstellt.

Um zu schauen welche externe Quellen als unsicher gelten, kann dir folgendes Tool helfen.

So, nun hoffe ich ich das ich nichts übersehen habe. Falls ja, einfach einen Kommentar hinterlassen und mein Dank ist dir sicher.

20 Kommentare

Malte sagt:

02.02.2017 um 08:47 Uhr

Hallo Vladimir,
ich weiß nicht wie es andern Leuten geht, aber die Umstellung auf https stellt für mich eine große Hürde dar. Wegen Sicherheit und Datenschutz würde ich das gerne haben wollen, wegen Google Rating nicht. Meine Hobbywebsite ist laut deiner Definition oben dann auch schon recht umfangreich (ca.70 Seiten, 350 Posts). Mal so eben Suchen und Ersetzen ist es das wirklich? Geht das nur mit der Pro-Version des Plugins? Es sind dann doch sehr viele Einzelheiten die klappen müssen und wehe wenn, dann ist guter Rat teuer und graue Haare gewiss. Kommst du dann als Servicedienstleister ins Spiel?

Bei meinem Hoster kostet das Zertifikat einige Euros noch, bei Google stehe ich in meiner Nische schon lange auf Platz 1, lohnt sich das? Denn es gilt der alte Satz: never change a running system!

Es wird bestimmt der Tag kommen und ich stelle um auf https, aber aktuell bin ich skeptisch und vermute vielen anderen Privatseiten geht es genauso.
1. Vladimir sagt:
  
  02.02.2017 um 14:05 Uhr
  
  Hallo Malte,
  
  die Pro-Version des Plugins ermöglicht vorher einen Testlauf.
  1. Sabine sagt:
    
    03.02.2017 um 00:46 Uhr
    
    Den Testlauf hat Better Search&Replace auch schon in der Free-Version.
    
    lg Sabine
Ines sagt:

02.02.2017 um 08:57 Uhr

Danke für Deine Anleitung. Meine Seiten sind auch recht umfangreich und ich habe noch zu viel Respekt davor. Aber wenn mich daran wage, dann u.a. dank Deiner Anleitung.
Andreas Wittig sagt:

02.02.2017 um 09:28 Uhr

vielen Dank, sehr hilfreich.
Mich würde interessieren, warum du dich gegen “really simple SSL” entschieden hast. Gibt es konkrete Gegen-Argumente, oder geht es einfach nur darum, dass das Plugin zuviel macht, was man nicht sieht?
1. Vladimir sagt:
  
  02.02.2017 um 14:04 Uhr
  
  Hallo Andreas,
  
  ich wollte nicht von einem Plugin abhängig sein. Das ist der einzige Grund.
Martin sagt:

02.02.2017 um 09:29 Uhr

Hallo Zusammen,

ich habe vorgestern meine/unsere Website umgestellt. Zertifikat kommt von GODaddy – Server bei Hetzner.
Mit dem Plugin WP Force SSL hat es im Grunde reibungslos funktioniert. Auch die selbst programmierten Plugins springen auf die Weiterleitung an. Eine “suchen – ersetzen” Aktion habe ich nicht gemacht. Bei knappen 15.000 Artikeln war mir das dann doch zu heikel – falls ich wieder zurück müsste.

Und ja – mixed Content gibt es immer, da muss man händisch in den Code…

Dazu hätte ich eine Frage bezüglich Backend:

Das Backend ist nämlich übersät mit Mixed Content. Das beginnt schon mit

Dass User im Kommentarfeld eine http:// Website angeben – dagegen kann ich nichts machen.
Aber, dass “cropped-website-icon-xxx.png” – welches ja für AMP Seiten notwendig ist und zB.: “xmlns=”http://www.w3.org/2000/svg” unsicher im Code erscheinen, verstehe ich dann doch nicht…

Hast du eine Ahnung wie man das ebenfalls hinbekommt?

Danke für deine Beiträge und Hilfe.

SG
Martin
Oliver sagt:

02.02.2017 um 11:07 Uhr

Ich habe als absoluter Laie meine WordPress Installation mit 1700 Seiten und 190 Posts umgestellt und das war eine Sache von weniger als einer halben Stunde.

Haupt-Herausforderung und auch Unsicherheitsfaktor Nummer 1 war eben das Ersetzen der alten http auf https. Ich habe das Tools zum “suchen und ersetzen” 4 mal durchlaufen lassen, danach war wirklich alles umgeschrieben. Sicherheitskopie ist natürlich unerlässlich vorher!

Zusätzlich solltet ihr daran denken, bereits vorhandene Redirects in der htaccess neu auf https umzuleiten und in den Webmastertools müsst ihr danach https neu anlegen.

Was mich nur etwas gewurmt hat, war die Tatsache dass z.B. die Facebook Likes in den Sharebuttons wieder auf Null standen 🙁
1. Setzfehler sagt:
  
  02.02.2017 um 20:32 Uhr
  
  Dass die Anzahl der Likes und Shares mittels den relativ datenschutzkonformen Shariff-Buttons nach der Umstellung auf https alle wieder auf Null zurückgingen, hatte mich auch ziemlich gewurmt! Und noch eine weitere Anmerkung zum Artikel allgemein: Für die, die ein Kontaktformular in ihre Website oder den Blog eingebunden haben, ist eine verschlüsselte Übertragung der persönlichen Daten mittels https Pflicht! Wer die nicht nutzt, kann sogar abgemahnt werden, was bislang allerdings nur bei Firmen-Websites passiert.
Frank Doerr sagt:

02.02.2017 um 16:14 Uhr

Hi Vlad, du hättest auch einfach meinen Artikel nehmen können, ist ja weitgehend identisch, siehe Link zur Website 🙂
1. Vladimir sagt:
  
  03.02.2017 um 14:06 Uhr
  
  Wie soll den das gehen? Mein ursprünglicher Artikel ist vom April 2016 und deiner wurde im Oktober 2016 verfasst. 😉
Jan sagt:

02.02.2017 um 18:59 Uhr

Danke für die ausführliche Anleitung! Da ich auch bei all-inkl bin, fand ich die Hilfestellung super.

Kleiner Tipp: Ich habe als Ersetzungsplugin “Search and Replace” von Inpsyde genommen. Ist gratis und funktioniert. Backup ist trotzdem Pflicht!
Robert sagt:

03.02.2017 um 18:35 Uhr

Schöne Anleitung, die auch exakt für mich passen würde, da ich ebenfalls bei all-inkl gehostet habe. Ein Frage ist jedoch zu “Search & Replace” aufgetaucht: Wenn du ALLE “http://www.” in “https://www.” umwandeln lässt, werden dann nicht auch die Links zu externen seiten umgeschrieben? ist das egal?
1. Malte sagt:
  
  03.02.2017 um 19:14 Uhr
  
  Zu kurz.
  
  http://www.länger-hier” in “https://www.länger-hier”
  
  Ansonsten ermutigen so manche Kommentare hier immer mehr 🙂
Sebastian sagt:

06.02.2017 um 17:20 Uhr

Danke für den hilfreichen Artikel. In den nächsten Tagen habe ich eine Umstellung auf SSL bei einem Projekt mit über 40.000 Unterseiten vor mir. Da ist es gut, wenn man sich noch mal beim Fachmann “rückversichern” kann, damit man auch nichts vergisst. 🙂
Der Nerd sagt:

23.02.2017 um 10:20 Uhr

Warum so kompliziert? Mit einer SEO-Freundlichen Umleitung von http -> https Serverseitig und einen entsprechenden Zertifikat auf dem Server installiert geht das ohne jegliches herummurksen im WordPress. Natürlich sollte man dabei etwas Ahnung von Servertechnik haben, aber so gut wie jeder Linux-Server beherrscht das.
1. Vladimir sagt:
  
  23.02.2017 um 12:16 Uhr
  
  Klar! Man kann nach einem Umzug auch 20 Jahre lange bei der Post den Nachsendeantrag weiterführen. Man kann aber auch all den Leuten sagen, das man jetzt eine andere Adresse hat. 😉
Benjamin sagt:

01.09.2017 um 21:32 Uhr

Vielen Dank für diese Anleitung.

Ich habe nun auch mein Projekt auf https umgestellt und bin etwas über die langsamere Geschwindigkeit verwundert.

Ich nutze ebenfalls das Let’s Encrypt-Zertifikat und habe die .htaccess-Datei entsprechend umgeändert. Wenn ich nun eine meiner Unterseiten unter der https-Version aufrufe, dauert der Ladevorgang mit einem Speedtool statt wie zuvor 200 ms nun 800 ms. Nutze das Business-Paket von All-Inkl und verstehe irgendwie die Welt nicht mehr.

Ist der Speed bei euch ebenfalls so spürbar schlechter geworden?
Ute G. sagt:

06.10.2017 um 17:01 Uhr

Der Mist ist ja, dass WP leider, leider mit absoluten Pfaden arbeitet. Warum ist das eigentlich so? Joomla nimmt relative Pfade, da entfällt der Search&Replace-Unsinn.
Christiane sagt:

06.10.2017 um 17:15 Uhr

Danke! Das war prima und hat genau so geklappt wie beschrieben!