Ich habe bereits im April letzten Jahres beschreiben, wie man Dank der kostenlosen SSL-Zertifikaten bei all-inkl seine Website auf https umstellen kann. Dort bin ich auch ein bisschen auf die WordPress-spezifischen Punkte eingegangen. Eigentlich wollte ich damals recht zĂŒgig auch diese Website auf https umstellen, aber wie sagte das mal jemand treffend:
Leben ist das, was passiert, wÀhrend du eifrig dabei bist, andere PlÀne zu machen
Daher bin ich erst jetzt dazu gekommen, diese WordPress-Installation auf https umzustellen. Dadurch, dass diese Website knapp 3.000 BlogbeitrÀge und knapp 30 weitere Unterseiten hat, kann man die schon als eine umfangreiche Website sehen. Ich habe mich an meiner eigenen Anleitung gehalten und daher werde ich diesem Blogartikel nur auf die Unterschiede eingehen.
Warum https? 
Mittlerweile gibt es viele GrĂŒnde warum man auf https umsteigen sollte. Das Google seit einiger Zeit https als einen zusĂ€tzlichen Faktor sieht, hat sich schon mittlerweile herumgesprochen. Es wird auch berichtet, dass gleiche Websites unter https schneller als unter http sind.
Beide der genannten Faktoren â SEO und Performance â sind zwar wichtig, aber im besagten Fall wĂŒrde ich Sie nicht an erster Stelle oder als wichtigste Argumente fĂŒr einen Umstieg auf https sehen, sondern, falls Sie auch bei dir auftreten sollten, als netten Nebeneffekt dankend annehmen. Schon alleine deswegen, weil diese positiven Effekte nicht auftreten mĂŒssen und wenn sie auftreten eher eine schwache Wirkung erzielen. So wird https von Google selber als ein schwaches Signal eingestuft.
Es gibt wichtigere GrĂŒnde fĂŒr den Umstieg auf https. Zum einen wĂ€re dies die Sicherheit und der Datenschutz: die Kommunikation zwischen dem Browser und der Website ist verschlĂŒsselt.
DarĂŒber hinaus gibt es gesetzliche Bestimmungen, die Betreiber von Websites verpflichten Seiten mit Kontaktformularen bzw. deren DatenĂŒbertragung zu verschlĂŒsseln. Das lĂ€uft im Endeffekt darauf hinaus, dass man zumindest diese Unterseite auf https umstellt … und wenn man schon da ist, kann man es auch mit ganzer PrĂ€senz machen.
Wenn man es eng nimmt, wĂŒrden Blogkommentar-Formulare auch darunter fallen.
Der konkrete Umstieg auf https
Wie bereits schon erwĂ€hnt, als Grundlage dient mir meine bestehende Anleitung. Auf all-inkl.com habe ich die Domain angesteuert und dort den Bearbeiten-Icon angeklickt. AnschlieĂend bei SSL Schutz auf Bearbeiten klicken.

In diesem Schritt dann einfach das Zertifikat von Let’s Encrypt wĂ€hlen und bestĂ€tigen:

Das wÀre es dann auch. Im nÀchsten Fenster kann man zusÀtzliche Einstellungen tÀtigen:

In diesem Schritt kann man SSL erzwingen. Das heiĂt, es werden alle alten http-Aufrufe auf https umgeleitet. Das ist das gleiche, wie folgende Angabe, die man in die .htaccess-Datei einfĂŒgen kann:
Ob man die SSL-Umleitung per Angabe im KAS oder via Code in der .htaccess-Datei macht ist natĂŒrlich auch Geschmackssache. Das HSTS habe ich persönlich noch nicht aktiviert. Ich habe da noch nicht ganz die pro- und die contra-Argumente abgewogen und habe die Entscheidung vertagt.
Schritte in WordPress
Ich habe mich gegen das Plugin Really Simple SSL entschieden und habe mit Hilfe von Better Search Replace Pro zuerst ein neues Datenbank-Backup erstellt und dann alle http-Pfade in https-Pfade ersetzt:
Bei einer WordPress-Website, die ĂŒber mehr als 13 Jahre gewachsen ist, hat das allerdings nicht ausgereicht. Mann muss noch im Theme nach eigenen Anpassungen suchen und diese dann ersetzen. Hierbei können die Mutigen auf Search & Destroy đ “Suche und Ersetzen”-Funktion des Editors zurĂŒckgreifen.
Externe Scripte und Grafiken anpassen
Bei manchen Websites dĂŒrfte das aber noch nicht ausreichen um eine komplett sichere Verbindung zu haben. Wenn du zum Beispiel in deinem Firefox ein gelbes Warnzeichen (â ïž) zu sehen bekommst, dann liegt es darin, dass die Website versucht externe Dateien zu laden, die nicht von einer sicheren Verbindung stammen. Das können Scripte, CSS-Dateien, Grafiken, Schriften oder iframes sein.
Schaue daher in deinem Theme nach, ob nicht auf http-Quellen zugegriffen wird und ersetze diese durch ein https-Pfad. Wenn du VG-Wort-ZĂ€hlpixel einsetzt, dann findest du in diesem Artikel von mir Abhilfe. Dort beschreibe ich, wie man die ZĂ€hlpixel-Pfade von http auf https umstellt.
Um zu schauen welche externe Quellen als unsicher gelten, kann dir folgendes Tool helfen.
So, nun hoffe ich ich das ich nichts ĂŒbersehen habe. Falls ja, einfach einen Kommentar hinterlassen und mein Dank ist dir sicher.
Hallo Vladimir,
ich weiĂ nicht wie es andern Leuten geht, aber die Umstellung auf https stellt fĂŒr mich eine groĂe HĂŒrde dar. Wegen Sicherheit und Datenschutz wĂŒrde ich das gerne haben wollen, wegen Google Rating nicht. Meine Hobbywebsite ist laut deiner Definition oben dann auch schon recht umfangreich (ca.70 Seiten, 350 Posts). Mal so eben Suchen und Ersetzen ist es das wirklich? Geht das nur mit der Pro-Version des Plugins? Es sind dann doch sehr viele Einzelheiten die klappen mĂŒssen und wehe wenn, dann ist guter Rat teuer und graue Haare gewiss. Kommst du dann als Servicedienstleister ins Spiel?
Bei meinem Hoster kostet das Zertifikat einige Euros noch, bei Google stehe ich in meiner Nische schon lange auf Platz 1, lohnt sich das? Denn es gilt der alte Satz: never change a running system!
Es wird bestimmt der Tag kommen und ich stelle um auf https, aber aktuell bin ich skeptisch und vermute vielen anderen Privatseiten geht es genauso.
Hallo Malte,
die Pro-Version des Plugins ermöglicht vorher einen Testlauf.
Den Testlauf hat Better Search&Replace auch schon in der Free-Version.
lg Sabine
Danke fĂŒr Deine Anleitung. Meine Seiten sind auch recht umfangreich und ich habe noch zu viel Respekt davor. Aber wenn mich daran wage, dann u.a. dank Deiner Anleitung.
vielen Dank, sehr hilfreich.
Mich wĂŒrde interessieren, warum du dich gegen “really simple SSL” entschieden hast. Gibt es konkrete Gegen-Argumente, oder geht es einfach nur darum, dass das Plugin zuviel macht, was man nicht sieht?
Hallo Andreas,
ich wollte nicht von einem Plugin abhÀngig sein. Das ist der einzige Grund.
Hallo Zusammen,
ich habe vorgestern meine/unsere Website umgestellt. Zertifikat kommt von GODaddy – Server bei Hetzner.
Mit dem Plugin WP Force SSL hat es im Grunde reibungslos funktioniert. Auch die selbst programmierten Plugins springen auf die Weiterleitung an. Eine “suchen – ersetzen” Aktion habe ich nicht gemacht. Bei knappen 15.000 Artikeln war mir das dann doch zu heikel – falls ich wieder zurĂŒck mĂŒsste.
Und ja – mixed Content gibt es immer, da muss man hĂ€ndisch in den Code…
Dazu hĂ€tte ich eine Frage bezĂŒglich Backend:
Das Backend ist nĂ€mlich ĂŒbersĂ€t mit Mixed Content. Das beginnt schon mit
Dass User im Kommentarfeld eine http:// Website angeben – dagegen kann ich nichts machen.
Aber, dass “cropped-website-icon-xxx.png” – welches ja fĂŒr AMP Seiten notwendig ist und zB.: “xmlns=”http://www.w3.org/2000/svg” unsicher im Code erscheinen, verstehe ich dann doch nicht…
Hast du eine Ahnung wie man das ebenfalls hinbekommt?
Danke fĂŒr deine BeitrĂ€ge und Hilfe.
SG
Martin
Ich habe als absoluter Laie meine WordPress Installation mit 1700 Seiten und 190 Posts umgestellt und das war eine Sache von weniger als einer halben Stunde.
Haupt-Herausforderung und auch Unsicherheitsfaktor Nummer 1 war eben das Ersetzen der alten http auf https. Ich habe das Tools zum “suchen und ersetzen” 4 mal durchlaufen lassen, danach war wirklich alles umgeschrieben. Sicherheitskopie ist natĂŒrlich unerlĂ€sslich vorher!
ZusĂ€tzlich solltet ihr daran denken, bereits vorhandene Redirects in der htaccess neu auf https umzuleiten und in den Webmastertools mĂŒsst ihr danach https neu anlegen.
Was mich nur etwas gewurmt hat, war die Tatsache dass z.B. die Facebook Likes in den Sharebuttons wieder auf Null standen đ
Dass die Anzahl der Likes und Shares mittels den relativ datenschutzkonformen Shariff-Buttons nach der Umstellung auf https alle wieder auf Null zurĂŒckgingen, hatte mich auch ziemlich gewurmt! Und noch eine weitere Anmerkung zum Artikel allgemein: FĂŒr die, die ein Kontaktformular in ihre Website oder den Blog eingebunden haben, ist eine verschlĂŒsselte Ăbertragung der persönlichen Daten mittels https Pflicht! Wer die nicht nutzt, kann sogar abgemahnt werden, was bislang allerdings nur bei Firmen-Websites passiert.
Hi Vlad, du hĂ€ttest auch einfach meinen Artikel nehmen können, ist ja weitgehend identisch, siehe Link zur Website đ
Wie soll den das gehen? Mein ursprĂŒnglicher Artikel ist vom April 2016 und deiner wurde im Oktober 2016 verfasst. đ
Danke fĂŒr die ausfĂŒhrliche Anleitung! Da ich auch bei all-inkl bin, fand ich die Hilfestellung super.
Kleiner Tipp: Ich habe als Ersetzungsplugin “Search and Replace” von Inpsyde genommen. Ist gratis und funktioniert. Backup ist trotzdem Pflicht!
Schöne Anleitung, die auch exakt fĂŒr mich passen wĂŒrde, da ich ebenfalls bei all-inkl gehostet habe. Ein Frage ist jedoch zu “Search & Replace” aufgetaucht: Wenn du ALLE “http://www.” in “https://www.” umwandeln lĂ€sst, werden dann nicht auch die Links zu externen seiten umgeschrieben? ist das egal?
Zu kurz.
http://www.lĂ€nger-hier” in “https://www.lĂ€nger-hier”
Ansonsten ermutigen so manche Kommentare hier immer mehr đ
Danke fĂŒr den hilfreichen Artikel. In den nĂ€chsten Tagen habe ich eine Umstellung auf SSL bei einem Projekt mit ĂŒber 40.000 Unterseiten vor mir. Da ist es gut, wenn man sich noch mal beim Fachmann “rĂŒckversichern” kann, damit man auch nichts vergisst. đ
Warum so kompliziert? Mit einer SEO-Freundlichen Umleitung von http -> https Serverseitig und einen entsprechenden Zertifikat auf dem Server installiert geht das ohne jegliches herummurksen im WordPress. NatĂŒrlich sollte man dabei etwas Ahnung von Servertechnik haben, aber so gut wie jeder Linux-Server beherrscht das.
Klar! Man kann nach einem Umzug auch 20 Jahre lange bei der Post den Nachsendeantrag weiterfĂŒhren. Man kann aber auch all den Leuten sagen, das man jetzt eine andere Adresse hat. đ
Vielen Dank fĂŒr diese Anleitung.
Ich habe nun auch mein Projekt auf https umgestellt und bin etwas ĂŒber die langsamere Geschwindigkeit verwundert.
Ich nutze ebenfalls das Let’s Encrypt-Zertifikat und habe die .htaccess-Datei entsprechend umgeĂ€ndert. Wenn ich nun eine meiner Unterseiten unter der https-Version aufrufe, dauert der Ladevorgang mit einem Speedtool statt wie zuvor 200 ms nun 800 ms. Nutze das Business-Paket von All-Inkl und verstehe irgendwie die Welt nicht mehr.
Ist der Speed bei euch ebenfalls so spĂŒrbar schlechter geworden?
Der Mist ist ja, dass WP leider, leider mit absoluten Pfaden arbeitet. Warum ist das eigentlich so? Joomla nimmt relative Pfade, da entfÀllt der Search&Replace-Unsinn.
Danke! Das war prima und hat genau so geklappt wie beschrieben!