WordPress auf HTTPS umstellen

WordPress auf HTTPS umstellen ist heute ein Kinderspiel und je nach Umfang der Seite in etwas einer Stunde erledigt. Die Vorteile liegen dabei auf der Hand. Wird eine WordPress-Seite mittels SSL verschlüsselt, erfolgt der Admin-Login ebenfalls verschlüsselt. Die Übertragung der Inhalte zum Besucher sind verschlüsselt und lassen sich nicht manipulieren. Gleichzeitig verbessern sich das SEO-Ranking des WordPress Blogs. Dieser Beitrag zeigt, wie ihr eure WordPress-Seite auf HTTPS umstellen könnt.

Anbieter von signierten SSL-Zertifikaten gibt es wie Sand am Meer. Die meisten Angebote sind dabei kostenpflichtig und zu teuer für kleine Blogs oder private Webseiten. Ende 2015 wurde das Projekt Let’s Encrypt ins Leben gerufen um Webseiten-Betreiber kostenlose Zertifikate auszustellen. Dabei ersetzt ein automatisierter Prozess die bisher komplexen manuellen Vorgänge bei der Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten für verschlüsselte Webseiten.

WordPress auf HTTPS umstellen

RandomBrick.de wurde im ersten Dezemberwochenende 2016 via Let’s Encrypt auf HTTPS umgestellt. Diese Anleitung erklärt, wie ihr euer WordPress auf HTTPS umstellen könnt. Dabei bezieht sich der Beitrag ausschließlich auf selbst gehostete WordPress-Seiten.

SSL-Zertifikat hinterlegen

Die meisten Webhoster bieten zwischenzeitlich eine automatisierte Integration von Let’s Encrypt an. Der Vorgang unterscheidet sich dabei von Hoster zu Hoster. In meinem Fall erfolgte die Beantragung und Einrichtung mit zwei Klicks und dauerte nur wenige Minuten. Die Informationen finden sich in der regel bei der Domain-Verwaltung.

Let's Encrypt bei All-Inkl
Let’s Encrypt bei All-Inkl.com (Bild: Screenshot).

HTTPS erzwingen

Über den Webhoster lässt sich die Verwendung von HTTPS erzwingen. Dazu muss für das SSL-Zertifikat HTTP Strict Transport Security (HSTS) aktiviert werden. Dieser Sicherheitsmechanismus schützt HTTPS-Verbindungen vor dem Aushebeln der Verbindungsverschlüsselung durch Downgrade-Attacken.

WordPress Dashboard

Im Dashboard von WordPress sind Änderungen für die HTTPS Umstellung notwendig. Unter Einstellungen -> Allgemein sind die WordPress-Adresse und die Website-Adresse auf HTTPS zu ändern. Damit werden zukünftige Verlinkungen innerhalb der Webseite sowie Bilder ausschließlich als HTTPS eingefügt.

WordPress auf HTTPS umstellen
WordPress auf HTTPS umstellen (Bild: Screenshot WordPress).

WordPress Bilder auf HTTPS ändern

Wird eine Seite via HTTPS aufgerufen, läd diese Seite weitere Inhalte nach. Dazu gehören gehören auch Bilder. Wurden die Bilder in alten Beiträgen via HTTP eingebunden, führt das zu einer verschlüsselten HTTPS-Seite, die nicht verschlüsselte Inhalte nachläd. Der Browser zeigt dem Besucher eine Warnung an. Das wollen wir vermeiden.

Solltet ihr bei der Einbindung von Bildern auf relative URLs gesetzt haben, kann dieser Abschnitt übersprungen werden. Relative URLs sind sehen wie folgt aus:

  • <img src=“//randombrick.de/bild.jpg“ alt=“Ein Bild“>
  • <img src=“/bilder/bild.jpg“ alt=“Ein Bild“>

Diese URLs sind absolut in Ordnung und laden einfach jedes Protokol. Sollten solche URLs im Einsatz sein, sind keine Änderungen notwendig.

Sollten Bilder jedoch mit http://www.randombrick.de/ beginnen, müssen diese auf https geändert werden. Für das nachfolgende Vorgehen solltet ihr unbedingt eure WordPress-Datenbank vorher sichern. Besser wäre ein Testsystem, auf dem der Erfolg der Umsetzung vorher getestet werden kann. Wie sich die WordPress-Datenbank sichern lässt, lässt sich im Beitrag zum WordPress Hoster-Umzug nachlesen.

Mit folgenden SLQ-Befehlen lassen sich bestehende Bilder von HTTP auf HTTPS umschreiben. Wichtig ist dabei, dass ihr vorher in eurer Datenbank prüft, dass die Tabelle auch wirklich wp_posts heißt. Das wp_ lässt sich bei der Einrichtung von WordPress ändern.

UPDATE wp_posts
SET post_content = ( Replace (post_content, 'src="http://', 'src="https://') )
WHERE Instr(post_content, 'jpeg') > 0
OR Instr(post_content, 'jpg') > 0
OR Instr(post_content, 'gif') > 0
OR Instr(post_content, 'png') > 0;

Der geiche SQL-Befehl für Verlinkungen mit einfachen Anführungszeichen:

UPDATE wp_posts
SET post_content = ( Replace (post_content, "src='http://", "src='https://") )
WHERE Instr(post_content, 'jpeg') > 0
OR Instr(post_content, 'jpg') > 0
OR Instr(post_content, 'gif') > 0
OR Instr(post_content, 'png') > 0;

Damit sollten alle Bilder via HTTPS geladen und keine Warnmeldungen vom Browser an den Besucher ausgegeben werden.

Werbung auf HTTPS umstellen

Das Problem bei Bildern gilt auch für Werbung. Wenn Ihr Werbung auf eurem WordPress-Blog schaltet, müsst ihr prüfen, dass die geladenen Inhalte via HTTPS zur Verfügung stehen. Manche Browser blenden unsichere Inhalte auf verschlüsselten Webseiten erst nach Zustimmung des Benutzers ein. Das heißt, die Besucher würden keine Werbung angezeigt bekommen.

Google Search Console

In der Google Search Console muss eine neue Property für die HTTPS-Version der Seite angelegt werden. Auch die Sitemap ist neu zu erstellen und bei der Google Search Console einzureichen. Habt ihr bisher in der Search Console ein disavow-File verwendet, sollte dieses in den neuen Account für die HTTPS-Version der Seite transferiert werden. Das gilt auch für alle anderen Einstellungen.

Weiteres zur Umstellung von WordPress auf HTTPS

Nicht alle der nachfolgenden Informationen mögen für eure WordPress-Seite relevant sein. Diese dienen lediglich als Gedankenstütze:

  • Alle alten URLs sollten mit einem 301-Redirect auf die HTTPS-Variante weitergeleitet werden (das funktioniert zum Beispiel per htaccess).
  • Auch Canonical Tags sollten in die SSL-Variante umgeschrieben werden.
  • Die robots.txt Datei sollte via HTTPS erreichbar sein.
  • Es sollte sichergestellt werden, dass alle internen und externen Ressourcen (Bilder, Scripte, CSS etc.) über HTTPS laden werden. Ansonsten sieht der Besucher im Browser eine abschreckende Warnung.

Um sicherzustellen, ob alle externen Ressourcen auf HTTPS umgestellt wurden, klickt euch durch die einzelne Seiten eurer Webseite und prüft ob euer Browser eine Warnung ausgibt. Sollte das der Fall sein, schaut via Rechtsklick in den Seitenquelltext und identifiziert die unsichere Quelle.

Persönliche Meinung

WordPress auf HTTPS umstellen ist nicht schwer. Mit einem kostenlosen SSL-Zertifikat von Let’s Encrypt und der automatisierten Einrichtung über den Hoster ist das Schwierigste in fünf Minuten erledigt. Aufwendiger ist das Aufspüren von unsicheren externen Ressourcen die innerhalb der verschlüsselten Webseite geladen werden. Diese müssen im schlimmsten Fall manuell umgestellt werden. Anschließend solltet ihr zwingend die neue verschlüsselte Webseite bei den einzelnen Suchmaschinen hinterlegen.

Ein Gedanke zu „WordPress auf HTTPS umstellen

Kommentar verfassen