Wenn du dein WordPress auf SSL umstellen möchtest, bist du hier richtig. Wir zeigen dir in 3 einfachen Schritten wie du WordPress auf https umstellen kannst. Hast du bereits ein SSL-Zertfikat erworben und eingerichtet, dann kannst du den ersten Absatz dieser Anleitung überspringen und direkt mit Schritt 1 beginnen. Hast du noch kein SSL-Zertifikat, dann lies dir unbedingt den ersten Absatz aufmerksam durch und entscheide danach welches SSL-Zertfikat für dich und deinen Einsatzzweck das Richtige ist.
SSL-Zertifikat bestellen / einrichten
Sicherlich liest du gerade diese Anleitung zum SSL auf WordPress einrichten, da dir diese „Fehlermeldung“ angezeigt wurde:
Diese Verbindung ist nicht sicher. Ihre Zugangsdaten könnten auf dieser Seite in falsche Hände geraten.
Damit du WordPress auf SSL umstellen kannst, benötigst du erst ein SSL-Zertifikat. Dieses kannst du bei deinem Hoster oder aber auch bei jedem anderen Anbieter im Internet bestellen. Es gibt Anbieter, die sich auf den Verkauf von SSL-Zertifikaten spezialisiert haben und deshalb unter Umständen sehr viel günstigere Preise als dein Hoster anbieten können. Um das SSL-Zertifikat zu installieren, musst du allerdings Zugriff auf deinen Server/Webspace haben und wissen was du tust. Du solltest also im Vorfeld mit deinem Hoster sprechen und abwägen, ob sich der Aufwand für dich lohnt oder ob du es nicht lieber direkt über deinen Hoster mit einem Klick abwickelst. Häufig bieten Webhoster sogar ein kostenloses SSL-Zertifikat für WordPress wie z.B. das „Let’s Encrypt“-Zertifikat an.
Was du zum SSL-Zertifikat noch wissen solltest: Man unterscheidet zwischen einem Domain-validierten SSL-Zertifikat, das für einen normalen Blog absolut ausreichend ist und einem Adress-validierten SSL-Zertfikat, bei dem neben der Domain zusätzlich noch die Adresse des Inhabers überprüft wird (es gibt noch weitere Zertifikate aber wir beschränken uns hier auf die beiden Gängigsten). Sobald du etwas auf deiner Website verkaufst, also z.B. einen Online Shop mit WooCommerce betreibst, empfiehlt sich das Adress-validierte Zertifikat, da es bei deinem Besucher und potentiellen Kunden für zusätzliches Vertrauen sorgen wird. Für alle anderen Fälle in denen du „nur“ Inhalte veröffentlichst, gilt: Das Domain-validierte Zertifikat reicht in der Regel aus.
Ist dein SSL-Zertifikat eingerichtet und kannst du deine Domain bereits über „https://www.deine-domain.tld“ im Browser aufrufen, dann kannst du mit der 3-Schritte-Anleitung zur WordPress SSL-Umstellung beginnen.
Hinweis: Wie immer gilt bevor du mit dem „WordPress auf https umstellen“ anfängst, erstelle unbedingt ein Backup auf das du bei Problemen zurückgreifen kannst.
Schritt 1: WordPress Einstellungen ändern
Unter „Einstellungen -> Allgemein“ änderst du das Formularfeld für „WordPress-Adresse (URL)“ und „Website-Adresse (URL)“ von „http://www.deine-domain.tld“ auf „https://www.deine-domain.tld“ ab. Anstatt „www.deine-domain.tld“ verwendest du natürlich deine eigentliche Domain.
Im Anschluss kontrollierst du unter „Einstellungen -> Permalinks“ ob deine dort abgebildete Permalink auch korrekt das https:// vorangestellt hat. Sollte hier noch http:// erscheinen, dann aktualisiere die Einstellungen der Permalinks über den Button „Änderungen übernehmen“ ohne etwas an den Einstellungen zu ändern.
Hast du die WordPress Einstellungen auf https:// geändert, dann kannst du mit Schritt 2 weitermachen.
Schritt 2: Alte URLs suchen & ersetzen
Nachdem du vor der SSL-Umstellung deine WordPress-Website unter http:// betrieben hast und demzufolge alle Artikel, Beiträge und Bilder auch als http:// Struktur in der Datenbank abgelegt wurden, musst du noch diese Pfade suchen und ersetzen. Da dies mitunter bei vielen Inhalten sehr lange dauern würde, empfiehlt es sich hierzu das Plugin „Better search & replace“ zu verwenden, das dir diese Aufgabe abnehmen und die Suchstrings automatisch ersetzen wird. Das Plugin kannst du über das WordPress Repository kostenlos herunterladen und installieren.
Gehe dazu wie folgt vor:
- Nachdem du das Plugin „Better search & replace“ installiert und aktiviert hast, kannst du dieses in deinem WP-Admin-Bereich über den Reiter „Werkzeuge -> Better Search Replace“ aufrufen.
- In das Formularfeld „Suchen nach“ trägst du „http://www.deinedomain.tld“ und im Formularfeld „Ersetzen durch“ trägst du „https://www.deinedomain.tld“ ein. Natürlich ersetzt du vorher „deinedomain.tld“ durch deine korrekte Domain.
- Wähle im Anschluss noch alle deine WordPress Tabellen aus. Mit der SHIFT Taste kannst du alle auf einmal markieren.
- Wenn du dir sicher bist, dass alles stimmt, entferne den Haken bei „Testlauf“ und klicke auf den Button „Suchen/Ersetzen starten“.
Wichtig: Lege vorher auf jedenfall ein Backup an. Sollte etwas schief laufen, kannst du deine WordPress Installation jederzeit auf diesen Stand zurücksetzen.
Schritt 3: Alte URLs per 301 umleiten
Damit in Zukunft nur noch die neuen Urls aufgerufen werden, auch wenn jemand über die Suche auf deine Seite gelangt oder einem alten Link folgt, musst du noch jeden einzelnen Link umleiten. Das machst du mit einer sogenannten 301-Weiterleitung über deine „.htaccess“-Datei. Natürlich gibt es auch hier wieder eine Möglichkeit das automatisiert für alle deine URLs zu machen, hierzu öffnest du die .htacces Datei im Root deiner WordPress Installation.
Am Anfang der .htaccess Datei trägst du Folgendes ein:
RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Anschließend speicherst du die .htaccess Datei wieder und lädst diese wieder auf deinen Webspace. Hast du diese 3 Schritt erfolgreich absolviert, dann bist du eigentlich schon fertig. Aber wie du sicherlich weißt „Vertrauen ist gut, Kontrolle ist besser“, deswegen kontrolliere unbedingt noch dein Ergebnis.
Ergebnis kontrollieren
Prüfe alle Seiten. Wenn deine WordPress Website sehr viele Seiten beinhaltet, kannst du entweder über die WP-Admin die einzelnen Dateien aufrufen, damit du nichts vergisst oder du rufst die Google-Suche auf und lässt dir mit dem Suchbefehl: „site:deine-domain.tld“ alle Seiten ausgeben, die Google von dir im Index hat. Die so ermittelten Seiten musst du einzeln aufrufen und überprüfen ob auch überall das „grüne Schloss“ in der Browserleiste angezeigt wird. Ist das nicht der Fall dann hast du noch sogenannten „mixed content“, also unsichere Inhalte.
So findest du „mixed content“:
- Klicke mit der rechten Maustaste in dein Browserfenster
- Im Firefox Browser klicke z.B. auf „Seitenquelltext anzeigen“ (in anderen Browsern heisst es ähnlich)
- Über „Strg“ + „F“ startest du die Suche
- Gebe dort „http://www.“ ein, so findest du alle „Übeltäter“
Mixed Content solltest du unbedingt vermeiden, denn in einigen Browsern wird zwar nur ein dezenter Hinweis darauf angezeigt, aber manche Browser suggerieren dem User sofort, dass eine echte Gefahr von dieser Website ausgeht. Das Ergebnis wird also sein, dass du deinen Besucher verlierst.
Willst du absolut auf Nummer sicher gehen, kannst du deine Website noch über einen sogenannten „SSL Server Test“ überprüfen. Das kannst du z.B. über SSL Labs machen.
Brauchst du Hilfe bei der Umstellung?
Brauchst du an irgendeiner Stelle Hilfe oder ist dir die WordPress Umstellung auf SSL selbst zu kompliziert und zeitraubend? Dein WordPress Experte von wpexpert hilft dir schnell und einfach weiter. Fordere dazu einfach kostenlos & unverbindlich einen Kostenplan an und wir helfen dir in der Regel noch am selben Tag.
Lars meint
guter Artikel… bin mit Eurer Anleitung auch in anderen Systemen auf die Nadel im Heuhaufen gestoßen.
Marc meint
Sehr gute Anleitung auch für Anfänger wie mich geeignet. Konnte Step by Step Das Problem lösen!
Danke
Luca Wolf meint
Vielen Dank für den hilfreichen Post! Ausgezeichnet
Tipp.