So geht es: WordPress Website auf HTTPS umstellen

So stellen Sie Ihre WordPress Website Schritt für Schritt auf eine sichere HTTPS Verschlüsselung um

HTTPS Verschlüsselung durch ein SSL-Zertifikat wird immer wichtiger und ist bei neuen Projekten nicht mehr optional, sondern notwendig. Doch wie stellt man eine bestehende WordPress Website auf HTTPS um? In diesem Beitrag zeigen wir Ihnen, wie eine Umstellung Schritt für Schritt funktioniert.

WordPress HTTPS
Durch den Zugriff über das HTTPS Protokoll wird die Verbindung zur WordPress Website verschlüsselt. Grafik: Fotolia / © bf87

Die Verschlüsselung der Kommunikation mit einer Website wird immer wichtiger. Es gibt einige Gründe eine Website auf HTTPS umzustellen. Hier einige davon:

  • Erhöhung der Sicherheit
  • Vertrauen schaffen
  • HTTPS als Ranking-Faktor

So stellen Sie WordPress auf HTTPS um

1. Das SSL-Zertifikat

Damit die Verschlüsselung der Verbindung stattfinden kann, wird ein SSL-Zertifikat benötigt. Je Nach Anbieter können da unterschiedliche Kosten entstehen. Gerade dann, wenn eine Validierung des Unternehmens erfolgen soll oder Versicherungssummen im Spiel sind. Für eine normale Website reicht jedoch im Grunde ein einfaches Zertifikat aus. Mittlerweile sind solche Zertifikate von Let’s Encrypt bei vielen Hoster gratis und per Klick einzurichten. Es gibt also keinen Grund mehr, die Website nicht schnellstmöglich umzustellen. Die Aktivierung und korrekte Einrichtung des Zertifikats ist der erste Schritt zur Umstellung und Voraussetzung für alle weiteren Schritte.

2. Das Backup

Bevor irgendwelche Änderungen an der Website vorgenommen werden, sollte unbedingt ein vollständiges und aktuelles Backup der Daten und der Datenbank durchgeführt werden. Für WordPress gibt es zahlreiche Plugins, die das erledigen.

Einige Backup-Plugins für WordPress:

3. WordPress Admin auf HTTPS  umstellen

Bevor Anpassungen an der Website gemacht werden, sollte man prüfen, ob das aktivierte Zertifikat auch wirklich funktioniert. Dafür kann man schon mal den WordPress Admin-Bereich auf HTTPS umstellen. Dies geschieht durch einen Eintrag in die Datei wp-config.php im WordPress-Root-Verzeichnis. Dort fügt man am Anfang folgenden Eintrag hinzu:

define('FORCE_SSL_ADMIN', true);

Durch diesen Eintrag werden alle Aufrufe des Admin-Bereichs automatisch auf das HTTP Protokoll umgeleitet. Sollte der Admin-Bereich jetzt nicht korrekt aufrufbar sein, besteht unter Umständen ein Problem mit dem Zertifikat. Im Normalfall ist ein erneuter Login nötig und es sollte neben der Adresszeile im Browser bereits das kleine grüne Schloss zu sehen sein.

WordPress Admin SSL

4. WordPress Website auf HTTPS  umstellen

Nun ist es an der Reihe, die Konfiguration von WordPress so anzupassen, dass die Installation von WordPress auf HTTPS umgestellt wird. Dazu meldet man sich im Admin-Bereich an und öffnet de Seite „Einstellungen“ › „Allgemein“.  Dort gibt für die Umstellung zwei relevante Felder:

  • WordPress-Adresse (URL)
  • Website-Adresse (URL)

Bei beiden Feldern muss das Protokoll von http:// auf https:// geändert werden.

WordPress Admin Einstellungen

Nach dem Speichern der Einstellungen ist die WordPress-Konfiguration auf HTTPS umgestellt. Allerdings müssen die Pfade innerhalb der Datenbank noch angepasst werden, damit alle Inhalte auf der Website auch entsprechend eingebunden werden.

4. Pfade in Datenbank suchen und ersetzen

Die Umstellung der Pfade in der WordPress Datenbank kann man per phpMyAdmin durchführen. Dazu sind jedoch mehrere MySQL-Abfragen/Queries nötig, was zusätzliches Hintergrundwissen erfordert. Wir empfehlen hingegen die Verwendung eines Plugins wie Better Search Replace für diesen Vorgang. Damit kann die gesamte Datenbank nach bestimmten Mustern durchsucht und die Treffer gleich ersetzt werden. Das Plugin verfügt zudem über einen Testlauf, mit dem man vorab prüfen kann, welche Treffer gefunden wurden.

Better Search and Replace

Hinweis: Es sollte beim Suchen und Ersetzen-Vorgang immer nach der vollständigen URL „http://www.meineurl.de“ gesucht werden und nicht nur nach „http“ oder „http://“, denn sonst werden auch eventuelle externe Links umgestellt und diese funktionieren dann nicht mehr korrekt, wenn die Zielseite kein aktiviertes Zertifikat hat. 

5. URL-Umleitungen von HTTP zu HTTPS

Damit die Website zukünftig nur noch über HTTPS aufzurufen ist, müssen HTTP Aufrufe global auf HTTPS mit 301 Weiterleitungen umgeleitet werden. Dies erfolgt in der Datei .htaccess im Root-Verzeichnis der Installation, indem man an den Anfang der Datei folgende HTTPS Rewrite Rules hinzufügt:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Dadurch werden alle HTTP Aufrufe automatisch mit dem passenden Code umgeleitet. Das sorgt auch dafür, dass kein Duplicate-Content durch den gleichen Inhalt unter unterschiedlichen URLS entsteht, denn beide Varianten gelten für Google & Co sonst als unterschiedliche Websites mit gleichem Inhalt.

6. Abschließende Arbeiten

Nun ist es wichtig, die URL Anpassungen auch bei allen notwendigen Diensten durchzuführen und die neue URL in der Google Search Console zu hinterlegen. Wer eine statische Sitemap verwendet, muss diese neu generieren, damit die URLS dort angepasst sind. Vorsicht ist auch geboten, wenn man Zugriffe über API Keys auf die alte HTTP Adresse beschränkt hat, dann müssten die Berechtigungen ebenfalls angepasst werden. Es ist zudem hilfreich, alle externen Links, die man selbst anpassen kann, anzupassen. Dies betrifft  zum Beispiel auch die Verlinkung von Facebook & Co.

6. Fehlerbehebung

Oftmals ist es so, dass eine Website trotz der erfolgreichen Umstellung vom Browser als nicht vollständig sicher eingestuft wird. Dann fehlt das grüne Schloss neben der Adresszeile. Dies wird meistens dadurch verursacht, dass Inhalte in die Website eingebunden sind, die nicht über HTTPS geladen werden. Immer wieder finden wir auch Verweise, die direkt in den Themes integriert sind. Das können zum Beispiel Bilder oder Grafiken sein, die über CSS Dateien oder Theme-Dateien integriert werden. Diese gilt es dann manuell anzupassen.

Tipp: Um herauszufinden, wieso die Verbindung nicht als sicher eingestuft wird, kann man die whynopadlock.com zu Hilfe nehmen, die nach einer Analyse genauere Informationen bereitstellt. Dies funktioniert aber immer nur für eine einzelne URL.

Weitere Fehler kann man durch durch SEO-Tools finden. Der Markt ist recht groß und die Kostenunterschiede ebenfalls. Hilfreiches Dektop-Tools sind der Screaming Frog SEO Spider, der in der kostenfreien Variante zwar begrenz ist, aber noch bis zu 500 Seiten crawlen kann oder das Visual SEO Studio.

Welche Erfahrung haben Sie mit der Umstellung Ihrer WordPress Website auf HTTPS gemacht?  Haben Sie vielleicht Anregungen oder Fragen? Schreiben Sie uns Ihre Meinung über unsere Kommentar-Funktion.

Die Umstellung einer Website auf HTTPS erfordert Sorgfalt und Hintergrundwissen. Wir empfehlen dies daher nur erfahrenen Personen mit entsprechendem Fachwissen. Wenn Sie Unterstützung oder Hilfe bei der Umstellung Ihrer WordPress-Website auf HTTPS benötigen, sprechen Sie uns einfach an. Wir helfen Ihnen gerne.

Zufrieden mit unserem Service oder unseren Artikeln?
» Bewerten Sie unsere Agentur doch schnell bei Google.

Das könnte Sie auch interessieren

  • Sichere HTTPS VerbindungDarum sollten Sie Ihre Website auf HTTPS umstellen Unternehmen sollten Ihre Website frühstmöglich auf HTTPS Verschlüsselung umstellen. Dafür gibt es gute Gründe - doch Vorsicht, dabei kann einiges schief gehen.
  • Foto: © Maksim Kabakou / Fotolia.comDie drei Todsünden im Bezug auf die WordPress Sicherheit Die Sicherheit der eigenen WordPress Website sollte jedem Unternehmen wichtig sein. Häufige Fehler sind auf eine oder mehrere der drei Todsünden im Bezug auf die Sicherheit von WordPress Websites zurückzuführen.
  • WordPressAnleitung zur Installation von WordPress Eine WordPress Installation ist schnell und einfach durchzuführen, wenn man alle benötigten Informationen zur Hand hat. Erfahren Sie hier, welche Daten das sind und wie Sie WordPress installieren können.

Tobias Karnetzke CEODer Autor: Tobias Karnetzke ist Mitinhaber der Internetagentur Karnetzke. Er ist seit 2004 selbständiger Webdesigner, Programmierer, SEO-Experte und Google zertifiziert. Agenturen im In- und Ausland vertrauen auf seine Erfahrung als Berater und WordPress-Spezialist. E-Mail: tk@karnetzke.de

2 Kommentare

  1. Walter B. Walser
    10.01.2018 at 11:44 ·

    Was eventuell noch zu erwähnen ist, dass das htttps-Protokoll Voraussetzung für HTTP/2 ist. Auch wenn längst nicht alle Hoster dieses neue Protokoll bereits anbieten, was sicher nur eine Frage der Zeit ist.

  2. Federico Sasso
    10.01.2018 at 13:18 ·

    Thank you Tobia for the kind mention of Visual SEO Studio (I’m the producer).

    Nice article (I had to read it through Google Translate, which did a surprisingly good job translating it to English).
    You correctly suggested in the „Abschließende Arbeiten“ to update all social links on FB and Co.
    You surely intended them implicitly, but I think it’s better remind also Google My Business profile, all destination URLs in your AdWords campaign, all e-mail templates, and – last but not least – all offline references: printed stationery/letterheads, brochures/flyers/depliants, business cards, etc..