Der Webhoster All-Inkl.com bietet kostenlose Let’s Encrypt SSL-Zertifikate an. In diesem Tutorial zeige ich dir Schritt für Schritt, wie du dein SSL-Zertifikat unter WordPress korrekt und suchmaschinenfreundlich einrichtest.

1. Gehe ins → KAS von All-Inkl.com.
2. Wähle in der Sidebar links entweder [Domain] oder [Subdomain] aus – je nachdem, was du verschlüsseln möchtest. Diese Anleitung geht weiter mit der SSL-Verschlüsselung für ganze Domains, das Prinzip ist für einzelne Subdomains aber gleich.
   

   All-Inkl.com: [Domains] auswählen für die Let’s Encrypt-SSL-Zertifizierung

3. Klicke bei der Domain, die du verschlüsseln möchtest, auf den [Bearbeiten]-Button unterhalb der Aktionen:
   

   All-Inkl.com Let’s Encrypt Zertifizierung vornehmen – Domain bearbeiten

4. Wähle nun bei SSL-Schutz den Bearbeiten-Link aus:
   

   All-Inkl.com Let’s Encrypt Zertifizierung vornehmen – SSL-Schutz aktivieren

5. Wähle hier den [Let’s Encrypt]-Reiter aus:
   

   All-Inkl.com Let’s Encrypt Zertifizierung vornehmen – Let’s Encrypt Reiter auswählen

6. Akzeptiere den Haftungsausschuss und klicke auf den Button . Dieses SSL-Zertifikat von Let’s Encrypt ist kostenlos und wird auch kostenfrei von All-Inkl.com angeboten.
7. Nach dem Klick musst du nun ein paar Sekunden bzw. Minuten warten. Es erscheint entsprechend der Hinweis:
   Das Zertifikat wurde bearbeitet. Es wird einige Minuten dauern, bis die Änderungen aktiv werden.

Das SSL-Zertifikat wird sehr schnell aktiv, teilweise innerhalb von wenigen Sekunden bis Minuten. Von dem her kannst du deine Website direkt mal unter der HTTPS-Version aufrufen um zu testen, ob es bereits funktioniert. Bei mir (https://nextlevelseo.de/) hat es weniger als 20 Sekunden gedauert, bis das Zertifikat aktiviert wurde.

Zum jetzigen Zeitpunkt hast du deine Website sowohl unter der verschlüsselten https://-Version als auch unter der unverschlüsselten http://-Version online. Jetzt solltest du noch ein paar Einstellungen unter WordPress vornehmen:

Einstellungen unter WordPress für Let’s Encrypt

Hast du Let’s Encrypt bei All-Inkl.com erfolgreich aktiviert gilt es, WordPress selbst noch umzustellen. Dazu gehst du wie folgt vor:

1. Gehe im Dashboard auf Einstellungen → Allgemein
   

   WordPress auf HTTPS/SSL umstellen via Einstellungen –> Allgemein

2. Ändere hier die WordPress-Adresse (URL) und Website-Adresse (URL) von http auf https.
   Wichtiger Hinweis

   Achte darauf, dass du quasi nur den Buchstaben „s“ nach http hinzufügst. Änderst du hier anderweitig die URL kann das im schlimmsten Fall dazu führen, dass deine Seite nicht mehr aufrufbar ist.
3. Nach dem Speichern wirst du auf die Anmeldemaske von WordPress geleitet. Das ist auch richtig, weil du dich unter der neuen verschlüsselten Seite jetzt erstmalig anmelden musst. Du kannst den Login aber ganz normal behandeln wie deinen vorherigen Login unter HTTP.
   

   WordPress Login nach der Umstellung auf HTTPS/SSL

Gratulation. Deine WordPress-Seite ist jetzt standardmäßig unter einer Let’s Encrypt-Version verfügbar und damit verschlüsselt für deine Besucher. 🙂

Duplicate Content umgehen – Weiterleitung per .htaccess von HTTP auf HTTPS einstellen (301 Redirect)

Im Normalfall ist deine Seite jetzt noch immer sowohl unter HTTP als auch HTTPS erreichbar. Das ist aber nicht gut für die Suchmaschinen. Google und andere Suchmaschinen bevorzugen es, nur eine Version deiner Website zu haben. So kannst du diesen Duplicate Content mit einer 301 Weiterleitung vermeiden:

1. Öffne dein FTP-Programm wie Filezilla, mit dem du dein WordPress eingerichtet hast.
2. Öffne direkt im Root-Verzeichnis (Startseitenverzeichnis) die Datei „.htaccess“ mit einem Texteditor
   

   Filezilla: .htaccess-Datei öffnen

   Hinweis für Windows-Nutzer: Microsoft Word geht nicht. Du musst es mit einem Texteditor wie eben dem „Editor“ unter Windows öffnen.
   Hinweis 2: Sollte die Datei nicht vorhanden sein, erstelle sie einfach im FTP-Programm (unter Filezilla: Rechtsklick → Neue Datei erstellen). Achte darauf, dass die Datei exakt „.htaccess“ heißt.

3. Füge folgende drei Code-Zeilen am Anfang der Datei ein, um einen 301 Redirect zu erzeugen (also eine suchmaschinenfreundliche 301-Weiterleitung):
   RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

   .htaccess HTTP zu HTTPS-Weiterleitung unter WordPress

   Diese drei Zeilen erzwingen den Aufruf deiner Website unter der verschlüsselten HTTPS-Version via 301 Weiterleitung, egal welche Unterseite gerade aufgerufen wird. Der Code funktioniert übrigens nicht nur unter WordPress, sondern auf allen Websites, die mit Apache-Servern arbeiten.

   Wirklich NUR für Fortgeschrittene und die die absolut wissen, was sie tun

   Du kannst gegebenfalls Plugin-generierten Code oder PHP-versionsbasierten Code in der .htaccess überspringen.
4. Lade die Datei anschließend wieder ins Root-Verzeichnis hoch.

Das müsste es gewesen sein. Deine Seite sollte jetzt nur noch unter der HTTPS/SSL-Version aufrufbar sein. Wenn dem so ist, freue dich. 🙂

Bonus-Zusätze für Suchmaschinenoptimierer

OK, du hast deine WordPress-Website verschlüsselt. Aber denke gerade jetzt daran:

1. Die verschlüsselte Seite in der Google Search Console zu hinterlegen
   1. Die XML-Sitemap neu einzureichen
   2. Einen Crawl wie durch Google anzustoßen und deine Seite und verlinkte Seiten neu untersuchen zu lassen
   3. (Ein Umzug von HTTP auf HTTPS ist in der Search Console noch nicht möglich. Von dem her ist dieser Punkt – noch – leer.)
2. Google Analytics Konto aktualisieren (dort hinterlegte Domain von http:// auf https:// umstellen) – Danke für den Hinweis in den Kommentaren von David)
3. Cache leeren
   Wenn du ein Cache-Plugin wie WP Super Cache verwendest, solltest du auf jeden Fall auch dort den Cache leeren. Alte Seiten könnten sonst URLs und Links zu HTTP-Versionen beinhalten, auf die du ja nicht mehr direkt verlinken willst. So geht weniger Linkpower verloren.
4. Aktualisiere alle Links in den Profilen deiner Website auf anderen Websites
   • Facebook
   • Twitter
   • Google
   • booking.com
   • whatever…

   und aktualisiere dort vor allem die URL zur Startseite.

5. (Aufgebaute) Links auf deine Seite sollten angepasst werden. Thema Linkbuilding/Linkearning…

Ansonsten war es das. Die HTTPS-Verschlüsselung für deine WordPress-Seite bei All-Inkl.com sollte jetzt einwandfrei funktionieren und die Weiterleitungen sollten ebenfalls sowohl funktionieren als auch für Suchmaschinen wie Google logisch sein. So werden deine Besucher ab jetzt auf die verschlüsselte Seite wie eben auch die SEO-Power der bisherigen URLs korrekt weitergeleitet.

Have Fun. 🙂

Wenn du deine WordPress-Website auf SSL umstellen möchtest, gibt es im Prinzip nur ein paar Schritte, die du beachten und umsetzen musst:

1. SSL-Zertifikat erstellen. Achte darauf, ob bzw. welche Subdomains das Zertifikat abdeckt. Nehmen wir an, deine Domain heißt example.com, dann möchtest du, dass sie unter https://example.com erreichbar ist und die Adressen http://example.com, https://www.example.com und http://www.example.com entsprechend auf die erste URL weitergeleitet werden. Manche Webhoster haben dafür eine Einstellung im Kundenmenü („automatisch auf https umleiten“), bei anderen musst du eine Weiterleitungsregel in der Server-Konfigurationsdatei .htaccess einrichten.
   Viele Webhoster bieten inzwischen die Möglichkeit, von Let’s Encrypt kostenlos zur Verfügung gestellte SSL-Zertifikate zu nutzen. Das spart Geld und reicht völlig aus, wenn das SSL-Zertifikat nur für eine verschlüsselte Übertragung benötigt wird und nicht zusätzlich den Website-Inhaber verifizieren soll, wie etwa bei Banken oder Versicherungen.
2. Melde dich im Backend deiner WordPress-Installation wie bisher an und gehe in Einstellungen > Allgemein. Dort änderst du sowohl für die WordPress-URL als auch für die Website-URL das Schema (also https:// statt http://). Die Einträge werden über den Button „Aktualisieren“ übernommen.
   (Falls du bei der Eingabe einen Fehler machst [sowas kommt vor] und dich dadurch versehentlich aussperrst, kannst du dir wieder Zugang verschaffen, in dem du in der wp-config.php mit einem Programmier-Editor – nicht Notepad oder Textedit – folgendes einträgst: define( 'RELOCATE', true );. Sobald du dann den Eintrag wieder korrigiert hast, solltest du diese Zeile wieder löschen.)
3. Danach musst du dich erneut im Backend anmelden, weil der Anmelde-Cookie für die URL mit http gilt. Bitte verwende jetzt für die Anmeldung https://example.com/wp-login.php (natürlich mit deiner Domain).
4. Nun installierst du das Plugin Better Search Replace. Nach Aktivierung des Plugins findest du das Menü in Werkzeuge. Nun ersetzt du in allen Tabellen (alle auswählen!) http://example mit https://example. Achte darauf, das Häkchen bei „Testlauf“ zu deaktivieren, weil sonst keine Änderungen vorgenommen werden.
5. In der wp-config.php trägst du oberhalb von /* That's all, stop editing! Happy blogging. */ noch folgendes ein:
   1 2 3 4

   define(‚FORCE_SSL_ADMIN‘, true); define(‚FORCE_SSL_LOGIN‘, true);

   Damit wird gewährleistet, dass Anwendung und Nutzung des Backend nur per https erfolgt, damit deine Zugangsdaten und vertrauliche Informationen nicht im Klartext übertragen werden.

Nach der Umstellung solltest du deine Website ausgiebig testen, idealerweise im privaten Modus des Browsers (in Firefox: Datei > Neues privates Fenster), damit dir dein Browser-Cache nicht ein falsches Ergebnis vorgaukelt. Mit Rechtsklick auf die Webseite > (Element) Untersuchen kannst du auch die Entwickler-Tools deines Browsers öffnen und im Tab „Konsole“ nach möglichen Fehlermeldungen suchen.

Aus Sicherheitsgründen werden von Webseiten keine gemischten Inhalte (ein Teil der Dateien verschlüsselt, ein Teil unverschlüsselt) übertragen – die Vertraulichkeit der übertragenen Informationen wäre sonst nicht gewährleistet. Es kann aber vorkommen, dass durch einen Programmierfehler z.B. ein Font nicht per https geladen werden soll, was dann zu einem Fehler führt. Hier musst du sorgfältig prüfen, ob alles klappt und dich sonst ggf. mit dem Theme-/Plugin-Entwickler in Verbindung setzen.

Wenn alles korrekt läuft: herzlichen Glückwunsch. Du brauchst jetzt auch kein zusätzliches Plugin mehr.