Was sind HTTPS und SSL und warum brauche ich das?
Durch eine HTTPS-Verbindung zwischen dem Client (Nutzer) und dem Server (Website) wird die Übertragung der Daten verschlüsselt und zudem die Identität des Servers bestätigt. Das bedeutet, dass bei dem Aufruf einer Website zunächst ein Zertifikat vom Server an den Client geschickt wird, um die Echtheit des Servers zu bestätigen. Hat der Client dieses Zertifikat überprüft, wird von ihm ein einzigartiger Sicherheitsschlüssel (bestehend aus Buchstaben, Zahlen und Zeichen) an den Server geschickt. Erst dadurch kann die Verschlüsselung statt finden. Für diese Verschlüsselung wird das Internetprotokoll SSL genutzt, wodurch die Daten nicht durch Dritte eingesehen werden können.
Puh… Ich habe versucht, das ganze zu vereinfachen so gut es geht, aber leider ist es nach wie vor ein Haufen technisches Geschwafel oder? 😀
Pass auf, nutzen wir mal wieder die Macht einer Metapher:
Du möchtest (aus irgendeinem Grund) mit einer Person, die du nie getroffen hast, Briefe schreiben. Oh ja, Briefe… Oldschool. Du lässt dir nun erst mal von dieser Person den Personalausweis vorlegen, um zu sehen, ob es wirklich die Person ist, für die sie sich ausgibt. Hast du das überprüft, schickst du einen Brief mit dem Geheimcode, den ihr nutzen werdet. So etwas im Stile wie Buchstabe A bedeutet I, ein R ist eigentlich ein W und so weiter. Ab sofort nutzt ihr diesen Geheimcode, und selbst wenn jemand eure Briefe abfängt, kann er eure Nachrichten nicht verstehen.
Die Vorteile einer verschlüsselten Verbindung liegen klar auf der Hand. Sollten deine Leser dir über ein Kontaktformular, Opt-In Formular oder irgendeine andere Möglichkeit persönliche Daten schicken, können diese nicht von Dritten eingesehen werden. Ein weiteres, großes Plus ist die Authentifizierung des Servers. Dadurch kann festgestellt werden, ob du wirklich auf der von dir gewünschten Seite gelandet bist oder ob es eine gefälschte Seite (sogenanntes Phishing) ist.
Dir ist zudem bestimmt beim Besuchen mancher Websites aufgefallen, dass in der URL Leiste deines Browsers ein grünes Schloss erscheint. Genau das wollen wir auch auf deinem Blog erreichen. Es erscheint, sobald eine Seite über HTTPS aufgerufen wird.
Google hat zudem vor einiger Zeit zugegeben, dass die Verschlüsslung einer Website mit SSL ein Rankingfaktor ist. Und nein, du springst natürlich nicht mehrere Plätze in den Suchergebnissen nach vorne, nur weil du deinen Blog mit HTTPS ausstattest 😉
Schritt für Schritt zur WordPress HTTPS Verschlüsselung
Bevor wir nun mit der Umstellung beginnen, musst du dir unbedingt ein Backup deines Blogs anlegen. Wir werden später Änderungen an der Datenbank vornehmen, bei denen so manches schief gehen könnte.
Keine Sorge, wenn du alles so machst, wie ich es hier beschreibe, wird nichts schief gehen 🙂
SSL Zertifikat einrichten
Zunächst einmal musst du dir ein SSL Zertifikat besorgen. Normalerweise kosten diese Zertifikate eine jährliche Gebühr ab etwa 10€. Die Firma Let’s Encrypt bietet seit einiger Zeit kostenlose SSL Zertifikate an. Wenn du Kunde bei all-inkl bist, kannst du dich glücklich schätzen. Momentan bietet all-inkl als einziger deutscher Anbieter eine direkte Integration des Zertifikats an.
Let’s Encrypt SSL Zertifikat mit all-inkl
Klicke auf das erste Icon auf der rechten Seite um die Domain zu bearbeiten.
Logge dich in das all-inkl KAS ein und klicke im Menü auf „Domain“. Anschließend musst du auf das bearbeiten Icon auf der rechten Seite der zu verschlüsselnden Domain klicken.
Klicke auf bearbeiten in der markierten Zeile.
Danach findest du dich auf der Einstellungsseite für diese Domain wieder. Hier gibt es den Punkt „SSL Schutz“, über den du die weiteren SSL Einstellungen vornimmst. Ich habe dir diesen Punkt in dem Screenshot markiert.
Im Anschluss musst du nur noch auf den Reiter „Let’s Encrypt“ klicken, und dem vorgegebenen Dialog folgen.
SSL Zertifikat bei anderen Hostern einrichten
Jeder Hoster hat seinen eigenen Vorgang, um ein SSL Zertifikat einzurichten. Jeden hier zu erläutern, würde den Rahmen sprengen. Glücklicherweise stellen die Hoster aber in den meisten Fällen eine ausführliche Anleitung zur Verfügung, wie die Einrichtung funktioniert. Wenn das nicht der Fall ist oder dir die Anleitung nicht klar genug ist, kannst du dich auch immer an den Support wenden.
- SSL-Zertifikat bei 1und1 einrichten
- SSL-Zertifikat bei Alfahosting einrichten
- SSL-Zertifikat bei Domainfactory einrichten
- SSL-Zertifikat bei Hosteurope einrichten
- SSL-Zertifikat bei Strato einrichten
WordPress URL umstellen
Ändere die beiden Adressen auf https:// statt wie bisher http://
So, ein wichtiger Teil ist nun schon erledigt. Als nächstes musst du deinem WordPress Blog mitteilen, dass er nun nicht mehr über HTTP sondern über HTTPS aufgerufen wird. Das geht ganz einfach, indem du unter „Einstellungen“ auf „Allgemein“ klickst.
Dort findest du die „WordPress-Adresse“ und „Website-Adresse“. Diese sind jetzt normalerweise noch mit http:// eingetragen. Genau das musst du jetzt auf https:// ändern.
Je nachdem, bei welchem Hoster du bist und wie der Server dort konfiguriert ist, musst du noch eine kleine Zeile Code in deine wp-config.php Datei einfügen. Du findest diese in deinem WordPress Hauptverzeichnis. Logge dich also via FTP auf deinem Webserver ein und öffne die wp-config.php. Dort trägst du nun die folgende Zeile ein:
- define( ‚WP_CONTENT_URL‘, ‚https://deine webseite/wp-content‘ );
In manchen Fällen ist diese Zeile bereits vorhanden. Wenn das bei dir der Fall ist, musst du überprüfen, ob in der URL wirklich https:// statt http:// hinterlegt ist.
HTTP Aufrufe auf HTTPS umleiten
Als nächstes müssen wir uns darum kümmern, dass Backlinks auf deine Seite und auch andere Aufrufe über http auf die neue https Variante deines Blogs umgeleitet werden. Das können wir ganz einfach mithilfe der .htaccess Datei machen. Du findest diese in dem Hauptverzeichnis deiner WordPress Installation.
Öffne also deine .htaccess Datei und füge die folgenden Zeilen ein:
- RewriteEngine On
- RewriteCond %{HTTPS} !=on
- RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Dadurch werden automatisch alle Aufrufe deiner Seite über http://… auf https://… umgeleitet.
Alte Pfade in der Datenbank aktualisieren
Wir kommen nun zu einem Schritt, der deine Seite komplett auseinandernehmen kann. Lege also unbedingt ein Backup deiner Inhalte und der Datenbank an!
Jetzt werden alle alten Pfade in deiner Datenbank durch die neuen Pfade ersetzt. Hierfür gibt es mehrere Möglichkeiten. Am einfachsten und mit dem kleinsten Fehlerrisiko funktioniert das mit einem Plugin, deshalb stelle ich dir diese Variante vor.
Datenbankpfade mit Better Search and Replace
Dashboard im Better Search and Replace Plugin
Das kostenlose WordPress Plugin Better Search and Replace macht dir das Verändern der alten Datenbankpfade denkbar einfach. Nachdem du es installiert hast, findest du es unter dem Menüpunkt „Werkzeuge“ -> „Better Search Replace“.
Die Bedienung ist super schnell erklärt:
- in das Feld „Suchen nach“ gibst du den alten URL Pfad ein (beispielsweise https://wp-ninjas.de)
- bei „Ersetzen durch“ trägst du das ganze mit dem neuen Pfad ein (beispielsweise https://wp-ninjas.de)
- wähle in der Tabellenauswahl alle Tabellen aus
- aktiviere den Haken bei „Testlauf?“
Ergebnis nach dem Testlauf
Jetzt wird das Plugin deine Datenbank zunächst einmal nach dem in Schritt 2 eingegebenen Pfad, ohne diesen zu verändern. Daraufhin wird dir ein Ergebnis angezeigt, wie viele Tabellenzeilen mit diesem Pfad gefunden wurden.
Jetzt deaktivierst du den Haken bei „Testlauf?“ und startest das Suchen und Ersetzen erneut. Anschließend sind alle Pfade in deiner Datenbank auf den neuen Pfad umgestellt.
Seite prüfen und unsichere Inhalte korrigieren
So, sind deine Pfade angepasst und so gut wie alle Elemente dürfte WordPress jetzt über HTTPS abrufen. Es wird möglicherweise aber noch einige Pfade geben, die nicht durch die bisherigen Maßnahmen angepasst wurden. Beispielsweise sind das URLs, die du manuell in einem Plugin eingegeben hast.
Die verschlüsselte Verbindung wird in der Adressleiste mit einem grünen Schloss angezeigt (Chrome)
Zunächst aber überprüfst du mal deinen Blog, ob er denn schon sicher abgerufen wird oder ob es noch unsichere Inhalte gibt. Hierzu rufst du ihn einfach auf und überprüfst in der Adressleiste deines Browsers, ob das grüne Schloss erscheint, oder ob es von einem gelben Ausrufezeichen verdeckt, oder sogar gar nichts von beidem angezeigt wird.
Wenn bei dir bereits das grüne Schloss erscheint, musst du nichts weiter tun. Alle deine Inhalte werden in diesem Fall verschlüsselt übertragen. Solltest du allerdings kein Schloss vorfinden oder auch ein gelbes Dreieck, musst du die nicht verschlüsselten Inhalte finden und korrigieren.
Hierfür nutzen wir eine in Firefox und Chrome integrierte Funktion, die sich „Console“ nennt. Um diese zu aktivieren, musst du irgendwo auf deinem Blog einen Rechtsklick machen, und daraufhin auf „Element untersuchen“ (Firefox) bzw. „Untersuchen“ (Chrome) klicken. Es öffnet sich nun ein Fenster, bei dem du in der oberen Leiste auf „Konsole“ (Firefox) bzw. „Console“ (Chrome) klickst.
In dieser Console werden dir nun Elemente angezeigt, die nicht über HTTPS abgerufen werden und somit unverschlüsselt sind.
Jetzt musst du dir nur noch anschauen, welches Element das ist, und wo du es eingefügt hast. Hast du es gefunden, musst du einfach den Pfad manuell von http://… auf https://… ändern. Lädst du deinen Blog daraufhin neu, wird die Fehlermeldung verschwinden.
Arbeite dich Element für Element vor, bis du alle unsicheren Inhalte umgestellt hast. Erst, wenn das grüne Schloss in der Adressleiste erscheint, ist deine Seite komplett verschlüsselt 🙂
Google Analytics aktualisieren
Wenn du meiner Artikelserie der WordPress Grundlagen gefolgt bist, hast du deinen Blog mit Google Analytics verbunden. Da der Blog jetzt allerdings nicht mehr über HTTP läuft, sondern über HTTPS, solltest du das in den Einstellungen von Analytics auch so hinterlegen.
Bei Google Analytics auf https:// umstellen
Dafür loggst du dich einfach in deinen Google Analytics Account ein, navigierst im Menü zu „Verwalten“ und klickst anschließend in der mittleren Spalte auf „Property-Einstellungen“.
Hier kannst du gleich bei einer der ersten Einstellungen die „Standard-URL“ festlegen. Klicke einfach auf „http://“ und wechsle auf „https://“. Mit einem Klick auf den Speichern-Button am unteren Ende der Seite ist das ganze schon umgestellt.
Google Search Console aktualisieren
Bei der Google Search Console bzw. den Webmaster Tools, kannst du die URL deiner hinzugefügten Seite nicht ändern. Hier fügst du nun die SSL verschlüsselte Variante deines Blogs als weitere Property hinzu. Wie das geht erfährst du in meinem Artikel Informiere die Google Webmaster Tools über deinen Blog.
So, endlich fertig 🙂