Bereits seit geraumer Zeit ist auch die Auslieferung der Webseite über eine SSL verschlüsselte Verbindung (HTTPS) ein Rankingfaktor in Suchmaschinen wie Google und Co.
In diesem Artikel möchte ich alle relevanten Bereiche beleuchten, welche bei einer Umstellung auf eine SSL-Verschlüsselung / HTTPS-Verbindung wichtig sind. Wobei ich an dieser Stelle davon ausgehe, dass die technische Implementierung von Zertifikaten bzw. dessen Kauf bereits abgewickelt wurde und die Webseite theoretisch schon über http://www.doamin.de und https://www.doamin.de erreichbar ist.
Die eigentliche Umstellung der WordPress Webseite läuft dann in den folgenden fünf einfachen Schritten:
1. WordPress Admin / Backend auf SSL umstellen
Als ersten Schritt und quasi kleinen Test, ob die WordPress Webseite problemlos unter der „https“ Adresse erreichbar ist, kann der Admin-Zugang zu WordPress auf SSL umgestellt werden.
Hierzu wird die „wp-config.php“ von WordPress geöffnet und um folgende Zeile ergänzt:
define('FORCE_SSL_ADMIN', true);
Durch das setzen dieser Konstante wird alles unter „http://www.doamin.de/wp-admin/“ nur noch über die selbige „https“ Adresse aufrufbar, also: „https://www.doamin.de/wp-admin/“.
2. Mixed Content durch MultiMedia-Inhalte
In aller Regel sind die meisten Webseiten mit diversen MultiMedia-Inhalten ausgestattet. Dazu gehören Bilder, Videos und / oder Audio Dateien.
Es muss sichergestellt werden, dass all diese Inhalte ebenfalls über „https“ erreichbar sind. Andernfalls gibt es im Browser eine so genannte „Mixed Content“ Warnung.
Als erstes sollte daher geprüft werden, ob die eingebundenen Ressourcen auch über „https“ erreichbar sind. Ist dies der Fall, kann mit einem Plugin wie „Search & Replace“ die URL in der „xx_posts“ und ggf. auch „xx_postmeta“ umgeschrieben werden, ohne das dies einzeln in jedem Artikel durchgeführt werden muss.
Die Schritt muss für alle eingebundenen Ressourcen durchgeführt werden, ebenso für die eigene URL unter der z.B. interne Querverlinkungen laufen und Bilder eingebunden werden.
Das „Search & Replace“ Plugin bietet im Tab „Domain URL ersetzen“ auch die Möglichkeit gleich die gesamte Domain zu ändern. Diese Funktion kann ebenfalls für den HTTPS Switch verwendet werden.
Tipp: Search & Replace bietet auch eine Unterstützung für Multisite-Systeme.
Durch die Verwendung dieser Funktion würde auch Punkt Nr. 4 „WordPress Adresse / URL ändern“ wegfallen, da diese Einträge ebenfalls in der Datenbank umgeschrieben werden. Einzige Ausnahme wäre hier, wenn die Adressen hart in der „wp-config.php“ stehen. Dann muss der Schritt weiterhin durchgeführt werden.
3. Mixed Content durch Ressourcen im Theme
In manchen Fällen kann es gut möglich sein, dass auch direkt im Theme an irgendeiner Stelle z.B. JavaScripte aus externen Ressourcen oder einem CDN eingebunden werden.
Auch diese Ressourcen müssen auf „https“ umgestellt werden oder falls nicht verfügbar direkt von dem eigenen Webspace ausgeliefert werden.
Hier muss im Zweifelsfall das gesamte Theme einmal geprüft werden.
4. WordPress Adresse / URL ändern
In diesem Schritt wird die WordPress und Webseiten Adresse von „http“ auf „https“ umgestellt. Dazu wird im WordPress Backend der Bereich „Einstellungen > Allgemein“ geöffnet.
Sollte eine Umstellung der beiden oder eine der beiden Adressen nicht direkt im Backend möglich sein, so muss diese Einstellung über die „wp-config.php“ erfolgen.
Für diesen Schritt gibt es zwei Konstanten, die entweder schon in der „wp-config.php“ vorhanden sind und nur geändert werden müssen oder neu hinzugefügt werden sollten.
define('WP_HOME', 'https://www.domain.de'); define('WP_SITEURL', 'https://www.domain.de');
Weitere Details zu diesem Schritt sind auch direkt im WordPress Codex beschrieben, der dortige Eintrag trägt den Namen „Changing The Site URL„.
5. Weiterleitung in der .htaccess
Zum Schluss sollte nun noch eine entsprechende Weiterleitung in der .htaccess Datei der WordPress Installation platziert werden.
Der Code für diese Weiterleitung könnte wie folgt aussehen:
# ---------------------------------------------------------------------- # | Forcing `https://` | # ---------------------------------------------------------------------- # Redirect from the `http://` to the `https://` version of the URL. # https://wiki.apache.org/httpd/RewriteHTTPToHTTPS <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L] </IfModule>
Tipps für WordPress Multisites / Networks:
Wenn es sich bei der WordPress Installation um ein größeres Netzwerk / Multisite handelt, wäre Schritt 2 relativ aufwendig, je nach Größe der Installation.
Hier helfen ggf. Tools wie „Search-Replace-DB“ oder eigene Wartungsscripte, welche diese Aufgaben automatisieren. Weiterhin bietet auch das in Punkt 2 erwähnte Plugin „Search & Replace“ eine Multisite Unterstützung zur Ersetzung über die einzelnen Seiten hinaus.
Welche Tools hier die bessere Wahl sind, hängt immer ganz von der Situation und den Vorlieben der Umsetzung ab.
Schlagworte zu diesem Artikel: HTTPS, Plugin, Plugins, SSL, WordPress, WordPress-Seite
Ich habe bei der Sicherheitsfirma Janotta und Partner diesen Hinweis gefunden.
Demnach soll ab dem 01. Januar 2017 der Google Chrome Browser alle Onlineshops und Webseiten mit einer Warnung anzeigen, wenn diese kein HTTPS besitzen.
janotta-partner.de/ssl-installieren.html
Falls das stimmt brauche ich eventuell Hilfe bei der Umstellung. Macht Ihr das auch und was kostet mich das?
Hallo Martin,
entsprechende Warnungen gibt es bereits jetzt in vielen Browsern. Diese Meldungen werden mit der Zeit sicher weiter und stärker in den Fokus rücken.
Chrome: https://www.dropbox.com/s/m3kit3dkjfevdvy/Screenshot%202016-12-12%2020.26.04.png?dl=0
Firefox: https://www.dropbox.com/s/u5sc5s29z68mr2c/Screenshot%202016-12-12%2020.28.10.png?dl=0
In den neuen Chrome Versionen wird es z.B. die genannte „nicht sicher“ Warnung geben, welche in der Adressleiste steht.
Wenn du Hilfe bei der Umstellung deiner Webseite bzw. deines Shops benötigst, kannst du dich gerne bei uns melden: https://www.pascal-bajorat.com/kontakt/
Beste Grüße
Pascal