WordPress HTTPS einrichten braucht ein SSL-Zertifikat – und dann?

WordPress HTTPS einrichten: grünes Schloss, kein Mixed Content
Das grüne Schloss belegt: Kein Mixed Content!

Wahrscheinlich ist es Ihnen noch gar nicht aufgefallen, aber neuerdings erscheint links von unserer Adresse ein grünes Schloss. Auch steht dort nicht länger http://…, sondern https://… Das heißt, wir haben es endlich getan: Unsere Website wird nun verschlüsselt übermittelt. Dazu war es nötig, ein SSL-Zertifikat zu beantragen, es zu installieren und dann WordPress auf HTTPS umzustellen. Anleitungen, die erklären, wie sich WordPress HTTPS einrichten lässt, gibt es mittlerweile eine ganze Menge. Die meisten realisieren dies ohne Plugins. Wir jedoch haben auf WordPress Plugins gesetzt.

Was bedeuten SSL und HTTPS?

SSL (Secure Sockets Layer) ist ein Netzwerkprotokoll für die sichere Datenübertragung, das eigentlich bereits seit 1999 TLS (Transport Layer Security) heißt. Dennoch spricht man noch immer von SSL-Zertifikaten – Gewohnheiten können halt ganz schön klebrig sein. Im Zusammenspiel mit einer Website macht es aus dem unsicheren, da unverschlüsselten Protokoll HTTP (Hypertext Transfer Protocol) besagtes HTTPS (Hypertext Transfer Protocol Secure) und sorgt somit für die Datenverschlüsselung.

Warum wird HTTPS immer wichtiger?

Websites, die keine bidirektionale Kommunikation mit ihren Lesern zur Verfügung stellen, dürften noch lange recht gut ohne Datenverschlüsselung auskommen. Von Websites aber, die allein ein Kontaktformular zur Verfügung stellen und es damit Nutzern ermöglichen, mit dem Betreiber zu kommunizieren, wird von Seiten des Datenschutzes zunehmend die Verschlüsselung verlangt. Einen Onlineshop ohne die sichere Verbindung zu betreiben, ist mittlerweile nicht mehr zu verantworten.

Ein SSL-Zertifikat erwerben und einrichten

Um nun also eine Website auf den HTTPS-Betrieb umzustellen, ist es vor allem erst einmal nötig, ein SSL-Zertifikat zu erwerben. Grundsätzlich gilt: Wer nicht seinen eigenen Server managed, also die komplette Kontrolle darüber hat, kann sich kein eigenes SSL-Zertifikat installieren und einrichten. Menschen wie Sie und ich wenden sich also vertrauensvoll an den Hosting-Anbieter und fragen freundlich nach, welches Zertifikat das geeignete ist. Dies ist im Allgemeinen mit laufenden Kosten verbunden. Denn auch wenn es kostenlose Angebote gibt wie StartSSL und neuerdings auch LetsEncrypt: Hierzulande bieten bislang nur wenige Hosting-Unternehmen kostenlose Lösungen an.

Meine Vermutung: Das wird sich zukünftig ändern. Es ist noch nicht allzu lange her, da war die Nachfrage nach PHP und MySQL noch nicht groß, entsprechend beinhalteten die meisten Angebote diese Features nicht. Heute gibt es kaum noch Hosting-Pakete ohne PHP/MySQL, die für den Betrieb einer WordPress Website zwingend nötig sein.

Ein SSL-Zertifikat macht noch keine sichere Website

Nun ist das Zertifikat aber nur der erste Schritt. Die Website an sich muss darauf umgestellt werden. Dabei reicht es aber nicht, einfach nur die Adresse in den WordPress Einstellungen zu ändern. Jede WordPress Installation strotzt nur so vor HTTP-Verweisen. Nehmen Sie all Ihre Bilder, die Sie in die Mediathek geladen haben. Alle haben ihren eigenen Permalink und der beginnt noch immer mit HTTP. Ebenso werden Sie wahrscheinlich Links auf Ihrer Website haben, die auf interne oder externe Ziele verweisen, und auch hier steht am Anfang der Adresse HTTP, sofern Sie nicht konkret HTTPS eingegeben haben. Ohne Änderung all dieser Links käme es zum sogenannten Mixed Content, und der sorgt dafür, dass Ihre Website dann doch nicht als sicher gilt. Unschwer ist das an dem grauen Schloss in der Adresszeile zu erkennen.

WordPress Plugin: Really Simple SSL

Viele Wege führen nach Rom, manche zu einem grünen Schloss. Die Umstellung aller HTTP-Links auf HTTPS ist grundsätzlich über einen entsprechenden manuellen Eingriff in die Datenbank möglich. Mit einem SQL Update Statement lassen sich in phpMyAdmin alle Links anpassen. Eine andere Möglichkeit für das Suchen und Ersetzen ist das WordPress Plugin Better Search Replace.

Wir haben uns für die Nutzung des Plugins Really Simple SSL entschieden. Einzig überschreibt es die Website- und die WordPress-Adresse (site und home url) in der Datenbank. Alle weiteren Änderungen nimmt es nicht in der Datenbank vor, sondern löst die Aufgabe dynamisch. Überdies leitet es auch noch alle HTTP-Anfragen zu der neuen HTTPS-Umgebung um. Denn: Noch weiß der Rest der Welt ja nichts von dem Umzug. Allerorten existieren noch entsprechende Verweise auf Ihre Website, zum Beispiel auf Facebook. Es wäre fatal, würden die zukünftig nicht mehr funktionieren.

WordPress Plugin: SSL Insecure Content Fixer

Nun gibt es auf einer WordPress Website aber noch andere Stellen, die Links aufweisen können und nicht in der Datenbank stehen – zum Beispiel Widgets. Führt der Betrieb von Really Simple SSL noch nicht zum gewünschten Ziel, dem grünen Schloss vor Ihrer Adresse, hilft das Plugin SSL Insecure Content Fixer weiter. Neben den üblichen Verdächtigen wie Bilderadressen, Stylesheets und Skripten sucht es – je nach Einstellungsoption – auch den kompletten Content und alle Widgets ab und löst somit auch HTTP-Probleme mit eingebetteten Videos, IFrames etc.

Noch immer kein grünes Schloss? Theme durchsuchen!

Sollte noch immer Mixed Content vorliegen, dann könnte das an absoluten Pfaden in einer Ihrer Theme-Dateien liegen. Eigentlich sollte das nicht der Fall sein, aber Dateien wie die header.php, die footer.php oder auch die functions.php könnten durchaus HTTP-Links beinhalten. Sollte dies der Fall sein, macht eine manuelle Änderung nur Sinn im Rahmen eines Child Themes – andernfalls würden Ihre Änderungen nach dem nächsten Theme-Update verschwinden.

Alles grün? Google wird es Ihnen danken!

Ist Ihre Website einmal auf HTTPS umgestellt, hagelt es vielleicht nicht direkt Danksagungen und Glückwunschkarten. Zumindest Google aber wird es Ihnen danken, bevorzugt die Suchmaschine mittlerweile nämlich HTTPS-Websites bei den Suchergebnissen.  Es macht also viel Sinn, Google darauf hinzuweisen, dass der Umzug stattgefunden hat. Sofern noch nicht längst geschehen, melden Sie Ihre Website bei Webmaster Tools (aka Google Search Console) an beziehungsweise registrieren Sie dort nun auch Ihre HTTPS-Variante.

Wir jedenfalls sind froh, dieses Problem endlich gelöst zu haben, und freuen uns, Ihnen unsere Angebote nun verschlüsselt darreichen zu können.

 


Beitragsbild: Britta Kretschmer

 

1 Anmerkung zu “WordPress HTTPS einrichten braucht ein SSL-Zertifikat – und dann?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.