So stellen Sie WordPress auf HTTPS um (Guide 2019)

Image Description

Michael Scherz

März 25, 2019
Featured Image - wpservant

Sichere Verbindungen sind ein bedeutendes Thema im Hinblick auf die Internet Security – sie schützen Internetnutzer, werden von Google positiv bewertet und sind auch Teil der DSGVO, die in Österreich am 25. Mai 2018 in Kraft trat. Doch wann ist eine Verbindung sicher? In diesem Guide erfahren Sie alles rund um sichere Verbindungen mit HTTPS und wie Sie WordPress auf HTTPS umstellen können.

Stellen Sie sich vor, Sie beheben Geld bei Ihrer Bank. Würden Sie der Person, die hinter Ihnen steht die Möglichkeit geben, Ihren Pin-Code zu sehen? Wahrscheinlich nicht – eher würden Sie versuchen, Ihren Pin so gut wie möglich vor fremden Blicken zu schützen. Ähnlich verhält es sich mit der Verbindung bei der Übermittlung von Daten im Internet. Sicher möchten Sie es vermeiden, Ihre Daten und die Daten Ihrer Kunden fremden Blicken auszusetzen. Indem Sie Ihre WordPress-Website auf HTTPS umstellen, schützen Sie sensible Daten und profitieren dabei auch noch von weiteren Vorteilen.

Die Vorteile von HTTPS

Sicherheit

Die erhöhte Sicherheit bei der Übermittlung von Daten ist der wohl wichtigste Grund für die Verwendung von HTTPS. Bei sensiblen Daten wie Online-Banking und der Übermittlung von Kreditkarteninformationen ist die verschlüsselte Übertragung ohnehin schon länger verpflichtend. Doch auch bei einem einfachen Kontaktformular sollten alle Daten verschlüsselt übertragen werden, um die persönlichen Daten Ihrer Kunden und Interessenten zu schützen.

Nicht nur die Sicherheit von Kunden wird durch HTTPS erhöht, es erschwert Hackern den Zugang und schützt deshalb auch Sie und Ihre WordPress-Website vor unerwünschten Zugriffen.

Vertrauen

HTTP-Websites werden von gängigen Browsern mittlerweile in Form einer Meldung als „unsicher“ eingestuft, was schnell dazu führen kann, dass Nutzer verunsichert sind und ihr Vertrauen in die Website verlieren.

Werden persönliche Daten verschlüsselt und somit geschützt übermittelt, wird auch das Vertrauen in Ihre Seite gestärkt. Kunden und Interessenten haben automatisch ein besseres Gefühl und eine positivere Einstellung Ihrer Website gegenüber, wenn sie auf den ersten Blick sehen können, dass eine sichere Verbindung verwendet wird und ihre Daten so gut wie möglich geschützt sind.

SEO

Da das Thema Internet-Security auch für Suchmaschinen wie Google von höchster Relevanz ist, hat HTTPS positive Auswirkungen auf das Ranking Ihrer WordPress-Website in den Suchergebnissen.

Was versteht man unter HTTPS?

Bei HTTPS (Hyper Text Transfer Protocol Secure) handelt es sich um ein Protokoll zum Austausch von Daten zwischen Webservern und Webbrowsern, wobei die Daten im Gegensatz zur reinen HTTP-Verbindung verschlüsselt übermittelt werden. Die Verschlüsselung der Daten erfolgt über SSL bzw. TLS. SSL steht für „Secure-Sockets-Layer“ und sorgt dafür, dass die Daten, die bei der Kommunikation übertragen werden, nie als einfacher Text übermittelt werden. Durch die Ende-zu-Ende-Verschlüsselung wird verhindert, dass Daten von unberechtigten Dritten mitgelesen werden können. Möchte man also WordPress auf HTTPS umstellen, wird ein SSL-Zertifikat benötigt.

Unterschied zwischen HTTP und HTTPS

Welche Arten von SSL-Zertifikaten gibt es?

Die verschiedenen Arten von SSL-Zertifikaten weisen unterschiedliche Stufen der Verschlüsselung auf.

  • Domain-Validated Zertifikat
    Dabei handelt es sich um die niedrigste Stufe der Verschlüsselung. Es wird geprüft, ob Domain und Webspace zusammengehören und verhindert so, dass Besucher auf Phishing-Seiten landen. Der Inhaber der Seite wird dabei allerdings nicht validiert. Das kostenlose SSL-Zertifikat von „Let’s Encrypt“ fällt zum Beispiel in diese Kategorie. Let’s Encrypt ist der einfachste und schnellste Weg, um an ein SSL-Zertifikat zu gelangen und WordPress auf HTTPS umstellen zu können. Sofern der Hoster eine Let’s Encrypt-Integration besitzt werden freie SSL-Zertifikate für WordPress-Websites angeboten. Diese Zertifikate laufen alle 90 Tage ab und müssen dann erneuert werden. Die meisten Hosting-Anbieter kümmern sich allerdings automatisch um die Erneuerung.
  • Organisation-Validated Zertifikat
    Hier wir zusätzlich zur Validierung der Domain auch geprüft, ob die Seite wirklich zu dem Unternehmen gehört – das Unternehmen wird durch eine Zertifizierungsstelle Authentifiziert. Dazu werden einige Daten des Unternehmens benötigt und für den Erhalt des Zertifikats geprüft.
  • Extended-Validation Zertifikat
    Dieses Zertifikat stellt die höchste Stufe der Verschlüsselung dar. Die Zertifizierungsstelle benötigt eine Vielzahl an Informationen über das Unternehmen und prüft diese unter strengen Kriterien. Hier wird zum Beispiel auch die Rechtsform des Unternehmens in das Zertifikat mit aufgenommen und der Firmenname erscheint in der Adresszeile. Online-Shops, die Kreditkarten als Zahlungsmittel akzeptieren oder Banken, die Online-Banking anbieten, sind verpflichtet, ein Extended-Validation Zertifikat zu nutzen.

Je nachdem, welche Ziele Sie mit Ihrer WordPress-Website verfolgen und welchen Status Ihr Unternehmen hat, können Sie eines der drei Zertifikate auswählen. Dazu stehen unzählige Anbieter zur Verfügung, unter anderem bieten die meisten Hoster SSL-Zertifikate inklusive deren Einrichtung an. Je nach Hosting-Anbieter bzw. Zertifizierungsstelle werden auch Wildcard-Varianten der Zertifikate angeboten. Das bedeutet, dass das Zertifikat auch für alle Subdomains einer Domain gilt.

Einrichten des SSL-Zertifikats

Die Einrichtung des SSL-Zertifikats ist bei jedem Hosting-Anbieter unterschiedlich. Von der vollständigen Einrichtung durch den Hoster über 1-Klick-Installationen bis hin zu komplizierten und langwierigen Prozessen ist alles möglich. Das ist nicht nur vom Hoster abhängig, sondern auch vom gewählten SSL-Zertifikat. Die meisten Hoster bieten ausführliche Erklärungen zur Einrichtung des SSL-Zertifikats an. Im Folgenden wird die Einrichtung des SSL-Zertifikats und die Aktivierung von WordPress HTTPS bei einigen großen Hosting-Anbietern erläutert.

HTTPS auf (Ihrem) Hoster aktivieren

HTTPS auf Kinsta aktivieren/einrichten

Um HTTPS auf Kinsta zu aktivieren, stehen drei Möglichkeiten zur Verfügung, um ein SSL-Zertifikat zu erstellen.

Möglichkeit 1: Kostenfreies SSL-Zertifikat mit Let’s Encrypt

Im ersten Schritt sollte sichergestellt werden, dass die Domain, für die das SSL-Zertifikat erstellt werden soll, auf Kinsta verweist und die Domain sowie eventuelle Subdomains im MyKinsta-Dashobard hinzugefügt ist. Ist das der Fall, können Sie sich in Ihrem MyKinsta Dashboard einloggen und „Manage“ neben der Seite anklicken. Unter „Tools“ finden Sie den Button „Enable HTTPS“. Dort wählen Sie „Generate A Free HTTPS Certificate“ aus. Danach können Sie festlegen, für welche Ihrer Domains das SSL-Zertifikat erstellt werden soll. Mit einem Klick auf „Generate Certificate“ ist die Installation bereits abgeschlossen.

Möglichkeit 2: Eigenes SSL-Zertifikat kaufen und einrichten

Wenn Sie ein SSL-Zertifikat kaufen, werden Sie zuerst nach dem Servertyp gefragt. Im Fall von Kinsta ist das Nginx. Falls dieser Servertyp nicht ausgewählt werden kann, kann auch „anderer“ angegeben werden. Außerdem werden ein CSR-Code und ein Private Key benötigt, um das Zertifikat erstellen zu lassen. Beide können durch das Ausfüllen dieses Formulars erstellt werden und sollten gut abgespeichert werden. Danach müssen Sie den CSR-Code mit dem SSL-Provider hochladen.

Wurde das SSL-Zertifikat erstellt, geht es nun an die Einrichtung. Dazu loggen Sie sich in das MyKinsta Dashboard ein und klicken unter „Tools“ auf „Add Custom HTTPS Certificate“. Bereiten Sie Ihre .key und .cert Datei vor und klicken Sie auf „weiter“. Im nächsten Fenster können Sie den Private Key und das Zertifikat hinzufügen, indem Sie den Text aus der Datei in das jeweilige Feld kopieren. Falls Sie auch eine .ca-bundle Datei für ein „Intermediate Certificate“ haben, können Sie den Inhalt der Datei direkt unter dem Inhalt der .cert Datei einfügen. Durch einen Klick auf „Apply Certificate“ wird die Einrichtung abgeschlossen.

Möglichkeit 3: Installation mit Cloudflare oder Sucuri

Um ein SSL-Zertifikat bei einem dieser sogenannten „reverse-proxy“-Anbieter einzurichten, müssen einige Dinge beachtet werden, damit alles richtig funktioniert.

Cloudflare:
Zuerst muss im Cloudflare-Account unter „Crypto“ SSL ausgeschalten werden. Danach können Sie ein Let’s Encrypt Zertifikat oder ein eigenes SSL-Zertifikat wie oben beschrieben bei Kinsta installieren. Nachdem Ihr SSL-Zertifikat fertig eingerichtet wurde, gehen Sie zurück zu Cloudflare und setzen „Crypto“ auf Full oder Full (strict), um die Verbindung zu verschlüsseln. Im letzten Schritt müssen Sie den Cloudflare Cache löschen.

Sucuri:
Da Sie für die SSL-Installation eine Funktion namens „forward certificate validation“ benötigen, müssen Sie den Support von Sucuri kontaktieren, um die Funktion erstellen zu lassen. Danach kann ein SSL-Zertifikat mit einer der beiden oben beschriebenen Methoden installiert werden.

Weiterleitung einrichten – HTTP zu HTTPS

Egal, welche Möglichkeit der SSL-Installation Sie gewählt haben – um WordPress HTTPS Umleitungsfehler zu vermeiden und die Umstellung auf HTTPS korrekt abzuschließen, müssen Sie HTTP zu HTTPS weiterleiten. Kinsta stellt dazu ein Tool namens „Force HTTPS“ zur Verfügung, das die Weiterleitung zu HTTPS erzwingt. Zu finden ist es im MyKinsta Dashboard unter „Tools“.

Hier können Sie nun auswählen, ob Sie Ihre Hauptdomain oder eine alternative Domain verwenden möchten. Durch einen Klick auf „Force HTTPS“ schließen Sie die Weiterleitung ab.

HTTPS auf Raidboxes aktivieren/einrichten

Auf Raidboxes kann ein Let’s Encrypt-Zertifikat mit nur einem Klick aktiviert werden. Dazu müssen Sie die „BOX“ – das Raidboxes Dashboard – aufrufen und in den Einstellungen unter „Server“ SSL aktivieren. Dadurch wird ein SSL-Zertifikat für Ihre BOX ausgestellt, welches alle Domains, die bei der Aktivierung mit der BOX verbunden sind, enthält. Die Änderung der Links von HTTP auf HTTPS erfolgt dabei automatisch.

HTTPS auf world4you aktivieren/einrichten

World4you bietet ein kostenloses Let’s Encrypt SSL-Zertifikat, ein Standard SSL Zertifikat und ein Premium SSL Zertifikat an. Alle drei Varianten können im Kundenbereich bestellt und eingerichtet werden.
Die Umleitung von HTTP auf HTTPS kann ebenfalls im Kundenbereich erfolgen. Dazu wählen Sie unter Webspace den Punkt „SSL/TLS-Verschlüsselung“ und „HTTPS erzwingen“ aus. Dadurch wird der Eintrag in der .htaccess-Datei automatisch vorgenommen. Alternativ können Sie diesen Eintrag selbst hinzufügen und bearbeiten.

HTTPS auf peaknetworks.at aktivieren/einrichten

Bei peaknetworks.at erhalten Sie als WordPress Hosting-Kunde ein kostenloses Let’s Encrypt SSL-Zertifikat, das Sie mit nur wenigen Klicks einrichten können.

Weitere Möglichkeiten, um WordPress auf HTTPS weiterzuleiten

Bietet Ihr Hosting-Anbieter keine automatisierte Möglichkeit an, können Sie zum Beispiel mit einem WordPress HTTPS Plugin die Weiterleitung von HTTP zu HTTPS erzwingen oder die Umstellung manuell durchführen.

Umstellung mittels WordPress HTTPS Plugin

Ein Plugin zur Umstellung von WordPress HTTPS ist das kostenlose Really Simple SSL-Plugin. Es führt eine automatische Weiterleitung der HTTP-Links zu HTTPS durch und ändert die URL zu HTTPS. Zwar handelt es sich dabei um die einfachste und schnellste Lösung, besser ist es aber, die HTTP-Links manuell zu aktualisieren, da jedes zusätzliche Plugin die Performance Ihrer WordPress-Website beeinträchtigen kann und es häufig zu Kompatibilitätsproblemen kommt. Außerdem führt das Plugin keine Änderungen der URLs in der Datenbank durch, was aber dringend empfohlen wird, um Probleme zu vermeiden.

WordPress HTTPS manuell umstellen

Da die Website jetzt nicht mehr unter HTTP sondern unter HTTPS aufgerufen wird, muss die URL angepasst werden. In den Einstellungen unter „Allgemein“ finden Sie die WordPress-Adresse und die Website-Adresse. Beide müssen von http:// auf https:// geändert werden. Auch die Permalinks müssen angepasst werden – in den Einstellungen unter „Permalinks“ kann das für alle bestehenden Permalinks durch einmaliges erneutes abspeichern durchgeführt werden.

Außerdem müssen alle Aufrufe, die unter HTTP getätigt werden, zu HTTPS weitergeleitet werden. Je nachdem, welche Art von Web-Server Sie nutzen, gibt es unterschiedliche Möglichkeiten.

Nginx: Der folgende Code muss in die nginx.config Datei eingefügt werden.
server { listen 80; server_name domain.com www.domain.com; return 301 https://domain.com$request_uri; }

Sonstige (z.B. Apache): Der folgdende Code muss in die .htaccess Datei eingefügt werden.
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=30]

Um alle URLs auch in der Datenbank zu ändern, kann ein Plugin wie WP Migrate DB Pro oder Better Search Replace verwendet werden. Mit Hilfe eines solchen Plugins kann die Datenbank nach der URL http://www.beispiel.at durchsucht und durch https://www.beispiel.at ersetzt werden.

Wo sollte die URL noch geändert werden?

Um Probleme zu vermeiden, sollten Sie die URL nach der WordPress HTTPS Umstellung auch in sozialen Netzwerken wie Facebook, Instagram, Youtube etc. ändern. Auch in APIs, bei Google Analytics und in der Google Search Console sollten Sie die URL anpassen.

Fazit

Wenn Ihr Hosting-Anbieter SSL-Zertifikate und eine WordPress HTTPS Umleitung anbietet, können Sie damit nicht viel falsch machen. Falls Sie versuchen, die Umstellung selbst durchzuführen und es dabei zu Problemen kommt, sind Sie gut beraten, einen Experten zu konsultieren, um die Sicherheit Ihrer WordPress-Website und auch Ihrer Kunden zu gewährleisten.