WordPress von HTTP auf HTTPS umstellen
Durch das Inkrafttreten der DSGVO im Mai 2018 und seitdem Google Chrome alle Webseiten ohne SSL-Zertifikat als unsicher einstuft, wird ein gewisser „Sicherheitsdruck“ auf Webseitenbetreiber ausgeübt. Um diesem Sicherheitsanforderungen gerecht zu werden, zeigen wir Ihnen, wie Sie Ihre WordPress-Webseite problemlos auf HTTPS umstellen können.
1. Datensicherung vornehmen
Für den Fall, dass die Umstellung nicht korrekt durchgeführt wird, ist eine prophylaktische Sicherung der Daten immer zu empfehlen.
2. SSL-Zertifikat nutzen
Maßgeblich für die Umstellung ist natürlich, dass ein SSL-Zertifikat genutzt wird.
Eigene SSL-Zertifikate, z.B. bei einem erhöhten Sicherheitsbedürfnis oder bei der Nutzung herkömmlicher Hosting-Produkte, können direkt über das Kundenlogin oder unsere SSL-Zertifikats Webseite bestellt werden. Wir nehmen die Installation des Zertifikats für Sie vor.
Wenn Sie ein Hosting Paket mit Plesk nutzen, stehen Ihnen die kostenlosen Zertifikate von Let’s Encrypt zur Verfügung. Eine Installation auf Plesk nehmen Sie wie folgt vor:
Zunächst klicken Sie für die Verschlüsselung Ihrer Webseite im Plesk Interface auf „Lets Encrypt“. Anschließend kommen Sie auf die folgende Seite:
Hier ist die Angabe einer E-Mail Adresse erforderlich, da Sie auf diesem Wege Benachrichtigungen zu Ihrer Domain erhalten. Des Weiteren haben Sie die Möglichkeit, die Subdomains www. und webmail. mit in das Zertifikat aufzunehmen.
Nach der Installation des SSL-Zertifikates sollte Ihnen ein grünes Schloss vor der Browserzeile angezeigt werden. Anschließend empfiehlt es sich, eine Weiterleitung von http auf https einzustellen. Dazu müssen Sie in den Hosting-Einstellungen folgende Änderung vornehmen:
Danach sollte die Domain automatisch auf https weitergeleitet werden.
3. WordPress Adminbereich umstellen
War die Einbindung des SSL-Zertifikats erfolgreich, sollte man zunächst den Adminbereich auf SSL umstellen. Dazu muss die Verschlüsselung erzwungen werden. Das Folgende muss dafür in die wp-config.php-Datei eingefügt werden:
define('FORCE_SSL_ADMIN', true);
Danach ist der Login-Bereich verschlüsselt. Sie erkennen dies an dem grünen Schloss, das in der Browserleiste erscheint.
4. Komplette WordPress Webseite umstellen
Nach der erfolgreichen Umstellung im Adminbereich kann nun die gesamte Webseite umgestellt werden. Dazu wird in den Einstellungen unter Allgemein die WordPress-Adresse (URL) und die Website-Adresse (URL) auf https umgestellt.
Diese Anpassung muss für jede URL in der Datenbank durchgeführt werden. Wird dies nicht getan, so gibt der Browser eine Mixed Content Warnung und es erscheint kein grünes Schloss.
5. Umleitung von HTTP auf HTTPS einrichten
Im vorletzten Schritt wird eine 301-Weiterleitung angelegt, damit alle URLs von http automatisch auf https umgeleitet werden. Dazu müssen Sie Folgendes in die .htaccess Datei einfügen:
<IfModule mod_headers.c>
#Umleitung http zu https
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
6. Fehler analysieren und beheben
Nach der Umstellung kann es dennoch vorkommen, dass ihre Seite unsichere Inhalte enthält, zum Beispiel Bilder, welche nicht auf https umgestellt wurden oder manuell eingebundene Skripte. Wenn diese Fehler behoben sind, empfiehlt es sich, als Abschluss die Webseite einem externen SSL-Check zu unterziehen. So gehen Sie sicher, dass bei der Umstellung alles richtig gelaufen ist. Der Check von SSL Labs ist zu empfehlen, da er eine sehr umfangreiche Überprüfung der Webseite durchführt.