Inhalt
Was ist SSL?
Immer mehr Websites kommen mit dem Übertragungsprotokoll https statt dem bekannten http daher. Aber warum ist das so und was verbirgt sich dahinter? Muss ich meine Website auch darauf umstellen? Der folgende Leitfaden soll eine Anleitung mit einzelnen Arbeitsschritten bei der Umstellung einer auf WordPress basierten Website auf SSL-Verschlüsselung bieten.
SSL bedeutet „Secure Socket Layer“. Websites, die eine SSL-Verschlüsselung nutzen, übertragen und empfangen Daten entsprechend verschlüsselt, das heißt, dass der Datenaustausch zwischen Server und Nutzer nicht von Unbefugten eingesehen werden kann. Das geschieht mit Hilfe eines SSL-Zertifikats. Websites, die diese Technik nutzen, erkennt man am Übertragungsprotokoll https und einem grünen Schlosssymbol vor der Adresszeile des Browsers.
Von Bedeutung wird dies gerade dann, wenn der Besucher der Website über Formulare personenbezogene Daten angibt. Dies ist bereits bei einem simplen Kontaktformular der Fall. Insbesondere gewerblich tätige Seitenbetreiber sind nach deutschen Datenschutzgesetz sogar verpflichtet, die Daten verschlüsselt zu übermitteln. Aber auch Google hat bereist vor einiger Zeit öffentlich bestätigt, dass eine Verschlüsselung als positiver Ranking-Faktor gewertet wird, somit zur Suchmaschinenoptimierung beiträgt. Zudem gehen die Browser zunehmend dazu über, den Internetnutzern bei der Eingabe von Daten auf unverschlüsselten Seiten Warnmeldungen anzuzeigen. Das wird sicher den einen oder anderen abschrecken. Für einige Seitenbetreiber wird es also nun höchste Zeit, die Umstellung anzugehen.
Leitfaden am Beispiel von WordPress
SSL-Zertifikat installieren
Dieser Schritt kann sich bereits als der schwerste erweisen. Glücklich schätzen dürfen sich Kunden des Webhosters all-inkl.com. Dieser bietet mit wenigen Klicks die Einbindung eines kostenlosen Zertifikats der Firma Let´s Encrypt. Im KAS eingeloggt folgt man dem Menüpunkt Domain und klickt beim SSL-Schutz auf das Icon neben bearbeiten. Im nächsten Schritt wechselt man auf den Reiter Let´s Encrypt und befolgt dann die weiteren Anweisungen. Auch andere Webhoster bieten die Einbindung von SSL-Zertifikaten an. Dies im Einzelnen nachzuvollziehen, würde jedoch den Rahmen sprengen, daher hier einige ausgewählte Anleitungen: STRATO, HostEurope, 1&1, DomainFactory, Alphahosting.
Adresse der Webseite ändern
Im Backend von WordPress muss nun die Adresse der eigenen Seite angepasst werden. Diese Umstellung nimmt man unter Einstellungen > Allgemein vor. Aus http://www.domain.de wird nun https://www.domain.de oder – wenn gewünscht – auch https://domain.de. Als Anhänger der Old School bevorzuge ich weiterhin die Variante mit www. Dies sollte nur in Zukunft stringent durchgehalten werden, um Duplicate Content zu vermeiden und Google damit nicht zu verärgern.
Umschreibung der Adressen in der Datenbank
Es folgt der wohl kniffligste Abschnitt. Wenn man nicht gerade eine Neuinstallation vorgenommen hat, dürften sich in der Datenbank unzählige Verweise auf eigene Unterseiten oder Medien mit http-Protokoll befinden. Diese müssen alle umgeschrieben werden und das am besten nicht per Hand. Weil Eingriffe in die Datenbank immer nur mit entsprechenden Vorsichtsmaßnahmen vorgenommen werden sollten, muss zunächst eine Sicherung stattfinden. Ich empfehle dazu das Tool UpdraftPlus, das sehr komfortabel ganze Backups der WordPress-Installation erstellen und an selbst gewählten Orten ablegen kann. Für die Umschreibung von http zu https funktioniert das Plugin Better Search Replace wunderbar. Denken Sie daran, nicht einfach nur nach http suchen und durch https ersetzen zu lassen, denn dann würde man auch externe Links umschreiben. Es sollte http://www.domain.de nun durch https://www.domain.de bzw. https://domain.de ersetzt werden.
Umleitung externer Links
Damit bereits existierende externe Links auf Ihre Seite auch auf der https-Adresse landen, ist eine Umleitung einzurichten. Auch hierbei spielt die Vermeidung von Duplicate Content eine wichtige Rolle, weshalb man zu einer permanenten 301-Umleitung greift. Den entsprechenden Code müssen Sie in die Datei .htaccess im Hauptverzeichnis der WordPress-Installation einfügen (am besten ganz an den Anfang):
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Nutzen Sie zudem die Google Seach Console, um die Zugriffe von Suchenden über Google auf Ihre Seiten zu analysieren, dann sollten Sie auch daran denken, dort die neue Property einzutragen. Ansonsten kann Google nur die Analyse für die alte Seite fortführen und da dürften sich dann die Zahlen schlagartig gegen Null bewegen, weil Sie ja alle Zugriffe nun dauerhaft auf https umleiten lassen.
Wenn alles gut gelaufen ist, sollte Ihre Seite nun wie gewohnt aufrufbar sein. Überprüfen Sie unbedingt, ob der Hoster die kostenlosen SSL-Zertifikate von Let´s Encrypt nach Ablauf von 90 Tagen automatisch verlängert. Sonst müssen sie das manuell angehen. Weitergehende Erläuterungen zu dem Thema finden sich unter anderem bei den WP Ninjas, im STRATO-Blog oder auf webongo.