SSL-Zertifikate gewinnen immer mehr an Bedeutung für Websites, für Online-Shops sind sie schon länger Standard. Nun soll in diesem Beitrag gezeigt werden, wie du eine Website bzw. ein Blog auf HTTPS umstellst.
Schritt Nr. 1: Ein SSL-Zertifikat erwerben
Bevor du deinen Blog auf HTTPS umstellst, benötigst du ein Zertifikat. Das kannst du meist bei deinem Provider kaufen. So habe ich es jedenfalls gemacht, denn das ist der einfachste und sicherste Vorgang.
Für welches Zertifikat du dich entscheidest, hängt vielleicht auch von den Kosten für dich ab und von der Seriosität und Sicherheit, die du mit dem SSL-Zertifikat vermitteln willst. Für den Anfang reicht auf jeden Fall eine Domain Validation aus, denn dieses Zertifikat soll genau so sicher sein wie ein teures mit Extended Validation. Der Unterschied liegt hauptsächlich in der Identitätsprüfung des Seiten- oder Blogbetreibers.
Weitere Infos zu den einzelnen Zertifikaten findest du in dem oben verlinkten Artikel.
Wichtig: Achte beim SSL-Zertifikatskauf auf eine 256-Bit-Verschlüsselung. Wenn du das Zertifikat über deinen Provider gekauft hast, liegt es automatisch auf deinem Webspace. Alles andere wäre mir zu kompliziert, also selbst das Zertifikat hinterlegen usw. Wer sich allerdings für diese Vorgehensweise interessiert, findet im Internet auch dazu ausführliche Informationen und Anleitungen, wie beispielsweise auf All-inkl.com.
Lässt sich nach dem Zertifikatserwerb deine Domain auch über https:// aufrufen, kannst du die nächsten Schritte in Angriff nehmen.
Schritt Nr. 2: Die URL in WordPress anpassen
Bevor du nun in das System von WordPress selbst eingreifst, sprich URLs anpasst und auch Änderungen an der Datenbank vornimmst, solltest du eine komplette Sicherung deiner Website oder deines Blogs vornehmen, also ein Daten- und Datenbank-Backup durchführen.
Denn letztendlich kann immer etwas schiefgehen und so kannst du dann auf die Vorgängerversion deiner Seite zurückgreifen.
Die URL änderst du im WordPress-Backend unter dem Punkt Einstellungen -> Allgemein. Dort schreibst du in die Felder WordPress-Adresse (URL) und Website-Adresse (URL) deine Adresse von http://www.meine-domain.de in https://www.meine-domain.de um. Nach dem Abspeichern dieser Änderung solltest du dich erneut ins Backend einloggen.
Schritt Nr. 3: Die URLs in der Datenbank anpassen
Denn was jetzt noch angepasst werden muss, sind die ganzen Pfade auf deiner Seite, was vor allem die eingebundenen Bilder und anderen Medien betrifft, aber auch die Seitenpfade haben sich ja von http zu https geändert. Damit die Seite nun reibungslos funktioniert, müssen diese Pfade in der Datenbank umgeschrieben werden.
Das geht einfach, zuverlässig und schnell mit einem WordPress-Plugin, das Better Search Replace heißt: Wenn du das Plugin installiert hast, findest du seine Einstellungen unter Werkzeuge vor.
Unter Suchen/Ersetzen gibst du in das erste Feld die ursprüngliche URL ein, in das zweite Feld die neue mit https. Dann solltest du noch die ganzen Tabellen auswählen, in denen die URL angepasst werden soll, d. h. markiere am besten alle Tabellen. Wenn du vorsichtshalber einen Testlauf starten willst, diese Option findest du ganz unten.
Bevor du den Startbutton drückst, überprüfe nochmals die URLs, ob sich nicht ein Tippfehler eingeschlichen hat, denn das kann schnell vorkommen.
Schritt 4: Weitere Anpassungen vornehmen
Dauerhafte Umleitung: Ebenfalls wichtig ist nach Schritt 3 (wenn er erfolgreich umgesetzt wurde), dass du in der .htaccess eine dauerhafte Weiterleitung einrichtest. Denn du musst bedenken, dass nun die ganzen Backlinks, die von deiner Website existieren, nicht mehr richtig funktionieren. Diese Weiterleitung wird auch 301 redirect genannt.
In der .htaccess fügst du ganz am Ende nach dem Eintrag #End WordPress ein:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Cache leeren: Wenn du ein Cache-Plugin verwendest wie beispielsweise WP Supercache, dann solltest du nun den Cache leeren, damit von jetzt an https-Seiten angezeigt werden und keine http-Seite mehr.
Neuer Eintrag in Search Console und Google Analytics: Weil Google die Umstellung auf https als “neue” Domain ansieht bzw. zumindest zwischen http und https unterscheidet, solltest du deine Domain nun auch in die Search Console und in Google Analytics mit der https-Änderung eintragen, um weiterhin die Services wie Seitenaufrufe, Klicks und andere Datenerfassungen in Anspruch nehmen zu können.
Ladegeschwindigkeit: Diesen Tipp habe ich von einem Bekannten erhalten. Damit die SSL-verschlüsselte Seite auch weiterhin recht schnell geladen werden kann, solltest du die Funktion connection: keep-alive in deine .htaccess eintragen.
Vorher ist allerdings zu klären, ob dein Provider diese Funktion bzw. dieses Modul in deinem Webspace-Paket anbietet. Wenn nicht, kannst du es nicht nutzen oder musst vielleicht in ein höheres upgraden. Oder es kann sein, dass du diese Funktion aktivieren musst.
Oft bieten Provider diese Funktion erst auf dedizierten Servern an, weil ansonsten auf einem Server, den sich viele Kunden teilen, die Funktion auch die anderen Websites beeinflussen kann.
Wird dieses Modul nicht verwendet, baut der Browser beim Aufrufen einer HTTPS-Website für jedes Element eine neue Verbindung zum Server auf, was die Ladezeit deutlich in die Höhe treiben kann. Mit der Funktion keep alive wird der Browser dann nur noch eine verschlüsselte Verbindung mit dem Server aufbauen, über die alle Website-Elemente heruntergeladen werden.
Folgender Code ist in die .htaccess einzutragen, um die Funktion zu aktivieren (aber wie gesagt, vorher mit dem Provider klären, ob sie im Leistungsumfang des Hostings enthalten ist):
<ifModule mod_headers.c> Header set Connection keep-alive </ifModule>
Fazit
Eine HTTPS-Umstellung ist mit Sicherheit nicht so kompliziert, wie es auf den ersten Blick aussieht. Die hier aufgeführten ersten drei Schritte sind obligatorisch, der letzte bringt die “Verfeinerung”.
Ich vermute, dass in den nächsten Jahren eine Verschlüsselung immer wesentlicher wird für Blog- und Websitebetreiber, sodass dieser Schritt für viele im Internet Tätigen in den kommenden Monaten umgesetzt wird. Bei Online-Shops ist ein Zertifikat ohnehin so gut wie Pflicht, aber die neue EU-Verordnung in knapp zwei Jahren betrifft auch Websites. Denn eine der dann geltenden Auflagen lautet, dass Unternehmen ihre Produkte datenschutzfreundlich voreinstellen sollen.
(Bildquelle Artikelanfang: © tampatra@hotmail.com/Depositphotos.com)
