WordPress in 5 einfachen Schritten auf HTTPS (SSL) umstellen

Eben hast du WordPress auf SSL umgestellt.

Jetzt ist deine Seite Schrott. Komplett zerschossen. Nur noch ein Haufen aus Pixeln und Textfetzen.

Die Umstellung an sich ist recht schnell und einfach erledigt. Einige Punkte werden jedoch häufig übersehen, führen zu Fehlern und stürzen deine WordPress-Site ins Chaos. Damit dir das nicht passiert, habe ich diese Schritt-für-Schritt-Anleitung für dich geschrieben.

Aber fangen wir mal mit ein paar Grundlagen an 🙂

Basics

Was bedeuten HTTPS und SSL?

HTTPS ist ein Protokoll für den Datentransfer im Internet. Während bei HTTP alle Daten unverschlüsselt übertragen werden, überträgt HTTPS sie mittels SSL verschlüsselt und damit sozusagen abhörsicher. Eine Manipulation der übertragenen Daten oder ein Diebstahl von Daten zwischen Browser zum Server wird damit unmöglich gemacht und deine Seite wird im jeweiligen Browser als vertrauenswürdig gekennzeichnet.

Warum auf HTTPS umstellen?

Es gibt sehr viele gute Gründe, deine Website auf HTTPS umzustellen, hier sind die wichtigsten:

  • Wenn deine Website personenbezogenen Daten über Kontaktformulare etc. sammelt, bist du mit einer SSL-Verschlüsselung im Hinblick auf die DSGVO rechtlich auf der sicheren Seite.
  • Die Verbindung zu deiner Website ist sicher. Das bedeutet nicht nur, dass die Formular-Daten deiner Besucher geschützt sind, sondern zum Beispiel auch deine Zugangsdaten zu WordPress.
  • Sofern dein Hosting-Anbieter den neuen Webstandard HTTP/2 unterstützt, wird deine Website durch die Umstellung auf HTTPS schneller.
  • Das grüne Schloss in der Adressleiste signalisiert Sicherheit und schafft Vertrauen bei deinen Besuchern. Außerdem kennzeichnen große Browser wie Google Chrome und Firefox Websites ohne Verschlüsselung als nicht sicher.
  • Google selbst spricht seit August 2014 lediglich von einem Ranking Signal durch HTTPS. Dennoch sollte sich die Umstellung im Hinblick auf deine Rankings bemerkbar machen.

Natürlich hat die Umstellung auch einige Nachteile. Da die Vorteile deutlich überwiegen, diese nur kurz am Rande:

  • Einmaliger Aufwand der Umstellung
  • Anfallende Kosten, je nach benötigtem Zertifikatstyp und Anbieter
  • Social Shares werden bei manchen Plugins möglicherweise nicht mehr angezeigt

Wie erkennst du eine SSL-verschlüsselte Verbindung im Browser?

Ob eine Webseite HTTPS verschlüsselt ist, erkennst du an folgenden Merkmalen:

  1. Ein Schlosssymbol am Beginn der Adresszeile
  2. Die Adresse der Seite beginnt mit HTTPS
SSL-Symbol

Was kostet ein SSL-Zertifikat?

Bevor du WordPress auf HTTPS umstellen kannst, benötigst du natürlich ein SSL Zertifikat. Im besten Fall kannst du dieses direkt über deinen Hoster beziehen. Die meisten Webhoster bieten neben kostenpflichtigen Zertifikaten auch die Unterstützung für das kostenlose LetsEncrypt SSL an. Wenn dein Hoster keine kostenlosen SSL-Zertifikate anbietet, solltest du einen Hoster-Wechsel in Betracht ziehen.

Umstellung auf SSL

1. SSL-Zertifikat auf dem Server installieren

Damit deine Website durch SSL verschlüsselt werden kann, muss zunächst ein SSL-Zertifikat für deine Domain auf deinem Server installiert sein. Bei Hosting-Anbietern, die das kostenlose Let’s Encrypt unterstützen, kannst du das in der Regel selbst im Adminbereich deines Hosting-Pakets oder Servers einstellen:

SSL-Zertifikat auf dem Server installieren

Da sich das Vorgehen zum Kauf und zur Einrichtung eines SSL-Zertifikats von Hoster zu Hoster unterscheidet findest du in der folgenden Box eine Liste mit Anleitungen für große deutsche Webhoster:



Sollte dein Hosting-Anbieter kein Let’s Encrypt unterstützen, musst du auf ein kostenpflichtiges SSL-Zertifikat ausweichen. Ein einfaches Zertifikat kostet zwischen 10 € und 50 € pro Jahr.

2. WordPress auf HTTPs umstellen

Damit deine WordPress-Seite über HTTPS ausgegeben wird, musst du eine Einstellung im WordPress-Backend vornehmen. Melde dich dazu bei deiner WordPress-Seite an. Gehe ins Menü Einstellungen > Allgemein. Ändere dort in den beiden Feldern WordPress-Adresse (URL) und Website-Adresse (URL) die Domain auf HTTPS. Vergiss nicht, die Änderungen mit dem Button Änderungen übernehmen zu speichern.

WordPress auf HTTPs umstellen

3. Permalinks aktualisieren

Nach dem Ändern der WordPress- und Website-Adresse musst du einmal deine Permalinks unter Einstellungen > Permalinks erneut abspeichern, damit diese mit deiner neuen URL aktualisiert werden:

WordPress Permalinks aktualisieren

4. Alte URLs in der WordPress-Datenbank ersetzen

Damit auch die anderen URLs wie z.B. interne Links oder Bilder auf  HTTPS umgestellt werden, musst du noch die Einträge in der Datenbank  anpassen.

Am einfachsten kannst du die URLs mit dem Plugin Better Search Replace ersetzen:

URLs in der WordPress-Datenbank ersetzen

Dazu gibst du in das erste Feld die alte URL mit HTTP ein und in das zweite Feld die neue URL mit HTTPS. Anschließend markierst du alle Tabellen. Bevor du den Vorgang startest, kannst du erst mal einen Testlauf anstoßen, um zu sehen, in welchen Tabellen URLs ersetzt werden. Ist alles in Ordnung, entfernst du das Häkchen bei Testlauf und startest den Vorgang.

5. Weiterleitung von HTTP auf HTTPS einrichten

Damit zukünftig alle Anfragen über HTTP auf HTTPS umgeleitet werden, musst du zum Schluss die .htaccess-Datei anpassen. Diese kannst du via FTP mit einem Texteditor bearbeiten. Füge einfach den folgenden Code am Anfang der Datei ein:

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.deinedomain.de/$1 [R,L]

Troubleshooting

Das WordPress-Backend ist nicht mehr erreichbar

Wenn das WordPress-Backend im Zuge einer SSL-Umstellung nichtmehr erreichbar ist, liegt das meistens daran, dass die Schritte in der falschen Reihenfolge ausgeführt wurden. Ich empfehle dir dann das folgende Vorgehen:

Datenbank-URLs durch Eintrag in der wp-config.php anpassen

Du kannst die Domain deiner WordPress-Seite auch ändern, wenn du dich nicht mehr ins WordPress Backend einloggen kannst. Dazu öffnest du die Datei wp-config.php, die im Hauptordner deiner WordPress Installation liegt, mit einem Texteditor.
Füge die folgenden Zeilen am ganz Ende der Datei ein und speichere diese ab.

define('WP_SITEURL', 'https://www.domainmithttps.de');
define('WP_HOME', 'https://www.domainmithttps.de');

Dabei musst du natürlich https://www.domainmithttps.de durch deine eigene Domain ersetzen😉

ODER

Datenbank URLs durch Eintrag in der functions.php anpassen

Navigiere zu deinem Theme-Ordner, der unter /wp-content/themes/ liegt. Suche von hier aus die Datei functions.php und bearbeite sie mit einem Texteditor wie Notepad oder TextEdit. Füge den folgenden Code am Ende der Datei ein:

update_option( 'siteurl', 'https://www.domainmithttps.de' );
update_option( 'home', 'https://www.domainmithttps.de' );

Speichere die Datei ab und lade sie zurück auf deinen FTP-Server.

Damit WordPress die Datenbankoption für Website-URLs aktualisiert, musst du bei dieser Methode noch einmal eine beliebige Seite deiner Website aufrufen, damit die functions.php geladen wird.

Caches leeren

Damit eine aktuelle Version deiner Seite ausgespielt wird, solltest du zum Schluss noch den Cache deines Caching-Plugins (wie z.B. WP Super Cache oder WP Rocket etc.) leeren. Außerdem solltest du deinen Browsercache leeren.

Mixed-Content-Fehler

Eigentlich sollten jetzt alle Seiten über HTTPS ausgeliefert werden. Vermutlich wird es aber auf einigen Seiten zu einer Mixed-Content-Warnung kommen. Das bedeutet, die Seite ist zwar SSL verschlüsselt, lädt aber noch unverschlüsselte URLs nach. Die Behebung dieser Mixed Content Fehler wird immer wichtiger, denn seit Ende 2019 werden solche Inhalte von Browsern wie Chrome blockiert.

Unverschlüsselte Inhalte verstecken sich häufig in:

  • Child-Themes mit eigenen Anpassungen
  • CSS-Dateien (z. B. in Hintergrundbildern)
  • Extern geladenen Schriften (z. B. Google Fonts)
  • Scripte für Tracking-Tools (z. B. Google Analytics)
  • Favicons
  • Badges von Blogverzeichnissen und Toplisten
  • Werbebannern

Um zunächst alle Unterseiten mit Warnungen zu finden, kannst du z.B. den SSL-Check von JitBit nutzen. Das Tool durchsucht deine komplette Website unverschlüsselten Inhalten. Anschließend kannst du dir die betroffenen Seiten mit den Entwickler-Tools deines Browsers genauer anschauen. Die Entwickler-Tools öffnest du in Chrome, Firefox und Edge, indem du in deinem Browser die Taste F12 drückst. Die Fehler kannst du dir jeweils anschauen, wenn du in den Reiter Konsole wechselst:

Chrome Developer Tools



Hi ich bin Andy, der Gründer von Digitales Mojo. Digitales Mojo ist aus meinem festen Glauben heraus entstanden, dass jeder von uns Wissen und Fähigkeiten in sich trägt, um das Leben anderer besser und lebenswerter zu machen.

Schreibe einen Kommentar

Share via
Copy link
Powered by Social Snap