Ihre WordPress-Website soll Nutzern selbstverständlich gefallen und weiterhelfen – und sie soll ebenso selbstverständlich sicher sein. Dafür sollten Sie WordPress auf HTTPS umstellen, sodass alle Daten zwischen dem Server und dem Browser des Nutzers verschlüsselt übertragen werden. HTTPS und die dabei verwendete SSL-Verschlüsselung (Secure Socket Layer) schützen die Inhalte vor dem Mitlesen und Manipulieren durch Dritte. Ihre Website verschlüsselt auszuliefern, sollte also schon aus Sicherheitsgründen eine Selbstverständlichkeit sein. Darüber hinaus erhöht SSL das Vertrauen der Besucher in die Website, indem es ihre Authentizität bestätigt. Zudem belohnen Suchmaschinen wie Google verschlüsselt ausgelieferte Webseiten mit einem höheren Ranking, was HTTPS als Ranking-Faktor zu einem Instrument bei der Suchmaschinenoptimierung macht. Mit unserer Schritt-für-Schritt-Anleitung gelingt die Umstellung von WordPress auf HTTPS ganz einfach.

1. Was ist HTTPS und warum ist es für WordPress so wichtig?

HTTPS – die Abkürzung steht für Hypertext Transfer Protocol Secure – ist die sichere Variante von HTTP (ohne das „S“ für Secure am Ende), dem maßgeblichen Kommunikationsprotokoll für die Übertragung von Daten zwischen dem Browser des Benutzers und Ihrem Server. Mit HTTPS werden alle WordPress-Inhalte und Nutzereingaben wie Passwörter, Kreditkartennummern oder persönliche Informationen verschlüsselt und damit abhörsicher gesendet. Dazu erfolgt eine sichere Identifizierung und Authentifizierung über ein SSL-Zertifikat, bei dem ein symmetrischer Schlüssel ausgetauscht wird. Mit diesem Schlüssel werden die Daten auf dem Weg zum Nutzer ver- und entschlüsselt.

Aber was genau sind die Vorteile? HTTPS-URLs erschweren es potenziellen Angreifern ganz erheblich, die Verbindung abzuhören und vertrauliche Informationen einzusehen. Dass Ihre Website eine verschlüsselte Verbindung anbietet, erkennen Ihre Besucher auf einen Blick am grünen Schloss in der Adresszeile des Browsers und daran, dass vor dem Domainnamen https:// statt http:// steht. Kein seriöser Internetauftritt kommt heute ohne diese wichtigen Erkennungszeichen aus, denn sie senden ein klares Trust-Signal.

Und es gibt noch weitere Vorteile, die für den Einsatz von HTTPS sprechen:

  • Sobald Kundinnen und Kunden auf Ihrer Website Daten eingeben, muss die Übertragung nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) sicher über HTTPS erfolgen, sonst drohen Abmahnungen und Bußgelder.

  • Indem Sie auf HTTPS umstellen, vermeiden Sie Warnmeldungen bei Login-Formularen, die das Vertrauen der Besucher beeinträchtigen können. Anmeldedaten und personenbezogene Daten in Formularen sind geschützt.

  • HTTPS beschleunigt die Ladezeiten Ihrer Homepage und macht die WordPress-Seite damit schneller.

  • WordPress mit HTTPS ist zukunftssicher, da Browser verschlüsselte und damit vertrauenswürdige Seitenaufrufe bevorzugen.

Gratis E-Book „WordPress für Unternehmen“

WordPress für kleine und mittlere Unternehmen: Von der Einrichtung bis zur sicheren Nutzung

  • Checkliste für WordPress-Einsteiger

  • WordPress installieren in 6 Schritten

  • Tipps zu Design, Content-Erstellung und SEO

  • Wichtige Plugins für mehr Funktionalität

Mehr erfahren
E-Book WordPress

2. SSL-Zertifikat erstellen und einbinden

Um Ihre WordPress-Website auf HTTPS-Verschlüsselung umzustellen, benötigen Sie ein SSL- oder TLS-Zertifikat (TLS – Transport Layer Security – ist eine neuere Generation von SSL und unterscheidet sich in der Anwendung nur geringfügig), das Sie auf Ihrem Webserver installieren. Das Zertifikat enthält Informationen über die Echtheit der Website und den Krypto-Schlüssel, mit dem die einzelnen Webseiten samt den verlinkten Dateien verschlüsselt werden können. Der Browser kann das SSL-Zertifikat überprüfen und verwendet den Schlüssel, um eine sichere Verbindung zum Webserver herzustellen.

Woher bekommen Sie das Zertifikat für WordPress?

Möglicherweise ist das Zertifikat bereits im WordPress-Paket Ihres Hosting-Anbieters enthalten – in diesem Fall entstehen Ihnen keine zusätzlichen Kosten und der Zeitaufwand ist minimal. Schauen Sie einfach im Kundenmenü nach und aktivieren Sie das Zertifikat, falls vorhanden, für Ihre Domain. Sollte kein Zertifikat in Ihrem Hosting-Vertrag enthalten sein, haben Sie in der Regel die Möglichkeit, ein kostenpflichtiges Zertifikat zu bestellen. SSL- und TLS-Zertifikate gibt es in verschiedenen Varianten, die sich in der Validierung unterscheiden.

  • Domain-Validierung: Am günstigsten und schnellsten verfügbar sind Zertifikate mit Domain-Validierung (Domain SSL). Die Validierung stellt sicher, dass Ihr SSL-Zertifikat auch zu Ihrer Website und somit zur richtigen Domain gehört. Domain-Validierungs-Zertifikate sind wegen der einfachen Ausstellung besonders für kleinere Unternehmen empfehlenswert. Mit einem Domain-validierten SSL-Zertifikat zeigt der Browser ein grünes Schloss beim Aufruf der Seite an.

  • Organisations-Validierung: Bei einem Zertifikat mit Organisations-Validierung (Organisation SSL) findet neben der Domain-Validierung noch eine Identitätsprüfung statt. Diese erfolgt anhand Ihrer Anschrift, Ihrer Gewerbeanmeldung oder Ihres Handelsregistereintrags. Nachteile: Zertifikate mit Organisations-Validierung sind teurer und die Ausstellung dauert länger.

  • Kostenloses SSL-Zertifikat: Die freie Zertifizierungsstelle Let’s Encrypt bietet kostenlose SSL-/TLS-Zertifikate an, mit denen Sie Ihre Website umstellen können.

  • Zertifikat aktivieren: Nachdem Sie Ihr SSL-Zertifikat erhalten haben, müssen Sie es auf Ihrem Server installieren. Dieser Schritt hängt von Ihrem Hosting-Anbieter ab, aber in der Regel müssen Sie das Zertifikat im Kundenmenü aktivieren oder es per FTP-Client in einen bestimmten Ordner auf dem FTP-Server hochladen. Je nach Hosting-Provider kann es einige Stunden dauern, bis das SSL-Zertifikat aktiviert ist.

3. Die Website-URL in WordPress auf HTTPS ändern

Nun müssen Sie dem CMS mitteilen, dass Sie HTTPS zum Ausliefern von Webseiten verwenden wollen. Dazu öffnen Sie Ihr WordPress-Dashboard und passen in den allgemeinen Einstellungen die URL-Adressen Ihrer WordPress-Installation an. Tragen Sie bei „WordPress-Adresse (URL)“ und „Website-Adresse (URL)“ jeweils die neue https://-Adresse Ihrer Domain ein. Sollten sich die beiden Felder im Dashboard nicht ändern lassen, nehmen Sie die Anpassungen in der Datei wp-config vor. Die Änderungen überschreiben die im Dashboard eingetragenen WordPress-URLs. Speichern Sie die Konfiguration und loggen Sie sich erneut ein, um zu überprüfen, ob die Änderungen in der wp-config übernommen wurden. Damit ist Ihre Website auf HTTPS umgestellt!

  • Wünschen Sie sich eine neue Homepage? Dann sind Sie bei uns richtig! Von uns können Sie sich zum günstigen Festpreis eine professionelle Website erstellen lassen.

4. Umleitung von HTTP auf HTTPS einrichten

Damit auch der Browser Ihrer Besucher zuverlässig eine verschlüsselte Verbindung zu Ihrer Homepage aufbaut, tragen Sie im Kundenmenü Ihres Hosters die https://-URL als Standardseite, Startseite oder Master-Adresse ein. Dadurch werden HTTP-Anfragen automatisch auf die neue URL weitergeleitet. Steht WordPress mit Ihrem Online-Shop in Verbindung, tragen Sie auch dort die neue URL ein.

Um HTTPS für die Webseiten zu erzwingen, richten Sie noch eine zusätzliche Weiterleitung (Redirect) vom HTTP-Protokoll auf HTTPS über die htaccess-Datei auf Ihrem Webserver ein. Die htaccess-Datei sorgt dafür, dass alle Links innerhalb Ihrer WordPress-Seite verschlüsselt geöffnet werden und Suchmaschinen wie Google bestehende Links im Suchindex auf https://-URLs aktualisieren. Folgenden Code können Sie für die Rewrite-Rule in der htaccess-Datei verwenden:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Tipp

Das Plugin Really Simple SSL nimmt die für HTTPS notwendigen Anpassungen in WordPress automatisch vor. Es stellt Ihre Website mit einem Klick auf HTTPS um, passt die Links an und ergänzt die htaccess-Datei. Und: Really Simple SSL unterstützt Let’s Encrypt.

5. Interne Verlinkungen aktualisieren

Steht die Umleitung, müssen Sie alle internen Links auf Ihrer Website sowie die Adressen von Bildern, Videos und PDF-Dateien von http:// auf https:// ändern. Wenn Sie dies nicht tun, erhalten Ihre Kunden eine Warnung, dass Ihre Website nicht vollständig sicher ist – und das sollten Sie im Hinblick auf Ihre Online-Reputation unbedingt vermeiden. Je nach Umfang Ihres WordPress-Content verursacht die Umstellung der Links eine Menge Arbeit, die Sie mit dem Plugin Better Search Replace auf wenige Klicks reduzieren.

Mit Better Search Replace ist das Ändern von URLs so einfach wie das Suchen und Ersetzen von Text in einem Word-Dokument: Erstellen Sie ein WordPress-Backup– schließlich kann bei Link-Änderungen leicht etwas schiefgehen. Installieren Sie das Plugin Better Search Replace und gehen Sie zum Menüpunkt „Suchen/Ersetzen“. Geben Sie unter „Suchen nach“ die http://-URL (ohne „s“) für Ihre Website ein und unter „Ersetzen durch“ die https://-URL (mit „s“) – schon macht sich das Plugin ans Werk. Nach getaner Arbeit können Sie Better Search Replace wieder entfernen – Sie brauchen das Plugin nicht mehr.

Wir erstellen für Sie eine maßgeschneiderte Website zum Festpreis und mit fortlaufendem Service. Buchen Sie kostenfrei einen Termin bei uns und lassen Sie sich unverbindlich beraten. Wir rufen Sie an, wenn es Ihnen am besten passt.

Jetzt Termin buchen!

Terminauswahl

Externer Partner calendly.com:
bitte Datenschutz beachten

6. Mixed-Content-Warnung beseitigen

Nach der Umstellung der Website-Adresse auf HTTPS kann es durch Mixed Content vorkommen, dass der Browser in der Adresszeile anstelle des grünen Schlosssymbols ein „i“ für Information anzeigt. Wenn Sie daraufklicken, erscheint die Warnung „Teile dieser Seite sind nicht sicher“ und weist auf ein Problem mit gemischten Inhalten hin. Mixed Content liegt vor, wenn Inhalte auf einer Webseite sowohl über eine sichere HTTPS-Verbindung als auch über eine unverschlüsselte HTTPS-Verbindung geladen werden. Das kann zum Beispiel passieren, wenn Sie zwar alle Bilder auf https://-Links umstellen, aber zum Beispiel auf ein Video weiterhin über einen http://-Link verweisen. In diesem Fall erkennt der Browser, dass sichere und unsichere Inhalte gemischt werden (passiver Mixed Content) und stuft Ihre Seite als potenziell unsicher ein. Skripte, die über http://-Verweis eingebunden werden, ermöglichen Interaktionen und gelten daher als besonders gefährlich und hochgradig unsicher (aktiver Mixed Content). Die Skripte können etwa in Themes und Plugins für WordPress enthalten sein.

Um Mixed-Content-Fehler zu beheben, müssen Sie zunächst herausfinden, welche Komponente(n) das Problem verursachen. Stellen Sie die betreffenden http://-Links dann einfach auf https:// um. WordPress-Plugins wie SSL Insecure Content Fixer unterstützen Sie dabei.

7. Ihre Seite läuft – jetzt mit HTTPS!

Dank der SSL-Verschlüsselung können Ihre Besucher ab sofort sicher und schnell auf alle Webseiten zugreifen. Damit Google die https://-Links zeitnah berücksichtigt, können Sie über die Google Search Console eine neue Sitemap an die Suchmaschine senden. Dazu steht Ihnen in der Google Search Console eine Upload-Funktion zur Verfügung. Falls Sie Google Analytics verwenden, müssen Sie zusätzlich in den Einstellungen von Google Analytics die URL zu Ihrer Website anpassen.

Bitten Sie noch Ihre Geschäftspartner, alte URLs in den Backlinks auf Ihre Seite zu aktualisieren. Vergessen Sie nicht, auch selbst die neue URL Ihrer Seite überall dort einzutragen, wo Sie Ihre WordPress-Adresse verwenden, zum Beispiel in Newslettern, Social-Media-Kanälen oder Ihrer E-Mail-Signatur.

Wünschen Sie persönliche Unterstützung bei der Umstellung von WordPress auf HTTPS, beraten wie Sie gerne! Buchen Sie hier Ihren Termin

Holen Sie sich aktuelle Blogartikel von heise regioconcept direkt in Ihr E-Mail-Postfach