Eine verschlüsselte Übertragung von Daten zwischen Browser und Webserver bringt zusätzliche Sicherheit. Deshalb legt Google zunehmend Wert darauf, dass Websites verschlüsselt per SSL übertragen werden und gewichtet diesen Faktor beim Ranking der Suchergebnisse. Hinzu kommt: Webbrowser weisen User immer deutlicher darauf hin, wenn eine Website nicht verschlüsselt übertragen wird.
Eine Umstellung Deiner Webseite auf SSL ist daher sehr zu empfehlen. Seit bei STRATO jedes Hosting-Paket ein gratis SSL-Zertifikat enthält, kostet die Umstellung keinen Cent extra und ist auch relativ leicht zu bewerkstelligen.
Dennoch sei darauf hingewiesen, dass die Umstellung auf SSL in manchen Fällen kompliziert werden kann. Der Workshop zeigt den Standardweg und gibt einige grundlegende Tipps für Lösungsansätze, wenn es schwieriger werden sollte.
SSL und https – was ist das?
SSL bedeutet „Secure Socket Layer“ und besagt, dass die Daten einer Website verschlüsselt vom Server zum Browser beziehungsweise vom Browser zum Webserver übertragen werden. Eine Verfälschung der Daten oder auch ein Diebstahl von Benutzerdaten vom Browser zum Server soll damit unmöglich gemacht werden.
Das zugehörige Übertragungsprotokoll ist https (Hypertext Transfer Protocol Secure) – im Gegensatz zum derzeitigen Standard http (Hypertext Transfer Protocol). Im Detail erklärt der Wikipedia-Eintrag zu https die Zusammenhänge recht verständlich. Zu erkennen ist eine SSL-gesicherte Webseite an der URL, die mit https:// beginnt.
Schritt 1: SSL-Zertifikat installieren
Damit SSL funktioniert, muss auf dem Webserver ein SSL-Zertifikat installiert sein. Bei STRATO ist in jedem Hosting-Paket ein solches von Symantec ausgestelltes Zertifikat kostenlos enthalten, die Installation gestaltet sich entsprechend einfach.
Im Kundenbereich Deines STRATO-Hosting-Pakets wählst Du dazu die Menü-Option Sicherheit – STRATO SSL. Das aktiviert das kostenlose SSL-Zertifikat.
Im nächsten Schritt klickst Du auf den Button STRATO SSL und dann auf Zuweisen. Aus der Dropdown-Liste wählst Du die Domain Deines Blogs aus und klickst auf den Button Domain zuweisen.
Jetzt ist die Zuweisung in Bearbeitung und unter Status wird ein Uhr-Icon angezeigt. Typischerweise dauert die Bearbeitung einige Minuten bis zu einer Stunde. Dann ist das SSL-Zertifikat aktiv und Du siehst unter Status ein Vorhängeschloss-Symbol.
Schritt 2: WordPress auf SSL umstellen
Mit der Version 5.7 haben die Entwickler die Umstellung auf SSL deutlich vereinfacht, denn WordPress hat nun eine eigene Funktion für genau diesen Zweck. Sobald Du in Schritt 1 das SSL-Zertifikat der Domain zugeordnet hast, unter der Dein Blog läuft, findest Du im Dashboard-Widget Zustand der Website ein Hinweis, dass es offene Einträge gibt.
Klickst Du auf Website-Zustand in dem Widget, siehst Du in der folgenden Ansicht bei den „kritischen Problemen“ den Hinweis „Deine Website verwendet kein HTTPS“:
WordPress erkennt automatisch, ob Du das SSL-Zertifikat zuvor ordnungsgemäß der Domain zugeordnet hast. Ist das der Fall, steht Dir der Button zum „one-click“-Update auf SSL bereit.
Klicke auf den Button Aktualisiere deine Website zur Verwendung von HTTPS. Anschließend erscheint einmalig die Erfolgsmeldung:
Anschließend musst Du Dich neu in Dein WordPress einloggen.
Unter Einstellungen – Allgemein kannst Du erkennen, dass die URLs hier automatisch von http auf https geändert wurden. Auch in der Datenbank sind interne Links und die Einbindung beispielsweise von Bildern in https umgewandelt worden.
Idealerweise hast Du die Umstellung auf SSL nun bereits geschafft. Allerdings solltest Du genau prüfen, of es wirklich keine Probleme gibt. Nicht automatisch umstellen kann WordPress nämlich beispielsweise URLs, die in Dateien Deines Themes wie der functions.php oder style.css enthalten sind. Auch URLs in Plugin-Optionen, Custom Post Types oder Custom Fields könnten Probleme machen.
Umstellung erfolgreich?
Um festzustellen, ob die Umstellung bereits erfolgreich abgeschlossen ist, oder Du noch weitere Anpassungen vornehmen musst, rufst Du Dein Blog im Browser auf. Links oben neben der URL sollte jetzt ein geschlossenes Vorhängeschloss-Symbol erscheinen. Wenn Du darauf klickst, siehst Du die Meldung „Verbindung ist sicher“ (Google Chrome, Microsoft Edge) oder „Verbindung sicher“ (Firefox). Ist das der Fall, ist der wichtigste Teil der Umstellung erledigt.
Schritt 3: SSL in WordPress erzwingen in den Backend-Einstellungen bei Strato
Empfehlenswert ist, in den Einstellungen im Strato-Backend zwingende SSL-Verschlüsselung zu aktivieren. Diese Einstellung solltest Du übrigens erst dann vornehmen, denn die Umstellung in WordPress erfolgreich verlaufen ist.
Benutze die Funktion SSL erzwingen, um sicherzugehen, dass Dein WordPress ab sofort ausschließlich über https erreichbar ist und nicht parallel auch unverschlüsselt über http. Die entsprechende Option findest Du an der gleichen Stelle, wo Du zuvor das SSL-Zertifikat der Domain zugewiesen hast.
Bei dem folgenden Fenster solltest Du die obere Variante mit 301-Weiterleitung wählen. Die temporäre Weiterleitung 302 solltest Du nur vorübergehend zum Testen der SSL-Umstellung verwenden. Natürlich kannst Du die Option jederzeit später von 302 auf 301 ändern.
Schritt 4: SEO nicht vergessen …
Ein letzter Schritt ist aus Sicht der Suchmaschinenoptimierung relevant. Er informiert Google zuverlässig über den Wechsel zu SSL. Denn aus Google-Sicht sind die http://- und https://-Varianten nämlich zwei verschiedene Websites und es sollte mittelfristig nur noch die neue https://-Variante von Google erfasst werden.
Falls Du die Google Search Console (ehemals „Webmastertools“) bisher schon verwendet hast, gibt es dort bereits den Eintrag für die http://-Variante. Lege jetzt mit Property hinzufügen Dein Blog zusätzlich auch in der https://-Variante an und belasse die http://-Variante bestehen. Falls Du die Webmastertools bislang noch nicht benutzt hast, lege einfach nur die neue „Property“ mit der https://-URL an.
Hinweis: Anders als in diversen Tutorials im Web angegeben, solltest Du in der Search Console für die alte http://-URL keine Adressänderung vornehmen. Laut Google ist diese Option nicht für den Wechsel zu SSL sinnvoll und vorgesehen. Wenn Deine http://-URLs auf die https://-URLs umgeleitet werden – wie oben in den STRATO Einstellungen beschrieben und vorgenommen – erkennt Google den Wechsel automatisch.
Falls Du früher einmal eine Sitemap an die Google Search Console übermittelt hast: Stelle sicher, dass Du auch diese mit den neuen https://-URLs neu übermittelst. Setzt Du dafür ein Plugin ein, achte darauf, dass es die Änderung entsprechend berücksichtigt.
Wenn Du Deinen Blog zum Beispiel in Profilen bei Facebook, Twitter, Instagram und Co. verlinkt hast, ändere auch dort die Links auf die https://-URL, damit diese Links Deinen Blog direkt erreichen und nicht erst durch die Umleitung laufen.
Schritt 5: Fehlersuche, wenn die Umstellung nicht erfolgreich verläuft
Bekommst Du bei der Prüfung im Browser die Meldung, dass die Website nicht sicher ist, symbolisiert durch ein unterbrochenes oder durchgestrichenes Vorhängeschloss, ist noch etwas Nacharbeit fällig.
Denn in diesem Fall wird die aufgerufene Seite als solche zwar bereits SSL-verschlüsselt übertragen, nicht aber einige darin eingebundene Komponenten. Dazu gehören oftmals Bilder, eventuell aber auch andere Elemente wie Youtube-Videos.
Das kann aber auch beispielsweise HTML- oder Javascript-Code von Werbebannern sein. Und auch von Plugins eingebundene Elemente könnten die Ursache für das Problem sein. Selbst unflexibel programmierte Themes könnten http://-Referenzen enthalten.
Werden Elemente auf einer verschlüsselten Seite unverschlüsselt geladen, erzeugt das so genannten „mixed content“. Das macht die Seite per Definition insgesamt unsicher – mit entsprechender Warnmeldung im Browser.
Bekommst Du im Browser weiterhin eine SSL-Fehlermeldung, dann bleibt Dir eine genaue Fehleranalyse leider nicht erspart. Aufgrund der Vielzahl der möglichen Ursachen können wir hier nicht alle Eventualitäten besprechen. Wir zeigen aber, wie Du dem Problemen auf die Spur kommst.
Schaue zunächst die Optionen Deiner Plugins genau durch und ändere auch dort gegebenenfalls eingetragene URLs nach https://. Anzeigencode beispielsweise im Plugin Adrotate oder Ähnlichen könnte noch http://-URLs enthalten. Achte aber bei Änderungen darauf, dass diese externen URLs auch tatsächlich via SSL abrufbar sind, sonst hilft auch die Änderung auf https:// nichts.
Treten weiterhin SSL-Fehlermeldungen auf, ist zunächst entscheidend, die nicht mit SSL geladenen Elemente zu identifizieren. Das geht am einfachsten mit den Entwicklertools des Browsers Google Chrome, im Menü unter weitere Tools – Entwicklertools. Klickst Du dort auf den Reiter Security, zeigt Chrome Dir im Console-Fenster die problematischen Mixed Content-Elemente an.
Für die Fehlerbehebung sind sowohl Detektivarbeit als auch HTML- oder PHP-Kenntnisse nötig. Ist ein Plugin oder Theme als Übeltäter identifiziert, solltest Du zunächst im zugehörigen Supportforum bei WordPress nach Hilfe suchen. Dort wirst Du schnell feststellen, ob es eine Lösung gibt, oder ob Du das Theme oder Plugin wechseln musst.
Als Übergangslösung könnest Du bei Themes ein Child-Theme anlegen und entsprechende Anpassungen vornehmen. Plugins könntest Du kopieren und daraus ein eigenes Plugin mit entsprechend verändertem Code bauen. Das löst zumindest vorübergehend das SSL-Problem. Langfristig wirst Du Dir da aber jeweils eine dauerhafte Alternative suchen müssen, wenn Du das Theme beziehungsweise Plugin nicht selbst weiter pflegen und aktualisieren willst oder kannst.
Warum ist „Mixed Content“ problematisch?
Das wirklich unangenehme an einer SSL-Umstellung ist, dass sich die verschiedenen Webbrowser sehr unterschiedlich verhalten, wenn sie auf unsichere Webseiten stoßen. Das sind Webseiten, die zwar mit SSL übertragen werden, aber unsichere Elemente enthalten.
Manche Browser bringen nur einen dezenten Hinweis, andere suggerieren dem User eine große Gefahr und bieten gleich auch noch eine Möglichkeit, die Website als gefährlich zu melden. Selbst wenn die Ursache nur ein einziges, nicht verschlüsselt geladenes Bild ist, von dem keine wirkliche Gefahr ausgeht, bekommt der User den Eindruck großer Gefahr vermittelt.
Deshalb ist es wichtig, sehr genau darauf zu achten, dass wirklich die komplette Website SSL-verschlüsselt übertragen wird. Du solltest Deine Website nach der Umstellung ausgiebig testen, damit wirklich nirgendwo ein Problem auftritt. Denn natürlich findet es kein Leser – und erst recht nicht Suchmaschinen – besonders lustig, wenn statt Deiner Inhalte ein dicker, roter Alarm aufpoppt.
Wenn Du abschließend nochmal testen willst, ob wirklich alles okay ist, gibt Dir der SSL-Test von SSL Labs zusätzliche Sicherheit.
Zum Abschluss noch ein Hinweis
Dieser Workshop behandelt den typischen Weg einer SSL-Umstellung von WordPress. Aufgrund der Vielzahl von Themes, Plugins und eventuell individueller Anpassungen können sich Probleme ergeben, die sich in einem solchen Workshop nicht abdecken lassen. Nimm Dir Zeit für die Umstellung und bereite alles gut vor, dann stehen die Chancen für einen reibungslosen Übergang sehr gut. Viel Erfolg!
Suchst Du noch nach dem passenden Hosting für Deinen eigenen WordPress Blog?
Hier geht’s zu unseren Angeboten.Oder möchtest Du noch mehr Experten-Tipps für WordPress? Dann geht es hier zu den kostenlosen STRATO E-Books:
WordPress für Einsteiger & FortgeschritteneHinweis: Der ursprüngliche Beitrag ist im STRATO Blog zum ersten Mal am 16. Dezember 2016 erschienen. Diesen Beitrag haben wir am 01.07.2021 aktualisiert.
Franz Neumeier
Ich bin Franz Neumeier, war jahrelang Chefredakteur bei IT-Zeitschriften wie PC Professionell, Internet Professionell und Internet Magazin. Inzwischen habe ich mich als freier Autor vor allem auf Kreuzfahrt-Themen spezialisiert, betreibe mehrere Websites und schreibe für STRATO über verschiedene Themen, vor allem über WordPress und übers Bloggen.
www.RTWbyBIKE.com sagte am
“Einstellungen – Allgemein: ändere die WordPress-Adresse und die Website-Adresse von http:// auf https://”
das geht doch bei WordPress auf Strato nicht. Dazu muß man in das wp-config.php gehen und es dort ändern. Aber dann kann man sich nicht mehr einloggen und die Seite wird nicht geladen…
sagte am
Hallo,
Du möchtest von einer gesicherten Hauptdomain mit SSL auf eine Subdomain ohne SSL-Zertifikat weiterleiten. Das funktioniert leider nicht. Für Deine Subdomain benötigst Du ebenfalls ein Zertifikat.
Viele Grüße
Lisa
Sophie sagte am
Hallo,
ich habe gerade nach der Anleitung ein SSL-Zertifikat erstellt, es zugewiesen und erzwungen. Seit dem kann ich weder auf meine Seite zugreifen noch mich bei WordPress einloggen. Ich bekomme immer die Meldung, dass die Website keine sichere Verbindung herstellen kann.
Was habe ich falsch gemacht und wie kann ich es ändern, sodass ich mich wieder bei WordPress einloggen kann?
Vielen Dank schonmal!
Andreas Wehry sagte am
Hallo Sophie,
das können wir aus der Ferne ohne nähere Infos leider nicht so einfach beurteilen. Bitte wende Dich mit dieser Beschreibung aber einmal an unseren Kundenservice und wir schauen uns das gemeinsam mit Dir an.
Du erreichst unseren Kundenservice über Facebook, Twitter oder über Hilfe & Kontakt.
Viele Grüße
Michael
Joris Jonker sagte am
Vielen Dank! Hat mir sehr geholfen und alles hat funktioniert.
sagte am
Hallo Joris,
das freut mich zu lesen. Danke für Dein Feedback!
Viele Grüße
Lisa
Christof Musial sagte am
Mir hat es geholfen, Danke
Janus Zylka sagte am
Hallo,
ich bin verzweifelt: Ich habe einen Haufen Mixed-Content-Warnungen, weil alle Uploads (Bilder/Videos) die http-Referenz beinhalten. Trotz allen Schritten und Plugins wie Search and Replace. Ich verstehe es nicht. Ich hoffe, mir kann jemand helfen. Vielen Dank.
Oliver Meiners sagte am
Hallo Janus,
kommst Du auch mit dem Plugin Better Search Replace nicht weiter, das Franz empfiehlt?
Ansonsten habe ich leider auch keine Lösung für Dich. Bitte habe Verständnis, dass wir als Hosting-Anbieter keine Unterstützung für individuelle WordPress-Installationen bieten können. Hierfür empfehle ich Dir die Support-Foren von WordPress selbst: https://wordpress.org/support/
Ich wünsche Dir viel Erfolg bei der Lösungsfindung!
Viele Grüße
Oliver