Um Googles Vorgaben zu entsprechen und für eine sichere Übertragung von Kundendaten zu sorgen, steigen immer mehr Website-Betreiber auf HTTPS um. Wie auch Sie Ihre WordPress-Website sicher auf HTTPS umstellen ohne dabei Ihren Platz im Google-Ranking zu gefährden, erklären wir Ihnen in diesem zweiten Teil unserer HTTPS-Beiträge.

HTTPS – eine Zusammenfassung

HTTPS ist ein Kommunikationsprotokoll im Internet, welches dafür sorgt, dass Daten abhörsicher übertragen werden. Google wird ab Januar 2017 verstärkt Websites als unsicher kennzeichnen, die Daten von Kunden einfordern (Kreditkarteninformationen, Passwörter und ähnliches) und nicht über HTTPS laufen. Genaueres zu diesem Thema finden Sie in unserem ersten Beitrag „Müssen auch Sie Ihre Website auf HTTPS umstellen?“
In diesem Beitrag beschreiben wir nun die erforderlichen Schritte, zu einer HTTPS gesicherten Website, die von den Browsern entsprechend als sicher markiert wird.
ACHTUNG: Die Durchführung der folgenden Schritte erfordert einen Eingriff in die Datenbank Ihrer Website und sollte deswegen nur von erfahreneren Website-Betreibern durchgeführt werden. Die Durchführung erfolgt auf eigenes Risiko!

Sichern Sie Ihre Daten

Auch wenn Backups bei einer Website sowieso regelmäßig gemacht werden sollten, ist ein Datenbank-Backup bei diesem Vorgehen äußerst wichtig, da Sie Änderungen an der Datenbank Ihrer Website vornehmen werden. Mögliche Plug-ins, die Sie bei einem Datenbank-Backup unterstützen, finden Sie in unserem Beitrag „WordPress Backup-Lösungen mit Plug-in Empfehlungen“.

Legen Sie sich ein SSL-Zertifikat zu

Das SSL-Zertifikat dient als Grundlage zur Verschlüsselung Ihrer Webseite und bestätigt unter anderem Ihre Identität als Website-Inhaber. Ein SSL-Zertifikat erhalten Sie bei verschiedenen Quellen. Es gibt sowohl kostenpflichtige als auch kostenlose SLL-Zertifikate, mehr dazu finden Sie in unserem Beitrag „Müssen auch Sie Ihre Website auf HTTPS umstellen?“.
Grundsätzlich wird das SSL-Zertifikat von Ihrem Hoster auf dem Server installiert. Ist das erledigt, ist Ihre Website sowohl über HTTP als auch über HTTPS aufrufbar.

Im Backend auf HTTPS umstellen

Ein Wort der Warnung: Bei diesen Schritten kann es ggf. zu einem kurzen Ausfall Ihrer Website kommen. Deshalb raten wir, die Umstellung in einer Zeit durchzuführen, in der der Internetauftritt weniger stark besucht ist.
Im Backend müssen Sie WordPress als nächstes mitteilen, dass die Standardadresse der Website künftig über HTTPS angezeigt werden soll. Dazu rufen Sie unter „Einstellungen“ den Menüpunkt „Allgemein“ auf und ändern unter „WordPress-Adresse (URL)“ und „Seiten-Adresse (URL)“ das HTTP in der URL in ein HTTPS um.

Von HTTP zu HTTPS wechseln

Falls Ihre Website danach nicht sofort wieder unter der neuen Adresse https://ihrewebsite.de erreichbar ist, tragen Sie folgende Zeile in die wp-config.php ein:
define( 'WP_CONTENT_URL', 'https://ihrewebsite.de/wp-content' );

Die URLs anpassen

Als Nächstes ist es wichtig, dass alle URLs innerhalb der Website auf HTTPS geändert werden. Ob interne Verlinkungen, Menü-Links oder ähnlich, all diese Links müssen gefunden und geändert werden.
Sie können jede einzelne Seite manuell kontrollieren und bei „absoluten Links“ von http://ihrewebsite.de/… auf https://ihrewebsite.de/.. wechseln. Für unseren Umzug haben wir dafür das Tool „Database Search and Replace Script in PHP“ verwendet. Auf der angegebenen Website lässt sich eine Software herunterladen, die Sie auf Ihrem Server installieren. Mit Hilfe dieser Anwendung können Sie Ihre Datenbank nach alten Links durchsuchen und diese durch die neuen ersetzten.
BITTE lesen Sie unbedingt die Bedienungsanleitung der Software durch!

Die „Database Search and Replace Script in PHP“ Software

Alle Seiten überprüfen

Nun müssen Sie alle Unterseiten Ihrer Website überprüfen. Wird überall in der Adresszeile das (grüne) Schloss, und auch NUR das (grüne) Schloss angezeigt?
Wird Ihnen in der Adresszeile Ihres Firefox- oder Chrome-Browsers neben dem Schloss noch ein Warnsymbol angezeigt, wird signalisiert, dass die Seite zwar über HTTPS aufgerufen wird,  sich auf der Seite aber noch Elemente mit unsicheren HTTP-Verbindungen befinden. Meistens liegt das an Bildern, Dateien oder auch Schriften, die über einen absoluten Link eingebunden sind.
Finden Sie kein Bild oder keine Datei, die den Fehler auslöst, können Sie im Chrome-Browser die „Entwicklertools“ für sich arbeiten lassen.

Mit einem Rechtsklick ins Pop-up-Menü

Klicken Sie (in Chrome) per Rechtsklick auf Ihre Seite und wählen Sie in dem Menü „Untersuchen“ aus. Nun erscheint ein zusätzlicher Bereich in Ihrem Fenster, meist unten am Browserrand angeheftet.
Hier wählen Sie den Tab „Console“ aus, in welchem Ihnen angezeigt wird, welches Element für den HTTPS-Fehler verantwortlich ist.

Die „Konsole“ liefert Informationen zu HTTP-Verbindungen

Der Fehler ist rot markiert und enthält oftmals den Hinweis: „The page at … was loaded over HTTPS but displayed insecure content from … This should also be loaded over HTTPS“.

301-Umleitungen in der .htaccess

Nun müssen Sie noch sicherstellen, dass Ihre Website nur noch unter HTTPS aufrufbar ist. Ist die Website nämlich auch noch unter HTTP erreichbar, haben Sie doppelten Inhalt im Internet (Duplicate Content). Das ist garnicht gut für Ihr Google-Ranking.
Greifen Sie via Ihrem FTP-Zugang auf die .htaccess-Datei Ihrer WordPress-Installation zu und fügen Sie den folgenden Code ganz am Anfang hinzu (vorher eine Kopie der Datei sichern!):
RewriteEngine On
RewriteCond %{SERVER_PORT} !=443
RewriteRule ^(.*)$ https://www.ihrewebsite.de/$1 [R=301,L]

Abschlusstest der Verschlüsselung

Haben Sie Ihre Website erfolgreich auf HTTPS umgestellt, sollten Sie zum Abschluss Ihre Website noch einem abschließenden Test mit dem „Qualms Lab Tool“ unterziehen. Hier werden Sie Informiert, falls noch irgendwas einer optimalen Sicherheit (Note „A+“) in die Quere kommt. Auch gut zum Testen von Fehlern ist der Dienst  Why No Padlock?

Der Test: Wie schneidet Ihre Website ab?

Google über die Umstellung informieren

Oft wird vergessen, dass es sich bei der HTTP- und HTTPS-Variante um unterschiedliche Websites handelt. Wenn Sie Ihre Website komplett auf SSL umgestellt haben, müssen Sie die HTTPS-Variante auch in der Google Search Console (früher: Google Webmaster Tools) anmelden.
Behandeln Sie die HTTPS-Variante Ihrer Website wie eine neue „Property“ und führen alle entsprechenden Schritte durch. Denken Sie zum Beispiel daran, Ihre XML-Sitemap zu aktualisieren und neu zu hinterlegen. Beobachten Sie die nächsten Wochen beide Website-Versionen auf Auffälligkeiten und Problemen bei der Indexierung. Nach ein paar Monaten können Sie dann die alte HTTP-Version Ihrer Website aus der Search Console löschen.
Selbst wenn nach der Umstellung Ihrer Website auf das HTTPS-Protokoll Suchmaschinen-Rankings und Website-Traffic kurzzeitig einbrechen sollten: Machen Sie sich nicht verrückt! Google benötigt in der Regel – wie auch im Falle eines Domainwechsels – eine gewisse Zeit, um zu erkennen, dass es sich bei HTTP und HTTPS im Prinzip um die gleiche Seite handelt. Wenn Google die Signale an die neuen URLs weitergegeben hat, sollte auch die Sichtbarkeit wieder auf das Ursprungsniveau steigen. Eine negativen Ranking-Effekt haben verschlüsselte Seiten nicht zu befürchten, wenn Sie die obigen Schritte befolgt haben.

Quelle Bilder: Eigene Screenshots