Anleitung: WordPress auf SSL umstellen

Dieser Beitrag enthält Werbung und Werbelinks.

Wenn ich eine Website neu erstelle ist es bei mir mittlerweile normal das ich gleich ein SSL Zertifikat installiere. Meiner Meinung nach sollte jede Website SSL verschlüsselt sein. Wer sich mal den §13 des Telemediengesetzes durchliest, dem wird schnell klar: Ein SSL Zertifikat ist Pflicht.

Mit dem Service von https://letsencrypt.org/ ist das auch mittlerweile für jeden kostenlos.

Nun haben die meisten aber noch eine bestehende WordPress Installation die man nicht einfach so mit einem SSL Zertifikat versehen kann. Grade dann wenn die Seite viele interne Verlinkungen hat, ist es schwierig alle Inhalte umzustellen. Diese Anleitung richtet sich an Kunden von Shared-Hosting Paketen. Also alle die ein Hostingpaket mit einer WordPress-Installation betreiben und keinen eigenen Server verwalten.

Grundsätzlich ist der Ablauf, wenn man seiner WordPress Website ein SSL Zertifikat verpassen möchte, so:
1. SSL Zertifikat installieren
2. WordPress Installation umstellen
3. Interne Verlinkungen umstellen
4. Permalinks neu generieren
5. Ggf. Verlinkungen auf anderen Websites anpassen
6. Weiterleitung einrichten

Der erste Schritt: Installation des SSL Zertifikates

Am einfachsten wäre es, wenn dein Hoster das automatische Registrieren und Einbinden von Let’s Encrypt SSL Zertifikaten unterstützt. Eine Liste welche Hoster das anbieten gibt es hier: https://community.letsencrypt.org/t/web-hosting-who-support-lets-encrypt/6920

Falls dein Hoster das nicht kann, würde ich dir empfehlen den Hosting-Provider zu wechseln. Ich bin seit Jahren bei All-Inkl.com und hochzufrieden. Alternativ kann man sich noch den Certbot installieren und selbst sein SSL Zertifikat erstellen und verlängern oder sich ein SSL Zertifikat mit https://www.sslforfree.com generieren lassen das ebenfalls manuell verlängert werden muss. Wer etwas Geld ausgeben will, der findet im Netz auch viele Anbieter die kostenpflichtige SSL Zertifikate anbieten die auf Wunsch automatisch verlängert werden.

Installation ohne automatisches Anfordern und Einbinden

Normalerweise funktioniert das Anfordern eines SSL Zertifikates so:

1. Erzeugen eines Certificate Signing Request (CSR)
Auf deinem Server musst du einen CSR erzeugen, das ist eine Art Code mit dem du dann das SSL Zertifikat speziell für deine Domain anfordern kannst. Spreche mit deinem Hosting-Provider wo du ein CSR generieren kannst.

2. Anfordern des Zertifikates mit dem CSR
Mit dem CSR Code kannst du dann z.B. bei https://www.sslmarket.de ein Zertifikat anfordern. Wichtig ist, dass du alle Daten korrekt eingibst und dich für eine Schreibweise deiner Domain entscheidest. Also entweder www.deinedomain.de, https://deinedomain.de oder https://www.deinedomain.de.

3. Validierung der Daten
Bei SSL Market muss man seine Mail Adresse und das Anfordern des Zertifikats bestätigen. Hat das geklappt, bekommt man das SSL Zertifikat zugesandt.

4. Einfügen des SSL Zertifikates
Das Zertifikat ist eigentlich nur eine Datei. Darin befindet sich der CRT also das eigentliche Zertifikat und ein Brückenzertifikat (All-Inkl.com sagt: Diese werden meistens benötigt und sind oft als Intermediate-, Bundle- oder CA Zertifikat gekennzeichnet.)

Wenn man die Daten richtig eingetragen hat, dann ist das Zertifikat installiert und man kann mit der Umstellung der Domain beginnen.

Installation mit automatischem Anfordern und Einbinden

Wenn dein Hoster das automatische Anfordern und Einbinden von Let’s Encrypt Zertifikaten unterstützt, dann hast du es natürlich einfacher. Das geht meist mit wenigen Klicks und wird auch automatisch verlängert. Bei All-Inkl.com geht das innerhalb weniger Sekunden. Am besten du fragst deinen Hoster wo & wie du das Zertifikat anfordern kannst.

Umstellung der WordPress Installation

Damit deine Seite jetzt auch wirklich mit dem SSL Zertifikat arbeitet, muss deine Website umgestellt werden. Das erste was man machen sollte ist ein Backup. Dann kann man die URL in WordPress selbst umstellen. Das geht im WordPress Backend unter Allgemein -> WordPress-Adresse (URL) und Website-Adresse (URL). Wenn du dann unten auf Änderungen übernehmen klickst, dann sollte WordPress schon automatisch so Links wie Menueinträge, Themeinterne-Verlinkungen und Verlinkungen von Plugins umstellen.

Es gibt da aber immer noch Links die davon nicht betroffen sind und deshalb muss man da selbst nochmal nachhelfen. Das kann man manuell in der Datenbank machen oder man macht es sich einfach und nimmt das Plugin Better Search Replace. Ist das Plugin installiert und aktiviert findet man unter Werkzeuge -> Better Search Replace die Benutzeroberfläche des Tools.

Jetzt trägt man oben bei „Suchen nach:“ die bisherige Adresse der Website ein also z.B. www.deinewebsite.de. Bei „Ersetzen durch“ kommt dann die neue URL deiner Website rein also z.B. https://deinewebsite.de. Dann wählt man die entsprechenden Tabellen der Datenbank aus. In diesem Fall natürlich alle. Ein Testlauf zeigt, ob alles richtig eingegeben wurde. Bei mir wird natürlich nichts gefunden, da ich meine Website schon lange umgestellt habe. Wenn alles gut läuft kann man dann das Häkchen bei „Testlauf?“ entfernen und nochmals den Vorgang starten.

Bedenke das es auch andere Schreibweisen deiner URL geben kann, es lohnt sich hier noch weitere Durchgänge mit z.B. http://deinewebsite.de und http://www.deinwebsite.de zu machen um wirklich alle URLs zu ändern.

Als letztes würde ich nochmal die Permalinks neu generieren. Das geht ganz einfach indem man unter Einstellungen -> Permalinks, einfach auf Änderungen übernehmen klickt.

Nun ist die Umstellung abgeschlossen und deine Website sollte unter https:// aufrufbar sein. Falls deine Browserleiste nicht grün erscheint, solltest du mal deinen Browsercache leeren. Falls dann die Leiste immer noch nicht grün ist, gibt es noch einige Inhalte die noch umgestellt wurden. Vielleicht gibt es noch Links in Widgets die noch manuell umgestellt werden müssen oder ein Theme / Pluginentwickler hat die SSL-Kompatibilität völlig ausser acht gelassen.

Man kann sich dann noch mit einem kleinen Plugin behelfen. Really Simple SSL geht aggressiv vor und stellt alles auf https:// um was es finden kann. Jetzt sollte auch die Browserleiste grün angezeigt werden.

Verlinkungen auf anderen Websites anpassen

Bestimmt ist deine Website auf Facebook, Instagram oder sonst wo im Internet noch mit der alten URL vertreten. Jetzt ist der Zeitpunkt um diese Links umzustellen und dich mit deinem SSL Zertifikat zu präsentieren.

Weiterleitung einrichten

Damit auch wirklich niemand mehr eine unverschlüsselte Version deiner Website aufrufen kann, sollte man eine Weiterleitung einrichten. Das geht am besten via der .htaccess Datei. Manche Hoster bieten auch eine Option in den URL Einstellungen an, diese kann man natürlich auch verwenden. Ansonsten halt via .htaccess.

Diese Datei befindet sich im Hauptverzeichnis der WordPress Installation auf dem FTP-Server. Also FTP Zugangsdaten rauskramen und via Web-FTP oder Filezilla mit dem FTP-Server verbinden. Das WordPress-Hauptverzeichnis erkennt man daran das es die Ordner:
wp-admin
wp-content
wp-includes

und ein paar andere Dateien enthält. Falls noch keine .htaccess Datei existiert, kannst du eine erstellen. Entweder mit dem Web-Editor im Web-FTP oder mit einem Programm wie Notepad++.

In die .htaccess Datei schreibt man dann ganz oben:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Speichern. Fertig!

Nun sollten auch die www., http:// und http://www. Varianten deiner Domain zu https:// weiterleiten.

Bleiben wir in Kontakt?

Aktuell sind wir sehr aktiv auf TikTok und hin und wieder gibt es einen Newsletter. Mehr Infos dazu in der Datenschutzerklärung.