Websites durch https / SSL verschlüsseln (Anleitung)

Es gibt mehrere Gründe, warum Websites durch eine Umstellung  auf https / SSL gesichert werden sollten – die ab Mai 2018 geltende DSGVO (Datenschutz-Grundverordnung) ist die eine. Weitere Gründe für die Umstellung:

  • Hacker und Schad-Programme haben es deutlich schwerer!
  • HTTPS ist aufgrund der DSGVO eine Pflicht auf Websites mit Kontakt-Formularen, Verkaufs-Seiten (Shops), etc
  • das Ranking bei Google-Suchergebnissen wird besser!
  • und die Website-Geschwindigkeit besser (siehe unten “google Speedtest”)
  • und es schafft Vertrauen bei Website-Besuchern, etc.

Die Frage ist: Wie kann eine Website auf https umgestellt werden? Hier ist ein …

7-Schritte-Programm für die Umstellung von WordPress-Websites:


1. SSL-Zertifikat beantragen.

Bei vielen Internet-Providern ( Web-Hosting-Anbieter) kann ein kostenloses Let’s Encrypt SSL-Zertifikat genutzt werden. Wenn Ihr Anbieter dieses noch nicht kostenfrei anbietet, kannst es eigentlich bei jedem serösen Anbieter im Kunden-Menü kostenpflichtig bestellt werden.

Bei unserem Provider (Artfiles aus HH) geht das im DCP unter: Domains -> SSL -> neu und zwar so:

Nachdem das SSL-Zertifikat bereit steht (enabled), kann die eigentliche WordPress-Umstellung beginnen.

Nicht selbst, sondern machen lassen? >


2. HTTPS für Adminstrator in WordPress einrichten

Auf der offiziellen WordPress.org Website wird empfohlen, zuerst den Amin umzustellen wie folgt: Kopere diesen Pfad / diese Zeile:

define('FORCE_SSL_ADMIN', true);

Und füge diese kopierte Zeile in die Datei wp-config.php

OBERhalb von dieser Zeile ein:

/* That’s all, stop editing! Happy blogging. */

Meistens sind bereits einige Zeilen mit “define …. ” in der wp-config.php zu finden. In der Regel legen wir die neue Zeile direkt dahinter, aber vor /* That’s all, stop editing! Happy blogging. */

Damit Sie an die wp-config-php herankommen, müssen Sie sich per FTP beim Provider einloggen und diese Datei im jeweiligen Web-/Wordpress-Ordner suchen und zur Bearbeitung öffnen.

Danach gibt es im Browser oben in der Leiste, wo der Domain-Name steht, eine Sicherheits-Fehlermeldung mit Gelb-markiertem Schloss-Symbol. Das ist für den Moment so okay!


3. HTTPS auf der kompletten WordPress Webseite

Sofern keine anderen Probleme auftreten, kann der nächste Schritt erfolgen.

Nun muss die Webseiten- und WordPress-Adresse (URL) auf HTTPS umgestellt werden. Und zwar hier in den WordPress-Einstellungen, nach dem Einloggen als Admin -> Einstellungen -> Allgemein

 

Übrigens scheint eine URL ohne www die Geschwindigkeit der Website zu verbessern. Siehe Google Speedtest.

Soweit ist das fertig!  Doch jetzt kommt noch etwas ganz Wichtiges:


4. Die Umstellung der internen Links auf https.

Wird das vergessen, werden alle möglichen alten internen Verlinkungen / URL´s nicht funktionieren. Das geht am besten mit dem Plugin: Search & Replace (auf Deutsch verfügbar). Anders als andere Plugins dieser Art kann mit diesem Plugin direkt und ganz einfach ein Backup der SQL-Datenbank erstellt werden!

Bekannt von Textprogrammen können damit per Suchen und Ersetzen in der gesamten WordPress-Datenbank die Pfade / URL´s ausgetauscht werden. Siehe Bild:


 

Theoretisch sollte jetzt in der Browser-Zeile ein Schloss mit grünem Symbol erscheinen. Praktisch tut es das eigentlich nie … Fehler können übrigens mit einem Website-Tool wie dem ” Why No Padlock ” gefunden werden. In der Regel gibt es hier eine Warnung bei “Force HTTPS”:


Hinter “more Info” steht auch geschrieben, was getan werden muss:


5. Eine Änderung der .htaccess zum Erzwingen der https-Umleitung

Die Datei  .htaccess Datei muss auch über ein FTP-Programm auf dem Installationspfad bei dem Provider geöffnet und geändert werden. Jetzt bitte zuerst ein Backup der .htaccess anlegen!

Je nach Provider ist die Regel unterschiedlich. Es kann z.B. diese sein:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

oder diese:

RewriteEngine On
RewriteCond %{HTTP_HOST} ^example.com [NC]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]

Example muss natürlich durch den eigenen Domain-Namen ersetzt werden, hier z.B. durch tiefenschaerfe.de

Hinterher steht das z.B. in der .htaccess (die grauen Angaben waren vorher schon da):

AddHandler af_php73 .php

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

Nicht selbst, sondern machen lassen? >

Eigentlich fertig, aber … Das Symbol ist immer noch gelb?

Eventuell wird eine Mixed-Content-Warnung vom Browser angezeigt? Diese entsteht z.B. durch eingebaute externe Schriften, Hintergrundbilder in CSS-Dateien, etc, deren URL während der o.g. Prozesse nicht richtig umgestellt worden sind.  Im ersten Schritt könnte das o.g. Search & Replace-Plugin  erneut gestartet werden.

Mir ist es einmal passiert, dass ich die Suchen-Ersetzen-Funktion mit dem o.g. Plugin nur mit https://domainname.de durchgeführt habe, aber nicht mit https://www.domainname … Ich habe Stunden gebraucht, um DEN Fehler zu finden! Dabei war es ganz einfach …

Bleibt das Symbol immer noch gelb, gibt das Plugin Why No Padlock genaue Antwort darauf, welche URL immer noch nicht stimmt.

Manchmal ist es wirklich nur 1 Bild …

Bei Themes mit Layout-Editor passiert es nicht selten, dass die URL des Logo´s im Header nicht umgestellt wurde. Dann muss es halt im Theme-Customizer neu geladen werden, sodass dort auch der Pfad mit https anfängt.

 


6. Suchmaschinenoptimierung

Damit auch extern, vor allem in der Suchmaschine Google, alles weiterhin gut läuft und sie die Vorteile dort durch die Umstellung auf https auch nutzen können, sollte

a) auf der Google-Search-Console und Google-Analytics einer neuer Property-Eintrag bzw. die Property-Einstellung aktualisiert werden.

b) die XML-Sitemap Datei aktualisiert werden. Dies geht in der Regel über das installierte SEO-Plugin. Die sitemap-Datei muss auch mit der Google-Search-Console verlinkt werden (hier)


7. Der letzte Schritt ist ein rechtlicher …

Und zwar geht es hierbei um die Anpassung Ihrer Datenschutzerklärung bzgl. dieser SSL-Verschlüsselung. Ein Muster steht hier: https://www.datenschutz.org/datenschutzerklaerung-ssl-muster.pdf


Kontakt

Nicht selbst, sondern machen lassen?

0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert