WordPress Projekt auf HTTPS umstellen – so funktioniert es bei All.-inkl.com

Unsere Webseite iauk.de war bisher nur über http erreichbar. Da das Thema Sicherheit im Internet zunehmend an Bedeutung gewinnt, haben wir beschlossen diese Seite auf https umzustellen, um zu testen wie der Auflauf der Umstellung funktioniert. Diesen Ablauf haben wir natürlich dokumentiert und die Umstellung bezieht sich auf einen Server und die Einstellungen bei All.-inkl.com. Allerdings wollen wir erst einmal zusammenfassen, was genau https ist und warum man seine Webseite umstellen sollte. Es nicht nämlich nicht verwunderlich, dass Google diesen Sicherheitstrend verfolgt und sogar einen gewissen Ranking-Bonus für Websites mit SSL-Zertifikat vergibt. Ein SSL-Zertifikat gilt als zusätzliches Trust-Signal für die Besucher und Suchmaschinen.

Was bedeutet denn das HTTPS ?

Erst einmal werden wir auf HTTP eingehen, welches Hypertext Transfer Protocol bedeutet. Das Hypertext Transfer Protocol ist ein Protokoll zur Übertragung von Daten über ein Rechnernetz. Es wird hauptsächlich eingesetzt, um Webseiten in einen Browser laden zu können.

Die sichere Steigerung davon ist das HTTPS Protokoll, welches übersetzt „sicheres Hypertext-Übertragungsprotokoll“ bedeutet. Dieses Kommunikationsprotokoll ist dazu da, dass die Daten im Internet abhörsicher übertragen werden können. Das HTTPs Protokoll stellt eine Art Transportverschlüsselung dar. HTTPS ist identisch mit HTTP, die zusätzliche Verschlüsselung der Daten geschieht mittels SSL/TLS. Der Datentransfer findet in einer verschlüsselten Form über eine SSL-Verbindung statt. Die Identität der Webseite wird mit Hilfe eines entsprechenden Zertifikates bestätigt. Bisher wurden diese Zertifikate meist bei Online Banking oder bei Online Shops eingesetzt. Mittlerweile ist es aber so, dass das HTTPs Protokoll auf jeder Art von Webseite oder Blog eingesetzt werden kann. Genau das ist auch von Google gewünscht und wird wohl mit einem zusätzlichen Trust-Signal bewertet. Eine Umstellung der gesamten Website auf HTTPS ist absolut anzuraten.

Was ist eine SSL/TLS Verbindung?

SSL bedeutet Secure Sockets Layer und ist die Vorgängerversion von TSL, welches für Transport Layer Security steht. Es handelt sich um ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Die Funktionsweise ist recht einfach erklärt. Der Server authentisiert sich gegenüber dem webseitenaufrufenden Clienten mittels einem SSL-Zertifikat. Der Client überprüft die Vertrauenswürdigkeit des Zertifikats und natürlich ob der Servername mit dem Zertifikat übereinstimmt.

Ein Nachteil der TLS Übertragung besteht darin, dass der Verbindungsaufbau auf Serverseite rechenintensiver ist und deshalb langsamer sein kann. Da Google allerdings ein befürworteter von einer sichereren Verbindung ist, würde ich die etwas langsamere Übertragung nicht als Negativ bewerten.

Welches SSL-Zertifikat wird bei All-inkl.com unterstützt?

All-inkl.com hat Anfang des Jahres 2016 die Unterstützung von Let’s Encrypt eingeführt. Let’s Encrypt ist eine kostenlose SSL- Verschlüsselung. Das kostenlose HTTPS-Zertifikat Let’s Encrypt ist ab Sommer 2015 verfügbar und verleiht allen Webseiten eine verschlüsselte HTTPS-Verbindung. Bei All-inkl.com kann man das kostenlose Zertifikat perfekt und einfach einbinden. Let’s Encrypt verlängert sich bei All-inkl.com automatisch. Daneben bietet All-inkl noch ein weiteres SSL-Zertifikat für 99,00 Euro im Jahr an. Wir haben für das Projekt iauk.de das Let’s Encrypt Zertifikat ausgewählt und beschreiben jetzt hier die Einreichtung von https.

Unser Projekt auf HTTPS umstellen – so funktioniert es bei All.-inkl.com

Als erstes haben wir ein Backup unserer Datenbank und natürlich unserer Daten erstellt. Dazu nutzen wir das Plugin BackWPup. Danach haben wir schon einmal das WordPress Plugin Better Search Replace installiert. Dieses Plugin hilft und später dabei die Datenbank zu aktualisieren und ist vergleichbar mit der Microsoft Excel Funktion „suchen und ersetzen„. Dazu aber später noch mehr informationen.

Nun haben wir uns bei All-inkl.com im KAS eingeloggt und gehen zur Domainverwaltung und dann auf bearbeiten. Dort finden wir den Punkt SSL Schutz und gehen auch hier wieder auf bearbeiten.

Im nächsten Menüpunkt geht man auf Let’s Encrypt und muss als nächstes den „Haftungsausschluss akzeptieren„. Dann geht man auf Let’s Encrypt beziehen und einbinden.

Nach ein paar Minuten ist die Webseite über https erreichbar. Unter dem Punkt SSL-Zertifikat solltet Ihr SSL erzwingen aktivieren. Mit dieser Einstellung werden alle HTTP-Aufrufe der Website auf die HTTPS-Version weitergeleitet.

Also alles geschafft oder? Nein leider nicht, denn ab jetzt ist das Projekt über http und auch über https erreichbar. Das ist natürlich ein Problem vom Duplicate Content (Duplicate Content bedeutet auf deutsch „doppelter Inhalt“ und ist die Darstellung von gleichem Inhalt auf verschiedenen Webseiten. Das mag Google leider gar nicht. Somit müssen wir unsere Webseite noch etwas bearbeiten, damit das Problem nicht mehr existiert.

Einstellung im WordPressmenü änderen

Wir gehen für die Änderung der WordPress Adresse und der Webseite Adresse ins Backend und dann auf Einstellungen › Allgemein. Dort finden wir die beiden Adressen, welche immer identisch sind. Dort ändern wir das http in https und schon leitet WordPress automatisch einen http Aufruf zur https Webseite um.

Datenbankeinträge auf https änderen

Nun kümmern wir uns um die Datenbank, denn dort sind noch sehr viele Einträge verkehrt. Die Bilder aus Beiträgen sind nämlich immer noch mit dem http-Protokoll im Beitrag verankert. Dadurch haben wir ein Problem mit Mixed-Content, welche auch als Warnung im Browser angezeigt wird. Die eigentlichen Beitragsbilder und Galerien werden hingegen von WordPress automatisch auf https umgestellt.

Um die Bilder aus den Beiträgen zu ändern, benötigen wir das eben installierte Plugin „Better Search Replace“. Unter Werkzeuge › „Better Search Replace“ rufen wir das Plugin auf und können nun nach http Beiträgen in der Datenbank suchen und diese durch https ersetzen.

Unter „Suchen nach“ geben wir die URL mit http an und bei „Ersetzen durch“ die neue URL mit https. Als Tabelle wählen wir wp_posts aus. Hinweis: das wp_ kann auch durch einen anderen Präfix ersetzt worden sein. Anschließend starten wird den „suchen und ersetzen Vorgang“. Nachdem der erste Vorgang abgeschlossen ist, muss auch noch die Tabelle wp_options geändert werden.

Standardmäßig ist der Testlauf aktiviert, bei der die Datenbank nicht verändert wird. Ich würde damit erst einmal starten. Wenn keine Fehlermeldung kommt und oben im Plugin nach dem „suchen und ersetzen Vorgang“ die Anzahl der gefunden Änderungen angegeben ist, kann der Vorgang ohne Testlauf gestartet werden. Aber Achtung: Die Datenbank wird sofort geändert. Ihr solltet unbedingt vorher ein Datenbankupdate machen.

Umstellungsfehler auf https finden

Nun sind erst einmal alle Einstellungen durchgefürt worden. Es kann allerdings trotzdem sein, dass die Umstellung noch Fehler bringt. Recht einfach könnt Ihr die Fehler mit einem Tools suchen. Das Tools SSL Check sucht die Webseite nach nicht sicherem Content ab.

Google Webmaster Tools bzw. Search Console die neue Webseite über https melden

Jetzt ist noch eine Sache sehr wichtig. Ihr solltet unbedingt in den Google Webmaster Tools bzw. der Search Console die neue Webseite über https eintragen und die aktuelle und noch einmal neu generierte Sitemap.xml einreichen.

Wenn das alles erledigt ist, solltet Ihr Euch das Ranking der Webseite in den nächsten Woche und Monaten anschauen und hoffen, dass Google die Rankings wieder aufbaut. Die alten Seite mit http werden von Google aus dem Index entfert und die neue Seite mit https wird in dem Index aufgenommen. Garantien auf alte Positionen im Index gibt es dabei leider nicht. Wir werden natürlich berichten, wie sich unser Projekt https://www.iauk.de bei Google im Index weiter verhalten wird.