WordPress auf SSL umstellen und wie dies in der Praxis aussieht wird in diesem Beitrag in einfachen Schritten gezeigt.  Erst in einem meiner letzten Beiträge Suchmaschinenoptimierung 2017 | SEO Trends & Basics habe ich den Zusammenhang zwischen SSL und Suchmaschinenoptmierung angesprochen. Aber spätestens seitdem Google verkündet hat, dass ab 2018 der Google Chrome Browser eine Warnung ausspricht bei nicht geschützten Seiten, wird es höchste Zeit den Umstieg in Angriff zu nehmen.

SSL steht für Secure Sockets Layer und ist eigentlich eine veraltete Bezeichnung für Transport Layer Security (TLS) welches vereinfacht ausgedrückt ein Netzwerkprotokoll zur sicheren Übertagung von Daten ist. Spricht man heutzutage nun von SSL ist so gut wie immer TLS gemeint. TLS ist ein hybrides Verschlüsselungsprotokoll und soll somit den Datenaustausch im Internet sicher machen. Das zugehörige Übertragungsprotokoll ist https (Hypertext Transfer Protocol Secure).

Wir selbst haben slidebird.com bereits vor über einem Jahr auf SSL umgestellt. Dies hat mehrerer Gründe. Der Hauptgrund ist der immer größer werdende Druck seitens Google. Google hat bereits öfters darauf hingewiesen, dass Seiten die nicht unter dem https Protokoll laufen im Ranking fallen könnten. Google geht sogar soweit, dass ab 2018 der Google Chrome Browser explizit darauf hinweist wenn man eine Seite besucht wird, welche nicht SSL verschlüsselt ist. Auch die neue EU Datenschutzverordnung GDPR (General Data Protection Regulation) welche ab Mai 2018 in kraft tritt untersagt die Übermittlung von Formulardaten ohne TLS bzw. SSL.

Bevor die Seite nun auf SSL umgestellt wird sollte wie bei jedem anderen größeren Eingriff natürlich ein Backup angelegt werden. Ich empfehle, selbst wenn automatisierte Backups vorhanden sind, immer auch ein manuelles Backup zu erstellen. Erst im Februar dieses Jahres hat man am Beispiel von Gitlab gesehen dass selbst fünf automatische Backup-Methoden nicht ausgereicht haben und keine davon funktioniert hat, was einen Datenverlust von 300 Gigabyte zur Folge hatte.

Automatisches Backup

Wer nun überhaupt noch nie ein Backup seiner Seite gemacht hat, weder manuell noch automatisiert sollte sich einer dieser Plugin-Lösungen ansehen.

• BackupBuddy
• Updraft Plus
• BackUpWordPress
• Duplicator (Speziell bei Server-Umzügen sehr empfehlenswert)
• Vaultpress

Brenda von Desinbombs hat erst kürzlich einen tollen Beitrag veröffentlicht, in welchem Sie einige dieser Backup Plugins vergleicht.

Manuelles Backup

Die richtigen coolen Jungs machen natürlich ein Backup über die SSH Command Line. Dies ist jedoch recht komplex für jemanden der nichts mit dem Terminal am Hut hat. Es gibt speziell für WordPress auch noch eine tolle Lösung die sich WP-CLI nennt. WP-CLI ist ein Kommandozeilen Interface für WordPress welches nicht nur Backups erlaubt, sondern auch Updates von Themes und Plugins. Wer mehrere WordPress Installationen wartet sollte sich dieses Tool definitiv mal ansehen.

Die einfachste Methode ein Backup händisch zu erstellen ist aber über FTP die Serverfiles zu sichern und phpMyAdmin für die Datenbank. Alles was man dazu benötigt ist ein FTP Programm wie FileZilla und eine phpMyAdmin Installation am Server welche fast von jedem Host installiert ist. In diesem Video wird das Ganze recht anschaulich erklärt.

Der Umstieg von WordPress auf SSL geht in nur wenigen Minuten sorgt jedoch trotzdem für eine kurze Downtime der Seite, somit empfehle ich den Umstieg in den Abendstunden bzw. zu einer Zeit in der die Seite in der Regel kaum besucht ist. Es muss lediglich die WordPress URL und die Website-Adresse unter Einstellungen –> Allgemein –> geändert werden.

Es kann vorkommen (so wie in diesem Screenshot unserer Seite) dass die Felder ausgegraut sind und nicht editierbar sind. Dies liegt dann daran, dass in der wp-config die URL definiert wurde und somit nicht überschreibbar ist IM WordPress Backend. Wenn dies der Fall ist müssen diese zwei Zeilen in der wp-config bearbeitet werden.

Warum dies manchmal Sinn ergibt die Home und Siteurl in der wp-config einzutragen ist ein anderes Thema. Es kann aber wie gesagt speziell bei selbst programmierten Themes vorkommen.

Wenn bis jetzt alles funktioniert hat ist die Seite bereits unter https aufrufbar. Es wird aber vermutlich dennoch eine Meldung erscheinen, dass sie Seite nicht sicher ist, da einige Komponenten noch nicht verschlüsselt übertragen werden, speziell Bilder, JavaScript und Elemente wie You-Tube Videos. Werden Elemente auf einer verschlüsselten Seite unverschlüsselt geladen erzeugt dies so genannten „mixed content“ was die Seite erst recht wieder unsicher macht. Der technische Hintergrund für diese Panne ist, dass WordPress die URLs von Bilder (inkl. des Protokoll-Teils also http) direkt in den Blogposts speichert. Es muss also manuell in der Datenbank ausgetauscht werden. Natürlich gibt es wie bei jedem anderen Problem in WordPress auch hier ein Plugin namens „Velvet Blues Update URLs „ dafür.

Wer kein Plugin benutzen möchte und ein wenig mit SQL vertraut ist kann dies auch mit der Suchen und ersetzen Funktion tun.

UPDATE wp_options SET option_value = replace(option_value, 'http://www.oldurl', 'http://www.newurl') WHERE option_name = 'home' OR option_name = 'siteurl';

UPDATE wp_posts SET guid = replace(guid, 'http://www.oldurl','http://www.newurl');

UPDATE wp_posts SET post_content = replace(post_content, 'http://www.oldurl', 'http://www.newurl');

UPDATE wp_postmeta SET meta_value = replace(meta_value,'http://www.oldurl','http://www.newurl');

Dies ist übrigens auch ein netter Weg bei einem Domainwechsel alle alten Domaineinträge loszuwerden. Um auf Nummer sicher zu gehen, kann man seine Seite auf https://www.whynopadlock.com/ testen und bekommt auch vorhandenen „mixed content“ angezeigt.

Wenn alle Schritte ordnungsgemäß ausgeführt wurden läuft die neue Seite bereits zu 100% unter SSL. Was ist nun aber mit den bereits vorhandenen externen Links und dem Google Index. Es existieren vermutlich bereits Links mit http und auch in Google ist die Seite unter http indexiert. Jeder der die Seite jetzt über ein Suchergebnis in Google aufruft wird einen 404 Serverfehler bekommen da Google auf eine http Seite verweist und nicht https. Um nun keine Besucher zu verlieren und die Zeit zu überbrücken die Google benötigt um die Seite neu zu indexieren ist es nötig alle http Seiten auf https umzuleiten. Viel Hoster haben hierfür im Panel einen Punkt der sich vermutlich ähnlich nennt wie „SSL erzwingen“ oder „force SSL“. Sollte dieser Punkt vorhanden sein, einfach anklicken und fertig. Dadurch wird automatisch für alle http Seiten eine 301-Weiterleitung auf https erzwungen. Wer dieses nette Feature nicht hat muss folgende Zeilen in der .httacces auf seinem Server eintragen.

Wer noch auf Nummer sicher gehen will, kann auch noch extra das WordPress Admin Backend auf SSL umstellen, indem man diese Zeile in die wp-config eingrägt.

Ein großer Vorteil der Umstellung sollte auch eine Rankingverbesserung sein sofern alles richtig gemacht wird. Es ist nötig Google darüber zu informierten, dass die Seite auf SSL umgestellt wird. Am einfachsten gelingt dies in der Google Search Console. Wer seine Seite bereits eingetragen hat findet hier eine Property mit http und muss nun nur mehr eine weitere Property mit https anlegen. Es ist auch Sinnvoll, die Sitemap neu zu übermitteln, auch wenn Google dies eigentlich automatisch erkennen sollte. Die Seite sollte auch auf diversen Social Media Profilen wie Facebook, Twitter und Co. Neu mit https eingetragen werden.

Sollte nun immer noch eine SSL-Fehlermeldung im Browser erscheinen so kann dies eine Vielzahl an Gründen haben. Wir haben dieses Jahr bereits über 20 SSL Umstellungen für Kunden von uns durchgeführt. Falls Fragen auftauchen einfach ein Kommentar hinterlassen oder und direkt kontaktieren.

MEHR VON UNSEREN LEISTUNGEN