WordPress auf SSL umstellen

SSL ist ein Ranking Signal. Spätestens, seit Google im August 2014 offiziell bekannt gegeben hat, dass Webseiten (zumindest latent) in den Google-Suchergebnissen bevorzugt werden, die ausschließlich per SSL verfügbar sind (vgl. Quelle), beschäftigen sich mehr und mehr Seitenbetreiber aufgrund der SEO-Aspekte mit der Idee, ausschließlich auf SSL zu setzen.

Die Ende 2015 von Google proklamierte Tatsache, dass Google nun sogar dazu übergeht, https-URLs den herkömmlichen http-URLs gegenüber bei der Indizierung zu bevorzugen hat die Wichtigkeit des Themenkomplexes https-Umstellung für die Suchmaschinenoptimierung erneut untermauert.

Risiken und SEO-Probleme bei der Umstellung auf https/SSL

Auch wenn es sich auch abseits der SEO-Gesichtspunkte grundsätzlich gut anhört, Webseiten zu verschlüsseln, ist die Umstellung einer laufenden Webseite nicht selten mit Problemen behaftet. Dass Google Ranking-Vorteile für https-Seiten schafft und diesen Umstand auch noch offen kommuniziert stellt Webseitenbetreiber daher ein Mal wieder vor die Wahl, das Credo „never change a running system“ zu befolgen, oder jedoch pro-aktiv auf eine neue Technologie umzustellen und einen zusätzlichen Ranking-Bonus einzusammeln.

Das Hauptproblem ist, dass viele Webseiten schlicht falsch umgestellt werden. Wenn im Zuge einer SSL-Umstellung technische Probleme auftreten, dann sind diese meist gravierend und bleiben nicht selten lange Zeit unerkannt. Dies kann zu beträchtlichen Ranking Nachteilen und im Extremfall sogar dazu führen, dass ein Großteil der Rankings einbricht.

Das Risiko ist logischerweise umso größer, je komplexer die involvierte Webseite aufgebaut ist. Je mehr Gewerke im Rahmen des gegenständlichen Projekts zusammenarbeiten, desto wahrscheinlicher ist es, dass bei der Umstellung etwas gravierend schief läuft und die Suchmaschinenoptimierung somit leidet.

Zweifelsohne gibt es viele Methoden und Vorgehensweisen, eine WP-Installation komplett per SSL verfügbar zu gestalten, jedoch hat sich folgender Maßnahmenkatalog in der Praxis bewährt. Da WordPress ein äußerst individuelles und individualisierbares CMS bzw. Blogsystem ist, kann der Einzelfall von folgendem Tutorial abweichen – das jedoch nur der Vollständigkeit halber.

Im Folgenden haben wir die https-Umstellung anhand des häufig als CMS eingesetzten Blogsystems WordPress zusammengefasst.

Ausgangssituation:

• WordPress-Installation im Root einer Domain
• WordPress ist aktuell unter der fiktiven Domain http://www.domain.tld aufrufbar

Ziel:

• Die WP-Seite soll zukünftig nur noch per https://www.domain.tld aufrufbar sein
• Auch alle Unterseiten und Grafiken sollten per SSL verschlüsselt aufgerufen werden
• Die SSL Umstellung soll so „google-freundlich“, wie möglich realisiert werden

Richtiges SSL-Zertifikat auswählen

Gemäß den Anforderungen von Google muss es sich um ein 2048-bit Zertifikat handeln. Was sich zunächst unglaublich viel anhört, ist in Wahrheit längst zum Standard avanciert. Die Bit-Anzahl bezieht sich hierbei auf den asymmetrischen Verschlüsselungsalgorithmus (RSA) und nicht auf die symmetrische Verschlüsselung, deren Bit-Anzahl häufig mit dem Zertifikat angegeben wird. Dies sind in der Regel 128 oder 256 Bit Verschlüsselungen, die jedoch im Regelfall auch über unter die asymmetrische 2048 Bit-Verschlüsselung verfügen, die Google bei SSL-Zertifikaten fordert.

Spätestens alle seit dem 1. Januar 2014 ausgegebenen SSL-Zertifikate (vgl. Cabforum.org / Baseline Requirements S. 27) erfüllen den seitens Google geforderten Standard.

Die zentrale Frage bei der Wahl des Zertifikats sollte daher nicht die Google-Anforderung sein, sondern viel eher die Frage, ob ein domainbasiertes SSL-Zertifikat ausreicht, oder ob das Zertifikat eine sogenannte erweiterte Validierung (grüne Browserleiste) beinhalten soll. Ob ein solches „Extended-Validation-Zertifikat“ zum Einsatz kommt, ist nicht zuletzt eine Kostenfrage, da herkömmliche Zertifikate ab wenigen Euro pro Jahr erhältlich sind und EV-SSL Zertifikate mehrere 100 Euro pro Jahr kosten.

Zudem ist zu bemerken, dass EV-SSL Zertifikate relativ umständlich zu erhalten sind – so muss z.B. ein Handelsregisterauszug o.ä. eingereicht werden. Nicht selten dauert die Bereitstellung auch mehrere Wochen, so dass es deutlich mehr Vorlaufzeit bedarf, als bei einem ad hoc bestellbaren „herkömmlichen“ SSL-Zertifikat.

Grundsätzlich kennen viele User die Kombination aus Firmierung und grüner Browser-Adresszeile jedoch aus dem Online Banking, weshalb sich diese Version auch direkt positiv auf die Conversion auswirken kann. Bei kritischen Themen wie z.B. im Finanzbereich, aber auch bei Online Shops kann dies von zentralem Vorteil sein, da hier jedes Quäntchen an zusätzlich suggeriertem Vertrauen im Regelfall durch stärkere Leads und Sales vergütet wird.

Hat man sich für ein Zertifikat entschieden, so kann man dies entweder durch einen Provider einbinden lassen oder jedoch selbst einbinden. Da die meisten WordPress-User ohnehin auf Webspace oder einem Managed Server hosten, gehen wir davon aus, dass man das gewünschte Zertifikat einfach beim Provider bestellt und es somit
durch diesen eingebunden wird.

Gut. Wir haben also ein Zertifikat – jetzt geht’s ans Eingemachte: Die Umstellung von WordPress auf „HTTPS Everywhere“.

Datensicherung / Backup

Es versteht sich von selbst, dass vorab ein Backup aller FTP-Dateien und der Datenbank gezogen werden sollte. Sind mehrere Datenbanken involviert (selten der Fall), dann sollten selbstverständlich auch von diesen aktuelle Dumps hergestellt werden.

Es bietet sich an, das Backup zu archivieren und an einer Kopie des Backups zu arbeiten. Somit hat man immer eine sicher funktionierende Version als Datensicherung in der Hinterhand.

Einstellungen im WordPress-Backend

Im WordPress Backend werden anschließend unter Einstellungen > Allgemein die Werte „WordPress-Adresse (URL)“ und „Website-Adresse (URL)“ in die Version mit https geändert und die Änderung mit einem Klick auf den Button „Änderungen übernehmen“ gespeichert.

In unserem Beispiel liegt das WordPress im Root, daher sind beide URLs vor und nach der Umstellung bis auf das https-Präfix identisch:

WordPress-Datenbank auf SSL-URLs umstellen

Wichtig bei der SSL-Umstellung ist die Änderung in der WordPress Datenbank: http durch https ersetzen

Es gibt viele Möglichkeiten, die WordPress-Datenbank zu aktualisieren. Besonders komfortabel sind sie alle nicht. Die wohl einfachste Variante ist, einen Dump zu exportieren (siehe 2. Backup) und mit einer Kopie des Dumps zu arbeiten.

Hierzu öffnet man die Kopie in einem Texteditor (z.B. Notepad) und wählt die Option „Ersetzen…“. Nun gibt man die alte Domain http://www.domain.tld bei „Suchen nach:“ und die neue SSL-Variante https://www.domain.tld bei „Ersetzen durch:“ ein. Anschließend wählt man „Alle ersetzen„.

Darauf kopiert man alles mit Strg+A und danach Strg+C und öffnet die Datenbank der bestehenden Webseite mit dem entsprechenden Interface – zumeist phpMyAdmin. Hier wählt man (sofern nicht bereits geschehen) die zu ändernde Datenbank aus und klickt rechts auf „SQL“. Dorthin transferiert man durch Strg+V die Inhalte.

Achtung: es kann (je nach Größe) einige Minuten dauern, bis alle Inhalte transferiert wurden. Anschließend führt man die Befehle mit „Ok“ aus. Auch dieser Schritt dauert je nach Größe der Datenbank lange. Es kann sogar vorkommen, dass der Browser abschmiert.

Lasst euch in diesem Fall nicht entmutigen, sondern versucht es erneut. Wenn dieser Weg nicht funktioniert, benötigt man ein Upload-Tool wie den MySQLDumper, um den aktualisierten Datenbank-Dump hochzuladen.

WordPress Theme auf https anpassen

Ergänzend sollte nun das FTP-Backup geöffnet werden. Am besten legt man eine Kopie des Backup-Ordners wp-content > themes an und bearbeitet diese anschließend mit einem HTML-Editor wie dem Adobe Dreamweaver.

Im Dreamweaver wählt man nun „Bearbeiten“ > „Suchen und ersetzen“ und wählt den Ordner der Template-Kopie. Dann einfach bei „Suchen:“ die Domain mit http-Präfix, also in unserem Beispiel http://www.domain.tld eingeben und bei „Ersetzen:“ die Domain mit https-Präfix, also https://www.domain.tld. Ein Klick auf „Alle ersetzen“ beendet den Vorgang.

Anschließend ersetzt man den existierenden Ordner wp-content > themes durch die überarbeitete Version im FTP-Programm.

301 Weiterleitungen von http auf https per .htaccess-Datei

Direkt im Anschluss sollte die .htaccess-Datei angepasst werden. Da in unserem Beispiel das WordPress im Root-Verzeichnis liegt und ausschließlich per https und www aufgerufen werden soll, bietet es sich an, beide Eventualitäten in die Weiterleitungen mit einfließen zu lassen.

Nachfolgendes Snippet bewirkt, dass die Domain und alle Unterseiten – egal, ob sie nun mit „http“ oder mit bzw. ohne „www“ aufgerufen werden – immer auf die URL mit https-Präfix und www weitergeleitet werden. Eine stringente Lösung, bei der nur noch die Platzhalter für die Domain und die Topleveldomain (tld) angepasst werden müssen:

RewriteEngine On

RewriteCond %{HTTP_HOST} !^www.domain.tld$
RewriteRule ^(.*)$ https://www.domain.tld/$1 [L,R=301]

RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Hinweis: Je nach (Vor-)Konfiguration von WordPress, kann es auch vorkommen, dass die Weiterleitung auf „mit www“ bereits an anderer Stelle in der .htaccess-Datei integriert ist. Der Vollständigkeit halber führen wir diese jedoch mit auf.

Google Webmaster Tools / Search Console: neue „Property“ hinzufügen

Fast alle in Bezug auf SEO relevanten WordPress-Installationen verfügen über einen Google Webmaster Tools (Search Console) Account. Daher an dieser Stelle auch der Hinweis, dass dieser Zugang nach der SSL-Umstellung nicht mehr ausreicht. Es ist unbedingt erforderlich, die selbe „Property“ mit https-Präfix in der Search Console anzulegen und die Inhaberschaft zu bestätigen.
Im Regelfall liegt eine Bestätigungsdatei bereits im Root-Verzeichnis oder es ist ein Metatag für die Bestätigung der Inhaberschaft hinterlegt, so dass man die Domain mit SSL mit wenigen Klicks bestätigen kann.

Ohne diesen Schritt ist es nicht möglich, potentielle Fehler in den WMT angezeigt zu bekommen. Es ist daher äußerst ratsam, die Property direkt anzulegen.

Eine Schritt-für-Schritt Anleitung für die Bestätigung findet man direkt bei Google: https://support.google.com/webmasters/answer/35179?hl=de

Resultat der https-Umstellung prüfen

Abschließend muss überprüft werden, ob die SSL-Umstellung vollständig erfolgt ist. Die wohl einfachste Möglichkeit, dies zu prüfen ist, die Webseite mit dem (bekannter Weise in dieser Angelegenheit sehr pingeligen) Firefox-Browser zu öffnen. Wird nur das grüne Schloss in der Adresszeile angezeigt, ist die SSL-Umstellung vollständig.

Wenn das Schloss jedoch anders aussieht, also beispielsweise grau mit einem gelben/orangenen Ausrufezeichen, so ist die Umstellung nicht komplett und wird von Google auch nicht mit besseren Rankings honoriert:

Diese Darstellung weist auf „mixed content“, also eine Mischung aus http und https hin. Ein erneuter Blick in den Quelltext (Suchen nach „http://“) sollte die Verursacher hier schnell identifizieren.

Manchmal ist es beispielsweise erforderlich, im finalen Durchgang noch WordPress-Plugins anzupassen oder – falls alle Stricke reißen und man die Sache nur mit übermäßigem Aufwand in den Griff bekommen würde – ein HTTPS-Plugin zu verwenden, um die „nicht sicheren Inhalte“ wie z.B. Grafiken zu identifizieren und per SSL aufzurufen. Da hier jedoch nicht ausgeschlossen ist, dass zukünftig erneut unnötige Fehler auftreten, haben wir bewusst auf diesen Schritt verzichtet.

Spätestens jetzt sollte jede WordPress-Seite komplett und korrekt per https-Präfix aufrufbar sein.

Häufige Fragen und Antworten