Websites, die über eine SSL-Verschlüsselung verfügen, sind an dem kleinen Sicherheitsschloss und der Verwendung von https (statt http) in der Adresszeile des Browsers zu erkennen. Hier erfährst du, warum du unbedingt ein SSL-Zertifikat für deine WordPress-Website benötigst, wie du die Verschlüsselung einrichtest und prüfst.
Warum du SSL unbedingt einbinden solltest
SSL ( kurz für Secure Sockets Layer ) verschlüsselt die Verbindung zwischen deiner Website und den Geräten deiner Besucher. Dadurch wird verhindert, dass Dritte Daten und Informationen einsehen können. Auf jeden Fall eine gute Sache oder?
Google findet SSL super
Die Nutzung eines SSL-Zertifikates ist für Google nicht mehr nur ein Ranking-Faktor, sondern als Bestandteil der Google Web Vitals essentiell. Das Fehlen von SSL führt also sogar zu einer negativen Beurteilung.
Auch Browser finden SSL super
Einige Browser haben mittlerweile auch recht drastische Maßnahmen ergriffen. Möchte man in Chrome oder Firefox eine URL mit http aufrufen, dann erscheint eine Warnung: Diese Website ist nicht sicher!
Was sagt die DSGVO dazu?
Gemäß Artikel 32 DSGVO muss für personenbezogene Daten eine angemessene Sicherheit gewährleistet werden. Kontaktformulare, Newsletteranmeldungen etc benötigen persönliche Informationen wie z.B. eine E-Mail-Adresse. Was ist angemessen? Das kann ein Jurist sicher besser beurteilen, aber eine SSL-Verschlüsselung sollte schon drin sein.
Einfache SSL Umstellung ohne Plugin
1. Schritt: Das Zertifikat
Zuerst benötigst du ein Zertifikat. Viele Hoster bieten dieses gleich mit im Paket an. Solltest du den Punkt SSL in deinem Hosting-Dashboard nicht finden, kontaktiere den Support und bitte um Hilfe. Ein Hoster, der keine Möglichkeit für SSL bietet, den sollte man sofort wechseln. Das ist einfach nicht mehr zeitgemäß.
All-inkl
Ionos
2. Schritt: Die Verschlüsselung
Jetzt wo auf der technischen Seite alles vorbereitet wurde, gehen wir ins WordPress Backend.
Geh zu Einstellungen > Allgemein und ändere sowohl die WordPress-Adresse (URL) also auch die Website-Adresse (URL) von
http://beispiel.de auf https://beispiel.de
Nach dem Speichern wirst du erneut um eine Anmeldung gebeten. Das ist absolut korrekt, da auch deine Verbindung auf die neue Verschlüsselung umgestellt wurde.
3. Schritt: Anpassung der Verlinkungen
Fast geschafft. Jetzt zeigt die Adressleiste schon das Sicherheitsschloss, aber die internen Links haben noch eine URL ohne das kleine zusätzliche „s“. Dafür empfehle ich das Plugin Better Search Replace. Vor der Installation mach bitte ein Backup! Das Ersetzen von Zeichenketten in der Datenbank ist nicht schwer, aber kann bei falscher Durchführung ernsthaft Schaden anrichten.
Mittels „Better Search Replace“ ersetzt du nun auch alle Verlinkungen von
http://beispiel.de auf https://beispiel.de
Falls du eine Fehlermeldung bekommst, hilft es oft, nur ein paar Tabellen zu markieren und das Ersetzen Schritt für Schritt durchzuführen.
SSL Umstellung mit Plugins
Es gibt immer für alles ein Plugin. In diesem Fall ist es eigentlich nicht notwendig. Aber eigentlich ist nicht immer praktikabel. Wer es wirklich nicht anders packt, mit Really Simple SSL hat man im Handumdrehen eine SSL-verschlüsselte Website. Aber nutze es bitte nur im Ausnahmefall. Jedes zusätzliche Plugin ist eins zuviel.
Woran du erkennst, ob es funktioniert
Yeah das Schloss in der Adresszeile ist grün! Du hast es geschafft. Um auf Nummer sicher zu gehen oder falls das Schloss leider noch nicht grün ist, kannst du über whynopadlock eine genauere Prüfung durchführen. Wer es noch ausführlicher möchte, dem empfehle ich den SSL Server Test.
Was bedeutet mixed content?
Du hast deine Website auf SSL umgestellt, aber die Website hat immer noch kein grünes Schloss bekommen? Meist liegt das am sogenannten „mixed content“. Innerhalb deiner Website gibt es noch Verbindungen, die mit http statt https aufgerufen werden.
Entweder versuchst du ein zweites Mal das Ersetzen mit dem unter Schritt 3 beschriebenen Plugin Better Search Replace. In der Praxis ist es mir durchaus schon passiert, dass bei einem zweiten Durchlauf weitere Verlinkungen mit http gefunden wurden. Oder du untersuchst die Website manuell auf den Störenfried.
Nacharbeiten
Http hat ausgedient. Deine Website sollte darüber gar nicht mehr aufgerufen werden. Bei manchen Hostern kann man die Option „SSL erzwingen“ einstellen. Eine gute Sache. Falls du die Einstellung nicht findest und noch nie etwas von einer .htaccess gehört hast, dann rate ich auch hier zum Support deines Hosters.
Mit folgendem Snippet kannst du die Weiterleitung auf SSL erzwingen. Es gehört in die .htaccess deiner WordPress-Installation unterhalb der Zeile #END WordPress:
# Rewrite from HTTP to HTTPS
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Auch wenn ab jetzt jede http Anfrage auf https umgeleitet wird, ändere bitte noch deine URL auch in deiner Kommunikation auf https, auf den Social Media Kanälen, in deiner E-Mail-Signatur, auf Visitenkarten etc. sowie in der Google Search Console.
Fazit
Eine SSL-Verschlüsselung ist eine Notwendigkeit für alle Websites. Das grüne Sicherheitsschloss schafft Vertrauen bei Besuchern und ist mit wenig Aufwand erreichbar.
