Im Juli 2018 hat Google Chrome damit begonnen, alle Nicht-HTTPS-Seiten als „nicht sicher“ zu markieren, unabhängig davon, ob sie Daten sammeln. Seitdem ist HTTPS wichtiger denn je!

Im heutigen Beitrag tauchen wir tief in die HTTP-zu-HTTPS-Migration ein und geben praktische Tipps, damit der Übergang für deine WordPress-Webseite so reibungslos wie möglich verläuft. Für WordPress-Webseitenbesitzer ist es immer gut, wenn du proaktiv handeln kannst.

Aufgrund neuer Webprotokolle, SEO-Vorteile und noch genauerer Referral-Daten gab es nie einen besseren Zeitpunkt, um deine WordPress-Webseite auf HTTPS umzustellen. Im Folgenden erfährst du mehr über das Warum und Wie.

Was ist HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) ist ein Mechanismus, der es deinem Browser oder deiner Webanwendung ermöglicht, sich sicher mit einer Webseite zu verbinden. HTTPS ist eine der Maßnahmen, die dazu beitragen, dass dein Surfen sicher ist und bleibt.

Das gilt für das Einloggen auf deiner Bankwebseite, die Erfassung von Kreditkartendaten und sogar für das Einloggen in das Backend deiner WordPress-Webseite. HTTPS auf deiner WordPress-Webseite setzt voraus, dass du ein SSL-Zertifikat zur Verschlüsselung hast. Damit wird sichergestellt, dass keine Daten im Klartext übertragen werden.

Laut Builtwith verwenden im März 2022 73,08 % der 10.000 wichtigsten Webseiten HTTPS. Das ist ein Anstieg gegenüber 49,8 % im Februar 2018:

HTTPS-Nutzung der Top-Webseiten
HTTPS-Nutzung der Top-Webseiten

Im Mai 2022 meldete MozCast, dass über 98,9 % der Suchanfragen über HTTPS laufen, im Vergleich zu 26 % im Januar 2016. Das deutet darauf hin, dass viele Webseiten von HTTP auf HTTPS umsteigen.

Sogar Google drängt auf eine 100%ige Verschlüsselung seiner Produkte und Dienste. Im Mai 2022 wird rund 95% des Datenverkehrs bei Google über HTTPS abgewickelt, im Dezember 2013 waren es noch 48%.

MozCast HTTPS-Abfragen
MozCast HTTPS-Abfragen

Laut Firefox-Telemetriedaten und Let’s Encrypt-Statistiken werden inzwischen über 78 % der Seiten über HTTPS geladen.

Warum solltest du dich für HTTPS interessieren?

Es gibt eine ganze Reihe von Gründen, warum Besitzer/innen von WordPress-Webseiten sich um HTTPS kümmern und lieber jetzt als später von HTTP auf HTTPS umsteigen sollten.

1. Sicherheit

Der wichtigste Grund für HTTPS ist natürlich die zusätzliche Sicherheit. Durch die Umstellung von HTTP auf HTTPS wird deine Webseite jetzt über eine verschlüsselte SSL/TLS-Verbindung bereitgestellt. Das bedeutet, dass Daten und Informationen nicht mehr im Klartext übertragen werden. Für eCommerce-Webseiten, die Kreditkartendaten verarbeiten, ist dies ein Muss. Es ist zwar nicht gesetzlich vorgeschrieben, aber es liegt in deiner Verantwortung als Unternehmen, die Daten deiner Kunden zu schützen.

Das gilt auch für deine WordPress-Anmeldeseiten oder Blogs. Wenn du WordPress-Webseiten mit mehreren Autoren über HTTP betreibst, werden die Daten jedes Mal, wenn sich eine Person anmeldet, im Klartext an den Server übermittelt. HTTPS ist wichtig, um eine sichere Webseite und Browserverbindung zu gewährleisten. Auf diese Weise kannst du besser verhindern, dass Hacker Zugang zu deiner Webseite erhalten.

2. SEO

Google hat offiziell erklärt, dass HTTPS ein Rankingfaktor ist. Obwohl es nur ein kleiner Ranking-Faktor ist, würden die meisten von euch wahrscheinlich jeden Vorteil nutzen, den sie in den SERPs bekommen können, um ihre Konkurrenten zu schlagen.

Da Google darauf drängt, dass jeder HTTP auf HTTPS umleitet, kannst du darauf wetten, dass das Gewicht dieses Rankingfaktors in Zukunft wahrscheinlich zunehmen wird. Eine Semrush-Studie hat ergeben, dass 98 % der besten Featured Snippet-Inhalte bei Google HTTPS verwenden.

3. Vertrauen und Glaubwürdigkeit

Aktuellen Studien zufolge sind die meisten Internetnutzer/innen besorgt darüber, wie ihre Daten online abgefangen oder missbraucht werden.

HTTPS kann deinem Unternehmen helfen, indem es das sogenannte SSL-Vertrauen aufbaut. Wenn du das Vorhängeschloss-Symbol neben deiner URL siehst, können sich deine Kunden darauf verlassen, dass ihre Daten sicherer sind.

4. Empfehlungsdaten

Dieser Grund ist für alle Marketer da draußen. Wenn du Google Analytics nutzt, bist du wahrscheinlich mit den Verweisdaten vertraut. Vielen ist nicht bewusst, dass HTTPS-zu-HTTP-Verweisdaten in Google Analytics blockiert werden. Was passiert also mit den Daten? Das meiste davon wird einfach mit dem Abschnitt „Direct Traffic“ zusammengefasst. Der Referrer wird immer noch weitergegeben, wenn jemand von HTTP zu HTTPS wechselt.

Das ist auch wichtig, denn wenn dein Referrer-Traffic plötzlich abgenommen hat, der direkte Traffic aber gestiegen ist, könnte das bedeuten, dass einer deiner größeren Referrer kürzlich zu HTTPS gewechselt ist. Der umgekehrte Fall ist ebenfalls möglich.

5. Chrome-Warnungen

Seit 2018 kennzeichnen die Versionen von Chrome 68 und höher alle Nicht-HTTPS-Seiten als „nicht sicher“, auch wenn sie keine Daten sammeln:

Verbindung nicht sicher in Chrome
Verbindung nicht sicher in Chrome

Im Jahr 2021 begann der Browser, bei unvollständigen URLs standardmäßig HTTPS zu verwenden. Wenn ein Nutzer zum Beispiel „domain.com“ eingibt, verwendet Chrome automatisch „https://domain.com“ Wenn die HTTPS-Verbindung fehlschlägt, weil kein SSL/TLS vorhanden ist, wird auf HTTP zurückgegriffen.

Chrome hält über 77% des Browser-Marktanteils, daher wird dies viele deiner Besucher/innen betreffen. Du kannst auch in Google Analytics unter Zielgruppe > Technologie > Browser & OS überprüfen, welche Browser deine Besucher/innen verwenden:

Überprüfung der Browser in Google Analytics
Überprüfung der Browser in Google Analytics

Google macht seine Besucher darauf aufmerksam, dass deine WordPress-Webseite möglicherweise nicht über eine gesicherte Verbindung läuft. Hier sind einige Tipps von Google, wie du die Warnung umgehen kannst.

Auch Firefox hat mit der Veröffentlichung von Firefox 51 im Jahr 2017 nachgezogen und zeigt ein graues Vorhängeschloss mit einer roten Linie für unsichere Webseiten an, die Passwörter sammeln. Wenn du deine gesamte Webseite auf HTTPS umstellst, musst du dir darüber natürlich keine Sorgen machen:

Verbindung nicht sicher
Verbindung nicht sicher

Wenn du noch nicht auf HTTPS umgestellt hast, kann es sein, dass du die folgenden Warnungen von der Google Search Console erhältst:

An: Besitzer von http://www.domain.com

Die folgenden URLs enthalten Eingabefelder für Passwörter oder Kreditkartendaten, die die neue Chrome-Warnung auslösen werden. Schau dir diese Beispiele an, um zu sehen, wo diese Warnungen erscheinen, und du kannst Maßnahmen ergreifen, um die Daten der Nutzer zu schützen. Die Liste ist nicht vollständig.

http://www.domain.com

Die neue Warnung ist der erste Schritt eines langfristigen Plans, alle Seiten, die über das unverschlüsselte HTTP-Protokoll übertragen werden, als „nicht sicher“ zu kennzeichnen.

6. Leistung

Und nicht zuletzt geht es um die Leistung. Dank des HTTP/2-Protokolls können Webseiten, die über HTTPS laufen, oft schneller werden.

HTTP/2 erfordert HTTPS wegen der Browserunterstützung. Die Leistungsverbesserung ist auf verschiedene Gründe zurückzuführen, z. B. unterstützt HTTP/2 besseres Multiplexing, Parallelität, HPACK-Kompression mit Huffman-Kodierung, die ALPN-Erweiterung und Server-Push. Früher war der TLS-Overhead bei der Übertragung über HTTPS ziemlich hoch, aber das ist jetzt viel weniger.

Außerdem ist TLS 1.3 auf dem Markt, das HTTPS-Verbindungen noch schneller macht! Kinsta unterstützt TLS 1.3 auf allen unseren Servern und unserem Kinsta CDN.

Außerdem ist es wichtig zu wissen, dass Optimierungen der Web-Performance wie Domain-Sharding und Verkettung deine Leistung beeinträchtigen können. Diese sind inzwischen veraltet und sollten größtenteils nicht mehr verwendet werden.

Alles im Web sollte standardmäßig verschlüsselt sein.Jeff Atwood, Mitbegründer von Stack Overflow

Leitfaden für die Umstellung von HTTP auf HTTPS

Jetzt geht es ans Eingemachte: die Umstellung deiner WordPress-Webseite von HTTP auf HTTPS. Gehen wir zunächst auf die grundlegenden Anforderungen und einige Dinge ein, die zu beachten sind.

  • Du brauchst ein SSL-Zertifikat. Wir gehen weiter unten näher darauf ein.
  • Vergewissere dich, dass dein WordPress-Host und dein CDN-Anbieter HTTP/2 unterstützen. Kinsta bietet HTTP/2-Unterstützung für alle unsere Kunden. Das ist zwar nicht zwingend erforderlich, aber für die Leistung ist es wichtig.
  • Für die Umstellung von HTTP auf HTTPS solltest du einen guten Zeitblock einplanen. Die Umstellung lässt sich nicht in 5 Minuten erledigen.
  • Überprüfe, ob für alle externen Dienste und Skripte, die du verwendest, eine HTTPS-Version verfügbar ist.
  • Es ist wichtig zu wissen, dass du die Anzahl der Social Shares auf all deinen Beiträgen und Seiten verlierst, es sei denn, du verwendest ein Plugin, das Share Recovery unterstützt. Das liegt daran, dass die Zählungen auf einer API basieren, die auf die HTTP-Version zugreift, und du keine Kontrolle über die sozialen Netzwerke von Drittanbietern hast.
  • Je nach Größe deiner Webseite kann es eine Weile dauern, bis Google alle neuen HTTPS-Seiten und -Beiträge neu gecrawlt hat. Während dieser Zeit kann es zu Schwankungen bei den Besucherzahlen oder den Rankings kommen.
  • Vergiss nicht die lokalen Zitate.

Wir empfehlen dir, deine CDN-Integration zu deaktivieren und alle Caching-Plugins abzuschalten, bevor du beginnst, da dies die Sache verkomplizieren kann.

1. Auswahl eines SSL-Zertifikats

Als allererstes musst du ein SSL-Zertifikat kaufen, falls du noch keines hast. Es gibt drei verschiedene Arten von Zertifikaten, aus denen du wählen kannst:

  • Domain-Validierung: Einzelne Domain oder Subdomain (E-Mail- oder DNS-Validierung), ausgestellt innerhalb weniger Minuten. Diese Zertifikate sind in der Regel für nur 9 $ pro Jahr erhältlich.
  • Validierung für Unternehmen/Organisationen: Für eine einzelne Domain oder Subdomain ist eine Unternehmensverifizierung erforderlich, die ein höheres Maß an Sicherheit/Vertrauen bietet und innerhalb von 1-3 Tagen ausgestellt wird.
  • Erweiterte Validierung: Für eine einzelne Domain oder Subdomain ist eine Unternehmensverifizierung erforderlich, die ein höheres Maß an Sicherheit/Vertrauen bietet und innerhalb von 2-7 Tagen ausgestellt wird.

Bei Kinsta bieten wir über unsere Cloudflare-Integration kostenlose Cloudflare SSLs für alle Webseiten an. Unsere Cloudflare SSLs werden automatisch ausgestellt, nachdem du eine Domain in MyKinsta konfiguriert hast, und sie unterstützen sogar Wildcard-Domains!

Google empfiehlt, ein Zertifikat mit einem 2048-Bit-Schlüssel oder höher zuverwenden. Du kannst Zertifikate von Comodo, DigiCert, GeoTrust, Thawte, Rapid SSL oder Trustwave kaufen. Es gibt auch günstigere Alternativen wie GoGetSSL, Namecheap und GoDaddy.

Let’s Encrypt

Let’s Encrypt bietet auch eine Möglichkeit, kostenlose SSL-Zertifikate zu erhalten. Erkundige dich bei deinem WordPress-Hoster und CDN-Anbieter, ob sie eine Let’s Encrypt-Integration haben. Du kannst auch der Anleitung von Certbot folgen, wie du sie manuell installierst. Let’s Encrypt-Zertifikate laufen alle 90 Tage ab, daher ist es wichtig, ein automatisiertes System einzurichten.

2. Installieren eines benutzerdefinierten SSL-Zertifikats

Wenn du ein SSL-Zertifikat erworben hast, musst du das SSL-Zertifikat auf deiner WordPress-Webseite installieren. Du wirst aufgefordert, den Servertyp anzugeben, wenn du das Zertifikat beim Anbieter einrichtest. Wenn du ein Kinsta-Kunde bist, sind unsere Webserver Nginx. Wenn diese Option nicht verfügbar ist, funktioniert auch Other.

Der SSL-Anbieter benötigt einen CSR-Code, um die Zertifikatsdatei zu erstellen/signieren. Um einen CSR-Code und einen RSA-Schlüssel zu erzeugen, fülle bitte das folgende Formular aus: https://www.ssl.com/online-csr-and-key-generator/.

Wir empfehlen dir, alle Felder auszufüllen, aber du solltest mindestens die folgenden Felder ausfüllen (wie auf dem Screenshot unten zu sehen):

  • Allgemeiner Name (Domainname)
  • E-Mail Adresse
  • Organisation
  • Stadt / Ortschaft
  • Bundesland / Landkreis / Region
  • Land

Hinweis: Wenn du ein Wildcard-Zertifikat erstellst, musst du im Feld Common Name deinen Domainnamen eingeben, z. B. *.domain.com.

Formular CSR generieren
Formular CSR generieren

Das Formular generiert deine private Schlüsseldatei und die CSR. Achte darauf, dass du beides speicherst, da das Zertifikat ohne sie unbrauchbar ist:

CSR und privater Schlüssel
CSR und privater Schlüssel

Als Nächstes lädst du deine CSR bei deinem SSL-Anbieter hoch, um dein SSL-Zertifikat (.cert) neu zu erstellen.

Dann musst du zu deinem WordPress-Host gehen und ihm das Zertifikat und den privaten Schlüssel geben. Wenn du ein Kinsta-Kunde bist, kannst du dich im Dashboard anmelden und auf eine Webseite klicken. Als Nächstes wählst du auf der Registerkarte Domains deine Domain aus und klickst dann auf die Schaltfläche Custom SSL :

Benutzerdefiniertes SSL hinzufügen
Benutzerdefiniertes SSL hinzufügen

Dort kannst du dann deinen privaten Schlüssel und dein Zertifikat hinzufügen:

Privaten Schlüssel hinzufügen
Privaten Schlüssel hinzufügen

Wenn du fertig bist, wähle Zertifikat hinzufügen, um deine Änderungen zu speichern.

3. Überprüfe dein SSL-Zertifikat

Jetzt, wo du dein SSL-Zertifikat installiert hast, musst du es überprüfen, um sicherzustellen, dass alles richtig eingerichtet ist. Das kannst du schnell und einfach mit dem kostenlosen SSL-Check-Tool von Qualys SSL Labs tun. Wenn alles korrekt ist, solltest du bei der Prüfung die Note A erhalten, wie unten gezeigt:

Qualität des SSL-Zertifikats prüfen
Qualität des SSL-Zertifikats prüfen

In unserer ausführlichen Anleitung erfährst du, wie du eine SSL-Prüfung durchführst.

4. HTTP zu HTTPS umleiten

Nachdem du dein SSL-Zertifikat überprüft hast, musst du als Nächstes den gesamten HTTP-Traffic dauerhaft auf HTTPS umleiten. Für die Umleitung von HTTP zu HTTPS in WordPress gibt es mehrere Möglichkeiten.

Wenn du ein Kinsta-Kunde bist, ist es am einfachsten, unser HTTPS-erzwingen-Tool zu verwenden. Damit kannst du den HTTP-Verkehr mit ein paar Klicks auf Serverebene automatisch auf HTTPS umleiten. Du kannst dies auch manuell in der Konfiguration deines Webservers oder mit einem kostenlosen WordPress-Plugin tun.

Hinweis: Unsere Beispiele enthalten alle eine 301-Weiterleitungsdirektive, was aus SEO-Sicht die richtige Art der Umsetzung ist. Wenn du eine andere Art der Weiterleitung verwendest, kann das deinem Ranking schaden. Außerdem ist es wichtig zu wissen, dass 301-Weiterleitungen möglicherweise nicht 100% des Link-Juice weitergeben, auch wenn Google dies behauptet. Schau dir diesen Beitrag von Cyrus bei Moz über HTTPS-Migrationen und 301-Weiterleitungen an.

Option 1: Umleitung von HTTP zu HTTPS auf MyKinsta

Wenn du ein Kinsta-Nutzer bist, kannst du mit MyKinsta ganz einfach von HTTP auf HTTPS umleiten. Das ist eine hervorragende Option, denn so musst du kein Plugin auf deiner Seite installieren.

Um loszulegen, logge dich im MyKinsta-Dashboard ein, durchsuche deine Webseite und klicke dann auf Werkzeuge.

Als Nächstes wählst du die Schaltfläche Aktivieren unter HTTPS erzwingen:

HTTPS-Umleitung erzwingen
HTTPS-Umleitung erzwingen

Du kannst deine Hauptdomain als Ziel verwenden oder eine alternative Domain angeben. Dann klickst du auf HTTPS erzwingen:

HTTPS erzwingen Optionen
HTTPS erzwingen Optionen

Wenn du benutzerdefinierte HTTPS-Regeln konfiguriert oder Proxys von Drittanbietern verwendet hast, kann es beim Erzwingen von HTTPS zu Problemen kommen. Wenn du auf Fehler stößt, kannst du die HTTPS-Erzwingung deaktivieren und dich dann an den Kinsta-Support wenden, um Hilfe zu erhalten.

Option 2: Umleitung von HTTP zu HTTPS in Nginx

Wenn dein Webserver mit Nginx arbeitet, kannst du HTTP ganz einfach auf HTTPS umleiten, indem du den folgenden Code in deine Nginx-Konfigurationsdatei einfügst:

server {

listen 80;

server_name domain.com www.domain.com;

return 301 https://domain.com$request_uri;

}

Dies ist die empfohlene Methode für die Umleitung von WordPress auf Nginx.

HTTP zu HTTPS im Apache umleiten

Wenn dein Webserver mit Apache läuft, kannst du deinen gesamten HTTP-Verkehr auf HTTPS umleiten, indem du den folgenden Code in deine .htaccess-Datei einfügst:

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Dies ist die empfohlene Methode für die Umleitung von WordPress, das auf Apache läuft.

Keiner der Server von Kinsta läuft mit Apache.

Option 3: Umleitung von HTTP zu HTTPS mit dem Really Simple SSL Plugin

Die dritte Möglichkeit, die du hast, um von HTTP auf HTTPS umzuleiten, ist die Verwendung des kostenlosen WordPress-Plugins Really Simple SSL:

Really Simple SSL Plugin
Really Simple SSL

Wir empfehlen diese Methode nicht als dauerhafte Lösung, da Plugins von Drittanbietern eine weitere Ebene von Problemen und Kompatibilitätsproblemen einführen können. Es ist eine gute Übergangslösung, aber du solltest deine fest programmierten HTTP-Links aktualisieren, wie wir dir im nächsten Schritt zeigen werden.

HSTS-Header implementieren (optional)

HSTS (HTTP Strict Transport Security) ist ein Sicherheitsheader, den du zu deinem Webserver hinzufügst und der den Browser zwingt, sichere Verbindungen zu verwenden, wenn eine Webseite über HTTPS läuft. Dies kann helfen, Man-in-the-Middle-Angriffe (MitM) und Cookie-Hijacking zu verhindern. Du kannst die oben genannten 301-Weiterleitungen zusammen mit dem HSTS-Header verwenden. In unserem ausführlichen Artikel erfährst du, wie du HSTS hinzufügen kannst.

5. Prüfe auf zu viele Umleitungen

Nachdem du eine Weiterleitung von HTTP zu HTTPS hinzugefügt hast, solltest du überprüfen, ob du nicht zu viele Weiterleitungen hast. Dieses Problem ist weit verbreitet und kann die Geschwindigkeit deiner WordPress-Webseite beeinträchtigen. Mit dem Redirect Mapper Tool von Patrick Sexton kannst du schnell herausfinden, wie viele Weiterleitungen du auf deiner Seite hast.

Unten siehst du ein Beispiel für Weiterleitungen, die falsch eingerichtet wurden. Mit dem Redirect Mapper ist das leicht zu erkennen:

Umleitungen sind nicht richtig eingerichtet
Umleitungen sind nicht richtig eingerichtet

Du kannst sehen, dass sowohl bei der www- als auch bei der nicht-www-Version doppelte HTTPS-Weiterleitungen vorhanden sind.

Unten siehst du ein Beispiel für korrekt eingerichtete Weiterleitungen:

Richtig eingerichtete Weiterleitungen
Richtig eingerichtete Weiterleitungen

Wie du sehen kannst, gibt es nur eine Weiterleitung. Sieh dir unseren ausführlichen Beitrag über WordPress-Weiterleitungen und Best Practices für eine bessere Leistung an.

6. Fest programmierte HTTP-Links aktualisieren

Jetzt, wo du Weiterleitungen hast, ist es an der Zeit, all die fest programmierten HTTP-URLs zu korrigieren. Im Allgemeinen ist es nicht empfehlenswert, URLs fest zu programmieren. Mit der Zeit wirst du es aber wahrscheinlich tun (wir alle tun es). Im Folgenden findest du ein paar Möglichkeiten, wie du deine HTTP-Links auf HTTPS aktualisieren kannst.

Option 1: Kinsta Such- und Ersetzungstool

Wenn du ein Kinsta-Kunde bist, kannst du in unserem MyKinsta-Dashboard ganz einfach suchen und ersetzen:

Kinsta-Tool zum Suchen und Ersetzen
Kinsta-Tool zum Suchen und Ersetzen

Hier sind einfache Schritte, um von HTTP- zu HTTPS-URLs zu wechseln:

  1. Gib in das Suchfeld den Wert ein, nach dem du in der Datenbank suchen willst. In diesem Fall ist das unsere HTTP-Domain: http://kinstalife.com.
  2. Gib den neuen Wert, der den gesuchten Wert ersetzen soll, in das Ersetzen-Feld ein. In diesem Fall ist es unsere HTTPS-Domain: https://kinstalife.com.
  3. Klicke auf die Schaltfläche „Ersetzen„, um den Such- und Ersetzungsvorgang zu starten.
Suchen und Ersetzen Optionen
Suchen und Ersetzen Optionen

Schau dir unsere Anleitung zum Suchen und Ersetzen an, oder klicke auf das unten stehende Video für weitere Details.

Option 2: Better Search Replace Plugin

Ein weiteres einfaches Tool, das du verwenden kannst, ist das kostenlose Plugin Better Search Replace vom WordPress-Team bei Delicious Brains:

Better Search Replace Plugin
Better Search Replace Plugin

Die Nutzung des Plugins ist kostenlos. Wenn du es auf deiner Seite installiert und aktiviert hast, kannst du es unter Tools > Better Search Replace nutzen.

Option 3: interconnect/it Search Replace DB PHP Script

Eine dritte Möglichkeit zum Suchen und Ersetzen in WordPress ist ein kostenloses PHP-Skript von interconnect/it namens Search Replace DB. Dies ist eines unserer Lieblingstools für die Umstellung von HTTP auf HTTPS.

Wichtig! Die Verwendung dieses Skripts könnte deine WordPress-Webseite zerstören, wenn du nicht weißt, was du tust. Wenn du dich damit nicht auskennst, wende dich bitte zuerst an einen Entwickler oder deinen Webhoster.

Um das Skript zu verwenden, lade einfach die Zip-Datei herunter, entpacke den Ordner search-replace-db-master und benenne ihn in etwas anderes um. In unserem Beispiel haben wir ihn in update-db-1551 umbenannt. Dann lädst du sie per FTP, SFTP oder SCP in das öffentliche Verzeichnis deines Webservers hoch. Das ist in der Regel das selbe Verzeichnis, in dem sich auch der Ordner /wp-content befindet.

Navigiere dann in deinem Browser zu deinem geheimen Ordner, z. B. https://domain.com/update-db-1551:

Skript zum Suchen und Ersetzen zusammenfügen
Skript zum Suchen und Ersetzen zusammenfügen

Das Skript wird automatisch versuchen, das Datenbankfeld zu finden und auszufüllen. Du musst jedoch überprüfen, ob die Angaben korrekt sind und ob es sich um die Datenbank handelt, in der du einen Such-/Ersetzungsvorgang durchführen möchtest. Du kannst zunächst auf Dry run klicken, um zu sehen, was aktualisiert/ersetzt werden soll. Wenn du dann bereit bist, klickst du auf Live Run, um die Datenbank zu aktualisieren und das Suchen und Ersetzen in WordPress durchzuführen.

Ein Beispiel für eine HTTPS-Migration wäre es, „http://yourdomain.com“ durch „https://yourdomain.com“ zu ersetzen.

Suchen und Ersetzen Optionen
Suchen und Ersetzen Optionen

Aus Sicherheitsgründen ist es außerdem wichtig, dass du dieses Skript löschst, wenn du fertig bist. Du kannst auf die Schaltfläche Delete me klicken. Wenn du das nicht tust, könnte deine Website für Angriffe offen sein.

Es wird außerdem empfohlen, auf deinem Webserver zu überprüfen, ob der Ordner/das Skript vollständig entfernt wurde. Hinweis: Dieses Skript aktualisiert alle Einträge in deiner Datenbank, einschließlich deiner WordPress-Seiten-URL, fest kodierter Links auf Seiten und Beiträgen usw.

Wenn du deine Home-, Seite- oder WP-Inhaltsbereiche in der Datei wp-config.php fest programmiert hast, musst du sie auf HTTPS umstellen:

define('WP_HOME', 'https://yourdomain.com');

define('WP_SITEURL', 'https://yourdomain.com');

define( 'WP_CONTENT_URL', 'https://yourdomain.com/wp-content' );

Wenn du ein CDN hast und einen CNAME verwendest, wie z.B. cdn.domain.com, solltest du das obige Skript ein zweites Mal ausführen, um alle fest codierten http://cdn.domain.com URLs zu finden und sie durch https://cdn.domain.com zu ersetzen.

Option 4: Suchen und Ersetzen mit WP-CLI

Für technisch versierte Leute und Entwickler, die die Kommandozeile nicht gerne verlassen, kannst du deine Links auch mit WP-CLI aktualisieren. Wir empfehlen dir, dir die Anleitung zum erweiterten Suchen und Ersetzen in WP-CLI anzusehen.

7. Eigene Skripte und externe Bibliotheken aktualisieren

Jetzt, wo du deine alten, fest programmierten URLs aktualisiert hast, solltest du alle benutzerdefinierten Skripte oder externen Bibliotheken überprüfen, die du vielleicht in deinem Header, Footer usw. hinzugefügt hast. Dazu gehören z. B. Google jQuery, Font Awesome, CrazyEgg, AdRoll, Facebook, Hotjar, etc.

Google jQuery kannst du einfach aktualisieren, damit es auf die HTTPS-Version verweist:

<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js"></script>

Jeder Anbieter und Dienst sollte eine HTTPS-Version haben, zu der du wechseln kannst.

8. CDN von HTTP auf HTTPS umstellen

Wenn du ein CDN verwendest, solltest du auch dieses auf HTTPS umstellen. Andernfalls wirst du auf deiner WordPress-Webseite Probleme mit der Warnung vor gemischten Inhalten bekommen. Wenn du das Kinsta CDN verwendest, kannst du diesen Schritt überspringen, da alles von unserem Cloudflare-gestützten CDN standardmäßig über HTTPS läuft.

Cloudflare CDN-Alternativen

Wenn du eine Alternative zu Cloudflare CDN suchst, gibt es eine Vielzahl von Möglichkeiten. Eine der beliebtesten ist KeyCDN.

Dieses leistungsstarke CDN beschleunigt die Auslieferung der Inhalte deiner Webseite an die Besucher, indem es sie auf Servern weltweit zwischenspeichert. Außerdem bietet es Sicherheit und Schutz vor DDoS-Angriffen und anderen Bedrohungen.

Zwei weitere Optionen sind Amazon CloudFront, das zu Amazon Web Services (AWS) gehört, und Sucuri, das die Leistung und Geschwindigkeit deiner Webseite optimiert. Sucuri verfügt über eine breite Palette an Sicherheitsfunktionen.

Hier findest du einige hilfreiche Links und Anleitungen zur Installation und Einrichtung von SSL für verschiedene CDN-Anbieter.

Hinweis: Einige haben sogar eine Let’s Encrypt-Integration, d.h. SSL ist kostenlos. Wenn du Probleme hast, kannst du dich jederzeit an deinen CDN-Anbieter wenden, der dir bei der Umstellung von HTTP auf HTTPS hilft.

Sobald du das CDN aktualisiert hast, musst du sicherstellen, dass du es auch in dem WordPress-Plugin aktualisierst, das du für die Integration verwendest. Im folgenden Beispiel verwenden wir CDN Enabler:

CDN auf HTTPS umstellen
CDN auf HTTPS umstellen

Wir ändern die URL über HTTP in HTTPS und aktivieren dann unten die Option CDN HTTPS. Wenn du fertig bist, wähle die Schaltfläche Änderungen speichern.

9. Überprüfe deine Webseite auf Warnungen vor gemischten Inhalten

Als Nächstes solltest du deine WordPress-Webseite überprüfen, um sicherzustellen, dass du keine Warnungen vor gemischten Inhalten erhältst. Diese Warnungen erscheinen, wenn HTTPS- und HTTP-Skripte oder -Inhalte geladen werden. Du kannst nicht beides laden.

Wenn du auf HTTPS umstellst, muss alles über HTTPS laufen. Wired hat bei der Umstellung von HTTP auf HTTPS und ein Problem, auf das sie gestoßen sind, dokumentiert:

eine der größten Herausforderungen bei der Umstellung auf HTTPS ist die Vorbereitung aller unserer Inhalte für die Auslieferung über sichere Verbindungen. Wenn eine Seite über HTTPS geladen wird, müssen auch alle anderen Inhalte (wie Bilder und Javascript-Dateien) über HTTPS geladen werden. Wir sehen eine große Anzahl von Berichten über diese „gemischten Inhalte“ oder Ereignisse, bei denen ein unsicheres HTTP-Asset im Zusammenhang mit einer sicheren HTTPS-Seite geladen wird. Um unseren Rollout richtig zu machen, müssen wir sicherstellen, dass wir weniger Probleme mit gemischten Inhalten haben – und dass wir so viele Inhalte von WIRED.com wie möglich sicher ausliefern.

Im Folgenden findest du einige Beispiele dafür, was in den Browsern passiert, wenn du diese Warnungen nicht behebst.

Beispiel für eine Warnung bei gemischten Inhalten in Chrome

Hier ist ein Beispiel dafür, was in Chrome passiert, wenn eine Warnung zu gemischten Inhalten ausgelöst wird:

Chrome Warnung bei gemischtem Inhalt
Chrome Warnung bei gemischtem Inhalt

Firefox Warnung vor gemischten Inhalten (Beispiel)

Hier ist ein Beispiel dafür, was in Firefox passiert, wenn eine Warnung vor gemischten Inhalten ausgelöst wird:

Firefox Warnung vor gemischten Inhalten
Firefox Warnung vor gemischten Inhalten

Internet Explorer Warnung vor gemischten Inhalten Beispiel

Hier ist ein Beispiel dafür, was im Internet Explorer passiert, wenn eine Warnung vor gemischten Inhalten ausgelöst wird:

IE-Warnung vor gemischten Inhalten
IE-Warnung vor gemischten Inhalten

Wie du siehst, ist der IE wahrscheinlich einer der schlimmsten, weil er das Rendering der Seite unterbricht, bis das Popup angeklickt wird.

Es gibt ein tolles, kostenloses Tool namens SSL Check von JitBit, mit dem du deine Webseite oder URL schnell auf unsichere Inhalte überprüfen kannst. Das Tool durchsucht deine HTTPS-WordPress-Seite nach unsicheren Bildern, Skripten und CSS-Dateien, die in Browsern eine Warnmeldung auslösen. Die Anzahl der gecrawlten Seiten ist auf 200 pro Webseite begrenzt.

Du kannst auch die Chrome DevTools verwenden, um jede Seite schnell zu überprüfen, indem du dir das Panel für Netzwerkanfragen ansiehst. Das Sicherheits-Panel ist ebenfalls sehr nützlich. Du kannst sofort alle unsicheren Ursprünge sehen und dann in die Anfragen klicken, um zu sehen, woher sie kommen:

HTTPS in Chrome Devtools prüfen
HTTPS in Chrome Devtools prüfen

Es gibt auch eine Desktop-Software namens HTTPS Checker, die du installieren kannst, um deine Webseite zu überprüfen:

HTTPS Checker Software
HTTPS Checker Software

Nach wichtigen Änderungen kann sie dir helfen, auf „nicht sichere“ Warnungen und Inhalte zu prüfen. Sie ist für Windows, Mac und Ubuntu verfügbar. Mit der kostenlosen Version kannst du bis zu 100 Seiten überprüfen.

10. Google Search Console Profil aktualisieren

Jetzt, wo deine WordPress-Webseite mit HTTPS läuft (hoffentlich ohne Warnungen), ist es an der Zeit, sich mit der Marketing-Seite zu beschäftigen. Einige dieser Punkte sind sehr wichtig, also lass sie nicht aus!

Zuerst musst du ein neues Google Search Console Profil für die HTTPS-Version erstellen.

HTTPS-Eigenschaft in GSC hinzufügen
HTTPS-Eigenschaft in GSC hinzufügen

Nachdem du die neue HTTPS-Version erstellt hast, musst du deine Sitemap-Dateien erneut einreichen. Die neuen HTTPS-Versionen:

HTTPS-Sitemap-Datei
HTTPS-Sitemap-Datei

Du musst sie erneut einreichen, wenn du eine Disavow-Datei von schlechten Backlinks oder eine Abstrafung hast. Du könntest deine Webseite dauerhaft schädigen, wenn du das nicht sofort tust.

Gehe zum Disavow Tool von Google und klicke auf dein ursprüngliches HTTP-Profil. Lade die Disavow-Datei herunter, falls sie existiert. Gehe dann zurück zum Tool und reiche deine Disavow-Datei unter der HTTPS-Version ein.

Hinweis: Nachdem du all dies getan hast, kannst du das HTTP-Profil in der Google Search Console sicher löschen.

11. Bing Webmaster Tools

Die Bing Webmaster Tools sind ein wenig anders als die Google Search Console:

Bing Webmaster Tools HTTPS
Bing Webmaster Tools HTTPS

Du musst kein neues HTTPS-Profil erstellen. Stattdessen kannst du einfach deine neu erstellte HTTPS-Sitemap einreichen.

12. Google Analytics

Als Nächstes musst du deinen Google Analytics-Property und -Ansicht aktualisieren. Dies hat keine Auswirkungen auf deine Analysedaten, sondern hilft dir lediglich dabei, deine Webseite mit der Google Search Console zu verknüpfen.

Um deine Eigenschaft zu aktualisieren, klickst du auf die Einstellungen deiner Domain-Eigenschaft und änderst sie unter der Standard-URL in die HTTPS://-Version:

Google Analytics-Eigenschaft auf HTTPS aktualisieren
Google Analytics-Eigenschaft auf HTTPS aktualisieren

Um deine Ansicht zu aktualisieren, klicke auf die Einstellungen deiner Domain-Ansicht. Ändere dann unter der URL der Webseite die HTTPS:// Version:

Google Analytics-Ansicht auf HTTPS aktualisieren
Google Analytics-Ansicht auf HTTPS aktualisieren
Google Analytics mit GSC verknüpfen
Google Analytics mit GSC verknüpfen

Du musst auch dein neu erstelltes Google Search Console Profil, das du in Schritt 8 erstellt hast, mit deinem Google Analytics Konto verknüpfen. Dazu klickst du auf die Eigenschaftseinstellungen deiner Domain und wählst dann Search Console anpassen:

Dann kannst du dein neues HTTPS-GSC-Profil verlinken. Wenn du diese beiden Profile miteinander verknüpfst, können die Daten der Suchanfragen in dein Google Analytics-Konto fließen.

13. YouTube-Kanal

Wenn du einen YouTube-Kanal hast, musst du deine Webseite in der Google Search Console erneut mit deiner neuen HTTPS-Version verknüpfen. Andernfalls erhältst du Fehlermeldungen mit Anmerkungen und anderen Meldungen, dass der HTTPS-Link ungültig ist.

Klicke in deinem YouTube Dashboard auf deinen Kanal und dann auf Erweitert. Ändere dann deine Domain auf die neue HTTPS-Version und klicke auf Hinzufügen. Es kann sein, dass du die alte Domain entfernen und sie dann neu hinzufügen musst. Anschließend musst du sie genehmigen, indem du in die Google Search Console gehst, zu deinen Meldungen für diese Website navigierst und Genehmigen auswählst.

14. Sonstiges

Das war’s dann auch schon mit der Umstellung von HTTP auf HTTPS! Hier sind noch einige andere Punkte, die du ebenfalls aktualisieren solltest. Je nachdem, was du benutzt, können einige davon zutreffen oder auch nicht.

  • Vergewissere dich, dass deine robots.txt zugänglich ist und funktioniert.
  • Vergewissere dich, dass alle kanonischen Tags auf die HTTPS-Version verweisen (dies sollte bereits geschehen sein, wenn du Schritt 4 oben befolgt hast).
  • Wenn du ein Kommentar-Plugin wie Disqus verwendest, musst du deine Disqus-Kommentare von HTTP auf HTTPS umstellen.
  • Aktualisiere deine URLs in deiner E-Mail-Marketing-Software
  • Aktualisiere die URLs deiner PPC-Anzeigen: AdWords, Bing Ads, AdRoll, Facebook Ads, etc.
  • Aktualisiere Social Media Links (Facebook Seite, Twitter Bio, Pinterest, Google+, etc.)

Zusammenfassung

HTTPS ist nicht nur ein Google-Rankingfaktor. Es ist ein wichtiges Sicherheitsprotokoll, das dazu beiträgt, deine Webseite und deine Besucher/innen vor Angriffen zu schützen.

Wenn du mit der Umstellung auf HTTPS gezögert hast, hat dich dieser Beitrag hoffentlich endlich dazu gebracht, den Schritt zu wagen. Bist du bereit, den Schritt zu wagen? Wenn du dabei Hilfe brauchst, steht dir unser Expertenteam gerne zur Seite.

Hast du noch Fragen zur Umstellung von HTTP auf HTTPS? Lass es uns im Kommentarbereich unten wissen!

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.