Was ist denn nun ein SSL Zertifikat?
SSL (Secure Sockets Layer) ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung. Wobei SSL die weitläufiger bekannte Bezeichnung ist, so wurde es vom sog. TLS (Transport Layer Security) abgelöst. Das Verfahren wird also unter dem Begriff TLS weiterentwickelt, meint aber im Grunde das Gleiche. Das sogenannte "SSL Zertifikat" ist ein digitales Zertifikat zur Bestätigung der öffentlichen Identität des Inhabers. In dem du so ein Zertifikat auf deinem Webserver installierst, legst du den Grundstein für eine verschlüsselte Verbindung.
Und was hat das mit HTTPS zutun?
Über das sogenannte HTTP (Hypertext Transfer Protocol) werden seit Beginn des Internets die Daten zwischen dem Browser und dem Webserver übertragen. Bei HTTP geschah dies jedoch unverschlüsselt. Im Zeitalter der freien WLAN-Hotspots stieg der Bedarf nach einer verschlüsselten Datenübertragung, denn bis dato war es Computeraffinen Mitmenschen möglich, die Daten die über so einen frei zugänglichen Hotspot übertragen wurden, mitzuschneiden und für missbräuchliche Zwecke einzusetzen. Beispielsweise konnten Passwörter und Nutzernamen über das HTTP mitgeschnitten werden. Dies ist zwar bei HTTPS auch möglich, jedoch sind diese Daten dort verschlüsselt und es würde Monate dauern, ohne den richtigen Schlüssel, diese Daten lesen zu können.Ob eine Verbindung gesichert ist oder nicht, erkennst du an dem "Schloss" neben der Adresszeile deines Browser und an dem "https://" kürzel am Anfang einer URL.
Welche Vorteile hat das ganze?
- Mehr Vertrauen der Besucher in deine Website
- SSL-Verschlüsselung ist ein wichtiger Ranking-Faktor bei Google!
- Deine Website wird schneller, da du durch HTTPS vom schnelleren http/2 (Wikipedia) Gebrauch machen kannst, vorausgesetzt, dein Hosting-Anbieter unterstützt dies.
- Bekannte Browser wie Firefox und Google Chrome kennzeichnen Websites ohne SSL-Verschlüsselung als "Nicht sicher".
- SSL ist in Deutschland Pflicht sobald personenbezogene Daten, wie zum Beispiel Zahlungsinformationen, übertragen werden!
Jedoch ergeben sich natürlich auch kleinere Nachteile
- Ein einmaliger Zeitaufwand von ca. 1-2 Stunden für die Umstellung der URLs deiner Website
- Social Shares werden von manchen Plugins nicht mehr angezeigt
SSL-Zertifikat auf dem Server installieren
Um das SSL Zertifikat auf deinem Server zu installieren, musst du dich in dein Kundenkonto bei deinem Hoster einloggen. Dies kann von Hoster zu Hoster unterschiedlich aussehen.
HTTPS im WordPress Admin Bereich einrichten
Hast du das SSL-Zertifikat bei deinem Hoster für deine Domain installiert so folgt nun der nächste Schritt. Um die Verbindung zum WordPress Admin Bereich mittels HTTPS zu forcieren musst du erst einmal eine FTP-Verbindung (z.B. mit FileZilla) zu deinem Webspace herstellen um dann die sogenannte "wp-config.php" zu bearbeiten.
Bearbeitest du diese Datei zum ersten mal, ist es sinnvoll am Ende des Dokuments anzusetzen und dort erst einmal einen Kommentar einzufügen, damit du weißt, dass es sich dabei um von dir erstellte Änderungen handelt. Dieser könnte so aussehen:
`/* Customization - HTTPS/SSL */
Nun kommen wir zum eigentlichen Befehl, der wie folgt lautet:
define('FORCE_SSL_ADMIN', true);`
Mit diesem Einzeiler wird eine verschlüsselte Verbindung bei Aufruf des Admin-Bereichs erzwungen und du kannst sicher und mit gutem Gewissen deine Nutzerdaten eingeben.
WordPress- und Website-Adresse anpassen
Nachdem nun das Zertifikat auf dem Server installiert ist und du den Admin Bereich umgestellt hast, ist es an der Zeit die WordPress- und Website-Adresse anzupassen. Dazu loggst du dich in deinem WordPress Admin Bereich ein und klickst in der Navigation auf der linken Seite auf Einstellungen -> Allgemein.
Permalinks aktualisieren
Hast du deine URL bearbeitet, musst du noch unter "Einstellungen -> Permalinks" einmal auf "Änderungen speichern" klicken. Daraufhin übernimmt WordPress die HTTPS Konfiguration automatisch für alle Permalinks.
Better Search Replace - Alte URLs in der WordPress Datenbank ersetzen
Better Search and Replace ist ein kleines aber feines Plugin mithilfe dessen du deine WordPress-Installation nach HTTP-URLs durchsuchen und durch HTTPS-URLs ersetzen kannst.
Leider reicht es nicht, nur die Permalinks zu aktualisieren, denn davon sind sämtliche Links aus Beiträgen und Seiten noch nicht betroffen. Um eben diesen Links den nötigen HTTPS-Charme zu verleihen ist es notwendig dort das HTTP durch das HTTPS zu ersetzen. Dies händisch zu tun wäre zwar möglich, jedoch mit einem umfassenden Zeitaufwand verbunden.
Das Ganze ist notwendig, um eine sogenannte "Mixed-Content"-Warnung zu vermeiden. Diese wird von den Browsern hervorgerufen, wenn sich auf einer Seite Content befindet, welcher über HTTP, sprich einer unsicheren Verbindung, und über HTTPS abgerufen wird. Dies wäre nicht nur schlecht für dein Google Ranking sondern könnte auch das Vertrauen der Leser beeinträchtigen.
Bevor du nun den ganzen Prozess ins Rollen bringst solltest du zunächst ein Backup anlegen. Nun installierst du das Plugin über deine WordPress-Admin Oberfläche. Hast du das getan, kannst du über "Werkzeuge -> Better Search Replace" darauf zugreifen. Im folgenden Bild siehst du einen Screenshot des Plugins.
Schreibe nun einfach in das "Suchen nach"-Feld deine Domain mit "http://eure-domain.de" und in das "Ersetzen durch"-Feld deine Domain mit "https://eure-domain.de" und klicke danach auf "Suchen/Ersetzen starten". Je nach Grösse deiner Website kann dies ein paar Sekündchen dauern.
Beim Ersetzen mit Better Search Replace sollte man keinesfalls nur "http" durch "https" (ohne eure URL) ersetzen, weil das auch ausgehende Links bzw. extern referenzierte Bilder o.ä. betreffen könnte. Noch haben nicht alle Seiten auf HTTPS umgestellt und das könnte in einem Fiasko enden.
.htaccess anpassen - Automatische weiterleitung auf HTTPS
Nun hast du es auch schon fast geschafft. Über die sogenannte .htaccess Datei musst du nun noch eine automatische Weiterleitung einrichten.
Diese Funktion sorgt dafür, dass ein Aufruf via HTTP automatisch auf dieselbe Seite unter Nutzung des HTTPS Protokolls weitergeleitet wird. Hast du also beispielsweise in einem alten Gastbeitrag auf einer anderen Seite einen alten Backlink (http://xyz.de) positioniert, so wird der Leser bei einem Klick auf diesen Link zum selben Artikel weitergeleitet wie vorher, dieses mal jedoch unter Verwendung der verschlüsselten Verbindung.
Damit das ganze Funktioniert, musst du erneut via FTP-Client (z.B. FileZilla) auf deinen Webserver zugreifen. Auf derselben Ebene wie die "wp-config.php" befindet sich auch die .htaccess-Datei. Diese musst du nun herunterladen und mit einem geeigneten Editor bearbeiten (Ich empfehle Notepad++, jeder andere Editor funktioniert aber auch).
Hast du die Datei im Editor geöffnet, so fügst du ganz an den Anfang des Dokuments folgende Zeilen ein:
`RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]``
Danach speicherst du die Datei ab und lädst sie hoch. Achte dabei darauf, die alte, auf dem Server liegende Datei, mit deiner zu ersetzen.
Nutzt du das SEO-Plugin Rank Math lässt sich deine .htaccess Datei direkt darüber konfigurieren.