WordPress Homepage auf SSL Verschlüsselung umstellen

Zunächst muss man für seine WordPress Homepage ein SSL Zertifikat kaufen und auf dem Webserver installieren. Dies erfolgt in der Regel bei dem jeweiligen Webhoster. Einige Webhosting-Anbieter bieten sogar ein SSL Zertifikat kostenlos an, wie z. B. webgo im Webhosting Profi Paket das Zertifikat von Let’s Encrypt.

Bereich Einstellungen – Untermenü Allgemein:

Ändern Sie die WordPress-Adresse (URL) und die Website-Adresse (URL)  von http auf https.

Hiermit wurde zwar die WordPress Homepage nun auf https „umgestellt“.  Da aber zu diesem Zeitpunkt immer noch der Aufruf über http möglich ist, müssen nun alle Aufrufe der WordPress Homepage auf https weitergeleitet bzw. erzwungen werden.

Dies erfolgt über die .htaccess-Datei:

Dieser Eintrag in die .htaccess-Datei dient auch den Suchmaschinen mitzuteilen, dass die Seite ab sofort über https zu erreichen ist. Man spricht hier auch von der suchmaschinenfreundlichen 301-Weiterleitung. Dadurch wird auch der sogenannte doppelter Content vermieden.

Wird nun die WordPress Homepage aufgerufen, erscheint dennoch die Meldung, dass die Seite unsicher ist.

Das liegt daran, dass die Website selbst zwar mit SSL verschlüsselt überträgt, aber einige darin verwendete Komponenten immer noch http geladen werden.

Zu diesen problematischen Inhalten zählen hauptsächlich eingebettete Bilder, aber auch HTML- oder Javascript-Codes von  z. B. Werbebannern. Weiterhin können auch durch Plugins eingebundene Elemente ursächlich sein. Auch „hart“ codierte http-Statements in der Programmierung der Themes wirken sich hier als Problem aus.

Mixed content

Enthält also eine verschlüsselte Seite solche unverschlüsselte Elemente, dann spricht man von einem sogenannten „mixed content“.

Wie auf dem Screenshot erkennbar, wird die Seite mittels einer Warnmeldung als insgesamt unsicher im Browser deklariert und das wiederum verunsichert den Besucher.

Doch was tun? Zunächst muss ein von WordPress selbst geschuldetes Problem beseitigt werden. Dieser Eingriff kann unter Umständen kniffelig sein und es wird daher unbedingt eine vorherige Datensicherung empfohlen!

URLs von Bildern mit dem Protokollteil der URL werden in den jeweiligen Posts von WordPress unglücklicherweise gespeichert. Daher müssen dort alle Referenzen, die mit http beginnen, entsprechend auf https manuell geändert werden. Am Einfachsten kann dies mit dem folgenden Plugin gelöst werden:

Plugin Suchen & Ersetzen 

Im diesem Plugin wird im Tab SUCHEN & ERSETZEN im Feld SUCHEN nach „http://www.xxx.de“ und im Feld  ERSETZEN  „https://xxx.de“ eingetragen. „XXX“ steht für die jeweilige Domain.

Nach dieser Aktion sollten nun alle eingebundenen Elemente erfolgreich auf die SSL-Verschlüsselung geändert sein.

Tritt die Warnungsmeldung weiterhin auf, muss leider systematisch weitergesucht werden. Die Gründe dafür können sehr vielfältig sein, allerdings gibt es ein paar Anhaltspunkte, die die Analyse etwas vereinfachen sollten:

Zunächst sollten die Optionen ALLER Plugins durchgesehen werden, ob dort eingetragene URLS auf https geändert werden müssen. Zu beachten ist dabei, dass diese externen URLs auch definitiv per SSL-Verschlüsselung aufrufbar sind, da ansonsten die Änderung nichts bewirkt.

Bei erneuten SSL-Fehlermeldungen ist es erforderlich, die SSL-inkompatiblen Elemente  zu identifizieren. Hilfreiche Werkzeuge dazu findet man z. B. im Google Browser CHROME im Menü unter WEITERE TOOLS – ENTWICKLERTOOLS. Im Tab CONSOLE werden die  kritischen Mixed Content Elemente dann wie folgt angezeigt:

 

 

Allerdings sind für diese Art der Fehlerbehebung wohl einiges an Geduld, als auch als auch HTML- oder PHP-Kenntnisse nötig.

 

Warum macht „Mixed Content“ hier zusätzlichen Ärger?

Nun ja, zweifelsohne verhalten sich die jeweiligen Browser, wie Chrome, Firefox, Internet Explorer und Co. sehr unterschiedlich bei Webseiten, die zwar über SSL Verschlüsselung übertragen, dennoch aber unsichere Elemente beinhalten.

Einige Browser melden nur einen leicht übersehbaren Hinweis, andere dagegen verunsichern den Besucher extrem durch auffällige Gefahrenmeldungen und bieten zugleich die Möglichkeit, eine Internetseite als gefährlich zu markieren. Ein einziges noch so ungefährliches Bild kann also somit eine große Wirkung haben. Besonders Firefox stellt die Gefahr als sehr dramatisch dar:

 

Wichtig nach all den Aktionen: Testen, testen, testen. Alle Unterseiten. Nur somit kann ausgeschlossen werden, dass plötzlich eine rote Gefahrenmeldung aufpoppt.

Google muss über den Wechsel zur SSL-Verschlüsselung informiert werden. Für Google sind die Adressen http://www.xxx.de und https://www.xxx.de zwei Paar Stiefel. Also zwei völlig unterschiedliche Websites. Das erklärte Ziel für die Zukunft sollte logischerweise nur noch die https-Seite sein.

Über die Anmeldung in Google Search Console (oder früher auch Google Webmastertools), gibt es wahrscheinlich schon einen http-Eintrag. Dieser sollte auch weiterhin bestehen bleiben.

Über die Funktion Property hinzufügen kann hier die neue https-Variante hinzugefügt werden.

Es kursieren im Netz einige Informationen, in der Google Search Console Änderungen an der alten http URL vorzunehmen. Laut Aussage von Google sollte diese Modifikation für einen Wechsel auf eine SSL Verschlüsselung nicht durchgeführt werden. Google erkennt die Umstellung selbständig, wenn die Einstellungen in der htaccess Datei (wie bereits beschrieben) durchgeführt wurden.

Wer bereits eine Sitemap bei Google Webmastertools übermittelt hat, sollte sicherstellen, dass auch diese mit https überträgt. Dafür kann ein entsprechendes Plugin eingesetzt werden und es sollte darauf geachtet werden, dass die Änderungen auch gezogen werden.

Wer Social Media, wie z. B. Facebook, Instagram, Twitter etc. im Einsatz hat, muss auch dort die Verlinkungen auf die neue https-Seite ändern. Dies ist wichtig, dass der Aufruf der WordPress Homepage direkt erfolgt und nicht über Umleitungen.