To-Do-List für Umstellung auf sichere SSL Verschlüsselung
Alle Websiten, die mithttpsaufgerufen werden, übertragen die Daten mittels einer SSL Verschlüsselung. Grundlage dafür ist ein sogenanntes SSL Zertifikat. Diese Art der Datenübermittlung bietet zusätzliche Sicherheit gegenüber der gewöhnlichen Übertragung per http.
Brandaktuell überschlagen sich die News im Netz, dass Google vermehrt Wert auf diese SSL Verschlüsselunglegt und das macht sich auch direkt im Ranking der Suchmaschinen bemerkbar. Webseiten mit einem SSL Zertifikat werden deutlich besser gelistet, andere dagegen abgestraft.
Weiterhin werden Internetuser in den gängigen Browsern wie zum Beispiel: Mozilla Firefox und Google Chrome immer aggressiver auf eine unverschlüsselte Seite hingewiesen und dadurch auch verunsichert. Wir haben über diese Problematik bereits in unserem Blog berichtet:
Aus diesen Gründen sollte mit der Umstellung der WordPress Homepage nicht mehr allzu lange gewartet werden.
Doch was ist dafür zu tun?
Schritt 1: Installieren des SSL Zertifikat
Zunächst muss man für seine WordPress Homepage ein SSL Zertifikat kaufen und auf dem Webserver installieren. Dies erfolgt in der Regel bei dem jeweiligen Webhoster. Einige Webhosting-Anbieter bieten sogar ein SSL Zertifikat kostenlos an, wie z. B. webgo im Webhosting Profi Paket das Zertifikatvon Let’s Encrypt.
Schritt 2: Anpassungen im WordPress
Bereich Einstellungen – Untermenü Allgemein:
Ändern Sie die WordPress-Adresse (URL) und die Website-Adresse (URL) von http auf https.
Hiermit wurde zwar die WordPress Homepage nun auf https „umgestellt“. Da aber zu diesem Zeitpunkt immer noch der Aufruf über http möglich ist, müssen nun alle Aufrufe der WordPress Homepage auf https weitergeleitet bzw. erzwungen werden.
Dies erfolgt über die .htaccess-Datei:
Dieser Eintrag in die .htaccess-Datei dient auch den Suchmaschinen mitzuteilen, dass die Seite ab sofort über https zu erreichen ist. Man spricht hier auch von der suchmaschinenfreundlichen 301-Weiterleitung. Dadurch wird auch der sogenannte doppelter Content vermieden.
Schritt 3: Anpassungen an der WordPress-Datenbank
Wird nun die WordPress Homepage aufgerufen, erscheint dennoch die Meldung, dass die Seite unsicher ist.
Das liegt daran, dass die Website selbst zwar mit SSL verschlüsselt überträgt, aber einige darin verwendete Komponenten immer noch http geladen werden.
Zu diesen problematischen Inhalten zählen hauptsächlich eingebettete Bilder, aber auch HTML- oder Javascript-Codes von z. B. Werbebannern. Weiterhin können auch durch Plugins eingebundene Elemente ursächlich sein. Auch „hart“ codierte http-Statements in der Programmierung der Themes wirken sich hier als Problem aus.
Mixed content
Enthält also eine verschlüsselte Seite solche unverschlüsselte Elemente, dann spricht man von einem sogenannten „mixed content“.
Wie auf dem Screenshot erkennbar, wird die Seite mittels einer Warnmeldung als insgesamt unsicher im Browser deklariert und das wiederum verunsichert den Besucher.
Doch was tun? Zunächst muss ein von WordPress selbst geschuldetes Problem beseitigt werden. Dieser Eingriff kann unter Umständen kniffelig sein und es wird daher unbedingt eine vorherige Datensicherung empfohlen!
URLs von Bildern mit dem Protokollteil der URL werden in den jeweiligen Posts von WordPress unglücklicherweise gespeichert. Daher müssen dort alle Referenzen, die mit http beginnen, entsprechend auf https manuell geändert werden. Am Einfachsten kann dies mit dem folgenden Plugin gelöst werden:
Im diesem Plugin wird im Tab SUCHEN & ERSETZEN im Feld SUCHEN nach „http://www.xxx.de“ und im FeldERSETZEN „https://xxx.de“ eingetragen. „XXX“ steht für die jeweilige Domain.
Nach dieser Aktion sollten nun alle eingebundenen Elemente erfolgreich auf die SSL-Verschlüsselung geändert sein.
Tritt die Warnungsmeldung weiterhin auf, muss leider systematisch weitergesucht werden. Die Gründe dafür können sehr vielfältig sein, allerdings gibt es ein paar Anhaltspunkte, die die Analyse etwas vereinfachen sollten:
Zunächst sollten die Optionen ALLER Plugins durchgesehen werden, ob dort eingetragene URLS auf https geändert werden müssen. Zu beachten ist dabei, dass diese externen URLs auch definitiv per SSL-Verschlüsselung aufrufbar sind, da ansonsten die Änderung nichts bewirkt.
Bei erneuten SSL-Fehlermeldungen ist es erforderlich, die SSL-inkompatiblen Elemente zu identifizieren. Hilfreiche Werkzeuge dazu findet man z. B. im Google Browser CHROME im Menü unter WEITERE TOOLS – ENTWICKLERTOOLS. Im Tab CONSOLE werden die kritischen Mixed Content Elemente dann wie folgt angezeigt:
Allerdings sind für diese Art der Fehlerbehebung wohl einiges an Geduld, als auch als auch HTML- oder PHP-Kenntnisse nötig.
Warum macht „Mixed Content“ hier zusätzlichen Ärger?
Nun ja, zweifelsohne verhalten sich die jeweiligen Browser, wie Chrome, Firefox, Internet Explorer und Co. sehr unterschiedlich bei Webseiten, die zwar über SSL Verschlüsselung übertragen, dennoch aber unsichere Elemente beinhalten.
Einige Browser melden nur einen leicht übersehbaren Hinweis, andere dagegen verunsichern den Besucher extrem durch auffällige Gefahrenmeldungen und bieten zugleich die Möglichkeit, eine Internetseite als gefährlich zu markieren. Ein einziges noch so ungefährliches Bild kann also somit eine große Wirkung haben. Besonders Firefox stellt die Gefahr als sehr dramatisch dar:
Wichtig nach all den Aktionen: Testen, testen, testen. Alle Unterseiten. Nur somit kann ausgeschlossen werden, dass plötzlich eine rote Gefahrenmeldung aufpoppt.
Schritt 4: SEO (Suchmaschinenoptimierung)
Google muss über den Wechsel zur SSL-Verschlüsselung informiert werden. Für Google sind die Adressen http://www.xxx.de und https://www.xxx.de zwei Paar Stiefel. Also zwei völlig unterschiedliche Websites. Das erklärte Ziel für die Zukunft sollte logischerweise nur noch die https-Seite sein.
Über die Anmeldung in Google Search Console (oder früher auch Google Webmastertools), gibt es wahrscheinlich schon einen http-Eintrag. Dieser sollte auch weiterhin bestehen bleiben.
Über die Funktion Property hinzufügen kann hier die neue https-Variante hinzugefügt werden.
Es kursieren im Netz einige Informationen, in der Google Search Console Änderungen an der alten http URL vorzunehmen. Laut Aussage von Google sollte diese Modifikation für einen Wechsel auf eine SSL Verschlüsselung nicht durchgeführt werden. Google erkennt die Umstellung selbständig, wenn die Einstellungen in der htaccess Datei (wie bereits beschrieben) durchgeführt wurden.
Wer bereits eine Sitemap bei Google Webmastertools übermittelt hat, sollte sicherstellen, dass auch diese mit https überträgt. Dafür kann ein entsprechendes Plugin eingesetzt werden und es sollte darauf geachtet werden, dass die Änderungen auch gezogen werden.
Wer Social Media, wie z. B. Facebook, Instagram, Twitter etc. im Einsatz hat, muss auch dort die Verlinkungen auf die neue https-Seite ändern. Dies ist wichtig, dass der Aufruf der WordPress Homepage direkt erfolgt und nicht über Umleitungen.
Fazit:
All dies ist natürlich nur eine grobe Do-it-yourself-Anleitung für Geübte. Es erfordert sicherlich schon einiges an Know-How, eine solche SSL Umstellung durchzuführen.
Können wir Ihnen helfen?
Wem die ganze Sache etwas zu kniffelig erscheint, übernehmen wir das als Fullservice-Internet-Agentur gerne für Sie und erstellen Ihnen gerne ein individuelles Angebot.
Wir verwenden Cookies, um die Qualität und Benutzerfreundlichkeit der Webseite zu verbessern und Ihnen einen besseren Service zu bieten. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von Cookies zu.AkzeptierenErfahre mehr