WordPress auf https umstellen

Wer einen Blog zeitgemüß betreiben möchte, muss sich auch im Rahmen der SEO-Optimierung mit dem Thema https (SSL) befassen. Neben den rein sicherheitsrelevanten Aspekten und Vorzügen einer https-Verbindung des eigenen Webauftritts, wirkt sich eine sichere Verbindung positiv auf das Ranking bei Google (und Co.) aus. Insbesondere Google hat hierauf bereits mehrfach bewusst hingewiesen, dass sichere(re) https-Verbindungen, also Webserver, die eine gesicherte Verbindung zum Besucher einer Webseite aufbauen, beim Ranking bevorzugt behandelt werden. Mit anderen Worten: Wer seinen Blog nicht auf https umstellt wird von Google abgestraft.

Heise.de hatte hierauf bereits in 2014 hingewiesen und verantwortungsvollen Webmastern somit reichlich zeitlichen Vorsprung gegeben, das eigene Blog entsprechend weiterzuentwickeln und anzupassen. Denn die tatsächlichen Auswirkungen auf das Ranking sind nicht bereits in 2014 zu spüren gewesen, sondern beginnend im Frühjahr 2015 konnten erste Experten positive Auswirkungen einer https-Verschlüsselung auf das Ranking beobachten. Seitdem ist natürlich viel (technisch) passiert und Google hat immer wieder unterstrichen, dass eine solche gesicherte Verbindung positiven Einfluss auf das Ranking eines Blogs hat.

Aufpreise für SSL-Zertifikate bei ALL-INKLDoch eine lange Zeit waren zertifizierte SSL-Zertifikate, die für das Nutzen einer gesicherten https-Verbindung nötig sind, recht teuer. Pro Jahr zahlte man je nach Anbieter bis zu 100 Euro für eine einzige Domain. ALL-INKL.com z. B. berechnet für ein eigenes SSL-Zertifikat 99 € Aufpreis im Jahr. Ist man privater Betreiber eines Blogs, der damit nicht hunderte Euro im Monat verdient, kann eine solche Investition schmerzhaft sein. Schreibt man dann auch noch in einem kompetitiven Bereich, bei dem es auch zahlreiche professionelle Blogbetreiber gibt, kann man ohne eine SSL-Zertifikat schnell das Nachsehen haben, wenn die Blogs anderer Betreiber im Ranking bevorzugt werden.

Kostenlose Let’s Encrypt-Zertifikate

Auch aus diesem Grund wurde die Let’s Encrypt-Initiative gleich zu Beginn von der Netzgemeinde freudig begrüßt, da diese kostenlose SSL-Zertifikate für jedermann anbietet. Der Hintergedanke von Let’s Encrypt ist es primär das Internet ein wenig sicherer zu machen. Denn die Verschlüsselung des Webtraffics mit SSL-Zertifikaten (also zwischen dem Besucher einer Webseite und dem Webserver) macht es Gaunern und Staaten (ein wenig) schwerer die Kommunikation einfach so mitzulesen. Verschlüsselte Verbindungen im WWW sollen zum Normalfall werden.

Let's Encrypt kostenlose SSL ZertifikateWer jedoch gleich einen Freudensprung macht und sich gleich ein solches Zertifikat „herunterladen“ will, der muss enttäuscht werden! Zwar sind die Let’s Encrypt-Zertifikate kostenlos, jedoch müssen diese relativ kompliziert in die bestehende Technik und Infrastruktur eingebunden werden, damit auch alles ordentlich funktioniert und sicher ist. Und genau hier steigt der gewöhnliche Hobbyblogger wieder aus, denn auf dem Webserver muss zusätzliche Software installiert werden, was jedoch bei Standard-Hosting-Paketen nicht gemacht werden kann.

SSL-Zertifikate von Let’s Encrypt setzen technische Eingriffe in die Server-Software voraus, die vom Otto-Normal-Blogger kaum umgesetzt werden können. Also hilft Let’s Encrypt einem Großteil der Blogger nicht wirklich weiter. Außer man hat seinen WebSpace bei ALL-INKL. 🙂

Kostenloses SSL-Zertifikat bei ALL-INKL

Zwar vertreibt ALL-INKL (weiterhin) kostenpflichtige SSL-Zertifikate, die dann auf einen persönlich signiert sind, jedoch wird Kunden auch die Nutzung der kostenlosen Let’s Encrypt-Zertifikate angeboten, wenn diese nachfragen. Auf der Webseite von ALL-INKL habe ich bislang keine Hinweise auf diesen kostenlosen Service gefunden. Aber eine einfache Frage über das Kontaktformular bringt (in der Regel) binnen Minuten die freudige Antwort, dass die eigene Domain auch über https angeboten werden kann.

Der Support von ALL-INKL richtet auf Wunsch ein kostenloses Let’s Encrypt-Zertifikat für die gewünschte Domain (bei mir mehrfach) in wenigen Minuten, kostenlos ein. Die regelmäßig notwendigen Updates der Zertifikate erfolgen dann durch ALL-INKL automatisch. Seit Jahresbeginn habe ich einige Domains bei ALL-INKL entsprechend auf https umgestellt – bislang mit voller Begeisterung meinerseits.

Blog auf https umstellen

Einen bereits existierenden Blog auf https umzustellen, damit zukünftig alle Aufrufe verschlüsselt erfolgen, bedarf einiger Schritte – ist jedoch definitiv keine Hexerei! 😉 Ich kann keine Garantie übernehmen, dass die im folgenden erklärten Schritte und Tipps bei jedem WordPress-Blog einwandfrei funktionieren und nicht ggf. einen ungewollten Schaden anrichten. Bitte grundsätzlich mit Backups arbeiten! Ich beschreibe hier lediglich, wie ich meine WordPress-Blogs erfolgreich auf https umgestellt habe!

Unter Einstellungen -> Allgemein müssen die Adressen beide auf https:// geändert werden:

Wordpress Adressen auf https ändern

Danach muss man sich im WP-Admin erneut einloggen – bitte nicht wundern!

Nun müssen in den WordPress-Tabellen Anpassungen auf die https-Domain gemacht werden, damit der Blog nicht weiterhin Inhalte unter http einbinden oder verlinken will. Hierzu am einfachsten mit phpMyAdmin im SQL-Browser folgende Zeilen reinkopieren, an die eigene Installation anpassen und ausführen:

UPDATE wp_options SET option_value = replace(option_value, ‚http://www.ihreseite.de‘, ‚https://www.ihreseite.de‘) WHERE option_name = ‚home‘ OR option_name = ’siteurl‘;

UPDATE wp_posts SET guid = replace(guid, ‚http://www.ihreseite.de‘,’https://www.ihreseite.de‘);

UPDATE wp_posts SET post_content = replace(post_content, ‚http://www.ihreseite.de‘, ‚https://www.ihreseite.de‘);

UPDATE wp_postmeta SET meta_value = replace(meta_value,’http://www.ihreseite.de‘,’https://www.ihreseite.de‘);

Bei meinen WordPress-Installationen konnte ich hierüber alle Einträge in den Tabellen entsprechend auf die neue https-Domain abändern.

Damit nun vorhanden Verlinkungen auf den eigenen Blog von externen Quellen auch die richtigen https-Inhalte angezeigt bekommen, muss die htaccess-Datei angepasst werden. Hierfür diese per (S)FTP vom Webspace herunterladen und um folgende Zeilen ergänzen:

# force-www & https
RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule .* https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Hierdurch bekommt der Webserver gesagt, dass er Anfragen, die weiterhin an die http-Domain erfolgen auf die https-Domain weiterleiten soll.

Caching-Plugin zurücksetzen

Wird beim eigenen Blog ein Caching-Plugin genutzt, muss dieses zurückgesetzt werden, da ansonsten weiterhin die „alten“ http-Inhalte gezeigt werden. Vereinzelt kam es bei mir auch vor, dass ich das Caching-Plugin kurzfristig komplett aus dem Blog entfernen musste. Erst als dann alles wie gewünscht lief, habe ich das Caching-Plugin dann wieder installiert und aktiviert.

Netzwerktraffic auslesen

Firefox NetzwerkanalyseUm mögliche Altlasten schnell zu finden, empfehle ich den Netzwerktraffic mittels Firefox (z. B.) beim Surfen auf dem eigenen Blog auszuwerten. Hier werden einem unsichere http-Verbindungen detailliert aufgezeigt, so dass man dieses (falls noch vorhanden) einzeln abarbeiten kann. Im Firefox öffnet man die Netzwerkanalyse am einfachsten über STRG+UMSCHALT+Q. Ist die Netzwerkanalyse geöffnet, werden alle Dateiaufrufe detailliert angezeigt. Mögliche noch fehlerhafte http-Verknüpfungen können so identifiziert und bearbeitet werden.

Mehr Traffic durch https

Ich kann bei meinen Blogs bislang tatsächlich durchaus positive Traffic-Trends seit der Umstellung auf https-Verbindungen mit SSL-Zertifikaten von Let’s Encrypt bei ALL-INKL feststellen. Ob diese einzig auf der nun sicheren Verbindung und dem damit einhergehenden Wohlwollen von Google beruhen, kann jedoch niemand genau sagen. Gelohnt hat es sich aber auf jeden Fall, denn sicherer ist immer auch besser! 😉

[UPDATE] ALL-INKL informiert offiziell über Let’s Encrypt

ALL-INKL bietet Let's Encrypt anSeit dem 08.04.2016 informiert ALL-INKL.com im Kundenadministrationssystem (KAS) über die Unterstützung der kostenlose Let’s Encrypt-Zertifikate für alle Tarife mit SSL-Erweiterung. Die Aktivierung eines Let’s Encrypt-Zertifikats kann nun einfach im KAS erfolgen. Hierfür muss unter den Einstellungen der jeweiligen Domain unter SSL-Schutz im Reiter Let’s Encrypt lediglich der Hauftungsausschluss akzeptiert werden. Die Aktivierung erfolgt dann wohl sofort, so dass die oben beschriebenen Schritte (Anpassung htaccess-Datei, Update der Datenbank-Tabellen etc.) dann direkt ausgeführt werden können. Das KAS-System erneuert die Zertifikat automatisch etwa 30 vor Ablauf dieser.

Leave a Reply