Wenn Ihrer WordPress-Website ein SSL-Zertifikat fehlt, erhalten alle Besucher die Meldung „Website nicht sicher".
Im schlimmsten Fall verlassen Ihre Besucher Ihre Website sofort und suchen woanders. In diesem Artikel verschieben wir Ihre WordPress-Website von HTTP auf HTTPS, um bessere Suchergebnisse zu erzielen und die Daten Ihrer Besucher davor zu schützen, von Angreifern ausspioniert zu werden.
Contents
- Video: So fügen Sie SSL zu WordPress hinzu
- Definition der Begriffe HTTP, SSL und HTTPS
- Warum Sie ein SSL-Zertifikat benötigen
- Prüfen, ob ein SSL-Zertifikat verfügbar ist
- So fügen Sie SSL zu WordPress hinzu
- Behebung von Mixed-Content-Fehlern in der WordPress-Datenbank
- Behebung von Mixed-Content-Fehlern in Themes und Plugins
- Schaffen Sie eine sichere Fehlerbehebungsumgebung mit WP STAGING
- Stellen Sie sicher, dass keine Fehler mehr vorhanden sind
- Verwandte Artikel
Video: So fügen Sie SSL zu WordPress hinzu
Wenn Sie lieber ein Video ansehen, anstatt diesen Artikel über das Hinzufügen von SSL zu WordPress zu lesen, können Sie sich diesen gesamten Artikel als Video ansehen:
Wenn Besucher Ihre WordPress-Website besuchen, geben sie verschiedene Daten an Sie weiter, sei es beim Tätigen eines Kaufs und der Angabe von Zahlungsdetails oder einfach beim Anmelden auf Ihrer Website. Um die übertragenen Daten zu schützen, muss eine sichere Verbindung zwischen dem Server Ihrer Website und dem Browser des Besuchers hergestellt werden.
Hier kommen SSL und HTTPS ins Spiel.
Definition der Begriffe HTTP, SSL und HTTPS
Da es vielen immer noch schwerfällt, zwischen HTTP, HTTPS und SSL zu unterscheiden, möchte ich die Begriffe kurz erläutern, bevor wir das SSL-Zertifikat aktivieren und installieren.
Sie können direkt zum nächsten Kapitel springen, wenn Sie damit vertraut sind.
HTTP steht für Hypertext Transfer Protocol, ein Protokoll zur Datenübertragung. Es wird hauptsächlich verwendet, um Websites aus dem World Wide Web, wie Ihre WordPress-Website, in den Webbrowser eines Besuchers zu laden.
SSL steht für Secure Sockets Layer; es handelt sich um ein Verschlüsselungsprotokoll zur Sicherung der Datenübertragung im Internet. Ein eindeutiges SSL-Zertifikat kann jede Website identifizieren.
HTTPS steht für Hypertext Transfer Protocol Secure und kombiniert die beiden vorherigen Protokolle. Mithilfe des SSL-Zertifikats findet im HTTPS-Protokoll eine geschützte Identifizierung und Authentifizierung der beiden Kommunikationspartner statt, A. Ihrer WordPress-Website und B. dem Browser des Besuchers. Das Protokoll tauscht dann einen Sitzungsschlüssel aus. HTTPS verwendet den Schlüssel dann, um die Benutzerdaten zu verschlüsseln. Auf diese Weise können Ihre WordPress-Website und der Browser des Besuchers sicher Daten übertragen.
Warum Sie ein SSL-Zertifikat benötigen
Sie sollten Ihre Zeit aus zwei einfachen Gründen in die Aktivierung und Nutzung eines SSL-Zertifikats investieren.
- Schützen Sie die Daten Ihrer Besucher vor Diebstahl, für den Sie je nach lokaler Rechtslage haftbar gemacht werden können.
- Suchmaschinenoptimierung, auch bekannt als SEO, ist der Prozess, die strengsten und passendsten Suchergebnisse zu liefern. Da Google die relevantesten und passendsten Suchergebnisse liefern möchte, stuft es Websites ohne SSL-Zertifikat deutlich niedriger ein.
Okay, genug theoretisches Hintergrundwissen, fangen wir mit der Umsetzung an.
Prüfen, ob ein SSL-Zertifikat verfügbar ist
Der erste Schritt besteht darin, festzustellen, ob ein SSL-Zertifikat für Ihre Website verfügbar ist.
Eine schnelle Möglichkeit, dies zu überprüfen, besteht darin, https://your-site.com anstelle der ursprünglichen HTTP-URL http://your-site.com einzugeben. Sie sollten das Schloss links neben der URL-Leiste sehen, das beim Anklicken weitere Informationen zum Zertifikat anzeigt.
Ein SSL-Zertifikat ist verfügbar
Wenn dieser Vorgang funktioniert, haben Sie bereits ein aktives SSL-Zertifikat, aber Ihre WordPress-Site verwendet es nicht. Es greift nur, wenn jemand Ihre Seite explizit über den https:// Link aufruft.
Im nächsten Schritt erfahren Sie, wie Sie das SSL-Zertifikat auf Ihrer WordPress-Website korrekt einrichten.
Ein SSL-Zertifikat ist nicht verfügbar.
Wenn dieser Vorgang nicht funktioniert hat und Sie immer noch auf dem http:// Link landen und die Fehlermeldung „nicht sicher" erhalten, gibt es zwei Schritte, die Sie ausführen können, bevor Sie WordPress über https einrichten:
Schritt 1: Einige Hosting-Anbieter bieten ein SSL-Zertifikat für Ihre Domain an, das Sie jedoch zunächst manuell aktivieren müssen.
Das Vorgehen zur Aktivierung des SSL-Zertifikats unterscheidet sich von Anbieter zu Anbieter. Gehen Sie zunächst zum Dashboard des Hosting-Anbieters (oft cPanel) und suchen Sie nach dem Eintrag SSL.
Je nach Anbieter kann nun die Option Auto SSL unter SSL-Status ausgeführt werden, die das SSL-Zertifikat prüft und aktiviert.
Andere Anbieter unterstützen ein SSL-Zertifikat der gemeinnützigen Organisation Let’s Encrypt, die kostenlose SSL-Zertifikate bereitstellt.
Suchen Sie nach „Let’s Encrypt".
Schritt 2: Wenn Sie den Unterpunkt SSL nicht finden können, bietet Ihr Hosting-Anbieter kein kostenloses SSL-Zertifikat an.
Wenden Sie sich an den Support Ihres Hosting-Anbieters und erkundigen Sie sich nach den Kosten für ein SSL-Zertifikat. Viele Hosting-Anbieter verlangen bis zu 60 $ pro Jahr für ein SSL-Zertifikat. Entscheiden Sie in diesem Fall, ob ein Anbieterwechsel sinnvoll sein könnte.
So fügen Sie SSL zu WordPress hinzu
Das manuelle Einrichten der https-Verbindung ist eine dauerhafte und leistungsoptimierte Lösung. Wir verwenden dieselbe Methode auf wp-staging.com, daher ist sie die empfohlene Methode anstelle der Verwendung eines SSL-WordPress-Plugins. In diesem Artikel werde ich Ihnen jedoch auch eine Plugin-Lösung zeigen, falls Sie es trotzdem versuchen möchten.
Gehen Sie zunächst zu Einstellungen > Allgemein. Aktualisieren Sie von dort aus die WordPress- und Site-URL-Adressfelder, indem Sie http:// durch https:// ersetzen.
Sobald Sie die Einstellungen gespeichert haben, meldet WordPress Sie möglicherweise ab und fordert Sie auf, sich erneut anzumelden.
Anpassungen in der .htaccess-Datei
Passen Sie als Nächstes die .htaccess-Datei an, um eine Regel einzurichten, die den gesamten Datenverkehr von HTTP auf HTTPS umleitet. Sie können auf diese Datei über das Dashboard des Hosting-Anbieters zugreifen, das oft auf cPanel basiert, oder über ein FTP-Tool wie FileZilla.
Öffnen Sie dazu die .htaccess-Datei und fügen Sie die Codezeilen hinzu.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>Anpassungen in der Nginx.conf-Datei
Wenn Sie Nginx-Server verwenden, fügen Sie diesen Code zu Ihrer Nginx.conf-Konfigurationsdatei hinzu:
server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}Vergessen Sie nicht, https://your-site.com durch Ihren Domainnamen zu ersetzen.
Anpassungen in der wp-config.php-Datei
Wenn Sie SSL und HTTPS in Ihrem WordPress-Administrationsbereich oder auf Ihren Anmeldeseiten erzwingen möchten, müssen Sie SSL in der wp-config.php-Datei konfigurieren.
Fügen Sie einfach den folgenden Code über der Zeile „That’s all, stop editing!" in Ihrer wp-config.php-Datei hinzu:
define('FORCE_SSL_ADMIN', true);Ihre Website ist nun vollständig für die Verwendung von SSL/HTTPS eingerichtet.
Behebung von Mixed-Content-Fehlern in der WordPress-Datenbank
Obwohl wir unser Zwischenziel durch die Einrichtung des SSL-Zertifikats und die Weiterleitung des gesamten Datenverkehrs über HTTPS erreicht haben, können auf Ihrer WordPress-Website sogenannte Mixed-Content-Fehler auftreten.
Quellen wie Bilder, Skripte oder Stylesheets, die immer noch über http geladen werden, verursachen diese Mixed-Content-Fehler.
In diesem Fall wird in der Adressleiste Ihrer Website kein sicheres Schloss-Symbol angezeigt, und der Browser blockiert automatisch unsichere Skripte und Ressourcen, was Ihre Website unzugänglich machen kann. Daher wird ein Schloss-Symbol mit einer Warnung angezeigt.
Google Developer Tools
Sie können die Entwicklertools verwenden, um festzustellen, welche Inhalte noch über das unsichere http-Protokoll bereitgestellt werden. Sie können auf diese Tools in Chrome zugreifen, indem Sie F12 drücken oder mit der rechten Maustaste klicken und „Untersuchen" auswählen. Rufen Sie dann im oberen Menü die Registerkarte „Konsole" auf. Die Registerkarte „Konsole" zeigt die Mixed-Content-Fehler als Warnung an.
Wie bereits erwähnt, basieren die meisten dieser Fehlermeldungen auf Bildern, Iframes und Bildergalerien. Sie können jedoch auch Fehlermeldungen zu Skripten und Stylesheets erhalten, für die WordPress-Plugins und -Themes verantwortlich sind.
Better Search Replace Plugin
Sie können die meisten dieser Fehler über die WordPress-Datenbank beheben. Dazu müssen Sie alle Erwähnungen Ihrer alten Website-URL, die mit http begann, in der Datenbank finden und durch Ihre neue Website-URL ersetzen, die mit https beginnt.
Das einfachste Werkzeug zum Ersetzen all dieser Zeichenfolgen ist das Better Search Replace-Plugin. Öffnen Sie das WordPress-Seitenleistenmenü, klicken Sie auf Plugins und Neu hinzufügen.
Navigieren Sie nach der Aktivierung zur Registerkarte Werkzeuge und wählen Sie Better Search Replace.
Geben Sie im Feld Suchen Ihre alte Website-URL einschließlich http:// ein. Geben Sie im Feld Ersetzen Ihre neue Website-URL mit https:// ein.
Darunter sehen Sie eine Liste Ihrer WordPress-Datenbanktabellen. Bitte wählen Sie alle aus, um ein vollständiges Update zu gewährleisten.
Der letzte Schritt besteht darin, das Kontrollkästchen neben der Option „Als Probelauf ausführen?" zu deaktivieren und dann auf die Schaltfläche „Suchen/Ersetzen ausführen" zu klicken.
Das Plugin scannt Ihre Datenbank nach http://-URLs und ersetzt sie durch https://. Die Verarbeitungszeit hängt von der Datenbankgröße ab. Nach Abschluss sollten Mixed-Content-Fehler behoben sein.
Behebung von Mixed-Content-Fehlern in Themes und Plugins
Wenn Sie an dieser Stelle weitere Fehler in der Konsole der Entwicklertools finden, deutet das darauf hin, dass diese Mixed-Content-Fehler in den WordPress-Theme- oder Plugin-Dateien liegen, in der Regel als fest codierte Zeichenfolgen, und nicht durch das Such- und Ersetzen-Plugin in der Datenbank ersetzt werden konnten.
Es ist erwähnenswert, dass ein anständiges WordPress-Theme oder -Plugin, das den WordPress-Coding-Standards entspricht, in der Regel keine solchen Probleme verursacht. Wenn Sie also immer noch solche Mixed-Content-Fehler erhalten, überlegen Sie, ob Sie manuelle Änderungen am Code vorgenommen haben. Wenn das der Fall ist, müssen Sie sich damit befassen und alle Vorkommen von http:// in https:// im Code des spezifischen Plugins oder Themes ändern.
Schaffen Sie eine sichere Fehlerbehebungsumgebung mit WP STAGING
Um die verbleibenden Fehler zu beheben, ohne etwas auf Ihrer Produktionsseite zu zerstören, und um zu testen, ob alles funktioniert, werfen Sie einen Blick auf das kostenlose Plugin WP STAGING, mit dem Sie eine Kopie Ihrer Website zu Entwicklungszwecken erstellen können.
Installieren und aktivieren Sie das Plugin aus dem Repository. Gehen Sie in WP Staging zu Staging-Sites und klicken Sie auf Staging-Site erstellen.
Geben Sie als Nächstes den Namen Ihrer Staging-Site ein und überspringen Sie alle Tabellen oder Dateien, die Sie nicht möchten. Überprüfen Sie die erweiterten Einstellungen für zusätzliche Anpassungen und klicken Sie dann auf „Klonen starten", um den Vorgang abzuschließen.
Schließlich erscheint ein Pop-up, das Sie darüber informiert, dass Ihre Staging-Site einsatzbereit ist.
Kehren Sie zu Ihrer Produktionsseite zurück und installieren und aktivieren Sie dann das Plugin Really Simple SSL aus dem Repository.
Gehen Sie nach der Aktivierung zu Einstellungen > SSL. Das Plugin erkennt automatisch Ihre https-Verbindung und behebt Mixed-Content-Fehler. Das Plugin verwendet die Output-Buffer-Technik. Diese Technik kann die Leistung und Geschwindigkeit Ihrer WordPress-Site negativ beeinflussen, da sie den HTTP-Inhalt ersetzt, wenn Ihre Site geladen wird. Dieser Effekt tritt nur beim ersten Laden der Seite auf und sollte minimal sein, wenn Sie ein Caching-Plugin verwenden.
Auch wenn das Plugin sagt, dass Sie es problemlos deaktivieren können, ist diese Aussage nicht zu 100 % korrekt. Sie müssen das Plugin jederzeit aktiv lassen, da seine Deaktivierung erneut zu Mixed-Content-Fehlern führt. Dies ist also nur eine vorübergehende Lösung.
Stellen Sie sicher, dass keine Fehler mehr vorhanden sind
Kehren Sie zu Ihrer Staging-Site zurück. Versuchen Sie, das Problem zu beheben, indem Sie die Fehlermeldungen aus der Konsole der Google-Entwicklertools anzeigen und bearbeiten. Wenn das nicht funktioniert, ändern Sie das WordPress-Theme und prüfen Sie, ob die Fehlermeldung weiterhin angezeigt wird. Wenn das nicht hilft, deaktivieren Sie alle Plugins auf der Staging-Site, aktivieren Sie sie Plugin für Plugin und prüfen Sie, wann die Fehlermeldung wieder erscheint.
Nachdem Sie die Fehler behoben haben, wiederholen Sie die gleichen Schritte auf Ihrer Produktionsseite.
Jetzt können Sie das „Really Simple SSL"-Plugin deaktivieren und in der Konsole prüfen, ob die Mixed-Content-Fehler verschwunden sind.
Genug Fehlerbehebung für heute.
Herzlichen Glückwunsch, Sie haben Ihre WordPress-Website erfolgreich vom HTTP- zum HTTPS-Protokoll verschoben!
Verwandte Artikel
