WordPress Webseiten auf HTTPS umstellen leicht gemacht

Letzte Woche haben wir bei Elmastudio endlich den kompletten Umzug unserer WordPress-Webseite von HTTP auf HTTPS vollbracht. Wir haben diesen Schritt ehrlich gesagt viel zu lange heraus gezögert. Natürlich hatten wir unserer Formularseiten und alle Shopseiten bereits seit langem auf HTTPS umgestellt. Da ich aber sicher gehen wollte, dass bei der Umstellung der kompletten Webseite nichts schief läuft, habe ich mich vor diesen Schritt leider ein wenig zu lange gedrückt. Letztendlich war die HTTPS-Umstellung sehr viel einfacher als gedacht und mit ein paar guten Tipps hat gestern alles super geklappt.

Falls du deine Webseite auch noch nicht umgestellt hast, solltest du das so bald wie möglich tun. Es ist wirklich zu empfehlen für jede Webseite oder jeden Blog HTTPS zu nutzen. Du fragst dich, warum das sinnvoll ist? Hier sind ein paar gute Gründe:

  • Sicherheit vertrauter Daten wird gewährleistet.
  • Schafft Vertrauen bei Webseitenbesuchern.
  • HTTPS ist in Deutschland Pflicht auf Kontaktformularen und Verkaufsseiten.
  • Besseres Ranking bei Google Suchergebnissen.
  • Verbesserung der Geschwindigkeit deiner Webseite.

1. Das SSL Zertifikat

Um deine Webseite auf HTTPS umzustellen, benötigst du als erstes ein SSL-Zertifikat. Dieses kannst du bei deinem Hostinganbieter für ungefähr ein bis zwei Euro im Monat bestellen. Wenn du auch mehrere Subdomains auf HTTPS umstellen möchtest, gibt es etwas teurere Wildcard SSL-Zertifikate für mehrere URLs (ca. 10 Euro/Monat). Soweit das bei deinem Hostinganbieter möglich ist, kannst du auch ein kostenloses Let’s Encrypt SSL-Zertifikat nutzen. all-inkl.com, Raidboxes und der Schweizer Hostinganbieter Cyon bieten die kostenlosen Zertifikate an. Bei Hosteurope ist eine Einbindung momentan zwar möglich, allerdings nicht so einfach umsetzbar.

Wenn dein Hostinganbieter die kostenlosen Let’s Encrypt SSL-Zertifikate noch nicht anbietet, kannst du im Kundenmenü deines Hostinganbieters eines der dort angebotenen, kostenpflichtigen SSL-Zertifikate bestellen.

Das teuerste Zertifikat ist eines, bei dem dein Name direkt in der Browser-Adressleiste steht. Ein solches Zertifikat sieht man oft bei großen Webseiten, vor allem bei Onlineshops.

2. HTTPS im WordPress Adminbereich

Wenn dein SSL-Zertifikat bereit steht, kannst du mit der HTTPS Umstellung deiner WordPress Webseite beginnen. Im ersten Schritt würde ich empfehlen, erst einmal nur deinen WordPress-Adminbereich auf HTTPS umstellen. Dazu musst du lediglich die folgende Zeile in deine wp-config.php Datei einfügen.

define('FORCE_SSL_ADMIN', true);

Füge die Zeile oberhalb von dieser Zeile ein:

/* That's all, stop editing! Happy blogging. */

Eine detailliertere Anleitung zu HTTPS im WordPress-Adminbereich findest du im WordPress.org Codex.

3. HTTPS auf der kompletten WordPress Webseite

Wenn du im Adminbereich keine Probleme hast, kannst du im Anschluss die komplette Webseite auf HTTPS umstellen. Der erste Schritt dabei ist deine Webseiten-URL im WordPress Adminbereich auf HTTPS zu setzen. Die Einstellung musst du unter Einstellungen / Allgemein vornehmen.

Jetzt ist deine Webseite also auf HTTPS umgestellt und du musst alle Links deiner Webseite ebenfalls auf HTTPS ändern. Ein extrem hilfreiches Plugin dafür ist Better Search Replace. Mit dem Plugin kannst deine Datenbank-Tabellen einzeln oder alle zusammen nach deinen HTTP URLs durchsuchen und diese dann auf HTTPS ändern. Du musst dazu einfach bei „Suchen nach“ deine HTTP URL eingeben (z.B. http://deinedomain.de) und bei „Ersetzen durch“ die HTTPS Version deiner Webseiten-URL (z.B. https://deinedomain.de).

Da bei einem solchen Vorgang natürlich auch leicht Datenbank-Fehler entstehen könnten, ist es sinnvoll die „Dry Run“ Testdurchlauf-Option des Plugins zu nutzen, bevor du die Änderungen wirklich live vornimmst. Außerdem solltest du unbedingt ein aktuelles Datenbank-Backup machen, bevor du loslegst.

4. Mögliche Fehler manuell beheben

Und keine Sorge falls du nicht gleich ein grünes Schloss in der Browserleiste siehst. Das lässt sich in den allermeisten Fällen leicht beheben. Du kannst eine Liste der Fehlermeldungen im Browserinspektor (z.B. bei Chrome oder Firefox) einsehen. Dazu klickst du einfach in deinem Browserinspektor auf Console und die Liste der http-Links wird dir angezeigt.

Alternativ kannst du auch die Webseite Why No Padlock nutzen, um alle Fehlermeldungen zu sehen. So siehst du, welche URLs noch auf HTTP laufen und damit verbessert werden müssen. Das kann z.B. ein Link in deinen Theme-Dateien sein, vor allem, wenn du ein etwas älteres Theme verwendest.

5. HTTPS Umleitung über die htaccess Datei erzwingen

Im letzten Schritt musst du jetzt noch mit Hilfe einer 301-Weiterleitung deine HTTP URLs auf die neue HTTPS Version umleiten. So wird deine Webseite immer in der HTTPS Version angezeigt, auch wenn jemand eine alte HTTP URL deiner Webseite aufruft (z.B. über einen alten Blogbeitrag, in dem du erwähnt wurdest oder über die Google Suche). Ich habe für unsere Elmastudio-Umleitung ein paar Anläufe benötigt, um die passende Regel für unsere htaccess Datei zu finden.

Die benötigte Regel lautet:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Du findest deine htaccess Datei über den FTP Zugang (z.B. mit Filezilla) im Hauptorder deiner WordPress-Installation (also auf der gleichen Ebene auf der sich auch deine wp-config.php Datei befindet). Aus meiner Erfahrung hatte die Regel nur funktioniert, wenn man sie ganz am Anfang der htaccess-Datei einfügt, auch wenn ich in einigen Beiträgen gelesen hatte, dass man die Regel unterhalb von # END WordPress einfügen soll (vielleicht weiß jemand von euch dazu mehr?).

6. Fazit und finale To Do’s

Und das war es eigentlich auch schon. Wenn mit dem „Better Search Replace“ Plugin alles klappt, solltest du eigentlich wenig Probleme mit der HTTPS Umstellung haben. Wenn du Google’s Search Console nutzt, solltest du darauf achten, dass du auch dort die HTTPS Version deiner Webseite angibst. Auch bei Google Analytics musst du die HTTPS Version deiner Webseite angeben. Außerdem sollest du deine XML-Sitemap Datei aktualisieren, wenn du eine Sitemap nutzt. Über die meisten SEO-Plugins kannst du deine Sitemap automatisch neu generieren. Wenn du weitere Webseiten hast, von denen aus du auf deine gerade umgestellte Webseite verlinkst, solltest du die Links dort auf HTTPS aktualisieren. Auch auf deinen sozialen Profilen (Twitter, Facebook, YouTube…) solltest du die HTTPS-Version deiner Webseite verlinken.

Und dann hast du es geschafft und du solltest wirklich überall das grüne Schloss in der Browserleiste sehen, wenn du deine Webseite aufrufst. Alles in allem ist die Umstellung weniger kompliziert, als es sich im ersten Moment anhört und du solltest wirklich nicht mehr länger warten, die Umstellung vorzunehmen.

Hast du weitere Tipps und Erfahrungen zum Thema HTTPS-Umstellung von WordPress-Webseiten? Kennst du weitere Plugin-Empfehlungen oder Links zu hilfreichen Blogbeiträgen? Schreib mir doch einfach einen Kommentar, ich freue mich schon auf dein Feedback.

41 Kommentare zu “WordPress Webseiten auf HTTPS umstellen leicht gemacht

  1. Sehr gute Übersicht, korrekt und nachvollziehbar. Danke dafür!

  2. Beim Ersetzen mit Better Search Replace sollte man keinesfalls nur „http“ durch „https“ ersetzen, weil das auch ausgehende Links bzw. extern referenzierte Bilder o.ä. betreffen könnte. Noch haben nicht alle Seiten auf HTTPS umgestellt und das würde im Fiasko enden.

    Daher lieber nur „http://[Eigene Domain]“ durch „https://[Eigene Domain]“ ersetzen. Alles andere sollte man lieber manuell checken. :-)

  3. Hey Ellen, Danke für diesen Hilfreichen Artikel.
    Ich benutze für die Unstellung auf SSL das Plugin „Really Simple SSL“ es ist kostenlos und wirklich sehr unkompliziert. Schaut es euch gerne mal an.

    Viele Grüsse,

    Rouven

    • Ich ebenfalls. Funktioniert wie ein Traum, und das Plugin benennt selbständig mit dem Aktivieren alle Links um. Eine Riesenempfehlung: man klickt ‚Activate‘ und schon ist alles passiert.

      Ich kann zudem nur dazu raten, das eigene Hosting-Paket zu checken. Bei meinen Strato-Paketen waren SSL-Zertifikate teils schon mit inbegriffen, ohne dass ich diese genutzt hatte. Da kann man sich also teils bereits von vornherein zusätzliche Kosten sparen.

    • Ich nutze auch „Really Simple SSL“ und kann es nur empfehlen.

  4. Hab gerade angefangen alle Webseiten umzustellen…kam also genau richtig!!! :) Danke

  5. Super Ellen! Ich möchte gern noch hinzufügen das wir bei RAIDBOXES das einrichten von HTTPS besonders einfach umgesetzt haben. Unsere 1-Klick-Lösung aktiviert automatisch das Let’s-Encrypt Zertifikat auf der entsprechenden Webseite, ohne das vom Nutzer manuell etwas konfiguriert oder eingerichtet werden muss. Das ist vor allem sehr benutzerfreundlich und zeitsparend. Mehr gerne auch hier: https://raidboxes.de/lets-encrypt-gratis-ssl-zertifikat/. LG Torben & Team

  6. Vielen Dank für den Artikel. Als Betreiber von 2 privaten Webseiten wusste ich gar nicht dass das Kontaktformular per HTTPS verschlüsselt sein muss. Konnte zwar jetzt auf die schnelle nicht herausfinden ob das auch wirklich für private Seiten / Blogs gilt, aber da werde ich mich gleich heute noch dran setzen – zum Glück bietet mein Hoster eine kostenlose Lösung an.

  7. hi,
    mitunter ist es erforderlich die RewriteBase in der .htaccess anzugeben,
    desweiteren kann man für !=on auch gleich off schreiben ;)

  8. Hallo Ellen,
    danke für diesen Artikel. SSL-Umstellung steht auch noch auf meiner Liste :-)

    Viele Grüße
    Melanie

  9. Hallo Ellen,

    vielen lieben Dank für diesen tollen Artikel.
    Bin gerade dabei, mir zwei neue private Seiten einzurichten- dank dieser Anleitung und der Hinweise auf „https“ kann ich das gleich „richtig“ machen :-) Und auch das mit dem Kontaktformular war mir nicht bekannt.

    Habe gerade „Spaß für drei“ und werde sicher öfter hier vorbeischauen…

    Liebe Grüße und nochmals dickes Dankeschön,

    Ralf

  10. Susanne

    Hi,
    jetzt mal ne ganz doofe Frage: Mein Webhoster hat mir jetzt ein Zertifikat in meinen Alt-Vertrag eingebaut, weil alle Neuverträge auch immer ein Zertifikat dabei haben. Ich musste das soweit ich es erinnere nur aktivieren. Wenn ich nun meine Webseite anklicke, steht da bereits https vor. Ich habe das aber nicht in wp-config etc. eingepflegt, so wie Du es beschrieben hast. Ich hatte es schlicht nur beim Hoster für meinen Vertrag aktiviert. Kann es sein, dass der das automatisch überall gemacht hat?!
    Leider kenne ich mich ja nicht so mit den Fachbegriffen aus. Danke!

  11. Hi
    ich hatte vor en paar tagen das Problem das es sich nicht sauber umstellen ließ.
    Ich muss dazu sagen das ich eine Mac mini habe mit dem Apache. Das SSL Zertifikat war sauber installiert. Entweder klappt die normale Seite normal und das Admin Menü nicht oder anderes rum.
    Ich habe dann auf einer Amerikanische Seite gelesen woran es gelegen hat. WP wervendet Absolute Pfade. Das ist der Hammer. Wenn es relative verwenden würde, wäre es um ein vielfaches leichter. Auch für leute die mit SSL und PHP un den ganzen Codecs nichts zu tun haben wollen.
    Bei mir half ein Eintrag in der .htaccess weiter
    # BEGIN OSXFIX

    RewriteEngine On
    # Check the ways it could have been https…
    RewriteCond %{HTTPS} =on [OR]
    RewriteCond %{SERVER_PORT} ^443$ [OR]
    RewriteCond %{SERVER_PORT} ^34543$ [OR]
    RewriteCond %{HTTP:X-Forwarded-Proto} https [NC]
    # …and if it was https, then set HTTPS
    RewriteRule .* – [E=HTTPS:on]

    # END OSXFIX
    Dieser sollte oberhalb vor # BEGIN WordPress eingetragen werden.
    Alles andere kann dann so gemacht werden wie hier beschrieben.
    Schönen Gruß
    Niklas

  12. Hallo Ellen!

    Ich habe zwar mein SSL-Zertifikat bei meiner Domain installiert, jedoch noch keine Konfiguration bei WP durchgeführt. Dank deinem Beitrag kann ich nun auch dies nach ziehen. Vielen Dank für deinen Beitrag.

    Gruß Alex

  13. Ein gute Ergänzung m.E. ist das Plugin „Broken Link Checker“, das man nach Abschluß aller Arbeiten eine Weile (ein paar Wochen) arbeiten läßt. Der fischt nicht mehr funktionierende Links ’raus, die man dann händisch nachjustieren kann.

  14. Hallo!

    Super Artikel, der gerade sehr gut passt. SSL-Zertifikate sind gerade ein großes Thema bei uns im Büro.
    Ich verstehe den Unterschied leider nicht zwischen den kostenlosen Let’s Encrypt SSL-Zertifikaten und den teuren. Werden die kostenlosen nicht als https://www.deinewebsite.de im Browserfenster angezeigt?

    Grüße Steffi

    • Cornelius

      Hey Steffi,

      ich habe auf unserer Website ein „Let’s Encrypt“ Zertifikat in Verwendung. Für den Besucher macht es – zumindest unter Mac – keinen Unterschied was für ein Formular du verwendest (Hauptsache es ist sicher). Mir wird bei unserer Website wie in Safari üblich das kleine „Schloß-Symbol“ angezeigt.

      liebe Grüße, Cornelius.

  15. Hallo Ellen,

    vielen Dank für deinen Beitrag zur Umstellung auf https, der sicherlich vielen Leuten Mut machen wird, auch eine Umstellung zu wagen und die kleinen Stolpersteine zu überwinden.

    Ich habe meinen Leuten empfohlen, ihre Webhoster zu bitten, Let’s Encrypt anzubieten. Es ist mittlerweile nicht einsehbar, weshalb wir dafür Gebühren zahlen müssen. Da auch die Webhoster ein Interesse haben sollten, die Seiten ihrer Kunden sicherer zu machen, wäre dies ein Schritt in die richtige Richtung.

    Du hast allinkl.de erwähnt, der als erster Webhoster das Nutzen von Let’s Encrypt umgesetzt hat. Vielen Dank auch für die anderen Anbieter, die alle ein Lob verdient haben.

    Ein Webhoster, den ich gern noch ergänzen möchte ist campusspeicher.de, die schon seit langem eine Nutzung von Let’s Encrypt anbieten (natürlich kostenlos).

  16. Viele lieben Dank!!!

  17. Hallo Ellen,
    vielen Dank für diesen Artikel – genau danach habe ich gesucht und es hat ganz wunderbar funktioniert, wie Du es beschrieben hast.

    Zwei Dinge würde ich gerne anmerken:

    – In der htaccess-Datei hat für mich dieser Code funktioniert (der andere leider nicht):
    RewriteEngine On
    RewriteCond %{SERVER_PORT} !^443$
    RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

    – Auf meiner frisch auf https umgestellten Seite haben die eingebetteten Videos nicht mehr funktioniert. Ich musste dort die Adressen der eingebetteten Filem auch von http auf https ändern, jetzt sind sie wieder da.

    (In Eurem Blog-Eintrag
    https://www.elmastudio.de/css-tipp-eingebettete-videos-fur-responsive-webdesigns-optimieren/
    werden die Videos übrigens auch nicht dargestellt – vielleicht das gleiche Problem?)

    PS: Tolles Blog, ich lese schon lange mit, vielen Dank für die vielen guten Tipps!

  18. Hallo Ellen,

    1000-Dank, Deine Beiträge haben mir schon so oft geholfen. Soeben die erste Seite beinah problemlos umgestellt. Ein paar Detail Fragen haben sich aber doch ergeben und ich hoffe ihr könnt mir zu einem zusätzlichen Aha Effekt verhelfen.

    Die „3“ neuen Rewrite Zeilen müssen innerhalb des Bereiches stehen?
    Und die automatisch generierten „alten“ von WP generierten Zeilen ersetzen oder bleiben diese ebenfalls erhalten?

    Außerdem erhalte ich einen Umleitngsfehler, allerdings NUR beim Aufruf der Login Seite, alle anderen Seiten funktionieren auch komischer Weise ohne die 301 Regel.

    Habe die WP Installation in einem Unterverzeichnis liegen – ist das der Knackpunkt den ich im Moment nicht blicke?

    2ter Stolperstein: Die https Version beim Bing Webmastertool lässt sich nicht zusätzlich anmelden – hierzu noch eine Idee/Erfahrungen?

    3te und letzte Frage:
    muß nun eine http und https sitemap auf dem Server liegen?

    Freue mich über jeden Hinweis und nochmal Danke für die inspirierenden Beiträge.

    Gruß Lotta

  19. Hey,
    wieder eine gute Erklärung von euch!
    Für die die damit noch etwas überfordert sind, gibt es auch
    Plugins im WordPress Repository die die Aufgaben mit einem Klick erledigen
    (bis auf das anlegen eines SSL-Zertifikats).

    Und Lotta, du brauchst nur eine XML-Sitemap,
    die HTTP Adressen werden ja auf die HTTPS Seiten umgeleitet ;-)

    Gruß Tobi

  20. Erwin Schober

    Hallo Allerseits,

    Vielen Dank für den Beitrag und die dazu passenden Kommentare! Ich hätte eine Frage: Hat jemand von euch Erfahrungen mit dem SSL-Proxy bei Host Europe (WebHosting Basic Paket) und wie das dann funktioniert?

    Vielen Dank vorab und liebe Grüße aus Wien, Erwin

  21. Guter Beitrag und eine große Hilfe bei der Umsetllung. HTTPS wird sicherlich immer wichtiger und hoffentlich auch bald ein fester Standard. Wir realisieren alle neuen Projekte nur noch mit verschlüsselter Verbindung. Ein wichtiger Punkt ist auf jeden Fall die korrekte Umleitung aller bisherigen HTTP URLs auf die HTTPS Versionen, damit keine 404 Fehler entstehen und das Ranking nicht negativ beeinflusst wird.

    Beste Grüße
    Toobias

  22. Wir wollten neulich unsere Gaming-Webseite auf https umstellen, aber danach ist sie total zusammengefallen, weil es das ganze Webkonstrukt nicht verträgt. Kann es möglich sein, dass es unter WP 3.? zu Problemen kommt?

  23. Super Erklärung. Vielen Dank!

  24. Fantastischer kleiner Leitfaden!
    Habe die Punkte abgearbeitet – inkl notwendigen Check bei Why No Padlock
    – hat wunderbar geklappt.

    Danke!!

  25. Hi Ellen,

    alles, mit kleinen Hindernissen, funktioniert wie beschrieben,danke. Die Hindernissen, waren u.a. , dass mein Theme einen Bild-Hintergrund hatte, daß nicht von Whynopadlock erfasst wurde und ich es so licht gleich leicht erkannt habe.

    Falls einige hier dies auch erfahren haben und verzweifeln, weil die Hoster meist nichts bzw. nichts ohne entsprechendem entgelt tätig werden wollen (weiss es habe zwei „bekannte“ Hosters), berichte ich hier kurz meine Lösung für verzweifelte:

    Da eine typische WP Seite aus Post/Page (Beitrag/Seiten) FRont End sowie Mediadateien wie Video oder Bild besteht, inkl. Admin Bereich kann kann bei Problemen systematisch vorgehen, um ein mögliches Problem zu lokalisieren, welches wie bei mir durch Whynopadlock oder anderen Apps nicht erfasst werden kann, aufzuspüren.

    Alles Gute, kommt bestimmt bald wieder, denn unsere eingentliche Arbeit ist ja sicheren:) sowie tollen Content zu kreieren, richtig?

  26. Endlich habe ich es auch getan, danke für die tolle Anleitung! So einfach wie das heutzutage ist, gibt es kaum noch Ausreden, warum man kein https hat.

    Allerdings muss man einen Aufpreis von 0,95€/Monat beim günstigsten Tarif bei all-inkl (4,95€) zahlen, sonst ist das nicht freigeschaltet. Ein bisschen ärgerlich, aber okay.

  27. DANKE !!!!
    Auch ich habe mit meiner Firmenwebsite vor einem großen Fragezeichen gestanden wie ich das als „Doityourselfe“ Admin schaffen kann.
    Dank dieser Anleitung hatte ich innerhalb von 5 Minuten ein grünes Schloss. Nochmals Danke.

  28. Elen,
    vielen Dank für den genialen Artikel! Ich habe es auch endlich hinter micht gebracht. Was soll ich sagen: Es hat reibungslos funktioniert! Bisher habe ich auch immer Abstand davon genommen, weil mir die Risiken, dass meine Seite nicht mehr erreichbar ist, oder was auch immer, zu groß erschienen! Danke für Deine Arbeit!

    Beste Grüße, Carsten

  29. Vielen Dank für die tolle Beschreibung. Ich hatte richtig Angst vor diesem Schritt. Dank der einfachen Erklärung war es leicht die einzelnen Schritte umzusetzen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *