WordPress auf SSL umstellen – bei Strato und All-inkl.

Von | 4. April 2019

Die Aktivierung zu SSL ist so sorgfältig zu planen wie ein Umzug auf eine andere Adresse, weil sich die Adresse (z.B. für Google & Co.) verändert – von https://… zu https://… 

D.h. eine Adresse, die vorher https://domain.de hieß, verändert sich zu https://domain.de! Bei WordPress ändern sich die Datenbankzuweisungen, z.B. zu Bildern. SSL – was bedeutet das eigentlich?

Workflow am Beispiel Strato, um eine Website auf SSL umzustellen

SSL mit Plugin Really Simple SSL

  1. Website ist vorhanden, soll z.B. von einer lokalen Installation zu einem Provider wechseln und online gehen
    Umzug / Providerwechsel am Beispiel Strato
  2. Umziehen z.B. mit All-in-one-Migration
  3. Zuerst aktiviere ich SSL bei Strato – wenn ich Glück habe, entfällt alles ab Schritt 10.
  4. im Backend bei Strato aktiviere ich SSL im Menü: Sicherheit – Strato SSL (ich weise es ggf. einer Domain zu, falls mehrere Domains vorhanden sind)
  5. 1 Stunde bis zu 2 Tagen später ist dann im Backend zu sehen, dass die Website mit SSL gesichert ist.
    Hier die Bedienungsanweisung von Strato zum Anschalten der SSL Verschlüsselung

    Wir müssen warten, die Verschlüsselung bzw. das Zertifikat wurde beantragt, ist noch in Arbeit.

     

  6. ACHTUNG: die 301-Weiterleitung erst wählen, wenn Ihr sicher seid, das Eure Homepage komplett über SSL funktioniert (was ist diese Art Weiterleitung? Erklärung am Ende diese Seite).
  7. auf Strato installiere ich WordPress über FTP – warum keine 1-Klick-Installation bei Strato?
    Um das von WordPress voreingestellt Tabellen-Präfix wp_ anzupassen (siehe auch WordPress-Sicherheit durch Verschleierung – weiter unten auf dieser Seite erklärt)
    Übrigens: bei All-Inkl.com wird das Tabellenpräfix bei der 1-Klick-Installation verändert!
  8. auf der „nackigen“ WordPress-Seite installiere ich ebenfalls All-in-one-Migration
  9. Import der neuen Website zu Strato
  10. dann installiere ich auf der WordPress-Strato-neuen-Seite Really Simple SSL, aber ich aktiviere es noch nicht.
  11. wenn die Seite mit SSL geschützt ist, logge ich mich in das Backend meiner WordPress-Website ein und aktive dann SSL mit dem Plugin Really Simple SSL,

    Permanente suchmaschinenfreundliche Weiterleitung über 301

    Permanente suchmaschinenfreundliche Weiterleitung über 301

  12. Strato: ich wähle die suchmaschinenfreundliche 301 Weiterleitung, eine permanenteWeiterleitung auf die Adresse https//…
  13. wenn die Seite aktualisiere, den Cache leere, muss ich mich zumeist noch mal anmelden, aber alles sollte jetzt passen und meine Seite ist jetzt über https:// erreichbar
  14. ist eine Seite z.B. nicht vollständig mit dem Schloss gesichert, kann es daran liegen, dass einzelne Bilder noch mal neu hochgeladen und neu verknüpft werden müssen.
  15. ACHTUNG: das Plugin Really simple SSL darf nicht deinstalliert werden, sonst funktionieren die Zuweisungen nicht mehr.

    Das ist das Ziel – ein grünes SSL-Schloss

     

SSL auf der Homepage durch Änderung der Datenbank mit Better Search Replace

Ich spare so am Ende ein Plugin, weil ich im Unterschied zu Really simple SSL das Plugin Better Search Replace wieder löschen kann, wenn SSL funktioniert.

Wer seine WordPress-Seite auf einen neuen Server oder eine andere Domain umziehen will, der muss in der Datenbank viele Pfade anpassen, damit anschließend wieder alles richtig läuft. Das geht mit „Suchen und Ersetzen“ am besten. Better Search Replace sucht und ersetzt in der Datenbank. Deshalb ist hier Sorgfalt und Vorsicht geboten.

  1. Die Schritte oben bis 9 sind gleich, ich verzichte auf das Plugin Really simple SSL.
  2. ich installiere Better Search Replace
  3. Unter WordPress > Einstellungen > ändere ich die Adresse meiner Domain von http:// zu https://
  4. Logge mich ggf. neu ein
  5. Rufe Better Search Replace auf und ersetze in der Datenbank http:// mit https://
  6. wenn alles funktioniert, deinstalliere ich das Plugin Better Search Replace

Sicherheit durch Verschleierung („Security through obscurity“)

Sicherheit durch Verschleierung ist generell eine schlechte Strategie. Allerdings gibt es Bereiche, bei denen dies auch in WordPress nützlich sein kann: 1. Administrator umbenennen: Wenn du ein Administratoren-Account anlegst, solltest du leicht zu erratende Usernamen wie admin oder webmaster vermeiden, weil sie typischerweise zuerst bei einem Angriff verwendet werden. (..) 2. Ändere das Tabellen-Präfix: Viele bekanntgewordene WordPress-spezifische SQL-Injections gehen davon aus, dass das Tabellen-Präfix dem Standardwert wp_ entspricht. Eine Änderung kann zumindest einige SQL-Injection-Angriffe vereiteln.

Quelle https://codex.wordpress.org/de:Hardening_WordPress

Doppelten Content vermeiden: Anpassung .htaccess
Automatische Umleitung von http auf https

Strato erzwingt diese 301-Weiterleitung (siehe Abbildung „Permanente Weiterleitung“), bei All-inkl. und z.B. IONOS (1+1) ist es ratsam, die Domain mit dieser suchmaschinenfreundlichen Weiterleitung auf das neue ZIEL zu leiten, d.h. Rankingverlust bei Suchmaschinen, wie Google und Co. vermeiden

Wenn alle Inhalte und Links fehlerfrei über SSL funktionieren, sollte eine 301-er Weiterleitung mit .htaccess Datei erfolgen. Dies ist unkompliziert mit folgendem Schnippsel möglich:

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Was ist eine 301-Weiterleitung?

Bei einer 301-Weiterleitung wird Google und anderen Suchmaschinen mitgeteilt, dass der Inhalt einer angeforderten Ressource ab sofort unter einer neuen Adresse erreichbar ist.
Hintergrund: Google & Co. hat die Webadresse http://domain.de/service in seiner Datenbank gespeichert und findet diese nicht mehr, wenn die Adresse sich geändert hat: https://domain.de/service. Wurde diese Seite bisher auf Seite 1 bei Google gelistet, kann dieses Ranking verfallen. Die 301-Weiterleitung gibt den Page-Rank an die neue Adresse ab und weiter.

Umstellung auf SSL bei All-inkl. –

ein Leitfaden von Christian Wenzel:

Klicken Sie auf den unteren Button, um den Inhalt von www.christian-wenzl.de zu laden.

Inhalt laden

3 Gedanken zu „WordPress auf SSL umstellen – bei Strato und All-inkl.

  1. karl

    Punkt 9. 1 Stunde bis zu 2 Tagen später ist dann im Backend zu sehen, dass die Website mit SSL gesichert ist.
    Hier die Bedienungsanweisung von Strato zum.

    Wie kann sowas so lange dauern ? Strato Hosting ist the Best 🙂

    Antworten
    1. Bettina Heuser Beitragsautor

      Ich finde Strato auch gut vom Preis- Leistungsverhältnis.
      Man müsste mal nachhaken, was genau technisch vollzogen wird…

      Antworten
  2. Pingback: SSL - was ist das - digitalFahrschule - SEO & WordPress Coaching

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.