Der ultimative Leitfaden zu HTTPS und SSL für WordPress

Veröffentlicht: 2021-12-30

Ist Ihnen schon einmal aufgefallen, dass die meisten Ihrer Lieblingswebsites eine URL haben, die mit HTTPS beginnt? Es ist wahrscheinlicher, dass Sie bemerken, wenn das S, das anzeigt, dass eine URL sicher ist, nicht vorhanden ist. Das liegt daran, dass Google jetzt Websites ohne SSL-Zertifikat kennzeichnet – ein wichtiger Bestandteil einer sicheren Website. Da die Sicherheit von Websites so wichtig ist, ist es wichtig, dass Sie HTTPS und SSL für WordPress verstehen.

Wenn Sie eine WordPress-Website betreiben, möchten Sie, dass sie über SSL und HTTPS verfügt, um die Sicherheit und das Vertrauen der Besucher zu erhöhen. Als zusätzlichen Bonus erhält Ihre Website ein höheres SEO-Suchranking. Wenn Sie also bereit sind, Ihrer Website und den Benutzern, die sie besuchen, eine zusätzliche Sicherheits- und Schutzebene hinzuzufügen, lesen Sie weiter.

Was ist HTTPS und SSL?

HTTPS und SSL für WordPress gehen Hand in Hand. An sich steht HTTP (das ursprüngliche URL-Präfix) für Hypertext Transfer Protocol. Durch die Installation eines SSL-Zertifikats (Secure Sockets Layer) auf Ihrer Website wird diese gesichert. Wenn Sie das richtige SSL- oder TLS-Zertifikat auf Ihrer Website installiert haben, wechselt das URL-Präfix von HTTP zu HTTPS: sicheres Hypertext-Übertragungsprotokoll.

Sehen wir uns genauer an, was HTTPS und SSL sind und wie sie funktionieren. Laut dem Mozilla Developer Network (MDN):

HTTPS (HyperText Transfer Protocol Secure) ist eine verschlüsselte Version des HTTP-Protokolls. Es verwendet SSL oder TLS, um die gesamte Kommunikation zwischen einem Client und einem Server zu verschlüsseln. Diese sichere Verbindung ermöglicht es Clients, vertrauliche Daten sicher mit einem Server auszutauschen, beispielsweise bei Bankgeschäften oder Online-Einkäufen.

Im Wesentlichen bedeutet HTTPS, dass Ihre Website Ende-zu-Ende verschlüsselt ist. Das bedeutet, dass nur die beiden Clients an jedem Ende der Transaktion die Daten lesen können. Wenn ein böswilliger Benutzer oder eine böswillige Entität die Kommunikation abfangen würde, würde er nichts als ein Durcheinander zufälliger, verstümmelter Zeichen erhalten.

Lassen Sie uns nun zur MDN-Definition von SSL springen:

Secure Sockets Layer oder SSL war die alte Standard-Sicherheitstechnologie zum Erstellen einer verschlüsselten Netzwerkverbindung zwischen einem Server und einem Client, um sicherzustellen, dass alle übertragenen Daten privat und sicher sind. Die aktuelle Version von SSL ist Version 3.0, veröffentlicht von Netscape im Jahr 1996, und wurde durch das Transport Layer Security (TLS)-Protokoll ersetzt.

Wenn es um TLS vs. SSL geht, ist TLS im Wesentlichen der Nachfolger von SSL. Wie SSL stellt TLS eine verschlüsselte Verbindung zwischen einem Server und einem Client her. Die beiden Protokolle führen zu einer besseren Sicherheit für Ihre WordPress-Website.

Benötigen Sie HTTPS und SSL?

Die kurze Antwort lautet ja: Sie benötigen HTTPS und SSL. Abgesehen davon, dass Sie Vertrauen zu Ihren Besuchern aufbauen, ist die Website-Sicherheit eine Kompetenz für solides SEO. Im Jahr 2018 begann Google damit, Websites ohne SSL- oder TLS-Zertifikat zu kennzeichnen. Dies hält Benutzer davon ab, zu Websites zu navigieren, die kein SSL-Zertifikat haben.

Vor Jahren waren SSL-Zertifikate teuer – tatsächlich Tausende von Dollar. Große umsatzsteigernde Websites wie Facebook und Amazon zeigten das Schlosssymbol im Browserfenster eines Benutzers an. Das liegt daran, dass sie das Budget hatten, um das Zertifikat zu kaufen. Auf der anderen Seite hatte die WordPress-Website des durchschnittlichen Benutzers einfach ein HTTP-Präfix. Heutzutage sind SSL-Zertifikate sowohl notwendig als auch erschwinglich.

Während WordPress jetzt automatisch SSL-Zertifikate auf jeder neuen Website installiert, haben Sie möglicherweise eine ältere Domain oder eine seit langem etablierte Website, die gesichert werden muss. Es ist möglich, ein kostenloses SSL-Zertifikat für Ihre WordPress-Website zu erhalten, falls Sie noch keines haben. Die meisten Hoster bieten außerdem ein kostenloses oder vergünstigtes SSL-Zertifikat als Teil ihrer Hosting-Pakete an. Da HTTPS und SSL für WordPress jetzt so zugänglich sind, gibt es keinen Grund, Ihre Website angreifbar zu machen.

So installieren Sie SSL für WordPress

Du fragst dich, wie du SSL für WordPress installierst? Wir führen Sie durch die Schritte und zeigen Ihnen, wie es gemacht wird.

Verwendung eines Plugins

Beginnen wir mit der Installation von SSL für WordPress mithilfe eines Plugins. Für dieses Tutorial verwenden wir Really Simple SSL. Dieses Plugin stellt Ihre WordPress-Website automatisch auf SSL um. Wenn Ihre URL also immer noch HTTP statt HTTPS anzeigt, kümmert sich dieses Plugin um das Problem und hilft Ihnen, Ihre Website zu sichern.

Lasst uns anfangen.

1. Navigieren Sie zur Plug-in-Seite Really Simple SSL und klicken Sie auf Herunterladen. Speichern Sie die ZIP-Datei des Plugins auf Ihrem Computer.

2. Öffnen Sie einen neuen Browser-Tab, melden Sie sich bei Ihrem WordPress-Dashboard an und klicken Sie auf Plugins.

3. Klicken Sie auf Ihrem Plugins-Bildschirm auf Neu hinzufügen.

4. Klicken Sie auf der Seite Plugins hinzufügen auf Plugin hochladen.

5. Laden Sie als Nächstes die mit Ihrem Plugin verknüpfte .zip-Datei hoch. Wählen Sie Ihre Datei aus und klicken Sie dann auf Jetzt installieren.

6. WordPress zeigt eine Seite an, die Ihren Upload-Fortschritt anzeigt. Sobald das Plugin hochgeladen ist, klicken Sie einfach auf Plugin aktivieren.

Mögliche Plugin-Anpassungen

7. Wie Sie sehen können, wurde auf der Website, an der ich arbeite, bereits ein SSL-Zertifikat erkannt. Aber wenn wir SSL noch nicht hätten, wären die nächsten Schritte, die wir abdecken müssten, folgende:

  • Ändern aller http://-Verweise in .css- und .js-Dateien in https://
  • Entfernen von Skripten, Stylesheets oder Bildern, die von einer Domain ohne SSL stammen
  • Melden Sie sich erneut an (denn sobald Sie das Plugin aktivieren, wird WordPress Sie abmelden)

Wenn Sie fertig sind, klicken Sie auf SSL aktivieren, um die Installation abzuschließen. Dieses Plugin ändert Ihre Standard-URL auf HTTPS.

8. Jetzt ist SSL aktiviert. Das Plugin-Fenster zeigt mir, welche Schritte unternommen werden müssen, um die Website weiter zu sichern. Really Simple SSL bietet Artikel und Ressourcen, die mir helfen, meine Sicherheitseinstellungen auf ein optimales Niveau zu optimieren. Ich kann diese einzeln durchgehen, um meine Sicherheit zu optimieren.

Führen Sie Divi auf Ihrer WordPress-Site aus? Einige Benutzer mit Divi haben Probleme mit gemischten Inhalten, wenn sie Really Simple SSL installieren. Wenn dies der Fall ist, muss der Divi-Cache geleert werden, um das Problem zu beheben. Lesen Sie hier mehr darüber, wie Sie das Problem lösen können.

Überprüfen Sie die SSL-Plugin-Einstellungen

Jetzt ist es an der Zeit, zu Ihrer Hauptseite für Plugins zu navigieren und die Einstellungen Ihres SSL-Plugins zu überprüfen. Klicken Sie einfach auf Einstellungen, um loszulegen. Sie sehen dieselbe Checkliste mit Ressourcen wie zuvor. Scrollen Sie einfach auf der Seite nach unten, um zu sehen, wo Sie die Einstellungen umschalten können.

Die Standardeinstellungen des Plugins sollten angemessen sein, aber Sie können jederzeit Anpassungen vornehmen. In erster Linie möchten Sie sicherstellen, dass Mixed Content Fixer aktiviert ist. Höchstwahrscheinlich wird dieser bereits ausgewählt sein. Ist dies nicht der Fall, überprüfen Sie es und speichern Sie die Seite.

Lesen Sie unbedingt die beigefügte Dokumentation, bevor Sie Ihre Einstellungen ändern.

Das ist es! Sie haben SSL für WordPress per Plugin installiert.

Manuelle Installation

Schauen wir uns nun an, wie man SSL für WordPress manuell installiert. Wir öffnen zunächst einen neuen Browser-Tab und navigieren zu SSL For Free (ZeroSSL).

1. Geben Sie auf der Startseite die URL Ihrer Website in die Textleiste ein und klicken Sie auf Kostenloses SSL-Zertifikat erstellen.

2. Sie werden aufgefordert, ein Konto zu erstellen. Sobald Sie dies getan haben, leitet Sie die Website zur ZeroSSL-Startseite weiter. Klicken Sie dort auf Neues Zertifikat.

3. Auf der nächsten Seite können Sie Ihre Domäne in das Textfeld eingeben und dann auf Nächster Schritt klicken.

4. Sie können wählen, ob Sie ein kostenloses 90-Tage-Zertifikat oder ein 1-Jahres-Zertifikat (kostenpflichtig) erstellen möchten. Wenn Sie sich für einen entscheiden, der 90 Tage hält, müssen Sie alle 90 Tage wieder hineingehen und einen neuen generieren. Nachdem Sie ausgewählt haben, welche Option Sie verwenden möchten, klicken Sie auf Nächster Schritt.

5. Als Nächstes können Sie das Programm automatisch eine Zertifikatssignierungsanforderung (CSR) generieren lassen, wenn Sie möchten. Sie können Ihre Informationen auch manuell eingeben. Der Zweck besteht darin, Ihre Identität und die Tatsache, dass Sie tatsächlich Eigentümer der Domain sind, für die Sie das SSL generieren, zu überprüfen. Sie werden dann aufgefordert, den gewünschten Plan auszuwählen.

Domain-Verifizierung und SSL für die manuelle Installation von WordPress

6. Sie werden nun aufgefordert, Ihre Domain zu verifizieren. Sie können dies auf drei Arten tun:

  • Durch E-Mail-Bestätigung
  • Durch Hinzufügen eines neuen CNAME-Eintrags auf Ihrem Hostserver
  • Per HTTP-Datei-Upload

Befolgen Sie je nach gewählter Option die Anweisungen auf der Website.

7. Sobald Ihre Domain verifiziert ist, generiert die Website Ihr SSL-Zertifikat. Sie können Ihr Zertifikat herunterladen und dann auf Nächster Schritt klicken.

8. Jetzt müssen Sie das SSL-Zertifikat auf Ihr cPanel hochladen. Dieser Vorgang kann je nach verwendetem Host etwas anders aussehen. Für Schritt-für-Schritt-Anleitungen suchen Sie in dieser Liste von ZeroSSL nach Ihrem Host, der Sie durch die Fertigstellung Ihrer SSL für WordPress-Installation führt.

Für die Zwecke dieses Artikels zeige ich Ihnen, wie das über mein Bluehost cPanel aussieht.

9. Navigieren Sie zunächst zu Ihrem cPanel und scrollen Sie nach unten zum Abschnitt SICHERHEIT. Klicken Sie auf SSL/TLS.

10. Klicken Sie auf „SSL-Zertifikate generieren, anzeigen, hochladen oder löschen“.

11. Sie sehen nun eine Liste der Zertifikate, die sich derzeit auf Ihrem Server befinden. Scrollen Sie nach unten zum Abschnitt „Hochladen eines neuen Zertifikats“.

12. Jetzt haben Sie ein paar Optionen. Du kannst entweder:

  • Entpacken Sie Ihr SSL-Zertifikat, das Sie von ZeroSSL heruntergeladen haben, und laden Sie dann die .crt-Datei hoch.
  • Oder Sie können die .crt-Datei in einem einfachen Texteditor öffnen. Kopieren Sie den vollständigen Text des Zertifikats, kehren Sie dann zu Ihrem cPanel zurück und fügen Sie ihn in das Textfeld mit der Bezeichnung „Neues Zertifikat hochladen“ ein. Dazu gehört der Kopf- und Fußzeilentext, der den Anfang und das Ende des Zertifikats kennzeichnet.

13. Klicken Sie auf Zertifikat hochladen. Danach sollten Sie noch einmal überprüfen, ob die Installation erfolgreich war. Sie können Ihr Zertifikat auf Ihrem ZeroSSL-Dashboard überprüfen. Versuchen Sie alternativ, zu Ihrer URL mit dem Präfix https:// zu navigieren, um zu sehen, ob sie für Sie funktioniert.

Das ist es!

Häufig gestellte Fragen zu SSL und HTTPS

Werfen wir nun einen Blick auf einige häufig gestellte Fragen zu HTTPS und SSL für WordPress.

Woher weiß ich, ob meine Website über ein SSL-Zertifikat verfügt?

Öffnen Sie ein neues Browserfenster und navigieren Sie zu Ihrer Website. Sehen Sie links neben Ihrem URL-Präfix nach. Ihr Browserfenster sollte neben der URL ein Schlosssymbol anzeigen. Klicken Sie alternativ in das Textfeld, und Sie sollten HTTPS angezeigt sehen können.

Wird meine Website durch SSL und HTTPS langsamer?

SSL und HTTPS können Ihre Website etwas langsamer machen. Wenn Ihre Website-Besucher jedoch auf den Fehlerbildschirm von Google stoßen, der sie von vornherein daran hindert, auf Ihre HTTP-Website zuzugreifen, ist das eher ein Problem. Entweder opfern Sie ein wenig Geschwindigkeit für eine sichere Website, der die Benutzer vertrauen, oder Sie müssen mit einer hohen Absprungrate von einer ungesicherten Website fertig werden.

Ich habe das SSL-Zertifikat installiert, aber meine Website zeigt immer noch an, dass sie unsicher ist. Was mache ich jetzt?

Überprüfen Sie noch einmal, ob Ihre Installation erfolgreich war. Sie können dies in WordPress tun, indem Sie zur Einstellungsseite Ihres Plugins navigieren oder Ihre manuelle Installation über Ihr ZeroSSL-Dashboard überprüfen. Möglicherweise gibt es einige Einstellungen, die Sie umschalten müssen, oder Sie müssen möglicherweise eine Fehlerbehebung durchführen.

Wenn Sie weiterhin SSL-Fehler auf Ihrer Website sehen, müssen Sie möglicherweise Folgendes tun:

    • Erzwingen Sie HTTP-zu-HTTPS-Umleitungen
    • Mixed-Content-Fehler beheben (kaputte Bilder)
    • Untersuchen Sie vorhandene Plugins und Themes auf Fehler
  • Korrigieren Sie eine Umleitungsschleife
  • Beheben Sie weitere Probleme mit Ihrem SSL-Zertifikat, das möglicherweise eine Warnung zu einem ungültigen Zertifikat anzeigt (in diesem Fall können Sie es erneuern).

Um SSL-Fehler zu untersuchen, können Sie mit der rechten Maustaste auf Ihre Website klicken und im Dropdown-Menü Untersuchen auswählen. Fehler sind rot markiert. Sie können Fehler dem Autor eines Plugins oder Designs, Ihrem Webhosting-Anbieter oder Ihrem technischen Supportteam melden, je nachdem, wo und wie Ihre Website gehostet und eingerichtet wird.

Wenn Sie kein Entwickler sind, versuchen Sie am besten nicht, Ihre Plugins oder Designs zu optimieren. Es ist zu einfach, etwas kaputt zu machen, dessen Sie sich entweder nicht bewusst sind oder das Ihre Website in großem Umfang betrifft.

Je nachdem, welches Tool Sie ausgewählt haben, sollten Sie in der Lage sein, Unterstützung zu erhalten. Sie können Fragen in offenen Foren stellen, Anleitungen zur Fehlerbehebung folgen oder Ihren Gastgeber um Hilfe bitten. Wenn Sie Divi betreiben, haben wir ein Live-Chat-Team, das Ihnen ebenfalls helfen kann. Höchstwahrscheinlich können Sie Hilfe von jemand anderem erhalten, der sich mit dem Problem, das Sie haben, auskennt.

Wie behebe ich Mixed-Content-Fehler?

Mixed-Content-Fehler treten auf, wenn Sie SSL für WordPress installiert haben, Ihre Website jedoch einige Inhalte immer noch als unsicher ansieht. Ihnen könnten beispielsweise fehlende Bilder auffallen. Um dies zu beheben, können Sie Ihre WordPress-Site so einrichten, dass gemischte Inhalte angezeigt werden.

Sie können Mixed-Content-Fehler beheben, indem Sie das Plug-in „SSL Insecure Content Fixer“ installieren und aktivieren. Wenn Sie weiterhin Mixed-Content-Fehler erhalten, ist möglicherweise etwas in Ihrer Datenbank nicht in Ordnung. Sie müssen einige zusätzliche Schritte unternehmen, um dieses Problem zu beheben, einschließlich der Installation und Ausführung des Better Search and Replace-Plugins. Wir haben hier einen Beitrag geschrieben, der Sie durch die Behebung von Mixed-Content-Fehlern führt.

Wie erzwinge ich HTTPS?

Um HTTPS zu erzwingen, müssen Sie möglicherweise automatische Umleitungen von HTTP zu HTTPS einrichten. Das Erzwingen automatischer Weiterleitungen hindert Benutzer daran, die HTTP-Version Ihrer Website zu öffnen, die technisch noch vorhanden ist.

Hier ist ein Tutorial von Name.com, das Sie über cPanel durch den Prozess führt. Alternativ können Sie dieses Problem auch direkt in der . htacess -Datei über Ihren FTP-Client. Dieses Tutorial von Dreamhost führt Sie durch die Schritte, um das sichere Laden Ihrer Website zu erzwingen.

Was kosten SSL-Zertifikate?

SSL-Zertifikate variieren stark im Preis und reichen von kostenlos bis zu etwa 1000 US-Dollar pro Jahr. Im Durchschnitt sind sie in der Regel deutlich günstiger. Der Preis hängt von der von Ihnen gewählten Dienstleistung und dem Grad der Unterstützung ab, die Sie benötigen.

Gibt es einen Unterschied zwischen kostenlosen und kostenpflichtigen SSL-Zertifikaten?

Nicht in Bezug auf die Funktionalität. Sowohl kostenlose als auch kostenpflichtige SSL-Zertifikate bieten Endbenutzern das gleiche Maß an Sicherheit. Ein kostenpflichtiges SSL-Zertifikat wird jedoch wahrscheinlich zusätzlichen technischen Support und eine gründlichere Validierung bieten. Wenn Sie mit der DIY-Fehlerbehebung für Ihr SSL vertraut sind, funktioniert die Verwendung eines kostenlosen Zertifikats möglicherweise gut für Sie. Wenn Sie jedoch der Meinung sind, dass Sie möglicherweise fortlaufenden technischen Support benötigen und nicht jedes Mal ein neues kostenloses Zertifikat neu installieren müssen, wenn Ihr aktuelles abläuft, ist ein kostenpflichtiges SSL-Zertifikat möglicherweise die bessere Option.

Muss ich mein SSL-Zertifikat erneuern?

Die Erneuerung des SSL-Zertifikats hängt von Ihrem Host ab. Wenn Sie einen Host verwenden, der ein SSL-Zertifikat als Teil Ihres Hosting-Plans enthält, kann es so eingerichtet werden, dass es automatisch verlängert wird (und heutzutage sind viele so eingerichtet, dass Benutzer es nie berühren müssen). Wenn Sie die 90-Tage- oder 1-Jahres-SSL-Zertifikatsoption von ZeroSSL verwenden, müssen Sie Ihr SSL-Zertifikat in regelmäßigen Abständen manuell erneuern.

Fazit

Jetzt, da Sie wissen, wie Sie Ihr SSL-Zertifikat installieren und Fehler beheben, ist es an der Zeit, Ihre WordPress-Site zu sichern. HTTPS und SSL für WordPress sind von entscheidender Bedeutung für den Erfolg und das Vertrauen Ihrer Website bei den Benutzern (und bei Google). Wenn Sie Ihre Website nicht nur jetzt, sondern auch in Zukunft funktionsfähig machen möchten, stellen Sie sicher, dass Sie sie mit HTTPS und SSL sperren.

Sind Sie auf Probleme mit SSL für WordPress gestoßen? Wie sind Sie an deren Lösung herangegangen? Hinterlasse uns unten einen Kommentar und lass es uns wissen.

Beitragsbild des Artikels von Eny Setiyowati/shutterstock.com