SEO, Tutorial, WordPress
Kommentare 3

Hast du deinen Blog schon auf https umgestellt?

Datenschlösser

Seit Januar 2017 werden in der Adressleiste der Browser sichere und unsichere Websites sehr deutlich kenntlich gemacht. Eine Prüfung, ob es sich wirklich um sensible Daten handelt oder nicht, spielt keine Rolle. Der Browser prüft, ob die Seite ein Sicherheitszertifikat hat und alle Daten verschlüsselt übermittelt. Was muss ich tun, um eine sichere Website zu erhalten? Wie kann ich meine Website auf https umstellen?

Da ich nur einfache Blogs ohne sensible Daten betreibe, fand ich es nicht nötig, meine Blogs auf https umzustellen. Allerdings hat es mich zunehmend gestört, dass die Browser anfingen, meine Blogs als unsicher einzustufen, was nicht der Fall war. Woher sollen es aber die Nutzer wissen, wenn der Browser, sie davor warnt?

Als dann mein Hoster STRATO für mein Hostigpaket ein kostenloses Zertifikat anbot, beschloss ich den Blog umzustellen. Ich fand im Netz diverse Anleitungen zur Umstellung auf https, von einfach bis kompliziert. Mein erster Versuch ging auch voll daneben. Ich saß vor einer weißen Seite und wusste nicht warum. Ich habe schnell alles wieder rückgängig gemacht und weiter recherchiert. Ich stieß auf den Blog von STRATO und hielt mich genau auf die vorgegebenen Schritte. Und siehe da, es hat wunderbar geklappt, mein Blog war, bis auf einige Seiten, auf https umgestellt. Diese Seiten musste ich noch manuell nacharbeiten. Die anderen Blogs waren schnell umgestellt, da ich mich diesmal an die vorgegebene Reihenfolge gehalten habe.

Warum soll ich eine Website auf https umstellen?

Google möchte das Internet sicherer machen und hat schon vor einigen Jahren angekündigt, dass https ein Rankingfaktor sein wird. Inhalte, die verschlüsselt übermittelt werden, erhalten einen kleinen Bonus. Alle Browser sind inzwischen dazu übergegangen, eine Warnung bei unsicheren Websites auszugeben. Eine Warnung des Browsers, veranlasst Google, https nicht zu berücksichtigen, was eventuell, einen Rankingverlust bedeuten kann.

Mit https werden Daten verschlüsselt übertragen. Websites ohne https werden als unsicher eingestuft. Unverschlüsselt übermittelte Daten können gelesen und abgefangen werden. Sieht ein Nutzer, eine als unsicher eingestufte Website oder Blog, wird er kaum seine Daten hinterlegen, sei es auch nur die Anmeldung für einen Newsletter.

Eine sichere Website ist meistens durch ein geschlossenes grünes Schloss gekennzeichnet.

Adressleiste in Chrome

Adressleiste in Chrome

Adressleite in Firefox

Adressleiste in Firefox

MIxed Content in Firefox

Mixed Content in Firefox

Als unsicher eingestuft Websiste ohne https in Firefox

Als unsicher eingestufte Website ohne https in Firefox

Das Sicherheits-Zertifikat

Für die Umstellung auf https wird ein SSL-Zertifikat benötigt, Dieses Zertifikat wird von Zertifizierungsstellen angeboten. Es gibt Zertifikate mit verschiedenen Sicherheitsstufen und Gültigkeit. Für einfache Blogs ohne Mitgliederbereich reicht die niedrigste Sicherheitsstufe. Diese Zertifikate werden oft kostenlos angeboten.

Bei kostenlosen Zertifikaten unbedingt darauf achten, dass sie von einer anerkannten Zertifizierungsstelle ausgegeben werden, wie z.B. Let´s Encrypt. Die SSL-Zertifikate können direkt über die Zertifizierungsstellen bezogen werden. Am einfachsten ist es jedoch, sie über den eigenen Hoster zu beziehen. Das Zertifikat ist an eine Domain gebunden und muss den gleichen Eintrag enthalten, wie die zugehörige Domain.

Websites ohne Zertifikat: http://deinedomain
Websites mit Zertifikat: https://deinedomain

Je nach Hostinganbieter sind ein oder mehrere Zertifikate im Hostinpaket enthalten oder können sehr günstig dazu gebucht werden.

Wie stelle ich die Website auf https um?

Die Vorgehensweise, wie auf https umgestellt wird, ist unabhängig vom Hoster und dem gewählten Zertifikat.

Checkliste

  1. Backup erstellen
  2. Zertifikat hinterlegen
  3. Die URL in WordPress ändern
  4. URLs in der Datenbank ändern
  5. 301 Weiterleitung einrichten
  6. SEO Maßnahmen
  7. Manuelle Nacharbeitung
  8. Links zur Website ändern
Unbedingt die Reihenfolge einhalten, sonst geht das schief und du siehst statt deines Blogs eine Fehlermeldung oder eine weiße Seite,

Backup

Da die Umstellung auf https einen Eingriff in die Datenbank erfordert, sollte vorher auf jeden Fall ein aktuelles komplettes Backup erstellt werden. Es kann immer etwas schiefgehen und mit einem Backup bist du auf der sicheren Seite.

Das Zertifikat hinterlegen

Wie das Zertifikat hinterlegt wird, ist vom Hoster abhängig. Am besten richtest du dich nach deren Anleitung.

Ich habe meine Blogs bei STRATO und Allinkl. Den Blogbeitrag mit der Anleitung von STRATO habe ich schon erwähnt. Um das Zertifikat zu hinterlegen, gehst du auf „Domains verwalten“, wählst den Menüpunkt Sicherheit und dann STRATO SSL. Wenn du mehrere Domains hast, wählst du diejenige aus, die das kostenlose Zertifikat erhalten soll. Für weitere Domains kannst du hier ein Zertifikat von Symantec bestellen.

SSL-Zertifikat bei Strato hinterlegen

SSL-Zertifikat bei Strato hinterlegen

Bei Allinkl wird das SSL-Zertifikat im KAS Bereich hinterlegt. Allinkl bietet eine detaillierte Anleitung, wie das Zertifikat eingerichtet wird.

„SSL erzwingen“ sind die 301 Weiterleitungen, die erst später aktiviert werden!

Die Website ist nach der Zuweisung des Zertifikats weiterhin über http erreichbar. Um die Website auf https umzustellen, sind noch die nachfolgenden Schritte notwendig.

Die URL in WordPress ändern

Im Backend einloggen und in den WordPress Einstellungen unter Allgemein, die URL von http in https ändern.

WordPress Einstellungen

WordPress Einstellungen im Backend

Nach dem Speichern musst du dich im Backend neu einloggen.

URLs in der Datenbank ändern

Als nächsten Schritt müssen die URLs in der Datenbank geändert werden. Das kann direkt über die Datenbankverwaltung geschehen oder mit dem Plugin Better Search Replace.

Screenshot Plugin Better Search Replace

Suchen und Ersetzen mit dem Plugin Better Search Replace

Am besten alle Dateien auswählen. Bei großen Blogs kommt eventuell eine Fehlermeldung. In diesem Fall abschnittsweise vorgehen. Zuerst den Testlauf durchführen und prüfen, ob alles in Ordnung ist. Erst dann die URLs ersetzen.

Die Website ist jetzt per https erreichbar.

301 Weiterleitungen einrichten

Damit der Blog weiterhin über die extern gesetzten Links verfügbar ist, müssen jetzt alle Seiten des Blogs auf die neue URL mit https umgeleitet werden. Die 301 Weiterleitung teilt Google mit, dass der Inhalt einer Seite permanent umgezogen ist. Die Besucher werden automatisch auf die neue URL umgeleitet.

Ohne Weiterleitung sind die Seiten per http und https erreichbar. Für die Suchmaschinen sind das nämlich zwei verschiedene Seiten. Wird https durch den Browser nicht validiert, wird Google nur die http Version der Website crawlen und indexieren. Außerdem entsteht Duplicate Content und das mögen die Suchmaschinen gar nicht.

Die Weiterleitung sorgt auch dafür, dass es kaum Rankingsverluste gibt. Die mit http bereits erworbenen Rankings und Backlings werden fast alle übernommen.

Die 301 Weiterleitungen werden direkt in der .htaccess-Datei eingerichtet. Bei meinen Hostern STRATO und Allinkl wird das mit einem Klick auf „SSL erzwingen“ erledigt. Ein zusätzlicher Eintrag in die ,htaccess ist nicht notwendig.

Neue Sitemap und Search Console

Die Website mit der neuen https URL bei der Search Console als neuen Eintrag hinzufügen. Keine Adressänderung vornehmen und keinen Eintrag löschen. Alle Varianten http und https unter denen die Website erreichbar ist, eintragen. Neue Sitemap erstellen und in der Search Console einreichen. Das SEO Plugin von Yoast aktualisiert die Sitemap automatisch. Bevor ich das SEO Plugin verwendet habe, hatte ich Google XML-Sitemap im Einsatz. Search Console mit Google Analytics neu verknüpfen und die Property anpassen.

Die Search Console solltest du die nächsten Tage nach der Umstellung täglich, dann wöchentlich nach Crawling Fehlern checken und die Fehler entsprechend beheben.

Manuelle Nacharbeitung – Mixed Content

Es kann passieren, dass einige Seiten nach der Umstellung immer noch als unsicher angezeigt werden. Der Mixed Content lässt sich am besten mit den Entwicklertools deines Browsers bearbeiten. Ich habe mir die Website mit Chrome anzeigen lassen, weil es am übersichtlichsten ist. In der Liste werden die sicheren Elemente und die unsicheren (Mixed Content) angezeigt.

Chrome → Entwicklertools → Security

Direkt darunter wird der beanstandete Mixed Content detailliert angezeigt, der gezielt bearbeitet werden kann. In meinem Fall sind es die links zu Amaton in älteren Beiträgen, die neu verknüpft werden müssen.

Screenshot Mixed Content

Mixed Content wird angezeigt

Der Mixed Content kann verschiedene Ursachen haben. Bei mir waren es vor allem einzelne Bilder und Links, die direkt im Beitrag eingebunden sind. Die Beitragsbilder betrifft es nicht, da diese bereits in der Datenbank geändert wurden.

Einige Probleme hatte ich mit dem Einbinden der Blogverzeichnisse, teilweise habe ich sie weglassen müssen. Probleme hatte ich auch mit dem eingebundenen Widget von LovelyBooks in meinem Bücherblog, das ich daraufhin leider entfernen musste.

Mixed Content im Überblick:

  • Bilder im Beitrag eingefügt
  • Interne Links
  • Videos
  • Textwidgets: Bilder und Links
  • Plugins
  • Affiliate Links
  • eingefügte Widgets, Logos, Buttons etc. z.B. Blogverzeichnisse
  • Javascript in Werbebannern

Links zur Website ändern

Es ist nicht zwingend notwendig die externen Links zur Website zu ändern. Der Vollständigkeitshalber sollten sie aber geändert werden. Das signalisiert dem Nutzer, dass seine Daten bei dir sicher sind. Denk beispielsweise an:

  • E-Mail Signatur
  • Newsletter
  • Facebook & Co
  • Visitenkarten

Fazit

Für einfache Blogs ohne sensible Daten ist es nicht zwingend notwendig, die Website auf https umzustellen. Aus SEO technischen ist es jedoch ratsam, dies zu tun. Google forciert ein sicheres Internet und „belohnt“ die umgestellten Websites. Durch die Kennzeichnung in der Adressleite der Browser, werden die Nutzer darauf aufmerksam gemacht. Wer gibt schon gerne Daten einer unsicheren Verbindung preis?

Die Umstellung auf https ist ein einfach, wenn du dich genau auf die Anleitung hältst.

Hast du deine Seite schon umgestellt? Welche Erfahrungen hast du gemacht?

Kategorie: SEO, Tutorial, WordPress

von

Kristina hat mehrere Blogs mit WordPress aufgebaut und viele Erfahrungen als Blogger gesammelt. In diesem Blog gibt sie Tipps für erfolgreiches Bloggen mit WordPress. Hat dir der Beitrag gefallen? Dann verpasse keinen Artikel und abonniere den Newsletter

3 Kommentare

  1. Hallo Kristina,

    an und für sich, hast du in deiner Anleitung recht, so kann man vorgehen. Aber nur IT-Security zu forcieren, weil Google das positiv bewertet, also nur durch die Marketing Brille geschaut, ist falsch. Schlimmer als gar kein Verschlüsselung sind fehlerbehaftete.

    Wenn man genauer analysiert, ist dein Blog nur augenscheinlich abgesichert, denn:
    Die Serverkonfiguration unterstützt noch das TLS 1.0 (ist seit 2015 erfolgreich geknackt), der Verschlüsselungsalgo. ist SHA1withRSA (Seit 2016 nicht mehr empfohlen von Google & Co., da unsicher), dein Zertifikat ist von Strato zertifiziert, d.h. Gültigkeit bis 20 May 2022, bis dahin … OCSP Must Staple nicht vorhanden, weiter sendet dein Apache 2.2 keine Strict SSL-Header, die Liste könnte man endlos weiter führen …

    Also nicht falsch verstehen, SSL-Verschlüsselung ist wichtig und richtig, und da hast getan, was man tuen kann, das Problem sind solche Billig-Hoster, wie Strato, welche IT-Security nicht konsequent umsetzen. Aber irgendwo muss ja billig herkommen.

    herzlichst, Steffen

    • Hallo Steffen,

      da ich keine sensiblen Daten habe, reicht mir die billigste Lösung. Ich habe nur wegen Google umgestellt. Den meisten Bloggern geht es so. Für einen Blog mit Mitglierderbereich oder gar einen Shop ist das keine Lösung. Um einen Shop sicher zu machen, muss ein Fachmann dran.

      Viele Grüße
      Kristina

  2. Erklärt, warum ich langsam im Ranking runterrutsche.
    Noch mehr Arbeit für mich… 🙁
    Aber danke für den Rat.
    Werde es so schnell wie möglich ändern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.