Ein echter Ranking-Faktor war die Verschlüsselung via SSL eigentlich nur am Anfang, doch notwendig ist selbige inzwischen definitiv geworden, da ihr im schlimmsten Fall regelrecht bestraft werdet, wenn ihr auf sie verzichtet.
Das hat viele Gründe, unter anderem den, dass Browser unverschlüsselte Seiten immer häufiger als unsicher markieren. Wer dagegen SSL-Zertifikate nutzt, bekommt das beliebte grüne Schloss in der URL-Zeile angezeigt, sowie den Hinweis auf eine sichere Verbindung. Das wiederum schafft Vertrauen, Vertrauen wiederum schafft treue Nutzer.
Zwar gehöre ich selbst zu den Bloggern, die bis heute keine Notwendigkeit in der Verschlüsselung von privaten, kleinen Blogs sehen, doch ich sehe die Nachteile die entstehen, wenn darauf verzichtet wird. Neben den eben erwähnten, wird auch Google das nicht mehr lange lustig finden und auch HTTP/2 wird, obwohl es theoretisch auch ohne SSL möglich ist, nur mit einem entsprechenden Zertifikat unterstützt.
Egal wie sehr ihr euch also wehrt, eine Umstellung ist inzwischen definitiv Pflicht. Wie das geht, erkläre ich euch kurz und knapp im folgenden Artikel.
Wichtiger Hinweis vor der SSL-Umstellung
Für Google ist die Umstellung auf HTTPS zwar wichtig, sie wird aber wie eine Änderung der Domain angesehen. Das bedeutet, dass eure Rankings und die Sichtbarkeit kurzzeitig absacken werden, bei manchen kann das sogar einige Wochen dauern. Erst wenn Google die neuen Seiten, mitsamt allen Umleitungen etc. gecrawlt und verstanden hat, pendeln sich die Rankings für gewöhnlich wieder ein und verbessern sich im Idealfall sogar minimal. Also nicht erschrecken, wenn nach der Umstellung die Werte eurer SEO-Tools in den Keller gehen und auch in den Google Webmaster Tools die Umstellung auf HTTPS nicht vergessen, da ihr auch da sonst nur noch falsche Werte angezeigt bekommt.
BACKUP!
Immer wenn große Änderungen fällig sind, empfiehlt es sich vorab ein umfangreiches Backup der WordPress-Installation anzulegen. So kann im Notfall, wenn mal etwas schiefgeht, schnell der alte Zustand wiederhergestellt werden. Vergesst dabei aber auch die MySQL-Datenbank nicht.
SSL-Zertifikat kaufen und integrieren
Die benötigten SSL-Zertifikate gibt es quasi bei jedem Hoster. Diese werden pro Domain aktiviert und beim Hoster selbst entsprechend hochgeladen. Es gibt einzelne SSL-Zertifikate, erweiterte Zertifikate mit Firmenprüfung (dann wird der Firmenname im grünen Symbol angezeigt), sowie sogenannte Wildcards, die nicht nur die jeweilige Domain, sondern auch alle Subdomains verschlüsseln können. Einige davon sind wirklich unverschämt teuer, deshalb lohnt es sich eventuell auf die kostenlose Initiative Let’s Encrypt zurückzugreifen, die im Zuge des Bestrebens das Internet sicherer zu machen, kostenlose Zertifikate pro Domain ausstellt. Ich selbst empfehle und nutze dafür die Seite sslforfree.com, hier ist es sehr einfach kostenlose SSL-Zertifikate zu erstellen und auch die Ablaufzeit wird im Account entsprechend angezeigt, sodass ihr die Erneuerung nicht aus Versehen verpasst, zumal ihr per E-Mail daran erinnert werdet. Wirklich praktisch, für alle die kostenlose Zertifikate von Let’s Encrypt nutzen möchten.



Inhalte in WordPress korrekt umleiten
Ein Problem bei WordPress ist, dass die URLs nicht relativ sind und somit jedes Bild mit voller URL verlinkt wird. Das führt unweigerlich dazu, dass bei einer Umstellung auf HTTPS im Content dann immer noch Links mit HTTP vorhanden sind. Gift für Google. Das Plugin Search and Replace hilft euch dabei, solche Verlinkungen zu finden und entsprechend abzuändern. Einfach alle Tabellen im Plugin auswählen und nach der eigenen Domain suchen. Diese dann mit der neuen https-Variante ersetzten, was mit dem Plugin schnell und vor allem auch automatisch geht. So sind alle verlinkten Bilder, Beiträge etc. wieder korrekt erreichbar und nutzen HTTPS.
Auch in den Einstellungen von WordPress solltet ihr die URL eures Blogs entsprechend ändern und die neue https-Fassung eintragen. Das ist schnell erledigt, es kann aber vorkommen, dass Plugins und Themes ebenfalls noch Verlinkungen oder Integrationen besitzen, die mit HTTPS nicht klarkommen oder weiterhin HTTP verwenden. Auch die müsst ihr aufspüren und korrekt erneuern, damit Google keine Beanstandungen hat und euer gesamter Blog HTTPS nutzt. Da es unfassbar viele Plugins und Themes gibt, müsst ihr im Einzelfall schauen, wo und ob das bei euch der Fall ist.
Sitemaps und robots.txt
Wer eine Sitemap nutzt, sollte nun noch einmal darüber nachdenken und diese eventuell abstoßen. Google benötigt sie im Grunde nicht mehr, die Vorteile sind nur bei extrem verschachtelten Blogs vorhanden, viel bringt sie also oft eh nicht. Wer trotzdem nicht darauf verzichten möchte, muss selbige prüfen und eventuell ebenfalls auf HTTPS umstellen. Wer sie in der robots.txt verlinkt, sollte auch diese Verlinkung sauber abändern. Ihr merkt schon, keine Kleinigkeit darf bei der Umstellung auf HTTPS vergessen werden, da die alten Links sonst schädlich werden und für Google im Grunde fehlerhaft sind bzw. die Suchmaschine unnötig verwirren und eure Rankings gefährden.
Backlinks wenn möglich abändern
Google selbst empfiehlt bei einer Umstellung auf HTTPS außerdem, die alten Backlinks wo es nur geht anzupassen bzw. anpassen zu lassen. Schreibt bei wichtigen Links also unbedingt die Webmaster an, ob sie den Link nicht kurz für euch abändern könnten. Gerade wenn ihr von einigen Quellen eine Menge Traffic bekommt, solltet ihr euch diese Arbeit wirklich machen. Am Ende verlieren die Links sonst dezent an Wert. Genau evaluieren konnte ich es nicht, allgemein sinkt bei der Umstellung aber die Power der Backlinks ein wenig, wie mir scheint. Hier sei wieder erwähnt, dass der Umstieg von HTTP zu HTTPS für Google eine Änderung der Domain darstellt und entsprechend drastisch ausfällt.
Domain immer auf HTTPS weiterleiten
Tja und am Ende sind wir dann bei grundlegenden Weiterleitungen angekommen. Damit alles was euren Blog betrifft, künftig automatisch HTTPS verwendet, müsst ihr dies auch noch via .htaccess umsetzten. Mit dem folgenden Snippet leitet ihr alle Anfragen korrekt auf HTTPS um und meldet Google auch gleich (via 301), dass die https-Variante die Hauptversion darstellt. Eigentlich ganz einfach, vor allem aber extrem wichtig.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</ifModule>
WordPress auf HTTPS umstellen
Seinen WordPress Blog auf HTTPS umzustellen, ist im Kern gar nicht so schwierig. Das Problem ist eher, dass man dazu neigt kleine Details zu vergessen. Eine Kleinigkeit zu vergessen, die dann doch noch nicht korrekt funktioniert oder HTTPS nutzt. Genau das darf und sollte aber nicht passieren, denn die Umstellung ist in Sachen Google durchaus etwas heikel. Als ich meine Seiten auf HTTPS umstellte, dauerte es tatsächlich einige Wochen, bis Google die Umstellung korrekt wahrgenommen hatte. Beschleunigen lässt sich das kaum und so hilft nur abwarten und dafür sorgen, dass HTTPS wirklich fehlerfrei genutzt wird und nirgends mehr Probleme macht bzw. Google nicht unnötig verwirrt. Achtet also auf jedes Detail und nehmt euch bei der Umstellung entsprechend viel Zeit zur Kontrolle der einzelnen Punkte.
Wer die Google Webmaster Tools nutzt, sollte hier übrigens eine neue Seite mit HTTPS eintragen und die alte entsprechend entfernen. Keine Angst vor Ranking-Einstürzen, das erholt sich wie erwähnt nach einigen Wochen wieder und dann ist meist alles beim Alten, im besten Fall ein wenig besser. So oder so: HTTPS ist inzwischen eigentlich Pflicht und wer noch nicht umgestiegen ist, kann es sich mittlerweile eigentlich auch nicht mehr erlauben zu warten.
Hallo Peer,
danke für diesen wichtigen Beitrag. Besonders der Hinweis „…Umstellung auf HTTPS zwar wichtig, sie wird aber wie eine Änderung der Domain angesehen“.
Aus diesem Grunde baue ich neue Sites nur noch mit HTTPS – dann habe ich später nicht die Schwierigkeiten bei der Umstellung.
Hallo, SSL ist wichtiger denn jeh. Ich stelle große Seiten für große Internetmarketer auf SSL um. Dort laufen so viele Tools, die alle besonders behandelt werden wollen und müssen. Bei solchen Seiten, über die Millionenumstätze im Jahr laufen, klappt es so leider nicht, wie Du schreibst. Aber bei „normalen“ Seiten ist es genau der Weg. Übrigens…bei allen Umstellungen, die ich gemacht habe, sie die Rankings nicht gefallen, sondern gleich geblieben. Das mit den Backlinks (Webmaster anschreiben) ist ein super wichtiger Tipp und sollte wirklich immer bei wichtigen Backlinks gemacht werden. Danke für Deinen Artikel.
Ich hatte schon oft über Https gelesen aber nachdem ich eben eine Mail bekommen habe mit ich solle mir euren Bericht mal durchlesen bin ich doch etwas Ratlos da ich von Https noch immer keine Ahnung habe. Werde mich da wohl doch endlich mal reinlesen müssen damit ich da nicht untergehe.
Auf jeden Fall mal ein Danke fürs Augen öffnen
Es ist schon seltsam das selbst Seiten jetzt https nutzen sollen welche rein gar nichts anbieten wo man etwas kaufen kann. Welchen sinn soll das denn haben? Ich kann ja verstehen wenn man SSL bei Seiten voraussetzt auf denen sensitive Benutzerdaten übertragen werden, aber wenn Willhelmina einen Nähmaschinenblog betreibt auf welchem sie erklärt wie ihre Urgroßmutter noch mit einer mechanischen Nähmaschine einen Doppelten Rollmopsstich gemacht hat, dann verstehe ich das so rein gar nicht mehr.
Vor allem wir als reine Hobbywebmaster die oftmals nur WordPress mit einem 1-Click Ding installieren können sollen plötzlich zu Profis werden die in einer htacces Datei irgendwelche Codelinien reinschreiben. Ja, passt schon. Sehr seltsame entwicklung das ganze.
Daher auf jeden Fall danke das du hier versuchst die wichtigsten Fragen zu beantworten und auch hilfestellungen gibst wie man es umsetzen kann. Jetzt muss ich nur diese htacces finden.
Die meisten Seiten übertragen Daten von Besuchern, sei es die Mail-Adresse bei Kommentaren oder die IP bei Statistik-Tools.
Allerdings muss ich unter dem Strich sagen, dass ich es auch für etwas übertrieben halte. An sich finde ich es aber gut, wenn generell alle Websites einfach verschlüsselt sind. Dann hat man wieder ein Level und alles ist sicherer.
Allerdings kann ich deine Bedenken nachvollziehen. Die technischen Anforderungen an Betreiber steigen. Das kann und will nicht jeder leisten. Dafür gibt es dann aber auch Hosting-Services wie wordpress.com oder Raidboxes, die alles technische übernehmen, inkl. Verschlüsselung.
Hallo Peer, hallo David, da ich nicht viel Ahnung von Technik habe, erstmal vielen Dank für den Beitrag, da er sehr hilfreich war!!
Ich habe mich heute durchgearbeitet und die Umstellung (beinahe) erfolgreich umgesetzt. Allerdings habe ich nun das Problem, dass die Umleitung auf HTTPS zwar für die Hauptseite funktioniert, aber nicht für die Unterseiten, wie z. B. www. domain.de/blog, wenn ich die mit HTTP in den Browser eingebe. Dann bleibt es bei http:// domain.de/blog. Weißt Du, woran das liegen könnte und wie ich das noch reparieren kann? Dankeschön!!
Das war bei mir auf manchen Websites auch der Fall. Hier gibt es anscheinend Unterschiede bei einzelnen Hostern. Bei welchem bist du denn?
Bei 1und1.
Bei 1und1 gibt es eine Seite dazu:
https://hilfe-center.1und1.de/hosting/1und1-webhosting-c10085285/skript–und-programmiersprachen-c10082634/htaccess-c10083883/besucher-automatisch-auf-mit-ssl-gesicherte-seite-umleiten-a10783564.html
Hast du es so gemacht?
Ich muss mich mal ganz herzlich bedanken! Die Anleitung ist super und auch für einen PHP-Dummie wie mich sehr verständlich geschrieben. Ich hab’s auf Anhieb kapiert, alles hat geklappt – vielen Dank!!
Vielen Dank für die Anleitung, generell würde ich keine Seite mehr ohne Zertifikat bauen! Gerade das Thema ist bei SEO sehr wichtig.