Umstellung auf https

Ich möchte für meine Website gerne eine verschlüsselte Übertragung per https nutzen. Scheinbar werden dann aber die Bilder auf meinen Webseiten nicht angezeigt. Der Support meines Webhosters empfiehlt, ein Plugin zu nutzen. Was meinst du?

Einen Webhoster nach Einstellungen einer Webanwendung zu Fragen ist in etwa so, wie wenn du einen Vermieter nach Bauplänen fürs Billy-Regal fragst. Das kann gut gehen, muss aber nicht. Schließlich hat der Webhoster andere, wichtige Aufgaben.

Wenn du deine WordPress-Website auf SSL umstellen möchtest, gibt es im Prinzip nur ein paar Schritte, die du beachten und umsetzen musst:

  1. SSL-Zertifikat erstellen. Achte darauf, ob bzw. welche Subdomains das Zertifikat abdeckt. Nehmen wir an, deine Domain heißt example.com, dann möchtest du, dass sie unter https://example.com erreichbar ist und die Adressen http://example.com, https://www.example.com und http://www.example.com entsprechend auf die erste URL weitergeleitet werden. Manche Webhoster haben dafür eine Einstellung im Kundenmenü („automatisch auf https umleiten“), bei anderen musst du eine Weiterleitungsregel in der Server-Konfigurationsdatei .htaccess einrichten.
    Viele Webhoster bieten inzwischen die Möglichkeit, von Let’s Encrypt kostenlos zur Verfügung gestellte SSL-Zertifikate zu nutzen. Das spart Geld und reicht völlig aus, wenn das SSL-Zertifikat nur für eine verschlüsselte Übertragung benötigt wird und nicht zusätzlich den Website-Inhaber verifizieren soll, wie etwa bei Banken oder Versicherungen.
  2. Melde dich im Backend deiner WordPress-Installation wie bisher an und gehe in Einstellungen > Allgemein. Dort änderst du sowohl für die WordPress-URL als auch für die Website-URL das Schema (also https:// statt http://). Die Einträge werden über den Button „Aktualisieren“ übernommen.
    (Falls du bei der Eingabe einen Fehler machst [sowas kommt vor] und dich dadurch versehentlich aussperrst, kannst du dir wieder Zugang verschaffen, in dem du in der wp-config.php mit einem Programmier-Editor – nicht Notepad oder Textedit – folgendes einträgst: define( 'RELOCATE', true );. Sobald du dann den Eintrag wieder korrigiert hast, solltest du diese Zeile wieder löschen.)
  3. Danach musst du dich erneut im Backend anmelden, weil der Anmelde-Cookie für die URL mit http gilt. Bitte verwende jetzt für die Anmeldung https://example.com/wp-login.php (natürlich mit deiner Domain).
  4. Nun installierst du das Plugin Better Search Replace. Nach Aktivierung des Plugins findest du das Menü in Werkzeuge. Nun ersetzt du in allen Tabellen (alle auswählen!) http://example mit https://example. Achte darauf, das Häkchen bei „Testlauf“ zu deaktivieren, weil sonst keine Änderungen vorgenommen werden.
  5. In der wp-config.php trägst du oberhalb von /* That's all, stop editing! Happy blogging. */ noch folgendes ein:

    Damit wird gewährleistet, dass Anwendung und Nutzung des Backend nur per https erfolgt, damit deine Zugangsdaten und vertrauliche Informationen nicht im Klartext übertragen werden.

Nach der Umstellung solltest du deine Website ausgiebig testen, idealerweise im privaten Modus des Browsers (in Firefox: Datei > Neues privates Fenster), damit dir dein Browser-Cache nicht ein falsches Ergebnis vorgaukelt. Mit Rechtsklick auf die Webseite > (Element) Untersuchen kannst du auch die Entwickler-Tools deines Browsers öffnen und im Tab „Konsole“ nach möglichen Fehlermeldungen suchen.

Aus Sicherheitsgründen werden von Webseiten keine gemischten Inhalte (ein Teil der Dateien verschlüsselt, ein Teil unverschlüsselt) übertragen – die Vertraulichkeit der übertragenen Informationen wäre sonst nicht gewährleistet. Es kann aber vorkommen, dass durch einen Programmierfehler z.B. ein Font nicht per https geladen werden soll, was dann zu einem Fehler führt. Hier musst du sorgfältig prüfen, ob alles klappt und dich sonst ggf. mit dem Theme-/Plugin-Entwickler in Verbindung setzen.

Wenn alles korrekt läuft: herzlichen Glückwunsch. Du brauchst jetzt auch kein zusätzliches Plugin mehr.