Google legt größten Wert auf Sicherheit. Sie investieren viel in hochmoderne Sicherheitsfunktionen wie etwa die standardmäßige Verwendung der starken HTTPS-Verschlüsselung. Darüber hinaus arbeiten sie auch daran, das Internet allgemein sicherer zu machen. Websites, auf die Nutzer über Google zugreifen, sollen sicher sein. Aus diesen Gründen haben sie in den letzten Monaten Tests durchgeführt, bei denen in die Rankingalgorithmen berücksichtigt wurde, ob Websites sichere, verschlüsselte Verbindungen verwenden. Da die Ergebnisse sehr positiv waren, haben sie HTTPS als Ranking-Signal hinzugefügt.

Chrome zeigt derzeit HTTP-Verbindungen mit einem neutralen Indikator an. Dies spiegelt nicht den wahren Mangel an Sicherheit für HTTP-Verbindungen. Wenn Sie eine Website über HTTP laden, kann eine andere Person im Netzwerk die Website betrachten oder ändern, bevor sie zu Ihnen gelangt.
Im Januar 2017 wird Google Chrome (Version 56) http-Webseiten mit Formularfeldern für Passwörter und Kreditkarten als Unsicher einstufen und dies dem User optisch signalisieren.

Aus diesen Gründen ist es ratsam auf HTTPS umzusteigen. Es gibt verschiedene Arten von SSL-Paketen. Hierbei ist es ratsam sich direkt bei dem Hoster beraten zu lassen, welches das richtige Zertifikat für die Webseite ist.

Ich habe mich im ersten Schritt für die kleinste und damit günstigste Variante entschieden. Bei großen Firmen mit Online-Shop empfehle ich auch das große Zertifikat, welches optisch mit der grünen Adresszeile ausgestattet ist. Hierbei wird dann nicht nur die Domain geprüft, sondern auch der Domaininhaber und der Zertifikatbesitzer. Ein weiterer Punkt ist der Versicherungsschutz, welcher je nach Anbieter zwischen $250.000 – $1.5 Mio besteht.

Der Vorgang für das Bestellen und Einrichten von HTTPS ist bei jedem Hoster etwas anders. Bei Domainfactory schaffe ich das mit wenigen Klicks, ohne große technische Kenntnisse. Bei hosteurope geht dies dann leider nicht mehr so einfach und es gibt dort ein ein paar Einschränkungen. Man kann dort z.b. nicht das günstige Host Europe SSL mehrmals unter seinem Webhosting-Account bestellen. Falls man hier mehrere Domains besitzt, welche SSL bekommen sollen, muss man auf Organization SSL zurückgreifen. Ist quasi mehr als drei mal so teuer als bei der Tochter Domainfactory, wo das günstige AlphaSSL für alle Domains ausreicht.

Sobald man das SSL-Zertifikat bestellt hat, kann man sich hier den Status anschauen: https://www.ssllabs.com/ssltest/

Wie ziehe ich mein WordPress auf HTTPS um?

Eigentlich ist dies im Standardfall nicht besonders aufregend schwierig.

1. Als Voraussetzung ist natürlich ein aufgeschaltenes SSL-Zertifikat.

2. Dann sollte man vorsichtshalber eine Datensicherung der Datenbank machen. Ich nutze dazu den WP-DBManager.

3. Ändern Sie nun bei WordPress unter Einstellungen / Allgemein und WordPress-Adresse (URL) und Seiten-Adresse (URL) jeweils das Protokoll von http auf https.

4. Bei der Änderung aller URLs muss man ein wenig nachhelfen. Dazu öffnet man die wp-config.php und fügt folgende Zeile ein. Falls sie schon existiert, dann einfach nur http auf https umstellen:
define( 'WP_CONTENT_URL', 'https://Ihre Webseite/wp-content' );
Desweiteren gibt es sicherlich festverankerte absolute Pfadangaben zu Bildern oder Videos in der Webseite. Diese müssen auch auf https umgestellt werden. Dazu nutze ich das Plugin Better Search Replace.
Nach erfolgreicher Installation und Aktivierung, findet man es unter Werkzeuge. Hier sucht man dann nach
http://www.meinedomain.de
und ersetzt dieses durch
https://www.meinedomain.de
Als Tabelle wählt man primär die wp_posts und evtl. wp_options aus. Ich habe jetzt bei mehreren Umzügen auch einfach mal alle Tabellen angeklickt und es lief auch.

5. Jetzt muss man noch alles per HTACCESS umleiten. Dazu einfach die .htaccess in der root von WordPress öffnen und folgende Zeilen einfügen:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

6. Am Schluss sollte man nochmal alle Seiten prüfen, dass in der Adresszeile des Browsers ein grünes Schloss und kein Warnhinweis mit dem Ausrufezeichen zu sehen ist. Falls das der Fall ist, kann man in der Console des Browser nachschauen, wo der Fehler liegt. Meist sind es z.B. die Scripte oder Fonts, welche von anderen Seiten eingebettet werden. Dann findet man z.B. so einen Hinweis:
Mixed Content: The page at 'https://www.meine-webseite.de/' was loaded over HTTPS, but requested an insecure image 'http://www.meine-webseite.de/bild.jpg'. This content should also be served over HTTPS.
Hier kann es dann etwas aufwändiger werden, die Seite grün zu bekommen.