Mit WordPress SEO-konform auf SSL umsteigen

|
Hände halten Tablet mit aufwärts weisenden Liniendiagramm, daneben blaues Mittwald-Schloss

Vor Websites ohne SSL-Verschlüsselung wird dezent durch die gängigen Webbrowser gewarnt. Google bestätigte die Verschlüsselung außerdem als offizielles Ranking-Merkmal und die Websites werden dank HTTP/2 schneller. Den Wechsel auf https stelle ich euch heute deshalb anhand einer WordPress Installation exemplarisch vor.

wordpress auf ssl umstellen
Hände halten Tablet mit aufwärts weisenden Liniendiagramm, daneben blaues Mittwald-Schloss

Grundlagenwissen zu SSL aus SEO-Sicht

Niemand möchte, dass sensible Daten von Dritten abgefangen werden. Websitebesucher überlegen sich aufgrund der Warnungen in der Adresszeile oder in Checkout-Formularen durch den Browser noch genauer, ob die Datenübermittlung beim Kaufabschluss, Newsletter-Abo oder Kontaktformular tatsächlich an dieser unsicheren Stelle übermittelt werden sollten. Eine sichere Einstufung kann hingegen diese Nutzerabbrüche reduzieren und die Conversion-Rate verbessern.

Warnung unverschlüsselte Websites

Ansicht in Google Chrome: Browserwarnung vor einer unverschlüsselten Website.

Aber selbst ohne Datenübermittlung auf einer Website lohnt es sich, sich mit dem Thema SSL auseinanderzusetzen. Google hat bereits im August 2014 https als offiziellen Rankingfaktor bekannt gegeben. Eine Studie vom SEO-Tool-Anbieter Searchmetrics bestätigte bereits 2015 eine positive Verbesserung der Sichtbarkeit in der organischen Suche durch den Wechsel auf eine SSL-Verschlüsselung.

SSL-Kennzeichnung im Browser

Bereits Domain-validierte SSL-Zertifikate werden in der Adresszeile des Browsers als sicher gekennzeichnet.

Die verschiedenen SSL-Zertifikatslösungen sind aus der SEO-Sichtweise alle gleich, der Bedarf wird primär vom Inhalt der Website und der Unternehmensart abhängig. Die Suchmaschinenbetreiber machen aber keinen Unterschied zwischen einer Domain-Validierung oder einer Inhaber- bzw. Unternehmensvalidierung. Weiterhin sollte man prüfen, ob man für Subdomains auch Verschlüsselungen benötigt. In diesem Fall sollte man auf Wildcard-Zertifikate zurückgreifen.

SSL-Zertifikat mit Betreiberhinweis

SSL-Zertifikate mit Unternehmens-Authentifizierung weisen in der Adresszeile mit einem zusätzlichen Trust-Faktor auf die Übereinstimmung der Domain zur Betreibergesellschaft hin.

Der Umstieg auf SSL

Wenn das SSL-Zertifikat aktiv ist, wird in den WordPress-Einstellungen die URL von http auf https geändert.

SSL Aktivierung bei WordPress
Kennzeichnung der URLs mit http, wenn das SSL-Zertifikat noch nicht aktiv ist

Ab diesem Schritt wird das SSL-Zertifikat genutzt und die Daten verschlüsselt ausgeliefert. Das grüne Schloss wird im Browser direkt angezeigt, allerdings fehlt das bestätigende Icon bei Frontend-Seiten. Bei WordPress werden Content-Elemente (z. B. Bilder) mit der kompletten URL eingebunden – zu erkennen an der vollständigen URL im Quellcode. Die Quellcode-Inhalte aus dem Editor werden durch die vorgenommene Umstellung der WordPress-Adresse (URL) nicht überschrieben. Abhilfe schafft das Plugin „Search & Replace“ von Inpsyde, mit dem alle Datenbankeinträge eurer URL gesucht und aktualisiert werden können.

url in wordpress ersetzen search and replace plugin
Suchen und Ersetzen von http- durch https-URLs in WordPress

Auch externe Ressourcen, die auf der Webseite eingebunden sind (z. B. Werbebanner, Bilder, externe CSS-Styles und Javascript Dateien oder iFrames) können ein Mixed Content Problem verursachen, daher sollte man nach unverschlüsselten Elementen bei der Datenquelle suchen.

Warnung: Unverschlüsselte Elemente bei SSL

Unverschlüsselte Elemente führen zu einer Warnung in Browser.

.htaccess-Eintrag verhindert Duplicate Content

Sobald für eine Website ein SSL-Zertifikat erstellt wurde, so ist diese mit einem Aufruf über http und https erreichbar. Google erkennt die verschlüsselte Adresse aber als komplett neue Website. Aus der Sichtweise der Suchmaschine hat man also durch die Verschlüsselung soeben eine zweite Seite erzeugt und damit ein riesiges Duplicate-Content-Problem geschaffen!

Durch einen Eintrag in der .htaccess-Datei, welche im Root-Verzeichnis der Website liegt, werden alle unverschlüsselten Website-Aufrufe auf die verschlüsselte Version umgeleitet.

RewriteEngine On
#Optional: RewriteCond %{HTTP_HOST} www.domain.tld$ [NC,OR]
#Optional: RewriteCond %{HTTP_HOST} domain.tld$ [NC]
RewriteCond %{SERVER_PORT}     !^443$
RewriteRule (.*)  https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L] 

Für den Website-Betreiber bleibt dieser Prozess völlig unbemerkt, bis auf das zusätzliche s und die Browser-Kennzeichnung „Sicher“ in der URL.

Der html-Statuscode 301 (permanent redirect) sorgt für eine permanente Weiterleitung, was für die Suchmaschinenoptimierung sehr wichtig ist. Existieren bereits Backlinks auf die http-Version, so wird die Linkkraft durch die 301-Weiterleitung ohne Verlust auf die verschlüsselte URL übertragen.

Wie bereits erwähnt, hält Google eine https-Website für eine andere/neue Website, also die gleiche Version in der http-Variante. Auch für die Anmeldung in der Google Search Console ist daher ein neuer Eintrag für die neue verschlüsselte Version eurer Website notwendig. Der alte Eintrag muss allerdings nicht gelöscht werden, denn sonst wären auch alle alten Daten verloren.

Sollte eine Disavow-Datei hochgeladen sein, so muss diese für den neuen Eintrag auch eingereicht werden. Falls es möglich ist, sollten die vorhandenen Backlinks nach Möglichkeit auf die neue https-URL umgestellt werden. Einträge in Portalen, Telefonverzeichnissen, Google und Facebook können in der Regel einfach und problemlos verändert werden.

HTTP vs. HTTP/2

Wenn ihr schon dabei seid, eure Website auf HTTPS umzustellen, macht es auch Sinn direkt darüber nachzudenken auf HTTP/2 umzusteigen. HTTP/2 ist ein anderes Übertragungsprotokoll für Websites. Während bei http für jede Datei einer Webseite nacheinander Anfragen an den Server (Server Requests) geschickt werden und für jede einzelne Anfrage die Verbindung erneut aufgebaut werden muss, geschieht dies bei HTTP/2 alles parallel und die Verbindung zum Server wird dabei die ganze Zeit aufrechterhalten. Zudem können Ressourcen nun auch per „push“-Befehl selbst verschickt werden, was vorher nicht möglich war. Das macht die Website sehr viel schneller. Voraussetzung für HTTP/2 ist die Nutzung von HTTPS, da die meisten Browser-Hersteller sonst auf das ältere HTTP Netzwerkprotokoll umstellen und alle Vorteile dahin sind. Bei Mittwald gibt es das HTTP/2-Übertragungsprotokoll automatisch, sobald ein SSL-Zertifikat aktiviert und genutzt wird.

ssl-zertifikat
Schritte, um in WordPress SEO-konform auf SSL umzusteigen

Fazit

HTTPS ist nicht nur ein Google Rankingfaktor, es schafft auch größeres Vertrauen beim Nutzer eurer Webseite. Selbst der Webbrowser zeigt inzwischen an, ob eine Seite sicher, also per SSL verschlüsselt ist. Die Umstellung auf SSL ist relativ einfach umzusetzen und wenn man die oben genannten Punkte beachtet, sollte es zu keinen Einbußen in den SEO-Rankings kommen.

Kommentare

Axel Hempelt am

Aus heutiger Sicht würde ich sogar noch einen Schritt weiter gehen. SSL ist nicht nur als ein wichtiger Rankingfaktor zu sehen, sondern mittlerweile per "Gesetz" eine für Webmaster verpflichtende Pflichtkür. Bin nur mal gespannt, wie sich das mit dem derzeit (noch) kostenfreien Zertifikat entwickeln wird, Google soll da ja nicht wirklich gut drauf zu sprechen sein.

Antworten
Alexander Funk am

Die Anleitung ist super! Klasse Zusammenfassung der notwendigen Schritte. Wir stellen jedoch fest, dass selbst nach dem Umschreiben des Protokolls über "Search & Replace" teilweise immer noch Mixed Content besteht. Das Browser zeigt das ja dann über ein durchgestichenes Schloss (von Browser zu Browser unterschiedlich) an. In dem Fall einfach mal den Quelltext der Seite nach "http" durchsuchen. Oft sind es Dateiein wie Bilder, die in einem Slider verwendet werden oder das Favicon, was Probleme machen. Wenn man weiß, welche Dateien das sind, diese einfach in Wordpress löschen, nochmal neu hochladen und einbinden. Dann sollte es keine Probleme mehr mit Mixed Content geben.

Antworten
Mr.K am
Hallo,

sehr gute Anleitung, das Plugin Search & Replace und die Mod_Rewrite Syntax machen das Leben noch gleich viel Einfacher!

Danke dafür
Antworten
Andreas am

Funktioniert nach dieser Anleitung super.

Antworten
Kristina Kiebe am
Hallo Andreas, das freut uns!
Einen guten Start in die Woche dir.

Viele Grüße
Kristina
Antworten
AndyS am

Hallo, ich habe auch noch einige Webseiten welche ich umstellen "sollte". In verschiedenen Anleitungen liest man immer unterschiedliche Dinge. Zum Beispiel habe ich schon gelesen, dass man nur die htcaccess anpassen muss und nicht auch noch die einzelnen urls via search and replace. Benötige ich dieses Plugin wirklich?

Antworten
Jan Meyer am
Hallo Andy,

die Änderung in der .htaccess ist unbedingt notwendig. Search & Replace ist als Plugin nur nötig, wenn du die Überschreibungen der internen Links, Bild-URLs und Co. nicht händisch oder direkt über phpmyadmin ändern willst.

Viele Grüße,
Jan von Mittwald
Antworten
Andreas am

Sehr gutes Turorial. Ich finde auch das SSL immer wichtiger wird, gerade für die SEO ein wichtiges Ranking-Signal. Danke für den Artikel.

Antworten
Kristina Dahl am
Hallo Peter!

Die Umsetzung ist gerade in den letzten Zügen, der Rollout wird dann in den nächsten Wochen vorgenommen. :)

Viele Grüße

Kristina
Antworten
Peter am

Wann kommen bei euch die kostenfreien Let's Encrypt Zertifikate? Gruß, Peter

Antworten
Max A. am
Ja kann da nur zustimmen - ein SSL Zertifikat gibt dem Nutzer mehr Vertrauen & Sicherheit, vorallem wenn er persönliche Daten eingeben muss.
Es gibt da auch ein paar Plugins die den Umstieg einfacher machen:
Really Simple SSL + SSL Insecure Content Fixer
Antworten
Richard Klaussner am

Sehr lesenswerter Text über SSL-Verschlüsselung. Scheint so als sollte man sich mal etwas intensiver damit auseinandersetzen, jetzt wo es so auf dem Vormarsch ist. Der Artikel gibt einem schonmal einen guten Einstieg, wenn man so ganz ohne Vorwissen daherkommt, super!

Antworten
Felix am

Sehr gute Anleitung und ziemlich einfach geschrieben. Es ist sehr wichtig, dass man jetzt langsam auf SSL umstellt. Gerade für Google ein weiterer positiver Faktor. Kann ich jedem empfehlen :-)

Antworten

Kommentar hinzufügen