Werbung

Zusammen mit meinem Mann habe ich den Blog auf SSL umgestellt. Ohne Hilfe hätte ich das nicht so schnell geschafft, daher möchte ich berichten, welche Schritte wir unternommen haben, um alle URLs auf https umzustellen. Da jeder andere Voraussetzungen (Blog-Software, Plugins, Hoster, Budget etc.) hat, sind überall andere Probleme zu beheben. Eine SSL-Umstellung ist nicht unbedingt einfach. Für Einsteiger auf jeden Fall.

mama-blog-https-mamaskind

Mamaskind + https

 

Wozu ist https gut?

Via SSL wird die gesamte Verbindung zwischen Browser und Server verschlüsselt. D.h. falls sich beispielsweise jemand Zugriff zu eurem Netzwerk verschafft und die Daten zwischen eurem Computer dem Blog-Server mitlesen kann, sind diese für ihn zwar sichtbar aber nicht interpretierbar (da sie kodiert sind). Bei mir sind somit sensible Daten, wie mein Login, geschützt. Bei anderen könnten das private oder auch passwortgeschützte Blogbeiträge sowie nicht veröffentlichte (aber hochgeladene) Bilder oder Dateien sein.

Auch Google mag https sehr und bevorzugt https vor http-Seiten. Ranking-Vorteile sind zudem auch durch Google abgesichert. Wer nicht an SEO glaubt, sollte es zumindest allein der Sicherheit wegen machen.

1. SSL-Zertifikat besorgen

Vor der Umstellung auf HTTPS ist es notwendig ein sogenannten SSL-Zertifikat zu beziehen. Dieses wird benutzt, um die Kommunikation zwischen Browser und Server zu ver- bzw. entschlüsseln. Erhältlich ist ein solches Zertifikat entweder gegen eine Gebühr (je nach Dienstleiser und Features kommen hier zwischen 30 und 500€ im Jahr zusammen) oder gegen ein wenig Eigenleistung auch kostenlos.

Wir haben uns ein kostenloses SSL-Zertifikat bei gethttpsforfree.com besorgt, welches im Grunde ein Hilfsprogramm für letsencrypt.org ist und einen durch alle notwendigen Schritte führt. Die resultierenden Zertifikate sind drei Monate gültig und müssen anschließend erneuert werden.

Werbung

Man spart entweder Zeit oder Geld, beides geht derzeit noch nicht.

2. SSL-Zertifikat importieren

Je nach Anbieter, muss hier unterschiedlich vorgegangen werden. In unserem Fall eines gemanagtem WordPress-Hostings konnten wir die Zertifikate im cPanel genannten Administrationsbereich hochladen und konnten mamaskind.de anschließend bereits mit https aufrufen.

ssl-zertifikat-importieren

SSL-Zertifikat importieren

3. Plugin installieren: Really Simple SSL

verbindung-ssl-nicht-vertraut

Dieser Verbindung wird nicht vertraut (Firefox)

Um alle http-URLs in https umzuwandeln, installierten wir das WordPress-Plugin Really Simple SSL. Dieses ändert theoretisch alle Links von http in https. Praktisch hat das leider nur bei 90 % aller URLs funktioniert. Das ist schlimm, da eine Seite als unsicher eingestuft wird, sobald auch nur ein unsicheres Medium (Bilder, Videos, Stylings, JavaScripts, etc.) auf der Seite eingebettet wird. Ein Firefox-User bekommt dann beim Besuch der Webseite eine Fehlermeldung: “Dieser Verbindung wird nicht vertraut.” (siehe Screenshot links). Er gelangt dann nur zur gewünschten Seite, wenn er “Ich kenne das Risiko” klickt. Nur die wenigsten User werden das machen, der Großteil wird eher abspringen und zur vorherigen Seite zurückkehren. Chrome blockiert hingegen alle unsicheren Medien, was dazu führen kann, dass Bilder fehlen oder sämtliche Stylings der Webseite fehlen. Dies wird nur dann umgangen, wenn tatsächlich alle URLs  auf https verweisen.

4. Wie sehe ich, dass ich SSL-Fehler habe?

url-https-mamaskind

So ist’s fein

Am einfachsten fällt das in Chrome auf. Neben der Adresseingabe ist kein Schloss zu sehen. Ist alles perfekt eingebunden (auch auf den Unterseiten, Archiv, Beitrag, Kategorie etc.), erkennt man ein hübsches Schloss neben der URL-Leiste. Alternativ kann man mit Chrome einen Rechtsklick auf die Seite machen und “prüfen” drücken.

ssl-unsicher-mamaskind

Kaputt: SSL-Fehler vorhanden

Im Tab “Console” findet man dann Warnungen zum Thema “Mixed Content”. In etwa ist der Wortlaut: “Die Seite wurde über HTTPS geladen, fragt jedoch ein unsicheres Bild an. Dieser Inhalt sollte ebenfalls über HTTPS ausgeliefert werden.” Bei mir ist die Console mittlerweile leer. :)

Werbung

mixed-content-warnung-mamaskind

Mixed-Content Warnung – so erkennt man https-Fehler

5. Behebung der übrigen http-Fehler

Ich schreibe hier auf, welche Schritte wir unternommen haben, um alle http-Fehler zu beheben. Bei anderen sieht das möglicherweise – je nach verwendetem System und Plugins – vollkommen verschieden aus. Fundamentales Problem ist jedoch in der Regel das Laden unsicherer Dateien. Probleme machten bei mir Yoast, VG Wort und Brigitte MOM, von der ich ich ein Widget in der Sidebar hatte. Wir brauchten zur effektiven Behebung der http-Fehler Datenbank-Zugriff. Der schnellste Weg: Die Datenbank-Tabelle mit allen WordPress-Posts (wp_posts) herunterladen, Links ersetzen und anschließend erneut einspielen. Dazu verwendeten wir ein MySQL-Programm (z.B. phpmyadmin (welches üblicherweise bei Managed-Hosting-Lösungen verfügbar ist), Sequel Pro (OS X) oder die mySQL workbench (gibt es für alle Betriebssystem)). Mittels diesem kann man die Tabelle exportieren und erhält anschließend eine Text-Datei. In dieser ersetzten wir alle http-Links durch https-Links. Anschließend importierten wir alles wieder in die Datenbank (wieder mit dem MySQL-Programm der Wahl).

Brigitte MOM Widget

Das Widget von Brigitte MOM habe ich gelöscht, da ich keinen Mehrwert für mich sehe. Der Anbieter stellte aber auch keine https-Variante zur Verfügung, was man jedoch beheben kann: Mann lädt das Bild von der Website herunter und lädt es im eigenen Blog wieder hoch. Dann hätte ich nur noch das existierende Bild mit dem auf dem eigenen Server ersetzen müssen. Löschen ging einfacher. ;)

VG Wort Plugin

Standardmäßig läuft die Zählung der Views über den http-Server von VG Wort. Das hilft mir natürlich nicht weiter, da ich eine SSL-Verbindung brauche. In den Einstellungen des WordPress-Plugins muss man zwei Sachen ändern: “Verschlüsselte Verbindungen verwenden” auswählen und den Standard-Server ändern. Dieser heißt für https “https://ssl-vg03.met.vgwort.de/”. Ich habe danach von meinen besten Beiträgen die Zählmarke gelöscht und wollte neue hochladen. Das ist aber nicht nötig, wie ich danach zähneknirschend feststellte. Die Zähldaten sind für 2015 jedenfalls hinüber. Oops.

ssl-vg-wort

6. Seite in Google Search Console anlegen

Wer ein Auge auf seine Zugriffsdaten haben möchte, sollte die Google Search Console, ehemals Google Webmaster Tools, verwenden. Durch die https-Umstellung musste ich dort ein neues Profil anlegen, da nun komplett neue URLs gecrawlt werden. Google muss sich nun also merken, dass ich nicht mehr die http-URLs in den Suchergebnissen anzeigen lassen will, sondern die sicheren https-Seiten. Schrittweise werden immer mehr https-Seiten in den Index aufgenommen, also für Google-Suchende auffindbar gemacht. Die http-Varianten werden nach und nach verschwinden. Das dauert erfahrungsgemäß einige Wochen.

Wer das noch nicht getan hat, legt sich einen Account für die Search Console ein oder loggt sich mit seinem Google-Account ein. Der Einrichtungsassistent führt dann durch den einfachen Prozess. Man fügt die Website hinzu, muss sie ggf. noch bestätigen und hat folgend Kontrolle über die Zugriffsdaten, Keywords, die Leute bei Google eingeben, Indexierungsdaten etc. Ein sehr hilfreiches Tool!

search-console-profil-mamaskind

Einfacher Klick-Prozess in der Google Search Console

Wenn alles geklappt hat, erscheint das Profil dann in der Übersicht:

search-console-https-anlegen

https-Profil in der Google Search Console anlegen

Das alte http-Profil behalte ich noch eine Weile, um den Stand der Deindexierung zu prüfen. Theoretisch sollten die indexierten Seiten Tag für Tag im http-Profil abnehmen und im https-Profil zunehmen. An Tag 2 sieht das bei mir schon ganz nett aus – es tut sich etwas! Unten sieht man sehr schön, dass ich viele URLs eingereicht habe (indem ich die Sitemap-URL angab) und bisher nur wenige im Google-Index, also auffindbar, sind.

sitemap-console-einreichen-mamaskind

Stand der indexierten und eingereichten Seiten

7. 301 redirect anlegen

Das habe ich an den Entwickler übergeben, der über die htaccess eine permanente Weiterleitung aller http auf https-Seiten anlegte. Das zeigt Google, welche Seiten den aktuell Content haben. Eine Anleitung dazu findet man bei Sistrix.

Fazit

Der Umstieg auf https lohnt sich! Ich bin gespannt, ob sich meine Rankings verändern werden (positiv oder negativ) und ob die https-Seiten auch alle wieder in den Index aufgenommen werden. Bitte versteht, dass wir keine Fernhilfe und technische Unterstützung bei der Umstellung bieten können, dafür sind die Systeme alle zu verschieden.

Bewerte den Beitrag