WordPress: Umstellung einer Webseite auf HTTPS
In WordPress ab Version 5.7 besteht die Möglichkeit, eine Webseite, die bis dato noch mit HTTP ausgeliefert wurde, auf HTTPS umzustellen. Bisher war das immer ein Problem, das hier und da zu panischen Reaktionen im WordPress-Forum führte.
Insbesondere dann, wenn man einfach unter Einstellungen > Allgemein bei den entsprechenden Einträgen für WordPress-Adresse (URL) und Website-Adresse (URL) auf HTTPS statt HTTP geändert hat, obwohl kein SSL-Sicherheitszertifikat beim Hoster eingerichtet war. In dem Fall war die Reparatur mit etwas Aufwand für manche Nutzer verbunden. Das dürfte jetzt (hoffentlich) vorbei sein. Aber auch dann, wenn die Umstellung funktioniert hatte, gibt es immer wieder mal Webseiten mit Mixed Content. Die Veröffentlichung von WordPress 5.7 ist für den 9. März 2021 geplant.
Wir haben uns angeschaut, ob und wie die Umstellung funktioniert und haben dazu die Beta 3 von WordPress 5.7 (erschienen am 17.2.2021) verwendet. In diesem Beitrag beschreiben wir nicht nur die Vorgehensweise, sondern auch die Dinge, die man ggfs. nach der Umstellung noch erledigen müssen.
HTTPS über Website-Zustand prüfen
Über Werkzeuge > Website-Zustand und Status kann man den Zustand einer Webseite prüfen. Unter anderem wird dann auch angezeigt, ob HTTPS verwendet wird.
Wenn kein SSL-Zertifikat für die Domain eingerichtet worden ist, erscheint die folgende Meldung: „Deine Website verwendet kein HTTPS“.
SSL-Zertifikat einrichten
Beim Hoster muss das Zertifikat zunächst eingerichtet werden. Entsprechende Infos wirst du sicher auf der Webseite Ihres Hosters finden oder beim Support des Hosters in Erfahrung bringen.
Dazu meldet man sich im Kundenbereich des Hosters an und legt ein SSL-Zertifikat an. Bei unserem Hoster webgo wird ein kostenloses Let’s Encrypt SSL-Zertifikat angeboten.
Nach kurzer Zeit ist das Zertifikat eingerichtet und damit kann die Umstellung auf HTTPS beginnen.
Das Zertifikat kann übrigens über https://ssl-trust.com/SSL-Zertifikate/check geprüft werden.
WordPress 5.7: Umstellung auf HTTPS
Achtung: Du solltest prüfen, ob man unter Einstellungen > Allgemein die Einträge für WordPress-Adresse (URL) und Website-Adresse (URL) ändern kann. Sollten die genannten Felder ausgegraut sein, dann ist wahrscheinlich die WordPress-Instanz im Rahmen einer 1-Click-Installation angelegt worden. In diesem Fall kann es sein, dass die genannten Einträge per FTP in der wp-config.php oder direkt in der Datenbank geändert werden müssen. Aber bitte vorher sichern.
Es kann allerdings auch sein, dass die Einträge über die wp-config.php eingetragen sind:define( 'WP_HOME', 'https://example.com');define( 'WP_SITEURL', 'https://example.com');
In dem Fall kann man die Einträge auskommentieren (z. B. mit //). Dazu sollte aber vorher auf jeden Fall eine Sicherung der Datei erstellt werden (z. B. Kopie auf den lokalen Rechner). Verwende dazu einen geeigneten Editor, z. B. Notepad++.
Vor der Umstellung sollten evtl. vorhandene Cache-Plugins deaktiviert werden.
Nachdem das SSL-Zertifikat eingerichtet worden ist, meldet der Bericht “ Sie greifen auf diese Website über HTTPS zu, aber Ihre WordPress-Adresse und die Site-Adresse sind nicht standardmäßig für die Verwendung von HTTPS eingerichtet. HTTPS wird für Ihre Website bereits unterstützt.“.
Update 28.2.2021: Bei einem weiteren Test mit einer anderen Domain haben wir mit dem RC1 von WordPress 5.7 (RC1 steht für Release Candidate 1) vom 23.2.2021 keine Probleme gehabt. Die Webseite wurde in diesem Fall komplett umgesetzt und enthielt keinen Mixed Content. Die nachfolgenden Hinweise auf Mixed Content und deren Beseitigung könnten sich damit erledigt haben. Bei einer anderen Testseite, die wir umgestellt haben, hatten wir allerdings noch die nachfolgenden Probleme.
Wenn man auf den Button „Update your site to use HTTPS“ klickt, erfolgt nach kurzer Zeit die Meldung „Site URLs switched to HTTPS.“. Das ist im Vergleich zu den vorherigen Versionen von WordPress schon ein Riesenvorteil: Bei früheren Versionen landete man nach der Änderung der beiden Einträge unter Einstellungen > Allgemein wieder bei der Anmeldung zum Dashboard. Das hat jedes Mal doch ein wenig den Blutdruck erhöht („hoffentlich komme ich jetzt wieder in mein Dashboard“).
HTTPS überprüfen
Ein Klick auf das Schloss oben neben der URL im Browser schafft erst mal Gewissheit, dass die Webseite tatsächlich auf HTTPS umgestellt worden ist.
War das alles oder ist noch was zu tun?
Nun, über die Seite whynopadlock kann man prüfen, wo möglicherweise noch Restarbeiten notwendig sind. Außerdem findet man unter “Force HTTPs” eine notwendige Regel für die .htaccess.
Wie man erkennen kann, wird (zumindest in diesem Fall) eine Grafik über HTTP statt HTTPS ausgeliefert. Das wird als Mixed Content bezeichnet.
Im folgenden Video kann man sich den Vorgang bei der Umstellung auf HTTPS mit WordPress 5.7 ansehen:
HTTPS und Mixed Content
In einem Beitrag von WordPress Tavern vom 2.2.2021 heißt es dazu:
„It introduces new capabilities to detect if the user’s hosting environment has support for HTTPS and provides a one-click update process, handling mixed content rewrites where possible.“
https://wptavern.com/wordpress-5-7-will-make-it-easier-to-migrate-from-http-to-https
Es ist also durchaus möglich, dass man auch weiterhin nicht an einem Plugin wie z. B. Better Search and Replace vorbei kommt, um Korrekturen in der Datenbank in Bezug auf Mixed Content vorzunehmen (Stichwort serialisierte Daten). Eine Korrektur über WP CLI ist für die meisten Nutzer sicher eine noch weniger praktikable Lösung. Das ist auch den Entwicklern von WordPress klar, wie in dem folgenden Ticket zu lesen ist, in dem sich Felix Arntz entsprechend äußert. In diesem Ticket skizziert Felix Arntz auch eine mögliche Lösung für zukünftige WordPress-Versionen. Bei dieser Lösung wären keine zusätzlichen Plugins mehr nötig. Hier noch eine aktuelle Information zu diesem Thema vom 22.2.2021.
Nach der Umstellung einer Testseite haben wir mit dem Plugin „Better Search and Replace“ nach einem Testlauf folgende Meldung erhalten:
Bei Klick auf den Link erhalten man Details zu den entsprechenden Tabellen, die geändert werden sollten und wie viele Treffer jeweils gefunden wurden. Über das Plugin „Better Search and Replace“ lassen sich diese Änderungen relativ schnell erledigen. Vorher sollte man allerdings unbedingt eine Sicherung der Datenbank durchführen – darauf weist aber auch schon das Plugin hin.
Danach sollte man den Testlauf nochmals wiederholen, um sicher zu sein, dass keine Probleme mehr gefunden wurden. Sollten trotzdem noch Probleme mit Mixed Content auftauchen, kann man danach ggfs. auch noch das Plugin Velvet Blues Update URLs einsetzen, mit dem allerdings kein Testlauf möglich ist.
Deinstalliere bitte die genannten Plugins schon aus Sicherheitsgründen nach Abschluss der Arbeiten.
Was danach noch zu tun ist, wird in dem folgenden Beitrag sehr gut beschrieben: Neben den notwendigen Änderungen an der .htaccess wird hier auch kurz dargestellt, wie man mit „Better Search and Replace“ Mixed Content korrigiert.
BTW: WP CLI ist eine tolle Sache, mit der ich z. B. sämtliche Plugins und Themes in allen meinen lokalen WordPress-Instanzen per Knopfdruck aktualisieren kann. Aber das ist ein anderes Thema …
WordPress 5.7: Was kommt sonst noch
Hier eine Auflistung der geplanten wichtigsten Verbesserungen für WordPress 5.7:
- Lazy Loading von iFrames
- Weiteres Aufräumen nach dem Update auf jQuery 3.5.1
- Editor-Verbesserungen bezogen auf die folgenden Blocks: Buttons, Code, Cover, Listen, Social-Icons, Abstandhalter
Übrigens: Diese Webseite (haurand.com) haben wir am 11.3.2021 auf WordPress 5.7 aktualisiert. Keine Probleme 😊
2021 wird es noch drei weitere Major Updates geben: WordPress 5.8 soll im Juni 2021 folgen, WordPress 5.9 im September 2021 und WordPress 6.0 ist im Dezember 2021 geplant. Allerdings steht der Release Kalender z. Zt. noch nicht endgültig fest. Die Veröffentlichungsdaten werden möglicherweise angepasst, wenn noch Probleme beseitigt werden müssen oder geplante Funktionen noch nicht funktionieren. Diese Mitteilung auf make.wordpress.org hat sehr viel Zustimmung von der Community erhalten.
Fazit
Diese Option in WordPress 5.7 ist mit Sicherheit ein Highlight und längst überfällig. Ob es auf so umgesetzten Webseiten Mixed Content gibt, bleibt abzuwarten. In unserem letzten Test am 28.2.2021 wurde eine Webseite komplett und korrekt umgesetzt. Allerdings gehe ich davon aus, dass viele Webseitenbetreiber Mixed Content übersehen, den es möglicherweise nach der Umstellung bei einigen Webseiten geben könnte. Diese Restarbeiten müssen wohl in dem Fall weiterhin z. B. mit dem Plugin „Better Search and Replace“ erledigt werden.
Im September 2018 wurde der HTTPS-Anteil der Webseiten mit mehr als 80 Prozent angegeben und dürfte mittlerweile sicher noch höher liegen. Aber insbesondere für Administratoren von „kleinen“ Webseiten, die sich bis jetzt an das Thema nicht rantrauten, dürften jetzt weniger Bammel vor einem Umstieg haben.
Über einen kurzen Kommentar freuen wir uns, wenn wir mit diesem Beitrag helfen konnten.
Links, Quellen und aktuelle Infos
- WordPress 5.7 Will Make It Easier to Migrate From HTTP to HTTPS
https://wptavern.com/wordpress-5-7-will-make-it-easier-to-migrate-from-http-to-https - Improved HTTPS detection and migration in WordPress 5.7
https://make.wordpress.org/core/2021/02/22/improved-https-detection-and-migration-in-wordpress-5-7/ - HTTPS for WordPress
https://wordpress.org/documentation/article/https-for-wordpress/
Weitere Beiträge zum Thema
- WordPress-Bücher sind out?
- Verschiedene Schriftgrößen in Blöcken
- Block Patterns und die Farbpalette
- Stylebook bei Block Themes
- Probleme mit Permalinks lösen
Wir freuen uns über eine Kontaktaufnahme
Was hältst du davon?
Wir hoffen, dieser Beitrag hat dir gefallen und wir würden uns über einen Kommentar freuen. Auch über Erweiterungen, Korrekturen, Hinweise oder sonstige Anmerkungen freuen wir uns sehr.
- Auf der folgenden Seite findest du weitere interessante Beiträge sortiert nach Kategorien und Schlagwörtern.
- Wenn du über unsere neuesten Beiträge informiert werden möchtest, kannst du dich gerne bei unserem Newsletter anmelden.
Schreibe einen Kommentar