WordPress betreibt 43% des Webs. SSL/HTTPS hinzuzufügen umfasst drei Schritte: ein Zertifikat erhalten, es auf dem Server installieren und WordPress auf HTTPS-URLs umstellen. Diese Anleitung behandelt alle drei Schritte.
Schritt 1: Zertifikat erhalten
Die meisten WordPress-Hoster bieten kostenloses SSL — prüfen Sie zuerst:
| Hosting-Typ | Wo prüfen |
|---|---|
| Managed WordPress (SiteGround, Bluehost, WP Engine) | Control Panel → Sicherheit/SSL-Bereich — oft automatisch aktiviert |
| cPanel Shared Hosting | cPanel → SSL/TLS-Status — nach AutoSSL suchen |
| VPS/Dedicated | Kein integriertes SSL — Sie müssen es selbst installieren |
Wenn Ihr Hoster kein SSL bereitstellt, erhalten Sie ein kostenloses Zertifikat von GetHTTPS und installieren es über cPanel, Nginx oder Apache.
Schritt 2: WordPress-URLs aktualisieren
Nachdem das Zertifikat auf dem Server installiert ist, stellen Sie WordPress auf HTTPS um:
Methode A: WordPress-Einstellungen (am einfachsten)
- Gehen Sie zu Einstellungen → Allgemein
- Ändern Sie beide URLs von
http://aufhttps://:- WordPress-Adresse (URL):
https://ihredomain.com - Website-Adresse (URL):
https://ihredomain.com
- WordPress-Adresse (URL):
- Klicken Sie auf Änderungen speichern
Sie werden abgemeldet — melden Sie sich unter der neuen https://-URL wieder an.
Methode B: wp-config.php (wenn Sie nicht auf das Dashboard zugreifen können)
Fügen Sie vor /* That's all, stop editing! */ hinzu:
define('WP_HOME', 'https://ihredomain.com');
define('WP_SITEURL', 'https://ihredomain.com');
define('FORCE_SSL_ADMIN', true);
Schritt 3: Gemischte Inhalte beheben
WordPress speichert absolute URLs in der Datenbank (Beitragsinhalte, Bilder, Widget-Texte). Nach der Umstellung auf HTTPS verursachen alte http://-Referenzen Warnungen wegen gemischter Inhalte.
Schnelle Lösung: Really Simple SSL Plugin
- Installieren Sie das Really Simple SSL-Plugin
- Aktivieren Sie es — es erkennt Ihr Zertifikat und behebt die meisten gemischten Inhalte automatisch
- Es fügt den
upgrade-insecure-requests-Header hinzu und schreibt URLs dynamisch um
Dauerhafte Lösung: Suchen-Ersetzen in der Datenbank
Für eine saubere Lösung ohne Plugin-Abhängigkeit:
# Mit WP-CLI (empfohlen)
wp search-replace 'http://ihredomain.com' 'https://ihredomain.com' --all-tables
Oder verwenden Sie das Better Search Replace-Plugin:
- Suchen nach:
http://ihredomain.com - Ersetzen mit:
https://ihredomain.com - Alle Tabellen auswählen
- Ausführen (zuerst einen Trockenlauf machen)
Manuelles SQL (fortgeschritten)
UPDATE wp_options SET option_value = REPLACE(option_value, 'http://ihredomain.com', 'https://ihredomain.com') WHERE option_name IN ('home', 'siteurl');
UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://ihredomain.com', 'https://ihredomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://ihredomain.com', 'https://ihredomain.com');
Schritt 4: HTTP → HTTPS-Weiterleitung einrichten
Stellen Sie sicher, dass alle Besucher HTTPS erhalten, auch wenn sie http:// eingeben:
.htaccess (Apache — am häufigsten bei WordPress)
Fügen Sie am Anfang Ihrer .htaccess-Datei hinzu (vor den WordPress-Regeln):
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Nginx
server {
listen 80;
server_name ihredomain.com www.ihredomain.com;
return 301 https://$host$request_uri;
}
Siehe unsere vollständige Weiterleitungsanleitung.
Schritt 5: Externe Dienste aktualisieren
Nach der Migration zu HTTPS aktualisieren Sie Ihre URLs in:
- Google Search Console — die
https://-Property hinzufügen - Google Analytics — Einstellungen → Standard-URL → auf
https://ändern - Sitemap — mit
https://-URLs neu generieren (Yoast/Rank Math macht dies automatisch) - Soziale Profile — Facebook-, Twitter-Links zu Ihrer Website
- CDN — wenn Sie ein CDN verwenden, sicherstellen, dass es über HTTPS ausliefert
Überprüfung
- Besuchen Sie
https://ihredomain.com— das Schloss-Symbol sollte erscheinen - Öffnen Sie die Entwicklertools (F12) → Konsole — auf Warnungen wegen gemischter Inhalte prüfen
- Testen Sie einige interne Seiten und Blogbeiträge
- Prüfen Sie die Google Search Console auf Crawling-Fehler
Fehlerbehebung
Weiterleitungsschleife nach Aktivierung von HTTPS
Häufig bei Verwendung hinter einem Proxy (Cloudflare, Load Balancer). Der Proxy sendet HTTP an WordPress, das auf HTTPS umleitet, was der Proxy wieder als HTTP sendet. Lösung:
// In wp-config.php hinzufügen, wenn hinter einem Proxy
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
$_SERVER['HTTPS'] = 'on';
}
“Ihre Verbindung ist nicht privat” nach SSL-Installation
Das Zertifikat ist möglicherweise nicht korrekt auf Server-Ebene installiert. Prüfen Sie die Serverkonfiguration (Nginx oder Apache), bevor Sie WordPress-seitig Fehler suchen.
Einige Bilder/Ressourcen laden immer noch über HTTP
Führen Sie das Suchen-Ersetzen in der Datenbank durch (Schritt 3). Prüfen Sie Theme-Dateien und benutzerdefiniertes CSS auf fest eingebaute http://-URLs. Verwenden Sie den upgrade-insecure-requests CSP-Header als Sicherheitsnetz.
Häufig gestellte Fragen
Brauche ich ein Plugin für SSL auf WordPress?
Nein. Ein Plugin wie Really Simple SSL erleichtert den Übergang (besonders bei gemischten Inhalten), ist aber nicht erforderlich. Sie können URLs manuell aktualisieren und Weiterleitungen in .htaccess hinzufügen. Das Plugin fügt bei jedem Seitenaufruf einen kleinen Overhead hinzu.
Wird die Umstellung auf HTTPS meine SEO beeinflussen?
Vorübergehend kann es zu kleinen Ranking-Schwankungen kommen, während Google Ihre Website neu crawlt. Langfristig verbessert HTTPS die SEO — es ist ein Google-Ranking-Signal. Verwenden Sie 301-Weiterleitungen von HTTP auf HTTPS, damit die Link-Equity übertragen wird.
Kann ich ein kostenloses Let’s Encrypt-Zertifikat mit WordPress verwenden?
Ja. Let’s Encrypt-Zertifikate funktionieren mit jeder Website, einschließlich WordPress. Holen Sie sich eines von GetHTTPS und installieren Sie es auf Ihrem Server oder über cPanel. Das Zertifikat weiß nicht und kümmert sich nicht darum, dass WordPress dahinter läuft.
Wie erneuere ich das Zertifikat für WordPress?
Das Zertifikat ist auf Server-Ebene installiert, nicht in WordPress. Erneuern Sie es, indem Sie ein neues Zertifikat erhalten und die Dateien auf Ihrem Server ersetzen. WordPress selbst verwaltet keine Zertifikate.
Was ist mit WooCommerce / E-Commerce auf WordPress?
Ein kostenloses Let’s Encrypt DV-Zertifikat ist für WooCommerce ausreichend. PCI DSS erfordert keine OV- oder EV-Zertifikate — es erfordert Verschlüsselung, die DV bietet. Ihr Zahlungsanbieter (Stripe, PayPal, Square) verarbeitet die sensibelsten Zahlungskartendaten ohnehin selbst.
Kann ich WordPress Multisite mit SSL verwenden?
Ja. Für WordPress Multisite mit Subdomains (z.B. site1.example.com, site2.example.com) verwenden Sie ein Wildcard-Zertifikat (*.example.com). Für Multisite mit Unterverzeichnissen (z.B. example.com/site1/) funktioniert ein einfaches Domain-Zertifikat.
Mein Hoster sagt, er bietet kostenloses SSL — brauche ich trotzdem GetHTTPS?
Wenn Ihr Hoster kostenloses SSL bereitstellt (über AutoSSL oder ein ähnliches System), nutzen Sie es — es ist der einfachste Weg. GetHTTPS ist für Fälle gedacht, in denen Ihr Hoster kein kostenloses SSL anbietet, Sie einen bestimmten Zertifikatstyp benötigen (Wildcard, Multi-Domain) oder Sie den privaten Schlüssel selbst kontrollieren möchten.