Eben hast du WordPress auf SSL umgestellt.
Jetzt ist deine Seite Schrott. Komplett zerschossen. Nur noch ein Haufen aus Pixeln und Textfetzen.
Die Umstellung an sich ist recht schnell und einfach erledigt. Einige Punkte werden jedoch häufig übersehen, führen zu Fehlern und stürzen deine WordPress-Site ins Chaos. Damit dir das nicht passiert, habe ich diese Schritt-für-Schritt-Anleitung für dich geschrieben.
Los gehts! 🙂
Häufige Fragen
Was bedeuten HTTPS und SSL?
HTTPS ist ein Protokoll für den Datentransfer im Internet. Während bei HTTP alle Daten unverschlüsselt übertragen werden, überträgt HTTPS sie mittels SSL verschlüsselt und damit sozusagen abhörsicher. Eine Manipulation der übertragenen Daten oder ein Diebstahl von Daten zwischen Browser zum Server wird damit unmöglich gemacht und deine Seite wird im jeweiligen Browser als vertrauenswürdig gekennzeichnet.
Warum WordPress auf SSL umstellen?
Es gibt sehr viele gute Gründe, warum du WordPress auf SSL umstellen solltest. Hier sind die wichtigsten:
- Wenn deine Website personenbezogenen Daten über Kontaktformulare etc. sammelt, bist du mit einer SSL-Verschlüsselung im Hinblick auf die DSGVO rechtlich auf der sicheren Seite.
- Die Verbindung zu deiner Website ist sicher. Das bedeutet nicht nur, dass die Formular-Daten deiner Besucher geschützt sind, sondern zum Beispiel auch deine Zugangsdaten zu WordPress.
- Sofern dein Hosting-Anbieter den neuen Webstandard HTTP/2 unterstützt, wird deine Website durch die Umstellung auf HTTPS schneller.
- Das grüne Schloss in der Adressleiste signalisiert Sicherheit und schafft Vertrauen bei deinen Besuchern. Außerdem kennzeichnen große Browser wie Google Chrome und Firefox Websites ohne Verschlüsselung als nicht sicher.
- Google selbst spricht seit August 2014 lediglich von einem Ranking Signal durch HTTPS. Dennoch sollte sich die Umstellung im Hinblick auf deine Rankings bemerkbar machen.
Natürlich hat die Umstellung auch einige Nachteile. Da die Vorteile deutlich überwiegen, diese nur kurz am Rande:
- Einmaliger Aufwand der Umstellung
- Anfallende Kosten, je nach benötigtem Zertifikatstyp und Anbieter
- Social Shares werden bei manchen Plugins möglicherweise nicht mehr angezeigt
Wie erkennst du eine SSL-verschlüsselte Verbindung im Browser?
Ob eine Webseite HTTPS verschlüsselt ist, erkennst du an folgenden Merkmalen:
- Ein Schlosssymbol am Beginn der Adresszeile
- Die Adresse der Seite beginnt mit HTTPS
Was kostet ein SSL-Zertifikat?
Bevor du WordPress auf SSL umstellen kannst, benötigst du natürlich ein SSL Zertifikat. Im besten Fall kannst du dieses direkt über deinen Hoster beziehen. Die meisten Webhoster bieten neben kostenpflichtigen Zertifikaten auch die Unterstützung für das kostenlose LetsEncrypt SSL an. Wenn dein Hoster keine kostenlosen SSL-Zertifikate anbietet, solltest du einen Hoster-Wechsel in Betracht ziehen.
WordPress auf SSL umstellen
Schritt 1: SSL-Zertifikat auf dem Server installieren
Damit deine Website durch SSL verschlüsselt werden kann, muss zunächst ein SSL-Zertifikat für deine Domain auf deinem Server installiert sein. Bei Hosting-Anbietern, die das kostenlose Let’s Encrypt unterstützen, kannst du das in der Regel selbst im Adminbereich deines Hosting-Pakets oder Servers einstellen:
Da sich das Vorgehen zum Kauf und zur Einrichtung eines SSL-Zertifikats von Hoster zu Hoster unterscheidet findest du in der folgenden Box eine Liste mit Anleitungen für große deutsche Webhoster:
SSL-Zertifikate einrichten bei deutschen Webhostern
- SSL-Zertifikate einrichten bei 1&1 IONOS
- SSL-Zertifikate einrichten bei Netcup
- SSL-Zertifikate einrichten bei Alfahosting
- SSL-Zertifikate einrichten bei ALL-INKL
- SSL-Zertifikate einrichten bei Contabo
- SSL-Zertifikate einrichten bei Dogado
- SSL-Zertifikate einrichten bei DomainFactory
- SSL-Zertifikate einrichten bei Hetzner
- SSL-Zertifikate einrichten bei Mittwald
- SSL-Zertifikate einrichten bei netcup
- SSL-Zertifikate einrichten bei STRATO
- SSL-Zertifikate einrichten bei webgo
- SSL-Zertifikate einrichten bei WebhostOne
Sollte dein Hosting-Anbieter kein Let’s Encrypt unterstützen, musst du auf ein kostenpflichtiges SSL-Zertifikat ausweichen. Ein einfaches Zertifikat kostet zwischen 10 € und 50 € pro Jahr.
Anzeige
Schritt 2: WordPress auf SSL umstellen
Damit deine WordPress-Seite über HTTPS ausgegeben wird, musst du eine Einstellung im WordPress-Backend vornehmen. Melde dich dazu bei deiner WordPress-Seite an. Gehe ins Menü Einstellungen > Allgemein. Ändere dort in den beiden Feldern WordPress-Adresse (URL) und Website-Adresse (URL) die Domain auf HTTPS. Vergiss nicht, die Änderungen mit dem Button Änderungen übernehmen zu speichern.
Schritt 3: Permalinks aktualisieren
Nach dem Ändern der WordPress- und Website-Adresse musst du einmal deine Permalinks unter Einstellungen > Permalinks erneut abspeichern, damit diese mit deiner neuen URL aktualisiert werden:
Schritt 4: Alte URLs in der WordPress-Datenbank ersetzen
Damit auch die anderen URLs wie z.B. interne Links oder Bilder auf HTTPS umgestellt werden, musst du noch die Einträge in der Datenbank anpassen.
Am einfachsten kannst du die URLs mit dem Plugin Better Search Replace ersetzen:
Dazu gibst du in das erste Feld die alte URL mit HTTP ein und in das zweite Feld die neue URL mit HTTPS. Anschließend markierst du alle Tabellen. Bevor du den Vorgang startest, kannst du erst mal einen Testlauf anstoßen, um zu sehen, in welchen Tabellen URLs ersetzt werden. Ist alles in Ordnung, entfernst du das Häkchen bei Testlauf und startest den Vorgang.
Schritt 5: Weiterleitung von HTTP auf HTTPS einrichten
Damit zukünftig alle Anfragen über HTTP auf HTTPS umgeleitet werden, musst du zum Schluss die .htaccess-Datei von WordPress anpassen. Diese kannst du via FTP mit einem Texteditor bearbeiten. Füge einfach den folgenden Code am Anfang der Datei ein:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.deinedomain.de/$1 [R,L]
Häufige Fehler
Das WordPress-Backend ist nicht mehr erreichbar
Wenn das WordPress-Backend im Zuge einer SSL-Umstellung nichtmehr erreichbar ist, liegt das meistens daran, dass die Schritte in der falschen Reihenfolge ausgeführt wurden. Ich empfehle dir dann das folgende Vorgehen:
Datenbank-URLs durch Eintrag in der wp-config.php anpassen
Du kannst die Domain deiner WordPress-Seite auch ändern, wenn du dich nicht mehr ins WordPress Backend einloggen kannst. Dazu öffnest du die Datei wp-config.php, die im Hauptordner deiner WordPress Installation liegt, mit einem Texteditor.
Füge die folgenden Zeilen am ganz Ende der Datei ein und speichere diese ab.
define('WP_SITEURL', 'https://www.domainmithttps.de');
define('WP_HOME', 'https://www.domainmithttps.de');
Dabei musst du natürlich https://www.domainmithttps.de durch deine eigene Domain ersetzen😉
ODER
Datenbank URLs durch Eintrag in der functions.php anpassen
Navigiere zu deinem Theme-Ordner, der unter /wp-content/themes/ liegt. Suche von hier aus die Datei functions.php und bearbeite sie mit einem Texteditor wie Notepad oder TextEdit. Füge den folgenden Code am Ende der Datei ein:
update_option( 'siteurl', 'https://www.domainmithttps.de' );
update_option( 'home', 'https://www.domainmithttps.de' );
Speichere die Datei ab und lade sie zurück auf deinen FTP-Server.
Damit WordPress die Datenbankoption für Website-URLs aktualisiert, musst du bei dieser Methode noch einmal eine beliebige Seite deiner Website aufrufen, damit die functions.php geladen wird.
Caches leeren
Damit eine aktuelle Version deiner Seite ausgespielt wird, solltest du zum Schluss noch den Cache deines Caching-Plugins (wie z.B. WP Super Cache oder WP Rocket etc.) leeren. Außerdem solltest du deinen Browsercache leeren.
Mixed-Content-Fehler
Eigentlich sollten jetzt alle Seiten über HTTPS ausgeliefert werden. Vermutlich wird es aber auf einigen Seiten zu einer Mixed-Content-Warnung kommen. Das bedeutet, die Seite ist zwar SSL verschlüsselt, lädt aber noch unverschlüsselte URLs nach. Die Behebung dieser Mixed Content Fehler wird immer wichtiger, denn seit Ende 2019 werden solche Inhalte von Browsern wie Chrome blockiert.
Unverschlüsselte Inhalte verstecken sich häufig in:
- Child-Themes mit eigenen Anpassungen
- CSS-Dateien (z. B. in Hintergrundbildern)
- Extern geladenen Schriften (z. B. Google Fonts)
- Scripte für Tracking-Tools (z. B. Google Analytics)
- Favicons
- Badges von Blogverzeichnissen und Toplisten
- Werbebannern
Um zunächst alle Unterseiten mit Warnungen zu finden, kannst du z.B. den SSL-Check von JitBit nutzen. Das Tool durchsucht deine komplette Website unverschlüsselten Inhalten. Anschließend kannst du dir die betroffenen Seiten mit den Entwickler-Tools deines Browsers genauer anschauen. Die Entwickler-Tools öffnest du in Chrome, Firefox und Edge, indem du in deinem Browser die Taste F12 drückst. Die Fehler kannst du dir jeweils anschauen, wenn du in den Reiter Konsole wechselst:
Schließe dich 2000+ smarten Bloggern, YouTubern und Onlineunternehmern an
Erhalte die neuesten Beiträge & lerne, wie du dir mit begrenzter Zeit und begrenztem Budget ein erfolgreiches Onlinebusiness aufbaust. Kostenlos & jederzeit abbestellbar.
Deine Daten sind sicher. Hier ist unsere Datenschutzerklärung.