[NEU] Der ultimative Guide zu den Core Web Vitals (inkl. Checkliste)Zeig mir den Guide!
Du möchtest mehr Leser für deinen Blog und mehr Kunden für dein Online-Business?

Dann mache es wie 10.500+ andere Online-Unternehmer und abonniere unseren Newsletter mit exklusiven Blog- und SEO-Tipps. Als Geschenk erhältst du unser E-Book Die 12 Gesetze unglaublich erfolgreicher Blogartikel.

Invalid email address

Abmeldung jederzeit möglich. Etwa 2 bis 5 E-Mails im Monat. Die Einwilligung umfasst die Hinweise zu Widerruf, Versanddienstleister und Statistik gemäß unserer Datenschutzerklärung.

Die 12 Gesetze unglaublich erfolgreicher Blogartikel

Wie du WordPress in 8 einfachen Schritten auf HTTPS umstellen kannst

150 Kommentare
WordPress auf HTTPS umstellen

Du willst für besseren Datenschutz sorgen und deine WordPress-Website auf HTTPS umstellen?

Dann lies weiter!

In meiner ausführlichen Anleitung erfährt du, wie du die Umstellung so reibungslos wie möglich über die Bühne bringen kannst.

In 8 einfachen und nachvollziehbaren Schritten.

Inhaltsverzeichnis Verbergen
Warum auf HTTPS umstellen?
1. SSL-Zertifikat auf dem Server installieren
2. WordPress- und Website-Adresse anpassen
3. Permalinks aktualisieren
4. Alte URLs in der WordPress-Datenbank ersetzen
5. Redirect von HTTP auf HTTPS erstellen
6. Caches leeren
7. Trouble-Shooting: Immer noch kein grünes Schloss?
8. URL bei Drittdiensten ändern
9. FAQ

Warum auf HTTPS umstellen?

Es gibt sehr viele gute Gründe, deine Website auf HTTPS umzustellen. Ich empfehle dir deshalb die Umstellung nicht auf die lange Bank zu schieben:

  1. Du bist damit rechtlich auf der sicheren Seite, vor allem wenn deine Website personenbezogenen Daten, z. B. über Kontaktformulare oder einen Online-Shop, sammelt.
  2. SSL-Verschlüsselung ist schon seit August 2014 ein Ranking-Faktor bei Google und ist seitdem immer wichtiger geworden!
  3. Deine Websites wird durch HTTPS schneller, weil du vom schnelleren http/2 Gebrauch machen kannst (sofern dein Hosting-Anbieter das unterstützt).
  4. Große Browser wie Google Chrome und Firefox brandmarken Websites ohne Verschlüsselung als “nicht sicher”. Vor allem, wenn diese Formulare enthalten, welche man persönliche Daten an die Website übermittelt werden.
  5. Mehr Vertrauen bei Lesern und Kunden

Die Umstellung auf HTTPS hat jedoch auch einige Nachteile, die hier nicht unerwähnt bleiben sollen:

  1. Einmaliger Aufwand durch Umstellung der URLs auf deiner Website und bei Drittdiensten (ca. 60 Minuten bis 2 Stunden)
  2. Social Shares werden bei manchen Plugins nicht mehr angezeigt

1. SSL-Zertifikat auf dem Server installieren

Damit deine Website durch SSL abgesichert werden kann, muss zunächst ein SSL-Zertifikat spezifisch für deine Domain auf deinem Server installiert sein.

Bei Hosting-Anbietern, die das kostenlose Let’s Encrypt unterstützen, wie z. B. webgo oder all-inkl.com (allerdings erst ab dem Paket PrivatPlus), kannst du das in der Regel selbst im Adminbereich deines Hosting-Pakets oder Servers einstellen:

SSL-Zertifikat anlegen

Sollte dein Hosting-Anbieter kein Let’s Encrypt unterstützen, musst du den Support zur Einrichtung eines kostenpflichtigen SSL-Zertifikats kontaktieren. Ein einfaches Domain-Validated-Zertifikat, wie z. B. RapidSSL, das für die meisten Blogs und Websites vollkommen ausreicht, kostet zwischen 15 und 40 € pro Jahr.

Es kann sich jedoch auch ein Hoster-Wechsel empfehlen. Denn in 2020 sollte eigentlich niemand mehr für ein SSL-Zertifikat bezahlen müssen!

Eine Übersicht darüber, welche Hoster Let’s Encrypt unterstützen und welche nicht, findest du in meinem Webhosting-Vergleich.

Bei einem vServer oder Dedicated Server kannst (oder musst) du unter Umständen das SSL-Zertifikat selbst installieren. Das ist ein bisschen mehr Aufwand, aber dafür kannst du auch ein paar Euro im Jahr sparen. Da es viele verschiedene Webserver-Systeme gibt, würde eine Anleitung dafür jedoch den Rahmen dieser Anleitung sprengen.

Wenn du einen neuen Blog erstellst, empfehle ich dir gleich mit HTTPS zu starten. Dazu rufst im Einrichtungsprozess einfach deine Blog-URL mit HTTPS auf, also https://www.deinblog.de anstatt http://www.deinblog.de. Dadurch wird automatisch https://www.deinblog.de als WordPress- und Website-Adresse eingestellt.

2. WordPress- und Website-Adresse anpassen

Ist das SSL-Zertifikat auf dem Server installiert, ist der nächste Schritt, deine URLs in WordPress anzupassen.

Dazu loggst du dich bei WordPress ein, gehst zu Einstellungen > Allgemein und ersetzt sowohl im Feld WordPress-Adresse (URL) als auch im Feld Website-Adresse (URL), das http in deinen URLs durch https.

WordPress-Adresse und Website-Adresse anpassen
Nach dem Speichern der neuen URLs musst du dich neu in das WordPress-Backend einloggen. Das liegt daran, dass es unter der neuen WordPress-Adresse noch keine aktive Nutzer-Session vorliegt.

3. Permalinks aktualisieren

Nach dem Ändern der WordPress- und Website-Adresse musst du einmal deine Permalinks (unter Einstellungen > Permalinks) erneut abspeichern, damit diese mit deiner neuen URL aktualisiert werden:

Permalinks neu speichern

Machst du das nicht, werden beim Abruf eines Beitrags oder einer Seite 404-Fehler anzeigt.

4. Alte URLs in der WordPress-Datenbank ersetzen

Das Aktualisieren der Permalinks hat schon einmal dafür gesorgt, dass deine Seite wieder abrufbar ist.

Leider werden dadurch nicht alle URLs in WordPress durch die neuen URLs mit HTTPS ersetzt. So sind in allen Beiträgen und Seiten noch immer die alten URLs mit HTTP zu finden (z. B. bei Links zu eigenen Beiträgen oder zu eingebundenen Medien). Auch in allen Plugins und Themes wurden die alten URLs noch nicht durch die neuen ersetzt.

Das kann dazu führen, dass Teile deiner Website noch über HTTP geladen werden. Dadurch wird in vielen Browsern eine sogenannte Mixed Content Warnung ausgegeben (und z. B. neben deiner URL kein kleines grünes Schloss, sondern ein rotes Schloss angezeigt).

Und das ist nicht gut für Besucher und auch nicht gut für dein Google-Ranking!

Je nach Größe deiner Website kann es sehr zeitaufwändig sein, all diese URLs per Hand zu ersetzen. Am besten ist es deshalb dafür das kostenlose Plugin Better Search Replace zu installieren.

Bitte leg vor der Verwendung von Better Search Replace unbedingt ein Backup deiner WordPress-Datenbank an!

Gehe im WordPress-Backend zu Werkzeuge > Better Search Replace.

Gib dort bei Suchen nach deine alte URL mit HTTP und bei Ersetzen durch deine neue URL mit HTTPS ein. Dann markierst du bei Tabellen auswählen alle Tabellen mit Strg + A und nimmst das Häkchen bei Testlauf? heraus:

Alle URLs mit HTTP durch neue URLs mit HTTPS ersetzen

5. Redirect von HTTP auf HTTPS erstellen

Damit jede Anfrage von HTTP auf HTTPS weitergeleitet wird und deine Website nicht unter beiden Protokollen erreichbar ist, ist es erforderlich, einen 301 Redirect zu erstellen.

Dazu musst du auf deinen FTP-Server zugreifen und folgenden Code in die .htaccess-Datei einfügen (die Datei befindet sich in deinem WordPress-Hauptverzeichnis).

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Zum Öffnen und Bearbeiten der Datei empfehle ich Notepad++ oder Brackets zu verwenden. Der Code sollte an oberster Stelle vor allen anderen Einträgen platziert werden.

Sollte deine WordPress-Installation auf einem nginx-Server liegen (das ist meistens nicht der Fall), musst du folgenden Code in deine nginx.conf einfügen:

if ($scheme = http) {
return 301 https://$server_name$request_uri;
}

6. Caches leeren

Damit deine Änderungen auch auf deiner Live-Website übernommen werden, solltest du den Cache deines Caching-Plugins (wie z. B. Cache Enabler, WP Super Cache, W3 Total Cache, WP Rocket etc.) leeren.

Wenn andere Plugins Caching betreiben, solltest du deren Caches ebenfalls leeren. Dies ist z. B. bei Contextual Related Posts, Simple Press, Autoptimize oder ASA 2 Pro der Fall.

7. Trouble-Shooting: Immer noch kein grünes Schloss?

Dir wird im Browser immer noch eine Mixed Content Warnung angezeigt werden und kein grünes Schloss erscheint?

Dann verbergen sich auf deiner Website immer noch Ressourcen (Bilder, Javascript, CSS etc.), die über HTTP abgerufen werden.

7.1 Häufige Fehlerquellen

Unverschlüsselt geladene Ressourcen verbergen sich oft in externen Ressourcen, wie z. B.:

  • extern geladene Fonts (z. B. Google Fonts oder FontAwesome)
  • extern geladene Scripte (z. B. der Pinterest Button, Facebook Like Box oder Widgets)
  • Badges von Blogverzeichnissen und Toplisten
  • Werbebanner und -dienste
  • Tracking-Tools (z. B. Google Analytics oder Matomo)

Alte URLs können sich auch in einem Child-Theme (mit eigenen Anpassungen) oder einem länger nicht aktualisiertes Theme oder Plugin verbergen.

Es empfiehlt sich also, alle installierten Plugins sowie dein Theme zu aktualisieren und die Dateien deines Child-Theme zu überprüfen.

Überprüfe auch unbedingt deine CSS-Dateien und Custom CSS im Customizer (zu finden unter Design > Customizer im WordPress-Adminbereich). Denn in manchen Fällen können sich dort über HTTP geladene Bilder (z. B. Hintergrundbilder) verbergen.

7.2 Überprüfung des Quelltextes

Um herauszufinden, wo sich die Störenfriede verbergen, bietet es sich an, den Quelltext der Seite über den Browser zu öffnen und nach http://zu suchen:

Quelltext nach HTTP untersuchen

7.3 Überprüfung mit den Chrome Developer Tools

Auch die Chrome Developer Console eignet sich sehr gut, um unverschlüsselt geladene Ressourcen zu finden. Du öffnest diese in Google Chrome oder Opera durch Rechtsklick auf deine Website. Im dann erscheinenden Kontextmenü klickst du auf Element untersuchen.

Im Reiter Console werden Warnungen angezeigt, wenn Ressourcen über HTTP geladen werden:

Mixed Content in den Chrome Developer Tools

8. URL bei Drittdiensten ändern

Die Umstellung von WordPress auf HTTPS kann dazu führen, dass mit deiner Website verbundene Dienste nicht mehr funktionieren. Bitte überprüfe deshalb alle mit deiner Website verbundenen Apps oder Integrationen, z. B. APIs von sozialen Netzwerken, und ersetze die alten URLs durch die neuen.

8.1 Auf deinen Social-Media-Kanälen

Um unnötige Weiterleitungen zu verhindern, solltest du deine URL auch in sozialen Netzwerken ändern. Dazu zählen z. B.:

  • Facebook-Seite (auch bei Link zu Impressum und Datenschutzerklärung)
  • Facebook-Gruppen (ggf. vorhanden in der Gruppenbeschreibung, Ankündigungen etc.)
  • Twitter
  • Pinterest-Profil (auch bei Impressum)
  • Instagram (und ggf. auch Linktree)
  • Flipboard
  • Google+
  • Eintrag bei Google My Business und Bing Places
  • YouTube (auch bei Impressum)

8.2 In APIs

Damit Verbindungen zu APIs richtig funktionieren, solltest du auch dort deine URL ändern. Da betrifft z. B. eigene Apps bei Facebook oder Instagram.

Denk auch daran, zur Funktion der App notwendige URLs ändern, wie z. B. die Valid redirect URIs bei Instagram oder andere URLs, die zur Authentifizierung genutzt werden:

Valid Redirect URIs bei Instagram

8.3 Bei Google Analytics

Bei Google Analytics kannst du deine URL unter Verwaltung > Property-Einstellungen > Standard-URL auf HTTPS umstellen:

URL in Google Analytics auf HTTPS umstellen

8.4 In der Google Search Console

Du musst deine URL auch in der Google Search Console ändern, sonst werden Klicks nicht mehr in der Suchanalyse angezeigt.

Leider kann man nicht einfach die URL ändern, denn htt​p:// und htt​ps:// gelten als unterschiedliche Properties.

Du musst stattdessen deine bestehende Property löschen und deine Website als Property mit HTTPS in der URL erneut hinzufügen:

Von HTTP auf HTTPS in der Google Search Console umstellen

Bitte denk unbedingt daran, nach Erstellung der neuen Property deine Sitemap noch einmal neu an Google zu übermitteln:

Neue Sitemap mit HTTPS hinzufügen

8.5 In der E-Mail-Signatur und im Newsletter

Wenn du, wie ich, deine Website in der E-Mail-Signatur verwendest, solltest du auch dort die URL auf die verschlüsselte SSL-Variante ändern.

Das gilt auch für Links, die in deinem Newsletter zu finden sind (z. B. Links zu Impressum, Datenschutzerklärung, Startseite, Bildern auf deinem Server etc.).

Auch eingebettete Formulare von Newsletter-Tools wie MailChimp, CleverReach und Co. können unverschlüsselte Verbindungen erzeugen, die für eine Mixed-Content-Warnung im Browser sorgen.

8.6 Affiliate-Programme und -Links

Bei Affiliate-Programmen und -netzwerken ist es oft erforderlich, die eigene URL in einem Profil anzugeben oder eine Werbefläche mit der eigenen URL anzulegen. Auch dort solltest du die alte durch die neue URL ersetzen (wenn möglich).

Zudem solltest du alle auf deiner Website eingebundenen Affiliate-Links ebenfalls auf HTTPS umstellen. Dafür kannst du ebenfalls sehr gut das Plugin Better Search Replace nutzen:

Mit Better Search Replace Affiliate-Links auf SSL umstellen

Wenn du das nicht tust, kann es sein, dass Referrer nicht an das Affiliate-Programm oder -netzwerk übertragen werden.

Referrer sind für viele Advertiser wichtig, weil diese dadurch sehen können, auf welcher URL der Affiliate-Link geklickt wurde. Unter Umständen kann es sogar sein, dass Sales oder Leads nicht vergütet werden, weil der Referrer fehlt!

9. FAQ

Hier findest du Antworten auf häufige Fragen rund um das Thema WordPress und SSL:

9.1 Wird meine Website langsamer, wenn ich HTTPS verwende?

Ja wird sie, wenn dein Hosting-Anbieter nur das alte HTTP/1.1-Protokoll unterstützt.

Wenn dein Hosting-Anbieter hingegen schon das neue HTTP/2-Protokoll unterstützt, wird deine Website durch Verwendung von HTTPS sogar schneller (HTTP/2 wird von den meisten Browser nur im Zusammenhang mit HTTPS unterstützt).

9.2 Wie kann ich testen, ob meine Website HTTP/2 unterstützt?

Das ist einfach und schnell mit diesem kostenlosen Tool von KeyCDN möglich.

9.3 Gibt es dafür nicht auch ein Plugin?

Ja, gibt es. Du kannst dir viele der oberen Schritte sparen, wenn du das Plugin Really Simple SSL installierst.

Ich rate jedoch aus drei Gründen davon ab:

  1. Jedes zusätzliche Plugin, das du installierst, erhöht das Risiko, dass deine Website gehackt wird (die meisten Sicherheitslücken finden sich in Plugins).
  2. Das Plugin nimmt weder Änderungen an der Datenbank noch am Quellcode von Plugins oder Themes vor. Das heißt, es kann sein, dass du trotz der Mixed-Content-Warnungen angezeigt bekommst.
  3. Wenn du das Plugin deaktivierst, sind alle Änderungen wieder weg.

Also:

Nutze es lieber nur temporär, z. B. falls du im Moment keine Zeit für eine ordentliche und nachhaltige Umstellung hast.

9.4 Was mache ich bei einer Redirect-Schleife?

Es kann sein, dass deine Website nach der Umstellung in einer Redirect-Schleife von HTTP zu HTTPS zurück zu HTTP zu HTTPS usw. gefangen ist.

Hier sind einige mögliche Fehlerquellen:

  • Redirect-Plugins
  • Login-Plugins, die die Login-URL verändern
  • Security-Plugins, wie z. B. iThemes Security, über die eine Weiterleitung eingestellt wurde
  • Eingefügte Redirects in der .htaccess bzw. nginx.conf

In manchen Fällen hilft auch ein erneutes Speichern der Permalinks (siehe Punkt 3 in der Anleitung).

Das könnte dich ebenfalls interessieren...
Finn Hillebrandt

Finn Hillebrandt

Gründer von Blogmojo, WordPress-Fan und SEO-Experte mit 10+ Jahren Erfahrung.

Finns große Leidenschaft ist es, epische Blogartikel zu schreiben und bei Google zu ranken (und nein, dass du hier gelandet bist, ist kein Zufall). 😎

Sein Motto und seine Mission lauten: Unf*ck SEO! ✊

Bei SEO setzt er entsprechend nicht auf Hörensagen, sondern führt ständig eigene Tests und Recherchen durch, um herauszufinden, wie Google wirklich tickt (Achtung, Nerd-Alarm!).

Erfahre mehr über ihn und das Team oder folge ihm auf Instagram, Twitter, LinkedIn oder Facebook.

Werbehinweis für Links mit Sternchen (*)

Es handelt sich um einen Affiliate-Link, das heißt, wenn du auf der verlinkten Website etwas kaufst, erhalten wir eine Provision. Dies hat keinerlei Einfluss darauf, wie wir ein Tool oder einen Anbieter bewerten.

Wir empfehlen nur Tools bzw. Anbieter, hinter denen wir auch wirklich stehen. Für dich entstehen dadurch natürlich keine zusätzlichen Kosten! Du hilfst jedoch uns und diesem Projekt. Danke! ❤️