SSL in WordPress aktivieren: Schritt-für-Schritt-Anleitung für eine saubere HTTPS-Umstellung

SSL in WordPress aktivieren: Schritt-für-Schritt-Anleitung für eine saubere HTTPS-Umstellung

Wenn deine WordPress-Website noch über http:// erreichbar ist oder nach einem Hosting-Wechsel noch keine saubere HTTPS-Umstellung bekommen hat, solltest du das nicht lange liegen lassen. SSL sorgt nicht nur für das Schlosssymbol im Browser, sondern schützt Logins, Formulare und übertragene Inhalte. Gleichzeitig ist HTTPS heute ein technischer Standard, den Nutzer, Browser und Suchmaschinen erwarten.

Die gute Nachricht: In vielen Fällen lässt sich WordPress sauber auf SSL umstellen, ohne die Website neu aufzubauen. Wichtig ist nur, die Umstellung in der richtigen Reihenfolge zu machen. Genau dabei hilft dir diese Anleitung.

Was du vor der Umstellung prüfen solltest

Bevor du in WordPress selbst etwas änderst, solltest du drei Dinge kurz prüfen:

• Es muss bereits ein gültiges SSL-Zertifikat auf der Domain aktiv sein.
• Die Domain sollte im Browser grundsätzlich schon per https://deinedomain.de erreichbar sein.
• Du solltest Zugriff auf WordPress und idealerweise auch auf Hosting oder .htaccess haben.

Wenn https:// noch gar nicht funktioniert, liegt das Problem nicht in WordPress, sondern zuerst auf Hosting- oder Serverebene. In diesem Fall muss das Zertifikat zuerst korrekt eingerichtet oder erneuert werden.

Schritt 1: Prüfen, ob das SSL-Zertifikat wirklich aktiv ist

Rufe deine Website direkt mit https:// auf. Wenn die Seite erreichbar ist und der Browser nicht sofort eine Zertifikatswarnung zeigt, ist das ein gutes Zeichen. Prüfe zusätzlich:

• Funktioniert die Startseite unter https://?
• Funktioniert auch /wp-admin unter https://?
• Zeigt der Browser ein gültiges Zertifikat für die richtige Domain?
• Sind www und Nicht-www sauber abgedeckt?

Wenn hier schon Fehler auftauchen, solltest du WordPress noch nicht umstellen. Erst wenn HTTPS technisch erreichbar ist, macht der nächste Schritt Sinn.

Schritt 2: WordPress-Adresse und Website-Adresse auf HTTPS ändern

Gehe in WordPress zu Einstellungen > Allgemein und ändere diese beiden Felder:

• WordPress-Adresse (URL)
• Website-Adresse (URL)

Statt http://deinedomain.de muss dort https://deinedomain.de stehen.

Speichere die Änderungen danach sofort. WordPress meldet dich oft kurz ab oder lädt die Seite neu, weil sich die Basis-URL geändert hat. Das ist normal.

Falls du diese Felder nicht im Backend ändern kannst, wurden sie möglicherweise in der wp-config.php fest definiert. Dann musst du dort prüfen, ob Einträge wie diese vorhanden sind:

define('WP_HOME', 'http://deinedomain.de');
define('WP_SITEURL', 'http://deinedomain.de');

Wenn ja, müssen auch diese Werte auf https:// geändert werden.

Schritt 3: HTTP dauerhaft auf HTTPS weiterleiten

Damit Besucher und Suchmaschinen nicht weiter auf der alten HTTP-Version landen, solltest du eine feste 301-Weiterleitung einrichten. Bei klassischen Apache-Setups läuft das oft über die .htaccess.

Ein typisches Beispiel sieht so aus:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Wichtig ist, dass diese Weiterleitung serverseitig sauber gesetzt ist. Ein Plugin allein reicht dafür nicht immer aus. Für SEO und technische Konsistenz ist eine echte 301-Weiterleitung die bessere Lösung.

Schritt 4: Interne unsichere Inhalte beheben

Nach der Umstellung passiert häufig Folgendes: Die Seite lädt zwar über HTTPS, aber der Browser zeigt kein sauberes Schlosssymbol oder meldet "Nicht vollständig sicher". Ursache ist fast immer Mixed Content.

Das bedeutet: Die Seite selbst läuft über HTTPS, einzelne Bilder, Skripte, Fonts oder CSS-Dateien werden aber noch über http:// geladen.

Typische Stellen dafür sind:

• alte Bild-URLs in Beiträgen oder Seiten
• Theme-Einstellungen
• hart eingetragene Links in Buildern
• Plugins mit alten Asset-URLs
• Datenbankeinträge aus früheren Migrationen

Schritt 5: Alte HTTP-Links in der Datenbank ersetzen

Wenn viele interne URLs noch auf http:// stehen, ist ein gezieltes Suchen-und-Ersetzen oft der sauberste Weg. Wichtig ist dabei, dass serialisierte Daten korrekt behandelt werden. Ein blindes SQL-Replace ist in WordPress nicht immer sicher.

Saubere Wege sind zum Beispiel:

• WP-CLI mit search-replace
• ein seriöses Migrations- oder Search-Replace-Tool
• eine Hosting-Funktion für WordPress-URL-Ersetzungen

Wenn du WP-CLI nutzen kannst, ist das oft ein guter Weg:

wp search-replace 'http://deinedomain.de' 'https://deinedomain.de' --skip-columns=guid

Damit werden interne Verweise sauber angepasst, ohne die guid-Spalte unnötig zu verändern.

Schritt 6: Cache, CDN und Optimierungsplugins leeren

Nach einer SSL-Umstellung hängen alte HTTP-Verweise oft einfach noch im Cache. Deshalb solltest du danach konsequent leeren:

• WordPress-Cache
• Server-Cache
• CDN-Cache
• Browser-Cache
• Optimierungsplugins wie Autoptimize, WP Rocket oder ähnliche

Gerade wenn CSS oder JavaScript zusammengefasst und zwischengespeichert werden, bleiben sonst unsichere Asset-URLs sichtbar, obwohl die eigentliche Konfiguration schon korrekt ist.

Schritt 7: Weiterleitungen und Canonicals kontrollieren

Nach der Umstellung sollte nur noch genau eine saubere Hauptversion deiner Website übrig bleiben. Prüfe deshalb:

• http://deinedomain.de leitet auf https://deinedomain.de weiter
• http://www.deinedomain.de leitet auf die gewünschte Hauptversion weiter
• https://www.deinedomain.de leitet ebenfalls korrekt weiter
• Canonical-Tags zeigen auf die HTTPS-Version
• Sitemap und wichtige interne Links nutzen HTTPS

Wenn hier mehrere Varianten parallel erreichbar bleiben, kann das später zu SEO-Problemen, doppelten URLs oder inkonsistenten Signalen führen.

Schritt 8: Search Console und externe Dienste prüfen

Wenn deine Website vorher längere Zeit nur unter HTTP lief, solltest du nach der Umstellung noch ein paar externe Stellen kontrollieren:

• Google Search Console
• Google Analytics oder Tag Manager
• Zahlungsanbieter oder Webhooks
• CDN- oder Sicherheitsdienste
• eingebundene Formulare und API-Endpunkte

Nicht jede Integration bricht sofort sichtbar, aber manche Dienste arbeiten noch mit alten Callback- oder Ziel-URLs. Genau das fällt oft erst später auf.

Wann ein Plugin helfen kann und wann nicht

Plugins wie Really Simple SSL können bei einfachen Setups helfen, vor allem wenn es um Header, Erkennung von Proxy-Umgebungen oder kleinere Mixed-Content-Probleme geht. Sie ersetzen aber nicht automatisch eine saubere technische Grundkonfiguration.

Wenn Zertifikat, Weiterleitungen, Canonicals oder Proxy-Header nicht korrekt sind, solltest du das Problem nicht dauerhaft mit Plugin-Workarounds überdecken. Besser ist ein sauberer technischer Zustand, auf dem WordPress stabil laufen kann.

Typische Fehler nach einer SSL-Umstellung

Nach der Umstellung tauchen immer wieder ähnliche Probleme auf:

• Login-Schleifen im WordPress-Backend
• Weiterleitungsfehler oder Redirect-Loops
• Bilder ohne Schlosssymbol wegen Mixed Content
• CSS oder JavaScript werden blockiert
• Elementor, WPBakery oder andere Builder laden alte HTTP-Links
• Formulare oder Zahlungsprozesse funktionieren nicht sauber

Wenn so etwas passiert, liegt die Ursache meist nicht an "SSL allgemein", sondern an einer fehlerhaften Kombination aus URL-Einstellungen, Cache, Reverse Proxy, CDN oder alten Datenbankwerten.

Saubere Reihenfolge für die HTTPS-Umstellung in WordPress

Wenn du es kompakt willst, ist diese Reihenfolge in der Praxis meist am sichersten:

1. SSL-Zertifikat im Hosting aktivieren und testen.
2. WordPress-URLs auf https:// umstellen.
3. Serverseitige 301-Weiterleitung von HTTP auf HTTPS setzen.
4. Interne HTTP-Links in der Datenbank bereinigen.
5. Cache und Optimierungsdaten leeren.
6. Mixed Content, Canonicals und externe Integrationen prüfen.

Fazit

SSL in WordPress zu aktivieren ist meistens kein riesiges Projekt, aber es sollte sauber gemacht werden. Entscheidend ist nicht nur, dass die Website "irgendwie" per HTTPS erreichbar ist, sondern dass Weiterleitungen, interne Links, Canonicals und Assets konsistent auf der sicheren Version laufen.

Wenn deine Website nach der SSL-Umstellung Warnungen zeigt, in Schleifen landet oder einzelne Bereiche plötzlich nicht mehr funktionieren, steckt oft ein technisches Detail dahinter, das man strukturiert bereinigen muss.

Wenn du dabei Unterstützung brauchst, schau dir unsere WordPress-Reparatur an oder nimm direkt Kontakt auf.