Warum HTTPS 2026 nicht optional ist
Das kleine Schloss-Symbol in der Browserleiste ist längst kein Luxus mehr für Online-Shops. Es ist die digitale Grundvoraussetzung für jede seriöse Website – aus gleich mehreren Gründen, die zusammen eine unmissverständliche Botschaft senden.
Seit 2014 ist HTTPS ein bestätigter Rankingfaktor bei Google. Das Signal ist bewusst als Tiebreaker angelegt – bei ansonsten gleichwertigen Seiten gewinnt die verschlüsselte. Seit 2018 zeigt Chrome bei HTTP-Seiten aktiv den Warnhinweis „Nicht sicher" in der Adressleiste, was nachweislich die Absprungrate erhöht.
Dann ist da die DSGVO: Wer über ein Kontaktformular, einen Login oder einen Warenkorb personenbezogene Daten überträgt, ist nach Art. 32 DSGVO zur Verschlüsselung verpflichtet. HTTP überträgt alles im Klartext – Passwörter, Formulareingaben, Zahlungsdaten. Das ist kein Kavaliersdelikt.
Und schließlich: HTTP/2, das moderne Protokoll das professionelle Websites spürbar schneller macht, ist ohne TLS in der Praxis nicht nutzbar. HTTPS ist damit gleichzeitig ein Performance-Upgrade für bessere Core Web Vitals.
Kurz gesagt: HTTP kostet dich Rankings, Vertrauen, Besucher und ist gleichzeitig eine DSGVO-Pflichtverletzung. Die Umstellung kostet dich heute maximal eine Stunde.
SSL-Zertifikat: Welches brauchst du wirklich?
Bevor du irgendetwas in WordPress änderst, muss ein gültiges SSL-Zertifikat für deine Domain aktiv sein. Hier sorgt ein verbreitetes Missverständnis für unnötige Kosten: Die meisten WordPress-Websites brauchen kein teures Zertifikat.
Let's Encrypt – kostenlos und absolut ausreichend
Let's Encrypt stellt kostenlose DV-Zertifikate (Domain Validation) bereit, die von nahezu allen modernen Hosting-Anbietern direkt im Kundenbereich mit einem Klick aktiviert werden können. Das Zertifikat läuft 90 Tage und verlängert sich automatisch. Für Blogs, Unternehmenswebsites, Portfolios und alle Seiten ohne komplexe Subdomain-Strukturen ist das vollkommen ausreichend.
Zertifikatstypen im Vergleich
- DV (Domain Validation): Bestätigt nur die Domain-Inhaberschaft. Kostenlos via Let's Encrypt. Ausreichend für 95 % aller WordPress-Websites.
- OV (Organization Validation): Bestätigt zusätzlich das Unternehmen. Ab ca. 50 €/Jahr. Sinnvoll für B2B-Unternehmen mit Vertrauensanspruch.
- EV (Extended Validation): Früher mit grüner Adressleiste, heute von Browsern kaum noch optisch hervorgehoben. Nur noch für Finanzinstitute und Behörden relevant.
- Wildcard-Zertifikat: Deckt alle Subdomains ab (*.deinedomain.de). Notwendig wenn du shop.deinedomain.de, blog.deinedomain.de etc. betreibst. Ab ca. 60 €/Jahr oder kostenlos via Let's Encrypt mit DNS-Challenge.
Wie aktivierst du das Zertifikat? Das hängt vom Hosting-Anbieter ab. Bei Hetzner, All-Inkl, Raidboxes, IONOS und den meisten anderen deutschen Anbietern findest du die Option im Kundenbereich unter „SSL", „Zertifikate" oder „Domains". Let's Encrypt-Aktivierung dauert typischerweise unter zwei Minuten – danach ist das Zertifikat sofort aktiv.
Schritt für Schritt: HTTPS in WordPress aktivieren
Das Zertifikat ist aktiv – jetzt geht es an WordPress selbst. Diese sieben Schritte führen dich sicher durch die Migration, ohne dass du Rankings oder Daten verlierst.
-
SSL-Aktivierung im Hosting bestätigen
Rufe deine Website mit
https://deinedomain.deim Browser auf. Wenn das Schloss erscheint und keine Zertifikatsfehler auftreten, ist das SSL-Zertifikat korrekt eingerichtet. Erst dann geht es weiter. -
wp-config.php anpassen
Öffne die
wp-config.phpim Hauptverzeichnis deiner WordPress-Installation und füge diese Zeile ein – am besten direkt über/* Das war's, keine weiteren Einstellungen */:
/* HTTPS im WordPress-Adminbereich erzwingen */ define('FORCE_SSL_ADMIN', true);
-
WordPress-URLs auf HTTPS umstellen
Gehe in deinem WordPress-Dashboard auf Einstellungen → Allgemein. Ändere sowohl WordPress-Adresse (URL) als auch Website-Adresse (URL) von
http://aufhttps://. Speichern – du wirst automatisch ausgeloggt. -
Datenbank-Einträge aktualisieren
Alle gespeicherten Inhalte, Bild-Links und Optionen zeigen noch auf die alte HTTP-URL. Das Plugin Better Search Replace ersetzt alle Einträge in der Datenbank. Suchen:
http://deinedomain.de– Ersetzen durch:https://deinedomain.de. Wichtig: Zuerst immer einen Dry Run durchführen und vorher ein Datenbank-Backup erstellen. - Serialisierte Daten korrekt migrieren Pagebuilder wie Elementor, Divi oder WPBakery speichern Daten serialisiert – einfaches Suchen & Ersetzen per SQL würde diese beschädigen. Better Search Replace verarbeitet serialisierte Daten automatisch korrekt. Nach dem Ersetzen: Caches leeren (Plugin-Cache, Server-Cache, CDN-Cache).
- Alle Caches leeren WordPress-Caching-Plugins (WP Rocket, W3 Total Cache, LiteSpeed Cache), Server-seitige Caches und CDN-Caches müssen nach der Umstellung vollständig geleert werden. Veraltete Caches liefern noch HTTP-Inhalte aus und verursachen Mixed-Content-Fehler.
- Website auf grünes Schloss prüfen Rufe verschiedene Seiten auf – Startseite, Blog, Kontakt, Shop. Das Schloss muss überall erscheinen. Fehlt es irgendwo, gibt es Mixed-Content-Probleme (dazu gleich mehr).
Mixed Content – der häufigste Fehler nach der Umstellung
Das grüne Schloss fehlt, obwohl du alles umgestellt hast? Der Schuldige ist in 9 von 10 Fällen Mixed Content: Deine HTTPS-Seite lädt noch einzelne Ressourcen über HTTP – zum Beispiel ein Bild, das vor Jahren direkt mit absolutem HTTP-Link eingebettet wurde, oder ein altes Plugin das seine Assets hartkodiert lädt.
Browser unterscheiden zwischen zwei Arten:
- Aktiver Mixed Content (Skripte, Stylesheets, iFrames): Wird von Chrome und Firefox vollständig geblockt. Die Seite kann dadurch fehlerhaft dargestellt werden oder komplett unbenutzbar sein.
- Passiver Mixed Content (Bilder, Videos, Audio): Wird geladen, aber das Schloss-Symbol zeigt eine Warnung statt grün zu sein.
Mixed Content aufspüren
Der schnellste Weg: Den SSL & HTTPS Checker verwenden – URL eingeben, und das Tool zeigt dir sofort ob Zertifikat, TLS-Version, HSTS und Mixed-Content-Probleme vorliegen. Alternativ: Chrome DevTools öffnen (F12), Tab „Konsole" anklicken, Seite neu laden. Alle Mixed-Content-Warnungen erscheinen dort rot mit der genauen URL der problematischen Ressource.
Mixed Content beheben
Für die meisten Fälle erledigt Better Search Replace auch hier ganze Arbeit – nochmal mit Suche nach src="http:// und href="http:// in allen Tabellen. Für hartnäckige Fälle in Theme-Dateien oder Plugin-Code hilft ein gezielter Blick in den Quellcode. Googles Leitfaden zu Mixed Content bietet darüber hinaus eine hervorragende Referenz für kompliziertere Szenarien.
Typische Mixed-Content-Quellen in WordPress
- Bilder, die direkt per absolutem HTTP-Link in Beiträgen oder Seiten eingebettet sind
- Theme-Dateien mit hartkodiertem
http://in Bild-Pfaden oder CDN-Links - Plugins die externe Ressourcen (Schriften, Icons, Maps) über HTTP nachladen
- Eingebettete YouTube-Videos oder Google Maps mit HTTP-Embed-Code
- Veraltete Widget-Inhalte in der WordPress-Datenbank
Die .htaccess 301-Weiterleitung richtig einrichten
Selbst wenn WordPress intern auf HTTPS umgestellt ist, können Besucher noch über alte HTTP-Links oder Bookmarks auf deine Seite zugreifen. Ohne Weiterleitung landen sie auf der HTTP-Version – kein Schloss, kein Schutz, doppelter Content. Die Lösung ist eine serverseitige 301-Weiterleitung in der .htaccess-Datei.
Die Datei liegt im Hauptverzeichnis deiner WordPress-Installation (gleiche Ebene wie wp-config.php). Öffne sie via FTP oder dem Dateimanager deines Hostings. Füge diese Regel ganz am Anfang ein – noch vor dem WordPress-Block:
# HTTPS Weiterleitung – vor dem WordPress-Block einfügen RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] # BEGIN WordPress # @version WordPress RewriteEngine On # ...
Die Regel bedeutet: Wenn die Anfrage nicht über HTTPS kommt (HTTPS !=on), wird sie mit einem permanenten 301-Redirect auf die gleiche URL, aber mit HTTPS, weitergeleitet. Der L-Flag stoppt die Verarbeitung weiterer Rewrite-Regeln, R=301 teilt Browsern und Suchmaschinen mit, dass es sich um eine permanente Weiterleitung handelt.
Wichtig: Nach Änderungen an der .htaccess immer sofort testen. Ein Syntaxfehler kann deine gesamte Website unerreichbar machen. Nutze den kostenlosen .htaccess Checker zur Vorab-Validierung deiner Konfiguration.
www vs. non-www gleichzeitig lösen
Falls du gleichzeitig die www-Variante als kanonische URL festlegen möchtest (empfohlen aus SEO-Sicht), kombinierst du beide Weiterleitungen:
# HTTP → HTTPS + non-www → www (kombiniert) RewriteEngine On RewriteCond %{HTTPS} !=on [OR] RewriteCond %{HTTP_HOST} !^www\. [NC] RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
SEO-Pflichtaufgaben nach der HTTPS-Migration
Die technische Umstellung ist abgeschlossen – aber für die Suchmaschinenoptimierung gibt es nach einer HTTPS-Migration noch einige Pflichtaufgaben, die gerne vergessen werden und dann zu temporären Ranking-Einbrüchen führen.
- Google Search Console: Die HTTPS-Version als neue Property anlegen (falls noch nicht vorhanden). Unter Einstellungen → Bevorzugte Domain die HTTPS-Version festlegen. Die XML-Sitemap erneut einreichen – jetzt mit HTTPS-URLs.
- Google Analytics: In GA4 unter Admin → Datenströme die Property-URL auf HTTPS aktualisieren. Veraltete HTTP-Einträge führen dazu, dass Sitzungen fälschlich als neue Besucher gezählt werden und deine Absprungrate verzerrt wird.
- XML-Sitemap aktualisieren: SEO-Plugins wie Yoast SEO, Rank Math oder All in One SEO generieren die Sitemap automatisch neu – prüfe trotzdem ob alle URLs mit
https://beginnen. - Backlinks aktualisieren: Wo möglich (eigene Profile, Branchenverzeichnisse, Social Media) die Links auf HTTPS-URLs aktualisieren. Bestehende 301-Weiterleitungen sorgen zwar dafür, dass HTTP-Backlinks nicht verloren gehen, aber direkte HTTPS-Links sind immer besser.
- Canonical Tags prüfen: Alle
<link rel="canonical">-Tags müssen auf HTTPS-URLs zeigen. SEO-Plugins erledigen das automatisch nach der URL-Anpassung in WordPress.
WordPress-Sonderfälle: Plugins, CDN & Multisite
Bei Standard-WordPress-Installationen läuft die Migration meist problemlos. Bei komplexeren Setups gibt es jedoch typische Fallstricke die du kennen solltest:
Pagebuilder (Elementor, Divi, WPBakery)
Pagebuilder speichern Layout-Daten komplex serialisiert in der Datenbank. Better Search Replace verarbeitet das korrekt – aber danach unbedingt den Elementor/Divi-eigenen Cache leeren und die Regenerierung der CSS-Dateien auslösen. Bei Elementor: Elementor → Tools → Datenbank aktualisieren und CSS neu generieren.
CDN (Content Delivery Network)
Wer ein CDN wie Cloudflare, BunnyCDN oder KeyCDN einsetzt, muss auch dort HTTPS aktivieren und sicherstellen, dass die Verbindung vom CDN zu deinem Ursprungsserver ebenfalls verschlüsselt ist (Full SSL). Bei Cloudflare empfiehlt sich der Modus „Full (strict)" für maximale Sicherheit.
WordPress Multisite
Bei Multisite-Installationen müssen alle Subdomains oder Subverzeichnisse durch das SSL-Zertifikat abgedeckt sein (Wildcard-Zertifikat oder separates Zertifikat pro Subdomain). Die wp-config.php Anpassung gilt netzwerkweit; die URL-Änderung muss für jede Subsite einzeln oder per WP-CLI für das gesamte Netzwerk vorgenommen werden.
WordPress für Unternehmen im Saarland
Lokale Unternehmenswebsites haben häufig über Jahre gewachsene WordPress-Installationen mit zahlreichen Plugins, Custom Themes und eingebetteten Karten oder Reservierungstools. Hier lohnt es sich, vor der Migration eine vollständige Liste aller externen Ressourcen zu erstellen und deren HTTPS-Kompatibilität zu prüfen. Besonders Google Maps Embeds, Buchungswidgets und externe Schriften sollten gezielt auf HTTP-Requests geprüft werden.
Häufige Fragen zu WordPress & HTTPS
Ist HTTPS für meine WordPress-Website Pflicht?
Rechtlich ist HTTPS überall dort Pflicht, wo personenbezogene Daten übertragen werden – Kontaktformulare, Logins, Bestellprozesse. Die DSGVO (Art. 32) schreibt technische Maßnahmen zur sicheren Datenübertragung vor, HTTP erfüllt diese nicht. Darüber hinaus ist HTTPS ein Google-Rankingfaktor und Chrome zeigt seit 2018 aktiv Warnhinweise auf HTTP-Seiten an. Kurz: Wer 2026 noch auf HTTP setzt, schadet sich auf mehreren Ebenen gleichzeitig.
Verliere ich meine Google-Rankings durch die HTTPS-Umstellung?
Bei korrekter Durchführung mit sauberen 301-Weiterleitungen überträgt Google die Autorität der HTTP-Seiten auf die HTTPS-Versionen. Temporäre kleine Schwankungen in den ersten Tagen sind normal – dauerhafter Rankingverlust bei korrekt eingerichteten Weiterleitungen ist selten. Wichtig: Search Console updaten, Sitemap neu einreichen und alle Canonicals korrekt setzen.
Was kostet ein SSL-Zertifikat für WordPress?
Für die meisten WordPress-Websites: nichts. Let's Encrypt stellt kostenlose Zertifikate bereit, die nahezu alle Hosting-Anbieter direkt im Kundenbereich anbieten. Kostenpflichtige Zertifikate (OV, EV) sind erst dann sinnvoll, wenn das Unternehmen im Zertifikat selbst ausgewiesen sein soll oder komplexe Subdomain-Strukturen abgedeckt werden müssen.
Kann ich HTTPS auch ohne Zugriff auf die .htaccess einrichten?
Ja. Viele Hosting-Anbieter bieten die HTTPS-Weiterleitung direkt im Kundenbereich an – ohne dass du die .htaccess manuell bearbeiten musst. Alternativ erledigt das Plugin „Really Simple SSL" die Weiterleitung und Mixed-Content-Behebung automatisch und eignet sich besonders für Nutzer ohne technischen Hintergrund.
Warum zeigt meine Website nach der Umstellung noch kein grünes Schloss?
Das ist fast immer ein Mixed-Content-Problem: Eine oder mehrere Ressourcen werden noch über HTTP geladen. Öffne Chrome DevTools → Konsole – dort werden alle HTTP-Ressourcen mit ihrer genauen URL aufgelistet. Alternativ nutze den SSL & HTTPS Checker für eine vollständige Analyse. Die meisten Fälle lassen sich mit Better Search Replace in der Datenbank beheben.
