Browser markieren unverschlüsselte Websites inzwischen als „nicht sicher“ und Suchmaschinen bevorzugen Seiten mit aktivem SSL-Zertifikat. Wer eine WordPress-Installation noch über HTTP betreibt, verliert damit Vertrauen, Rankings und potenzielle Conversions. Wir zeigen, wie die Umstellung sauber gelingt, welche Stolperfallen typisch sind und worauf Sie bei Hostern, Datenbank und Weiterleitungen achten müssen.
Warum die WordPress HTTPS Umstellung heute Pflicht ist
HTTPS ist seit Jahren der De-facto-Standard für jede produktive Website. Browser wie Chrome, Firefox und Safari blenden bei reinen HTTP-Seiten deutliche Warnhinweise ein, die Besucher abschrecken und das Vertrauen in eine Marke spürbar mindern. In über 1.000 umgesetzten Projekten seit dem Jahr 2010 begleiten wir HTTPS-Migrationen für KMUs, Marken und Konzerne.
Auch aus SEO-Sicht ist die Umstellung kein Nice-to-have mehr. Google bestätigt HTTPS offiziell als leichten Ranking-Faktor und bevorzugt verschlüsselte Verbindungen bei sonst gleichwertigen Inhalten.
Hinzu kommt der datenschutzrechtliche Aspekt: Wer Formulare, Login-Bereiche oder Shop-Funktionen ohne SSL betreibt, riskiert Abmahnungen und Reklamationen. Eine saubere HTTPS Umstellung WordPress ist deshalb in nahezu allen Anwendungsfällen Pflicht.
Vorteile auf einen Blick
Eine verschlüsselte Verbindung sorgt für Vertrauen, weil Browser keine Warnung mehr anzeigen. Auch Login-Daten, Kontaktformulare und Zahlungsinformationen lassen sich sicher übertragen.
Hinzu kommen technische Vorteile wie die Unterstützung von HTTP/2 und HTTP/3, die ausschließlich über TLS funktionieren. Damit lädt eine HTTPS-Seite häufig sogar schneller als ihr HTTP-Pendant.
Konsequenzen bei reinem HTTP-Betrieb
Ohne SSL erhalten Besucher in der Adresszeile einen klaren Warnhinweis. Conversions brechen messbar ein, vor allem bei Formularen und Checkout-Seiten.
Suchmaschinen indexieren reine HTTP-Seiten zwar weiterhin, vergeben aber kein zusätzliches Ranking-Signal. Auf Dauer entsteht ein Wettbewerbsnachteil gegenüber HTTPS-Konkurrenz mit identischem Content.
Voraussetzungen vor der HTTPS Umstellung WordPress
Bevor die eigentliche Umstellung startet, sind zwei Dinge zwingend nötig: ein gültiges SSL-Zertifikat und ein vollständiges Backup. Beide Punkte sollten Sie unbedingt vor jeder Konfigurationsänderung erledigen, um im Fehlerfall sauber zurückkehren zu können.
Ein modernes WordPress-Hosting bringt SSL inzwischen in nahezu allen Tarifen mit. Wer auf der Suche nach einer leistungsfähigen Umgebung ist, findet bei unserem WordPress Hosting eine performante Basis mit nativer SSL-Unterstützung und automatischer Erneuerung der Zertifikate.
Wer alle Vorbereitungen sauber abarbeitet, spart sich später aufwändiges Troubleshooting. Vor allem das Backup ist die wichtigste Versicherung gegen Fehler in den nachfolgenden Schritten.
SSL-Zertifikat beim Hoster aktivieren
Die meisten Hoster bieten Let’s Encrypt kostenfrei an. Im Kundenmenü des Anbieters genügt in der Regel ein Klick, um das Zertifikat für die gewünschte Domain auszustellen und automatisch zu verlängern.
Sichtbar/er werden bei Google & Social Media?
In einem kostenlosen Strategiegespräch für datenbasiertes Online-Marketing, decken wir Ihre ungenutzten Potenziale auf, überprüfen ggf. vorhandene Anzeigenkonten, schauen uns das SEO-Ranking und die Sichtbarkeit an und prüfen was zu Ihrem Budget die passende Strategie ist und welche aktiven Maßnahmen zu mehr Anfragen oder Verkäufen führen.
✅ Mehr Sichtbarkeit & Wahrnehmung durch gezielte Platzierung
✅ Mehr Besucher > Interessenten > Kunden > Umsatz
✅ Mit SEA skalierbar Zielgruppe ansprechen
✅ Mit SEO nachhaltig agieren und wachsen
🫵 Maximale Erfolge mit unserer Hybrid-Strategie
💪 Mehr als 15 Jahre Erfahrung branchenübergreifend in über 1.000+ Projekten nachweisbar!
Wer ein Premium-Zertifikat mit Organisationsvalidierung benötigt, etwa für E-Commerce oder regulierte Branchen, kann dieses zusätzlich erwerben. Für Standard-Websites ist Let’s Encrypt jedoch vollkommen ausreichend und technisch gleichwertig.
Vollständiges Backup von Dateien und Datenbank
Sichern Sie alle WordPress-Dateien per FTP oder über den Hoster-Manager. Parallel exportieren Sie die Datenbank über phpMyAdmin oder ein Plugin wie UpdraftPlus.
Achten Sie darauf, beide Backups extern abzulegen, also außerhalb des Webspaces. So bleibt das Backup im Notfall auch dann erreichbar, wenn die Live-Seite nicht mehr antwortet.
Schritt für Schritt WordPress Seite auf HTTPS umstellen
Die eigentliche Umstellung folgt einer festen Reihenfolge. Wer sie einhält, vermeidet Redirect-Loops und Mixed-Content-Warnungen, die andernfalls schnell entstehen können.
Zunächst aktivieren Sie das SSL-Zertifikat beim Hoster. Erst danach ändern Sie in WordPress die URLs auf https://, im Anschluss speichern Sie die Permalinks neu und führen einen Search-and-Replace in der Datenbank durch. Den 301-Redirect setzen Sie erst ganz am Ende.
Diese Reihenfolge ist deshalb wichtig, weil eine verfrühte 301-Weiterleitung in Kombination mit fehlendem oder ungültigem Zertifikat dazu führt, dass die Seite überhaupt nicht mehr aufrufbar ist.
WordPress-Adresse und Website-Adresse anpassen
Im Dashboard unter Einstellungen → Allgemein finden Sie die Felder „WordPress-Adresse (URL)“ und „Website-Adresse (URL)“. Ändern Sie in beiden den Eintrag von http:// auf https:// und speichern Sie.
Alternativ können Sie die Werte über die wp-config.php setzen, mit den Konstanten WP_HOME und WP_SITEURL. Diese überschreiben die Datenbank-Werte und sind besonders bei automatisierten Deployments sinnvoll.
Permalinks neu speichern
Nach der URL-Änderung wechseln Sie in den Bereich Einstellungen → Permalinks und klicken einmal auf „Änderungen speichern“, ohne etwas zu verändern. Damit erzeugt WordPress die .htaccess-Regeln neu und übernimmt das HTTPS-Schema.
Dieser Schritt wird häufig vergessen und führt sonst zu sporadischen 404-Fehlern bei einzelnen Unterseiten. Ein kurzer Klick spart später viel Fehlersuche.
Mixed Content Probleme und WordPress Bilder HTTPS umstellen
Die häufigste Folge einer unvollständigen Umstellung sind Mixed-Content-Warnungen. Diese entstehen, wenn eine über HTTPS ausgelieferte Seite weiterhin Bilder, Skripte oder Stylesheets über HTTP nachlädt.
Die Ursache liegt fast immer in der Datenbank. Beiträge, Seiten, Theme-Optionen und Plugin-Konfigurationen speichern Bild-URLs als absolute Pfade. Sobald diese mit http:// beginnen, blockiert der Browser den Aufruf oder warnt zumindest deutlich.
Für die saubere technische Migration größerer Datenbestände nutzen wir im Rahmen unserer WordPress Programmierung automatisierte Skripte, die auch serialisierte Daten in Theme-Optionen korrekt umstellen.
Search and Replace in der Datenbank
Der zuverlässigste Weg führt über WP-CLI mit dem Befehl wp search-replace 'http://ihre-domain.de' 'https://ihre-domain.de'. Der Befehl ersetzt alle Vorkommen serialisiert-sicher und ist damit auch für Custom Fields und Theme-Optionen geeignet.
Wer kein WP-CLI hat, nutzt das Plugin „Better Search Replace“. Es bietet eine grafische Oberfläche und arbeitet ebenfalls serialisiert-sicher, sodass keine Daten zerstört werden.
Bilder und Medien-URLs aktualisieren
Nach dem Search-and-Replace prüfen Sie Beiträge mit eingebetteten Bildern stichprobenartig. Vor allem alte Slider-Plugins, Theme-Builder und Galerien speichern URLs manchmal in eigenen Tabellen, die separat zu behandeln sind.
Im Browser können Sie über die Entwicklerkonsole jede einzelne Mixed-Content-Warnung sehen. Diese Liste ist die schnellste Diagnose, um die letzten harten HTTP-Pfade zu identifizieren und gezielt zu korrigieren.
301 Redirect von HTTP auf HTTPS umstellen WordPress einrichten
Damit alte HTTP-Links nicht ins Leere laufen, leiten Sie den gesamten Traffic per 301-Redirect auf die HTTPS-Variante. Ein 301-Redirect signalisiert Suchmaschinen, dass der Umzug permanent ist und überträgt zwischen 90 und 99 Prozent des bestehenden SEO-Werts.
Die saubere technische Migration ohne Ranking-Verlust gehört zu unserem SEO Relaunch Service. Wir prüfen dabei jede Weiterleitung, vermeiden Redirect-Chains und kontrollieren das Ergebnis in der Google Search Console.
Wichtig ist, dass die Weiterleitung nicht über mehrere Stationen läuft. Google folgt typischerweise nur fünf Hops, danach bricht der Crawler ab und der SEO-Wert geht verloren.
htaccess-Snippet einfügen
Tragen Sie folgenden Code möglichst weit oben in der .htaccess-Datei im Wurzelverzeichnis ein, vor den WordPress-Standard-Regeln:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
Der Server-Level-Redirect ist deutlich schneller als jede PHP- oder Plugin-Lösung. Vor der Änderung sollten Sie die .htaccess lokal sichern, da ein Tippfehler die gesamte Website unerreichbar machen kann.
Alternative über Redirect-Plugin
Wer keinen Zugriff auf die .htaccess hat oder Wert auf Logs und Bulk-Regeln legt, nutzt ein Plugin wie „Redirection“ oder „Really Simple SSL“. Die Plugins setzen die Weiterleitung über PHP, was etwas langsamer ist, aber für kleinere Websites völlig ausreicht.
Achten Sie darauf, nur eine einzige Redirect-Methode aktiv zu haben. Doppelte Weiterleitungen über .htaccess plus Plugin führen häufig zu Redirect-Loops oder doppelten Hops.
WordPress auf HTTPS umstellen Strato und andere Hoster im Vergleich
Die Aktivierung des SSL-Zertifikats unterscheidet sich je nach Hoster im Detail. Wer den richtigen Anbieter wählt, spart sich später viel Aufwand bei Performance, Sicherheit und Updates.
Im DACH-Raum dominieren Strato, IONOS, All-Inkl*, Hetzner und SiteGround den WordPress-Hosting-Markt. Jeder Anbieter hat eigene Stärken, technisch unterscheiden sich die Lösungen jedoch deutlicher als das Marketing oft suggeriert.
SSL-Aktivierung bei Strato und IONOS
Bei Strato erfolgt die SSL-Aktivierung im „Sicherheits-Center“ des Kundenmenüs. Let’s Encrypt ist für alle aktiven Tarife verfügbar und wird automatisch verlängert.
IONOS bietet die Aktivierung über das Hosting-Paket im Bereich „SSL-Zertifikate“. Bei beiden Anbietern dauert die Ausstellung in der Regel wenige Minuten, manchmal sind anschließend DNS-Anpassungen nötig.
Warum wir All-Inkl als bevorzugten Hoster empfehlen
Aus über 1.000 betreuten Projekten kristallisiert sich für KMUs und Agentur-Kunden ein klarer Favorit heraus: All-Inkl*. Das KAS-Backend ermöglicht die Aktivierung des Let’s-Encrypt-Zertifikats mit einem einzigen Klick, die Erneuerung läuft vollständig automatisch im Hintergrund.
Hinzu kommt ein zuverlässiger deutschsprachiger Support per Telefon und E-Mail, der bei kniffligen Fragen auch außerhalb klassischer Geschäftszeiten erreichbar ist. Die Performance der Server bleibt selbst bei WooCommerce-Shops mit größerer Datenbank stabil.
Praktisch wichtig sind auch die regelmäßigen PHP-Updates ohne Aufpreis und das transparente Preismodell ohne versteckte Zusatzkosten. Wer auf der Suche nach einem soliden Standard-Hoster für WordPress ist, fährt mit All-Inkl* in den meisten Fällen am ruhigsten.
Ein aktuelles Video zu all-inkl seit 2024 mit Test, Vergleich, Erfahrung und Empfehlung:
Hosting bei Hetzner und SiteGround
Hetzner ist eine starke Wahl für technisch versierte Betreiber, die Wurzelzugriff und maximale Flexibilität suchen. SSL läuft hier in der Regel über das CloudFlare-Plugin oder eine manuelle Einrichtung im Server.
SiteGround bietet im internationalen Vergleich exzellente WordPress-Optimierungen, ist preislich aber deutlich oberhalb der deutschen Standard-Hoster angesiedelt. Für anspruchsvolle Setups mit hohem Traffic ist es eine valide Option.
Häufige Fehler und Troubleshooting bei der WordPress Umstellung auf HTTPS
Trotz aller Vorbereitung treten in der Praxis immer wieder typische Probleme auf. Aus den positiven Bewertungen unserer Kunden auf ProvenExpert wissen wir, dass eine strukturierte Fehlersuche der Schlüssel zur schnellen Lösung ist.
Die häufigsten Stolperfallen sind Redirect-Schleifen, verbleibende Mixed-Content-Warnungen, Probleme mit externen Skripten und Caching-Konflikte. In den meisten Fällen lassen sich diese Punkte mit gezielten Maßnahmen sauber beheben.
Wer den Live-Status nach der Migration laufend überwacht und externe SEO-Faktoren wie Backlinks und Sitemap-Einträge anpasst, profitiert zusätzlich von einer dauerhaft sauberen WordPress SEO Pflege.
Redirect-Schleifen auflösen
Eine Redirect-Schleife entsteht meist dann, wenn der Reverse-Proxy bereits HTTPS terminiert, WordPress aber weiterhin HTTP erwartet. Die Lösung ist eine kurze Ergänzung in der wp-config.php: if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) $_SERVER['HTTPS'] = 'on';
Damit erkennt WordPress die HTTPS-Verbindung korrekt und stoppt den Loop. Auch CDNs wie Cloudflare benötigen die Einstellung „Full“ oder „Full (Strict)“, damit der Kreislauf zwischen CDN und Server stabil bleibt.
Externe Skripte und Hartcodierungen prüfen
Theme-Dateien, Custom-Funktionen und einzelne Plugins können URLs direkt im Code enthalten. Ein Blick in header.php, footer.php und functions.php ist deshalb sinnvoll.
Auch externe Skripte wie Google Fonts, Tracking-Pixel oder eingebundene Videos sollten konsequent über HTTPS oder protokoll-relative URLs (//domain.de/...) angesprochen werden. Sonst entsteht trotz aller Datenbank-Arbeiten weiterhin eine Mixed-Content-Warnung.
Fazit zur WordPress HTTPS Umstellung
Die WordPress Umstellung auf HTTPS ist heute Pflicht für jede ernsthafte Website. Mit der richtigen Reihenfolge aus SSL-Aktivierung, URL-Anpassung, Datenbank-Replacement, 301-Redirect und sauberer Troubleshooting-Prüfung gelingt sie zuverlässig und ohne SEO-Verluste.
Besonders wichtig ist die Wahl eines stabilen Hosters, regelmäßige Backups und die strukturierte Pflege nach der Migration. Wer alle Schritte sauber abarbeitet, profitiert von besserer Sicherheit, höherem Vertrauen und einem leichten Ranking-Vorteil bei Google.
Wenn Sie Ihre WordPress-Seite professionell auf HTTPS umstellen oder die Migration begleiten lassen möchten, unterstützen wir Sie mit unserer WordPress Beratung und Support von der Vorbereitung bis zur Erfolgskontrolle.
