WordPress: HTTPS als Muss – warum SSL-Zertifikate unverhandelbar sind

by Redaktion |
on Juni 4, 2024 |
at 11:13

HTTPS ist nicht mehr optional

Früher war HTTPS nice to have.
Heute ist es Pflicht.

Google verlangt es.
Chrome warnt ohne.
DSGVO sowieso.

Wenn Deine WordPress-Seite noch ohne HTTPS läuft, hast Du ein Problem.
Nicht nur rechtlich. Auch technisch.

Was HTTPS leistet

  • verschlüsselt Daten zwischen Browser und Server
  • schützt Passwörter, Formulare, Cookies
  • sichert Integrität der Inhalte
  • verbessert Vertrauen
  • ist Rankingfaktor bei Google

Und: Du brauchst es für HTTP/2, viele Payment-APIs und alles mit Login.

WordPress korrekt auf HTTPS umstellen

1. wp-config.php absichern

define('FORCE_SSL_ADMIN', true);

Sorgt dafür, dass das Backend nur per HTTPS erreichbar ist.
Vorher sicherstellen, dass SSL funktioniert.

2. URL umstellen

In der Datenbank die Site-URL anpassen.
Geht per SQL oder WP-CLI:

wp option update siteurl "https://deine-seite.de"
wp option update home "https://deine-seite.de"

3. Mixed Content vermeiden

HTTP-Links im Content? Problematisch.
Skript nachrüsten:

function ds_https_content_fixer($content) {
    return str_replace('http://deine-seite.de', 'https://deine-seite.de', $content);
}
add_filter('the_content', 'ds_https_content_fixer');

Oder via Datenbank einmalig ersetzen.
Am besten mit einem Tool wie Better Search Replace.

4. Weiterleitungen einbauen

Falls jemand noch http:// aufruft:

if (!isset($_SERVER['HTTPS']) || $_SERVER['HTTPS'] !== 'on') {
    $redirect = "https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
    header("Location: $redirect", true, 301);
    exit;
}

Oder eleganter über .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

SSL-Zertifikate kostenlos?

Ja. Let’s Encrypt reicht für 99 % der Fälle.
Automatisch über deinen Hoster oder per Certbot.

Kostenpflichtige Zertifikate brauchst Du nur noch, wenn:

  • Extended Validation gefordert ist
  • Du spezielle APIs mit Whitelisting nutzt
  • Du mit Altgeräten zu tun hast

Häufige Probleme

ProblemUrsache
„Nicht sicher“ im BrowserMixed Content oder kein Redirect
Loop bei Weiterleitungfalsch konfigurierte siteurl
HTTP Assets von PluginsPlugin lädt statisch mit http://
Zertifikat abgelaufenkein Auto-Renew oder Cron ausgefallen

Mein Fazit

HTTPS ist Pflicht. Punkt.
Du sparst Dir Ärger, Abmahnungen, Kundenverluste.

Du sicherst Deine Website. Deine Kunden. Deine APIs.
Wenn Du es sauber machst, musst Du dich nie wieder drum kümmern.

Wenn Du willst, prüf ich Deine Seite einmal durch. Meld Dich.

Categories:

WordPress

Tags:

No Tag

No responses yet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Buchen Sie jetzt ein kostenloses Erstgespräch

Termin Auswahl